Tente algo nos moldes de:
access to attrs=userPassword
by self write
by anonymous auth
by users none
access to * by * read
(Observe que, por razões de segurança, você NÃO quer que todos possam ler o atributo UserPassword - que permitiria que as pessoas analisassem suas senhas criptografadas / sombreadas e executassem um programa contra elas facilmente.)
Edite para adicionar a explicação solicitada do access to attrs=userPassword ACL acima
by self write
O usuário logado pode escrever (alterar) seu próprio atributo userPassword - isso é o que permite que você altere sua senha.
by anonymous auth
Usuários anônimos (aqueles que se ligam ao diretório anonimamente - isto é, sem especificar um DN & senha) podem acessar o userPassword com o único propósito de autenticação (eles não têm acesso a ele para qualquer outro propósito, como pesquisar ou navegar) .
by users none
Isso nega o acesso de usuários logados ao atributo userPassword de qualquer outra pessoa. Teoricamente isso pode ser auth , mas normalmente (pelo menos no meu ambiente) um usuário logado não precisa autenticar / ligar como outro usuário.