Bem, a resposta é muito simples e lógica. Para fornecer uma ACI para uma OU específica. Neste caso, o usuário sm tem todos os direitos sob o diretório ou = Support Group.
(targetattr = "*")
(target = "ldap:///ou=Support Group,dc=my,dc=net")
(version 3.0;
acl "sm aci";
allow (all)
(userdn = "ldap:///uid=sm,ou=Support Group,dc=my,dc=net")
;)
target: especifica onde aplicar a regra.
targetattr: Pode ser usado para limitar o acesso a vários atributos da entrada. Tal como você, o "sm" usuário não tem acesso para alterar a senha tal coisa que você poderia especificar aqui.
allow (): especifica a permissão
o último userdn (Bind Rule): Especifica quem tem os direitos. Desta forma, você pode facilmente dar acesso a outros usuários para gerenciar seus próprios grupos de credenciais do usuário.