Não tenho certeza de quanto a Apple mudou as coisas de uma configuração típica de LDAP / Kerberos. No LDAP, uma alteração de senha envolveria TCP client:highport -> server:389
(ou a porta equivalente do LDAPS ou, possivelmente, o UDP se eles adotaram o recurso LDAP-via-UDP como o ActiveDirectory). No Kerberos, a alteração de senha deve ser feita na porta kpasswd
(464) no admin_server
listado no krb*.conf
do território em questão.
Provavelmente estaria procurando na WireShark o tráfego envolvendo o servidor OpenDirectory durante uma alteração de senha, independentemente disso.