Não está muito claro o que você deseja fazer, mas você pode tentar usar ACLs do OpenLDAP para criar as restrições que você precisa.
Normalmente, a capacidade de modificar uma senha é restrita a self
e administradores, mas você pode limitar isso ainda mais a certas UOs.