ldap servidor 389 com o cliente sssd, não é possível modificar a senha

Eu configurei o servidor 389 ldap em um sistema fedora. Eu posso autenticar no sistema, mas não consigo atualizar / modificar uma senha nem como root nem como usuário.

• o usuário root recebe uma "Redefinição de senha por root não é suportada"
• um usuário normal recebe "Erro de manipulação do token de autenticação"

Eu tenho agora algumas dicas de vários fóruns, que eu preciso escrever um acl, que permite modificar a senha, algo com "auto-gravação" .... Eu não tenho certeza se isso é válido apenas para o openldap e não 389, mas talvez alguém aqui possa dar uma resposta como um acl pareceria para habilitar mudanças passwd via ldap por usuários normais?