LDAP (slapd) аутентифицируемый пользователь не может изменить сам

Lists  of  access  directives are evaluated in the order they appear in
slapd.conf.  When a <what> clause matches the  datum  whose  access  is
being evaluated, its <who> clause list is checked.  When a <who> clause
matches the accessor's properties, its <access> and  <control>  clauses
are evaluated.  Access control checking stops at the first match of the
<what> and <who> clause, unless otherwise  dictated  by  the  <control>
clause.

Сначала соответствие <what> и <who> чтобы попытка изменилась, пароль:

access to *
   by users read

При перемещении 'доступа к *', пункт в конце списка он должен хорошо работать. Или просто порядок подкачки "пользовательским чтением" и "сам запись".

ACLs является самой хитрой частью конфигурации OpenLDAP, таким образом читайте slapd.access(5) тщательно, и убедитесь, что Вы полностью поняли, как ACLs работают прежде, чем записать некоторым нетривиальным.