LDAP изменяются, пользователь передают клиент

Я думаю, что необходимо позволить автору-bind'ing для него работать. Этим я имею в виду пользовательские подключения к ldap (или прокси pam), и представляет его учетные данные. Если ldap серверу нравится то, что он видит, authbind успешно выполняется, и PAM знает thay, Ваша пара пользователя/передачи корректна. Посмотрите пример в книге zytrax

Скорректируйте свой ACL, чтобы иметь раздел, подобный

# ACL1
access to attrs=userpassword
       by self       write
       by anonymous  auth
       by group.exact="cn=itpeople,ou=groups,dc=example,dc=com"    write
       by *          none

Я уже сталкивался с этой же проблемой раньше; для ее решения мне нужно было удалить use_authtok - это позволило нам затем поменять пароли пользователей, используя passwd ... Я не уверен, какие последствия это будет иметь, если ваша цепочка аутентификации потребует маркеров, но это должно сделать трюк, если вы будете auth только через LDAP

Я использую следующую конфигурацию для поддержки PAM passwd:

password    requisite      pam_cracklib.so try_first_pass retry=3  
password    sufficient     pam_ldap.so try_first_pass use_authtok  
password    sufficient     pam_unix.so sha512 shadow nullok use_authtok try_first_pass  
password    required       pam_deny.so

Также помните, что ACL должны быть сконфигурированы от наиболее специфичных к наименее специфическим, потому что первая подходящая запись выигрывает. Моя выглядит так:

access to attrs=userPassword
    by dn="cn=admin,dc=hell" write
    by set="[cn=admins,ou=access groups,ou=groups,dc=hell]/memberUid & user/uid" write
    by anonymous auth
    by self write
    by * none

(BTW, я бы лучше порекомендовал оригинальное руководство по администрированию OpenLDAP, чем книгу Zytrax; книга всё равно использует это руководство в качестве исходного текста, но часто вводит ошибки, в то время как она отрывается от оригинального текста)