Радиус является правильным - Вы не можете.
После дальнейшего исследования я понял, что это - в основном сценарий учебника для утверждения идентификационных данных: доверяемый поставщик идентификационных данных "удостоверяет" личность пользователя к клиентскому приложению. Спецификация SAML 2.0 кажется хорошей подгонкой.
Я надеялся уйти без большего количества уровней инфраструктуры, но я собираюсь пойти с simpleSAMLphp[1] для IDP и mod_mellon[2] для стороны Apache. (Ценность дня лужения и это работает.) Это не решает проблему пароля, но перемещает ее туда, где ею можно управлять.
В стороне: OpenSSO Sun довольно раскормлен, но Oracle уничтожила его, и связанное будущее проекта OpenAM все еще не ясно.
[1]: http://rnd.feide.no/simplesamlphp simpleSAMLphp
[2]: http://code.google.com/p/modmellon/ mod_mellon
Проблема здесь не в Pidgin или OpenLDAP, а в Openfire (я вывод, что вы используете на основе ваших тегов). Он никак не поддерживает внесение изменений во внешних пользователей LDAP; прямая смена пароля работает только для локально определенных пользователей.
См. здесь :
Openfire обрабатывает каталог LDAP как доступный только для чтения.