Это сделано специально и не может быть изменено.
Цитата slapo-ppolicy (5)
:
Note that some of the policies do not take effect when the operation is
performed with the rootdn identity; all the operations, when performed
with any other identity, may be subjected to constraints, like access
control.
SvenW правильно в своем ответе, но это еще не все.
Модули, которые выполняют любые проверки или манипуляции с паролями при изменении пароля, обычно могут работать только при использовании изменения пароля EXOP. Когда выполняется изменение пароля EXOP (расширенная операция), открытый пароль передается OpenLDAP, и OpenLDAP отвечает за его хеширование / шифрование и сохранение этого зашифрованного значения. Таким образом, OpenLDAP знает, какой на самом деле пароль.
Теперь, когда администратор идет и меняет пароль, он не использует пароль для изменения EXOP, скорее всего, он устанавливает зашифрованное значение напрямую. Таким образом, OpenLDAP никогда не знает, что такое незашифрованный пароль, и поэтому не может выполнять какие-либо проверки на нем.