如何允许组更改用户密码？

引用OpenLDAP 管理员指南：

访问指令的评估顺序使得它们在配置文件中的位置很重要。如果一个访问指令在它选择的条目方面比另一个更具体，它应该首先出现在配置文件中。同样，如果一个选择器比另一个选择器更具体，它应该在访问指令中排在第一位。

长话短说，请尝试以下操作：

access to attrs=userPassword
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by self write
    by anonymous auth
    by * none

# Allow everybody adding and changing Contacts
access to dn.subtree="ou=Contacts,dc=my-company,dc=de"
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by set="[cn=users,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write 
    by * read

access to *
    by dn.base="cn=admin,dc=my-company,dc=de" write
    by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
    by self write
    by * read

顺便说一句，您真的要授予所有用户访问他们自己对象的所有属性的权限（'通过自写'访问 * ...）吗？由于您仅在第一个 ACL 中限制对 userPassword 属性的写入访问，我想说这不是您想要的。

如果你这样做会发生什么？

access to dn.subtree"[cn=users,ou=Group,dc=my-company,dc=de]"
by self write
by dn.base="cn=admin,dc=my-company,dc=de" write
by set="[cn=sysadm,ou=Group,dc=my-company,dc=de]/memberUid & user/uid" write
by * read

IIRC slapd 使用第一个匹配规则。由于第一个块匹配 userPassword 但不允许系统管理员修改，因此不允许他们修改。