真的，LDAP要學的還很多，之前只單純的存放用的資料。配合廠商有提供更改密碼頁面，本想應沒有問題，那知得到權限不足的回應(insuffient access) ,而LDAP LOG內則是 errno=50回應。

查了一會並無相關的線索，卻到找幾筆有關ACL的文章，加上發現當更改密碼頁面資料餵給LDAP時，並非台灣廠商所說的 用Ldap Administrator連接，廠商說都用最高權限怎還有上述的權限不足回應，也搞不清楚。事實是介面送出的是　＂使用者DN＂，綜合上述二點，我想只要朝讓用戶能有足夠權限改動自己的userpassword attribute即可。

Ｂingo ，答對了。access to dn.base="o=testcorp" by * read

access to attr=userpassword
by self write
by anonymous read
by * none

access to *
by self read
by users read
by anonymous read
by * none

裡面有些根本沒用的設定（ex. anonymous都可以read，那 * none等於白設)，想說有做FW做管制，就暫且不管吧。