Documento del sitio web oficial:
https://www.freebsd.org/doc/en_US.ISO8859-1/articles/ldap-auth/secure.html
4.1. Configuración de atributos de solo lectura
Varios atributos en LDAP deben ser de solo lectura. Si el usuario lo deja escribible, por ejemplo, un usuario podría cambiar su atributo uidNumber a 0 y obtener acceso de root.
Para empezar, el atributo userPassword no debería ser legible por todo el mundo. De forma predeterminada, cualquier persona que pueda conectarse al servidor LDAP puede leer este atributo. Para deshabilitar esto, ponga lo siguiente en slapd.conf:
Ejemplo 8. Ocultar el
acceso de contraseñas a dn.subtree = "ou = people, dc = example, dc = org"
attrs = userPassword
por autoescritura por
autenticación anónima
por * none
acceso a
por autoescritura
por lectura