LDAP服務器：IBM Tivoli Directory Server6.2（以下簡稱TDS）

使用普通用戶的賬號（非：管理員）密碼進入LDAP后，要修改密碼。
就是簡單的modifyAttributes操作userPassword屬性。
提示如下錯誤：
javax.naming.NoPermissionException: [LDAP: error code 50 - Insufficient Access Rights]; remaining name

大概知道是TDS中訪問控制（ACL）的配置問題
折騰半天終于弄明白了這其中的意思，這些寫下來給有緣者幫助。

ACL配置大概意思就是
對指定的目錄，限制性的開放權限給用戶，或者組。

下面通過操作來說下我的理解：

默認普通用戶條目是能查看所有條目，不允許編輯任何條目，包括密碼
期望實現配置：普通用戶可以修改密碼條目，不能查看條目信息。

進入Tivoli Directory Server Web 管理工具，進入服務器后。
目錄管理-->管理條目  
選中要配置的條目，在選擇操作中選擇《編輯ACL...》，點擊執行 進入到編輯界面

有效的 ACL：其作用的ACL配置（默認有一條cn=anybody的可讀的配置，當配置新的后，會覆蓋它）
有效的所有者：其作用的所有者，會有一條管理員的主題DN
未過濾的 ACL：一般新建ACL在此處新建，傳播選項的意思就是，是否作用于選中條目的子目錄。這里我們在這個頁面點擊  添加 ，注意選上傳播。進入到編輯頁面后，在主題DN輸入  cn=Authenticated    。主題DN指的是   要限制的用戶或者用戶
cn=Authenticated是偽DN，指所有通過驗證的用戶。其他偽DN還有：cn=anybody(任何用戶，包括匿名)，cn=this(當前選擇的條目)。

主題角色：我選的是角色，按TDS文檔cn=Authenticated 應該是組，可是選了那個建不了，求解.
下面添加子代，刪除條目，安全類訪問權全部選擇為拒絕，或者不選。這樣就沒有這些操作的權限

屬性：因為是要允許修改密碼，因此選擇userPassword點擊 定義下面列表出現后   讀寫選擇授權。
然后點擊確定返回到未過濾的 ACL的頁面 注意 在此頁面再點擊一次確定。我就經常忘了在這頁面點確定，然后沒保存 

另說下
所有者：指的是這個條目的所有者，添加主題 DN給所有者有，這個DN有這個條目的全部權限。

根據上面的操作應該可以理解這個ACL的用途，有誤解地方，歡迎留言指正，有建議多多提