LDAP服務(wù)器：IBM Tivoli Directory Server6.2（以下簡稱TDS）

使用普通用戶的賬號(hào)（非：管理員）密碼進(jìn)入LDAP后，要修改密碼。
就是簡單的modifyAttributes操作userPassword屬性。
提示如下錯(cuò)誤：
javax.naming.NoPermissionException: [LDAP: error code 50 - Insufficient Access Rights]; remaining name

大概知道是TDS中訪問控制（ACL）的配置問題
折騰半天終于弄明白了這其中的意思，這些寫下來給有緣者幫助。

ACL配置大概意思就是
對(duì)指定的目錄，限制性的開放權(quán)限給用戶，或者組。

下面通過操作來說下我的理解：

默認(rèn)普通用戶條目是能查看所有條目，不允許編輯任何條目，包括密碼
期望實(shí)現(xiàn)配置：普通用戶可以修改密碼條目，不能查看條目信息。

進(jìn)入Tivoli Directory Server Web 管理工具，進(jìn)入服務(wù)器后。
目錄管理-->管理?xiàng)l目  
選中要配置的條目，在選擇操作中選擇《編輯ACL...》，點(diǎn)擊執(zhí)行 進(jìn)入到編輯界面

有效的 ACL：其作用的ACL配置（默認(rèn)有一條cn=anybody的可讀的配置，當(dāng)配置新的后，會(huì)覆蓋它）
有效的所有者：其作用的所有者，會(huì)有一條管理員的主題DN
未過濾的 ACL：一般新建ACL在此處新建，傳播選項(xiàng)的意思就是，是否作用于選中條目的子目錄。這里我們在這個(gè)頁面點(diǎn)擊  添加 ，注意選上傳播。進(jìn)入到編輯頁面后，在主題DN輸入  cn=Authenticated    。主題DN指的是   要限制的用戶或者用戶
cn=Authenticated是偽DN，指所有通過驗(yàn)證的用戶。其他偽DN還有：cn=anybody(任何用戶，包括匿名)，cn=this(當(dāng)前選擇的條目)。

主題角色：我選的是角色，按TDS文檔cn=Authenticated 應(yīng)該是組，可是選了那個(gè)建不了，求解.
下面添加子代，刪除條目，安全類訪問權(quán)全部選擇為拒絕，或者不選。這樣就沒有這些操作的權(quán)限

屬性：因?yàn)槭且试S修改密碼，因此選擇userPassword點(diǎn)擊 定義下面列表出現(xiàn)后   讀寫選擇授權(quán)。
然后點(diǎn)擊確定返回到未過濾的 ACL的頁面 注意 在此頁面再點(diǎn)擊一次確定。我就經(jīng)常忘了在這頁面點(diǎn)確定，然后沒保存 

另說下
所有者：指的是這個(gè)條目的所有者，添加主題 DN給所有者有，這個(gè)DN有這個(gè)條目的全部權(quán)限。

根據(jù)上面的操作應(yīng)該可以理解這個(gè)ACL的用途，有誤解地方，歡迎留言指正，有建議多多提