openldap-servers-2.1.30-alt3 access to * by * read Вот такая запись в дефолтном конфиге slapd.conf в секции каждой базы позволяет читать аттрибуты userPassword, clearTextPassword любому (включая анонимного) пользователю. access to attrs=userPassword by self write by anonymous auth by * none Такая запись в глобальной секции не запрещает чтение userPassword, поскольку эта ACL начинает действие _после_ ACL'ей конкретной базы. Неплохо бы по умолчанию добавить такой access и в секциях базы (и комментарий о причине), потому что не прочитав slapd.access(5) о таком порядке действия правил доступа догадаться трудно.
Исправлно в пакете openldap-2.2.18-alt1