KeyClope绑定到LDAP的最低权限

我们的目标是从keydove管理FreeIPA用户密码，当我们使用FreeIPA的admin用户从keydove绑定时，这一点就起作用了，例如在keydove>user Federation>LDAP>bind DN:uid=admin，cn=users，cn=accounts，dc=example，dc=com中

当使用仅具有管理密码权限的非特权用户时，我们可以同步该用户，但从KeyClope列出用户会返回一个错误：“发生了意外的服务器错误”

如果我们将非特权用户添加到LDAP中的管理组中，它也可以工作

以下是用于添加管理密码权限的命令：

ipa role-add "Self Password Reset"
ipa role-add-member "Self Password Reset" --users="ldap-passwd-reset"
ipa role-add-privilege "Self Password Reset" --privileges="Modify Users and Reset passwords"
ipa role-add-privilege "Self Password Reset" --privileges="Password Policy Readers"
ipa role-add-privilege "Self Password Reset" --privileges="Kerberos Ticket Policy Readers"
ipa permission-mod "System: Change User password" --includedattrs="krbloginfailedcount"

我的问题是，用户在不成为管理员组成员的情况下，能够从KeyClope管理LDAP密码所需的最低权限是什么