Ребята такая трабла (трабла потому что не знаю как правильно сделать).

Есть дерево в ldap дереве, и такие ветки по дономенам как:
dc=domen1,dc=ldap,dc=localdomain
dc=domen2,dc=ldap,dc=localdomain
dc=domen3,dc=ldap,dc=localdomain

И заведено 3 пользователя для чтения паролей юзеров из каждого домена отдельно:
cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen1,dc=ldap,dc=localdomain
cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen2,dc=ldap,dc=localdomain
cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain из домена dc=domen3,dc=ldap,dc=localdomain

Так вот когда прописываю в кофиге права в таком виде:
access to dn="dc=domen1,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen2,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen3,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain" read

То эти юзери читают про юзеров все кроме паролей, как мне правильно прописать для них права доступа.

Вот полная таблица доступа:

access to attrs=userPassword,shadowLastChange
    by self write
    by anonymous auth
    by dn="cn=admin,dc=ldap,dc=localdomain" write
    by * none
access to dn.base=""
    by * read
access to *
    by self write
    by dn="cn=admin,dc=ldap,dc=localdomain" write
    by * read
access to dn="dc=domen1,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller1,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen2,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller2,ou=kontrol-users,dc=ldap,dc=localdomain" read
access to dn="dc=domen3,dc=ldap,dc=localdomain" attr=userPassword
  by dn="cn=kontroller3,ou=kontrol-users,dc=ldap,dc=localdomain" read

Зарание благодарен.