@ sterni1971 - Acabei de encontrar uma maneira de corrigir isso e negar o usuário, em vez de permitir que ele altere a senha. Isso gira em torno do uso do Kerberos, portanto, se você não estiver usando o Kerberos (que, olhando para sua postagem original, talvez não esteja), então peça desculpas .. mas esperamos que ajude alguém nesse caso.
Confira a opção fail_pwchange
para pam_krb5
(veja: documentação do pam-krb5 ) Ele pode ser configurado no /etc/krb5.conf, mas eu achei que funcionou ao configurá-lo na minha linha pam_krb5 em /etc/pam.d/sshd
auth sufficient pam_krb5.so forwardable renew_lifetime=30d ticket_lifetime=1d1h force_first_pass fail_pwchange