Há mais no Active Directory do que apenas um monte de atributos e objetos LDAP. Alguns dos protocolos de interoperabilidade são proprietários, muitos atributos sensíveis à segurança e APIs são bloqueados, não são extensíveis por nenhum tipo de ganchos e só podem ser chamados por código confiável. Usar uma GINA diferente para lidar com atualizações de senha é o que geralmente é feito (tm) no mundo do Windows se você tiver qualquer diretório secundário para gravar sua alteração de senha.
Você pode querer olhar para o eDirectory / NDS da Novell e o conjunto de recursos do SSO - ele foi muito bem projetado com ambientes heterogêneos de Linux / Windows em mente.