Você pode tentar setShadowLastChange = 0 na entidade do usuário.
Eu passei por postagens semelhantes sobre a mesma pergunta, mas não consegui encontrar a resposta correta para implementar.
Preciso forçar todos os usuários LDAP a alterarem a senha padrão definida pelo administrador no primeiro login. Eu tentei a opção pwdReset:TRUE no atributo do usuário e pwdMustChange:TRUE no padrão ppolicy. Ambos não ajudaram a resolver isso.
Por favor, sugira o caminho, como eu posso forçar os usuários a alterar sua própria senha no primeiro login (depois de redefinir pwd por admin).
Você pode tentar setShadowLastChange = 0 na entidade do usuário.