Как разблокировать учетную запись с просроченным паролем, в то же время запрещая пароли из их истории паролей

У меня проблема с политикой паролей, и мне нужна помощь. Я использую следующую политику паролей:

objectClass: top
objectClass: device
objectClass: pwdPolicyChecker
objectClass: pwdPolicy
pwdAttribute: userPassword
pwdLockoutDuration: 1800
pwdMaxFailure: 5
pwdLockout: TRUE
pwdFailureCountInterval: 900
structuralObjectClass: device
pwdMinAge: 86400
pwdMaxAge: 7776000
pwdAllowUserChange: TRUE
pwdInHistory: 3

Вот то, что у меня работает:

• Учетные записи блокируются на 30 минут после 5 неудачных аутентификаций в течение 15 минут.
• Запрещение смены пароля, когда пользователь предоставляет новый пароль который указан в их истории паролей, работает только с использованием привязки ldappasswd от имени указанного пользователя, использование ldapmodify при привязке, поскольку указанный пользователь не работает.
• Разблокировка учетной записи, заблокированной из-за неудачной аутентификации, путем ручного удаления pwdAccountLockedTime .

Это не работает:

• Разблокировка учетной записи, которая была заблокирована из-за истекшего пароля, при этом все еще используется история паролей.

Я пытаюсь использовать ldappasswd для изменения пароля пользователя, привязываясь как заблокированный пользователь, используя текущий пароль, дайте ему новый пароль, которого нет в его истории паролей, и операция не сможет сказать просроченный пароль. Может ли кто-нибудь помочь мне с этим?