См. Это: 12.10. Политики паролей из руководства OpenLDAP.
Вторая часть, вероятно, потребует некоторого кодирования, но наложение работает, и любой клиент, который слушает то, что сообщает OpenLDAP, будет предупреждать об истечении срока действия паролей.
Я бы также рекомендовал историю паролей, строго говоря, ваши требования не заставляют пользователя менять один пароль на другой, а только со старого пароля на новый (который может быть таким же, как и ваши требования)