Is there a reason winbind and a little krb5 client config<div>(without using full kerberos) doesn't fit your needs?</div><div>That is how we pam authenticate to AD.  I'm not sure</div><div>about the force password change, but I did have the</div>
<div>passwd command on Linux set up the password on AD</div><div>when winbind was in /etc/nsswitch.conf</div><div><br><br></div>