Если во время работы пользователя (пользователь залогинен) заканчивается доменный пароль, то никаких уведомлений о необходимости его смены не приходит. Идея такая, при проверке тикета (по стандарту, раз в 31мин) получать оставшееся время доменного пароля, если валидность пароля заканчивается менее чем через 7 дней, то предлагать его сменить. Как я понял, api krb5 не предоставляет возможности получить временную метку окончания действия пароля, по этому добавил в api метод ее получения. http://git.altlinux.org/people/mrdrew/packages/?p=krb5.git;a=commitdiff;h=9f7f259c53418cfb844c4f10071781d46f6f5f32 И соответственно сам патч для ticket-watcher http://git.altlinux.org/people/mrdrew/packages/?p=krb5-ticket-watcher.git;a=commitdiff;h=b8a6217921405856333f1229a2f7d10d77c6f20a
Решил стандартными методами krb5 api