implementar un pwdExpireWarning propio

Hola

El universo:
Tengo una autenticación por ldap que es utilizada por diferentes aplicacciones web.
Este pequeño componente está implementado en java, utilizando un Filter para capturar las excepciones del ldap y mapearlas a los errores propios del portal, por ejemplo un error "ldap 53" se traduce a "cuenta bloqueada".
Por este filtro solo me pasa cuando el ldap retorna un error, creo que por si hay un warning no pasa por el filtro.

El problema:
Necesito saber cuando la contraseña del usuario esta por caducar para pedirle que la cambie, la contraseña aun no puede haber caducado pues para cambiarla debe loquearse por esta misma aplicación (no me ha servido poner el pwdgraceLoginLimit pues entonces no me pasa por el filtro) Bueno eso lo solucione haciendo que esta aplicación para cambiar contraseña se autentique por debajo.
El verdadero problema lo tengo cuando quiero cambiar una contraseña y esta ya ha expirado, pues el ldap no permite cambiarla.

Consultas:
1) Existe alguna manera para que el ldad le permita a un usuario con contraseña expirada cambiarla?
2) Es posible que habilite el pwdExpireWarning y que éste haga que se pase por el filter para poder indicar al usuario que la cambia antes que expire.
3) Si no funcionan las anteriores, entonces necesito implementar un pwdExpireWarning propio, pero como calculo el tiempo de expiración, por ahir dicen que es con
pwdAge-pwdMustChage <= 1 día pero quisiera confirmar esto.

gracias por su tiempo