А при чём тут PAM? PBIS знает про сроки действия паролей, это видно, если логиниться по SSH. Более того, с PBIS пароль можно менять самым обычным passwd. То есть механизм аутентификации все нужные фичи имеет, но разработчик DM не добавил в GUI соответствующие представления для этих фич. А теперь валит с больной головы на здоровую.
Поправьте, если не так.