ローカルパスワードの有効期限が切れると、Kerberos認証が失敗します

ADパスワード認証にローカルアカウント（Linux）でpam_krb5を使用しています。物事はうまく機能しており、ユーザーはADパスワードとローカルパスワードの両方で認証できます。

ただし、ローカルパスワードの有効期限が切れると、Kerberos認証が失敗し、ユーザーにローカルパスワードの変更を求める問題が発生します。問題は、ほとんどのユーザーがローカルパスワードを思い出せないことです。これまでの私の回避策は、ローカルパスワード変更の強制を一時的に無効にすることでした。

Pam_krb5に期限切れのローカルパスワードを無視させる方法、または少なくともローカルよりもKerberosパスワードを優先するようにPAMを構成する方法はありますか？

私の調査では、それがcommon-authと関係があると私は信じています。これを以下に示します。

auth    required        pam_env.so
auth    sufficient      pam_unix2.so
auth    requisite       pam_succeed_if.so user ingroup access_www
auth    sufficient      pam_krb5.so     use_first_pass
auth    required        pam_deny.so