探しても見つかりにくい問題のようなので、今後、はまった人のためにメモを残しておきます。

ActiveDirectory(以下AD)で、ユーザ作成時に「ユーザーは次回ログオン時にパスワード変更が必要」にチェックをつけると、LDAPで認証しようとした時に次のようなエラーがでます。

$ ldapsearch -v -x -D 'cn=ユーザ名,dc=ariel-networks,dc=com' -w パスワード -h サーバ名 -b 'dc=ariel-networks,dc=com' '(objectclass=*)'

のコマンド実行に対して、以下のエラー

ldap_initialize( ldap://サーバ名 )
ldap_bind: Invalid credentials (49)
        additional info: 80090308: LdapErr: DSID-0C090334, comment:
AcceptSecurityContext error, data 773, vece

このエラーでは情報量ゼロです。困ったものです。このエラーがでたら、ADの管理UIからユーザを選択して「ユーザーは次回ログオン時にパスワード変更が必要」のチェックを外す必要があります。

ldapsearchコマンドの引数の意味は以下のとおりです。

-v  ...verbose。上記の場合、あまり意味はありません
-x  ...簡易認証。AD相手ではこの指定が必要です
-D  ...上記例の場合、認証するユーザIDだと考えてください。cn=ユーザ名 以下、AD側の環境に合わせてください
-w  ...上記例の場合、認証するユーザのパスワードです。AD側の環境に合わせてください
-h  ...ADのサーバ名を指定します
-b  ...検索のベースDNを指定します。AD側の環境に合わせてください
'(objectclass=*)'   ...検索フィルタを指定します。LDAPの世界では(objectclass=*)が事実上のワイルドカードです