Eu estava curioso sobre esse comportamento, então testei na minha máquina.

Reprodução

1. Eu crio um novo usuário

   # useradd -m -s /bin/bash test
   

2. Eu crio uma senha fictícia para ele

   # passwd test
   Geben Sie ein neues Passwort ein: 
   Geben Sie das neue Passwort erneut ein: 
   

3. Teste o que fiz até agora em outro terminal

   $ su - test
   Passwort:
   $ # I'm in.
   $ exit # I'm out.
   

4. De volta ao meu terminal raiz, tento fazer o que você fez ...

   # passwd --expire test
   passwd: Passwortablauf-Informationen geändert.
   

5. De volta ao meu terminal normal, tento me conectar com o novo usuário.

   $ su - test
   Passwort: 
   You are required to change your password immediately (administrator enforced)
   su: Fehler beim Ändern des Authentifizierungstoken
   

   Interessante, entendo o mesmo que você.

descascar

Então eu estava curioso, então eu olhei para o manual

# LC_ALL=en_US.UTF-8 man passwd  #Comment# LC_ALL is needed because otherwise, I get the manual in german.

E curiosamente diz:

-e, --expire
       Immediately expire an account's password. This in effect can force a user to change their password at the
       user's next login.

Concluí que é estranho que o comportamento descrito não esteja funcionando...

Então, como sei que pam.dé o responsável pelo login, procurei no diário.

# journalctl -g pam -xe

No log, vi o seguinte.

Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_unix(su-l:auth): authentication failure; logname= uid=1000 euid=0 tty=pts/4 ruser=funilrys rhost=  user=test
Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_unix(su-l:account): expired password for user test (root enforced)
Jul 28 xx:xx:xx funilrys su[xxxxx]: pam_warn(su-l:chauthtok): function=[pam_sm_chauthtok] flags=0x4020 service=[su-l] terminal=[pts/4] user=[test] ruser=[funilrys] rhost=[<unknown>]

Obs: Conforme eu logo com suo su-lé o serviço que é utilizado.

Isso significa que pam.dfunciona corretamente, mas não lida com a alteração da senha.

Mas não fiquei convencido, então testei com SSH (deixo para vocês a configuração do SSH) e funcionou.

$ ssh -p xxxxx [email protected]
Passwort: 
You are required to change your password immediately (administrator enforced)
Ändern des Passworts für test.
Current password: 
Geben Sie ein neues Passwort ein: 
Geben Sie das neue Passwort erneut ein: 
$ 

Eu me perguntei, onde está a diferença?

O que descobri é que o /etc/pam.d/sshdarquivo tem essa linha

password  include   system-remote-login

Então, como meu serviço era su-l, adicionei essa linha a/etc/pam.d/su-l

Em seguida, tentei novamente.

$ su - test
Passwort: 
You are required to change your password immediately (administrator enforced)
Ändern des Passworts für test.
Current password: 
Geben Sie ein neues Passwort ein: 
Geben Sie das neue Passwort erneut ein: 

E funcionou!

Conclusão

Se você adicionar a seguinte linha em /etc/pam.d/login, /etc/pam.d/su-lou outra configuração dependendo do serviço que você usa. O usuário poderá alterar sua senha no próximo login.

password  include   system-remote-login

Recomendação (Editar 1)

Em minha análise, passei por isso, mas depois de analisar profundamente, tenho que admitir que, mesmo que system-remote-loginesteja funcionando, devemos evitá-lo porque na verdade foi pensado para SSH.

Portanto, recomendo a qualquer pessoa que atenda a esse problema que adicione a seguinte linha (em vez disso) em /etc/pam.d/login, /etc/pam.d/su-lou outra configuração, dependendo do serviço que você usa.

password  include   system-local-login