Как я понял, ситуация складывается так, что учётки заводит один человек, а атрибуты наложения ppolicy должен назначать другой. Лучшим вариантом, наверное, было бы, если бы это делалось одновременно при заведении учётки.
Для записи в каталоге OpenLDAP предусмотрено несколько операционных атрибутов с отметками времени: createTimestamp, modifyTimestamp, entryCSN, можно попытаться привязаться к ним, но это не даст 100% гарантии в определении того, заходил ли уже пользователь в систему.
Из наложений для определения входа пользователя в систему, на мой взгляд, подошло бы
accesslog, на собранных данных можно построить какой-то анализ.
Егор