Как отремонтировать Kerberos Server в ALDPro 2...?

К хроникам импортозамещения.
В актуальной версии ALDPro 2.4.1(FreeIPA) Kerberos сервер продлевает билеты Заблокированным пользователям. Что делает систему Astra Linux+ALDPro мягко говоря небезопасной. Подскажите кто сведуще, очевидно баг тянется из FreeIPA, также понятно что там этот баг поправили в какой версии? какие библиотеки нужно обновить чтобы исправить поведение Kerberos Server? (желательно с минимальным отходом от версий библиотек чтобы не сломать ещё что-то)
Чуть поясню в чём суть проблемы:
Lifetime of Kerberos tickets (время жизни билета) - Время в течении которого билет считается действительным
kerberos ticket renew time (время обновления билета) - Время в течении которого билет может быть обновлён (без ввода логина/пароля)
В типичной ситуации: время жизни билета 10 часов а время обновления билета 7 дней. (Настройки по умолчанию для MS AD)
Так вот Kerberos сервер ALD Pro продлевает билет? заблокированному в системе пользователю. =((((( и билет блокированного пользователя может быть использован ещё в течении 7 дней. Соответственно доступ к всем системам сохраняется =(((

P.S. просьба не посылать в поддержку Astra... они в курсе уязвимости и не планируют её устранять т.к. считают что сравняв время жизни билета и время до которого билет может быть обновлён решает проблему (Lifetime of Kerberos tickets = kerberos ticket renew time). да и в ФСТЭК нет соответствующего формуляра....