Здравствуйте! Очень тяжело что-то советовать в режиме "гадания на кофейной гуще". Есть предложение вообще убрать из каталога настройки KDC (cn=KerberosKDC,cn=config,dc=example,dc=com), затем настроить kerberos-аутентификацию штатными средствами(через GUI), добиться, чтобы это работало, а потом экспортировать получившиеся настройки в plist и поместить его в каталог (cn=KerberosClient,cn=config,dc=example,dc=com), по аналогии с настройками аутентификации по сети. Методом тыка тут вряд ли получится победить =) .
Егор