Они используют AD, чтобы подписать людей, поэтому я думаю, что есть способ сделать эту работу.
Вы подразумеваете под этим, что пользователи входят в OS X, используя свое имя пользователя и пароль AD? Если это так, они могут уже иметь учетные данные Kerberos после входа в систему. Чтобы проверить это, используйте команду klist из командной строки терминала; вы должны увидеть что-то вроде:
$ klist Credentials cache: API:17DFC650-1327-4721-92ED-A0099CA09885 Principal: user@EXAMPLE.COM Issued Expires Principal Mar 10 01:17:16 2014 Mar 10 09:17:16 2014 krbtgt/EXAMPLE.COM@EXAMPLE.COM
Если нет, используйте kinit user @ REALM из командной строки для аутентификации. НАСТОЯЩИМ будет доменное имя AD. Когда он был основан на MIT Kerberos, реализация Apple Kerberos автоматически открывала панель GUI, когда программе требовался Kerberos, а пользователь не проходил аутентификацию; к сожалению, когда они переключились на Heimdal, они пропустили эту замечательную функцию, и теперь вам нужно сделать это вручную.
Вам также может понадобиться другая конфигурация, чтобы заставить это работать в зависимости от среды, но это требуется в любом случае, и это, и все остальное может просто работать, если все настроено удобно (например, KDC обнаруживаются через DNS, Интернет Имя участника сервера определяется по его DNS-имени с правилами по умолчанию и т. д.). Если нет, я могу помочь вам понять, что еще нужно сделать.