Eu sei que essa é uma pergunta antiga, mas parece que nunca foi respondida, então, para a posteridade, a resposta é que 'setcap' precisa ser aplicado ao binário Java.
setcap 'cap_net_bind_service=+ep' /usr/lib/jvm/jre-1.7.0-openjdk.x86_64/bin/java
Isso parece ter feito o truque para mim, e meu ApacheDS agora está sendo executado nas portas de serviço padrão.