Não é possível consultar o AD usando o Kerberos do host Linux

Descobri que especificar "-O maxssf = 0" na linha de comando do ldapsearch é necessário para que as pesquisas do GSSAPI AD funcionem corretamente. O comando a seguir funciona para eu pesquisar o catálogo global do AD por meio de uma conexão SSL:

ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)'

Além disso, para que a autenticação do Kerberos funcione com o ldapsearch, o DNS deve estar configurado adequadamente para pesquisas de IP reverso. Caso contrário, você receberá um erro "não é possível determinar o domínio para o endereço numérico do host". Se necessário, você pode colocar o IP e o nome do host do seu servidor do AD em seu arquivo hosts para que ele funcione.

Na ldapsearch(1) página de manual:

-Y mech
Specify the SASL mechanism to be used for authentication. If it's not specified, the program will choose the best mechanism the server knows. 

Por exemplo:

ldapsearch -Y GSSAPI -b "dc=example,dc=com" uid=user

Assumindo que seu /etc/gssapi_mech.conf é parecido com:

# grep -v ^# /etc/gssapi_mech.conf
libgssapi_krb5.so.2             mechglue_internal_krb5_init