Descobri que especificar "-O maxssf = 0" na linha de comando do ldapsearch é necessário para que as pesquisas do GSSAPI AD funcionem corretamente. O comando a seguir funciona para eu pesquisar o catálogo global do AD por meio de uma conexão SSL:
ldapsearch -LLL -O maxssf=0 -Y GSSAPI -H ldaps://ad.realm.local:3269 -b "dc=realm,dc=local" '(sAMAccountName=userid)'
Além disso, para que a autenticação do Kerberos funcione com o ldapsearch, o DNS deve estar configurado adequadamente para pesquisas de IP reverso. Caso contrário, você receberá um erro "não é possível determinar o domínio para o endereço numérico do host". Se necessário, você pode colocar o IP e o nome do host do seu servidor do AD em seu arquivo hosts para que ele funcione.