Acontece que o comando net tem uma opção para usar o keytab do kerberos, só tive que ler as man pages melhor do que eu tinha anteriormente. Veja o que funcionou para mim:
no controlador de domínio
ktpass princ host/test.ad.domain.net@AD.DOMAIN.NET mapuser AD\Administrator -pass * out test.keytab
no computador fazendo a junção
kinit -k -t /tmp/test.keytab
net ads join -k