Acontece que o comando net tem uma opção para usar o keytab do kerberos, só tive que ler as man pages melhor do que eu tinha anteriormente. Veja o que funcionou para mim:
no controlador de domínio
ktpass princ host/[email protected] mapuser AD\Administrator -pass * out test.keytab
no computador fazendo a junção
kinit -k -t /tmp/test.keytab
net ads join -k