O Kerberos é destinado a autenticação , ou seja, provar quem é alguém. Não se destina a autorização , ou seja, descobrir o que alguém deve ser autorizado a fazer. Você precisará usar outra coisa. Parafraseando, o aplicativo deve dizer "Sim, eu acredito que você é quem você diz que é, mas você não pode acessar o que está tentando acessar".
Para sshd
AllowGroups
é uma boa escolha. Para aplicativos que permitem o uso de filtros LDAP, eles seriam ideais. Tudo depende dos recursos de autorização do aplicativo em questão.