Não sei ao certo como isso funciona com as versões mais recentes do servidor do OS X, mas pelo menos até 10.6 isso estava correto. Eles estavam usando um servidor de senhas especial que tinha um banco de dados criptografado de senhas em vários formatos de hash que podiam ser consultados por todos os tipos de serviços (alguns deles especificamente modificados para isso, por exemplo, servidor Samba da Apple), mas era impossível obter as senhas fora disso, por exemplo para migrar para um servidor OpenLDAP "padrão".
Até onde eu sei, eles apenas diminuíram muito o servidor OS X em versões posteriores, mas a estrutura essencial permaneceu a mesma.
Eu não posso dizer nada sobre isso que possa estar relacionado ao GADS.