Você tem o pam-krb5 configurado para permitir logins? Nesse caso, uma vez que um usuário é autenticado, ele deve ter um Kerberos TGT; se você configurar o servidor LDAP adequadamente, o TGT deve ser suficiente para que eles executem uma ligação autenticada.
Se não for o caso de os usuários receberem TGTs automaticamente quando fizerem login, investigue o pam-krb5 para que a parte funcione.