Может ли Windows аутентифицироваться против ApacheDS?

не вынимать их из коробки. Вы можете установить MIT kerberos клиент для Windows и запустить kinit на KDC, а также, возможно, сопоставить пользователя локальной рабочей станции с kerberos принципалом в базе данных apache-ds, но он находится не в AD (это то, что ожидает родной клиент kerberos для Windows).

Если вы хотите использовать kerberos в Windows клиентах, вам действительно нужно использовать их реализацию (хотя вам может сойти с рук Samba 4).

Кстати, аутентификация Windows host'ов против этого (я полагаю, что это не то, что вы имели в виду, но это, строго говоря, то, о чем вы спрашиваете), я думаю, что это не возможно. Вы можете керберировать запущенные в них сервисы (такие как apache, например), присоединение машин к керберосу будет невозможно.