Да делается это довольно просто, но чистым PHP не обойдется, разово придется настроить браузер на компе пользователя, у меня это делается через групповые политики. Сайт должен быть добавлен в доверительную зону, после чего при заходе на такой сайт, севрер говорит браузеру что надо авторизоваться черед kerberos, браузер авторизируется и отсылает серверу спецальный токен, сервер на основании этого токена идет в AD и проверяет его валидность, если он валидный то в ответ получает имя пользователя, а дальше уже чисты LDAP, так же при правильно настроеном браузере в параметрах передаваемых браузеру может быть переменная REMOTE_USER в которой будет имя пользователя авторизованого через прозрачную авторизацию. Описал я это очень грубо и поверхностно, сам реализовывал я это на perl, но думаю что на php мало чем отличается.