I Mac OS X Lion Server, katalogtjenester også gi godkjenning som tillater brukere å få tilgang til andre tjenester. Den vanlige godkjennings stamnett av mange utbredte kataloger er Lightweight Directory Access Protocol (LDAP) og Kerberos. Disse to teknologiene er bygget inn i Apples Open Directory og Microsoft Active Directory. Beskrivelsene her bare skraper i overflaten av LDAP og Kerberos.

Selv om katalogtjenester forenkle brukerautentisering via passord, passordene er ikke vanligvis lagret i kataloger. Det er fordi alle som har tilgang til katalogen kan vanligvis bla orientering. I Mac OS X Server, kan passord lagres enten i Open Directory Passord Server-database eller i en Kerberos riket, som er en form for å holde plassen. Når autentisering, Open Directory sjekker med Kerberos riket først.

I Mac OS X Server, Open Directory aldri leser passord. Hver konto passord er lagret som kryptert verdi som kalles en skygge hash
for hver bruker. Når brukeren sender et passord for autentisering, Open Directory kjører den gjennom hasj og sammenligner verdiene av hashes. Hvis de stemmer overens, blir brukeren autentisert. Open Directory leser ikke selve passord.

Når autentisering av en bruker, sjekker Open Directory brukerkontoen er lagret i telefonboken for å bestemme om du vil bruke Kerberos-autentisering, passord Server, eller andre støttede metoder. Du kan endre denne innstillingen for en brukerkonto i Workgroup Manager. En brukerkonto kan også angi både Kerberos og passord Server. I dette tilfellet vil Open Directory prøve Kerberos først.