>[оверквотинг удален]
>Kerberos 4 ticket cache: /tmp/tkt0
>klist: You have no tickets cached
>
>
>
>Могу предположить из сообщения об ошибке, что kinit передает keytab файл на
>сервер, но при этом сервер его не принимает, но ведь только
>что он мне его выдал.
>
>Подскажите пожалуйста в чем ошибка.

заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся' в конце слова, постоянно возникают какие-то проблемы

>заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся'
>в конце слова, постоянно возникают какие-то проблемы

Нужно проще к этому относитьься.

>[оверквотинг удален]
>>
>>
>>Могу предположить из сообщения об ошибке, что kinit передает keytab файл на
>>сервер, но при этом сервер его не принимает, но ведь только
>>что он мне его выдал.
>>
>>Подскажите пожалуйста в чем ошибка.
>
>заметил, что у людей, ставящих лишние мягкие знаки после 'т' перед 'ся'
>в конце слова, постоянно возникают какие-то проблемы

а по сабжу ? - ноль ;)

имею туже проблему при генерации кейтаба на контроллер домена win 2008.
Генерация ktpass буквально  той де командой, только своими доменами и реалмами
Точно так же на Linux kinit Дает  
kinit(v5): Key table entry not found while getting initial credentials

>имею туже проблему при генерации кейтаба на контроллер домена win 2008.
>Генерация ktpass буквально  той де командой, только своими доменами и реалмами
>
>Точно так же на Linux kinit Дает
>kinit(v5): Key table entry not found while getting initial credentials

да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы

>имею туже проблему при генерации кейтаба на контроллер домена win 2008.
>Генерация ktpass буквально  той де командой, только своими доменами и реалмами
>
>Точно так же на Linux kinit Дает
>kinit(v5): Key table entry not found while getting initial credentials

да вот мучаюсь, перебираю до сих пор, надеюсь хватит сил отписаться ;) по решению траблы

!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111

ура, правда не знаю, что будет потом ;)

вообщем решение:

суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего

описываю что я сделал:

новая система debian netinst 5.0.6

cat /etc/resolv.conf

search tc.local
nameserver 192.168.0.250

#192.168.0.250 - pdc моего домена (w2k8 sp1)
устанавливаем

aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a})

этого оказалось достаточно, для работы аутентификации

далее в процессе настройки пакета dpkg спросил у меня
Default Kerberos version 5 realm, я ввел TC.LOCAL

и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL

далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3

а делал я его так:

c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A
ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc
Targeting domain controller: PDC.tc.local
Using legacy password setting method
Successfully mapped HTTP/proxy.tc.local to userlink_proxy.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to proxy.tc.local.keytab.pdc:
Keytab version: 0x502
keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0
x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301
c83eaecda54bc164eb)

я скопировал и зашел в нее

далее делаю попытку аутентификации с использованием этого кейтаба:

cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local

и получаю

Authenticated to Kerberos v5

проверяем что вывод klist:

proxy:/etc/squid3# klist 
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/proxy.tc.local@TC.LOCAL
Valid starting     Expires            Service principal
09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
        renew until 09/24/10 15:46:12

Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached

далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied

хелпер squid_ldap_group - работает верно
а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.

как только так сразу отпишусь

>[оверквотинг удален]
> 09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
>         renew until 09/24/10 15:46:12
> Kerberos 4 ticket cache: /tmp/tkt0
> klist: You have no tickets cached
>
> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
> squid всем пользователем выдает Cache Access Denied
> хелпер squid_ldap_group - работает верно
> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
> как только так сразу отпишусь

получилось решит? У меня в cache.log такие записи
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw==' from squid (length: 59).
2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token

>[оверквотинг удален]
>> как только так сразу отпишусь
> получилось решит? У меня в cache.log такие записи
> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
> from squid (length: 59).
> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
> from squid (length: 59).
> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token

в студию

date && net ads info && ls -l /etc/krb5.keytab && net ads keytab list

kinit usernameofdomain работает?

>[оверквотинг удален]
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
>> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
>> from squid (length: 59).
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> в студию
> date && net ads info && ls -l /etc/krb5.keytab && net ads
> keytab list
> kinit usernameofdomain работает?

# указываем spn, если он у кейтаба не HTTP/fqdn@DEFAULT_REALM
#auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i -s host/krbproxy.tc.local@TC.LOCAL

auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -i
auth_param negotiate children 10
auth_param negotiate keep_alive on

#auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "sAMAccountName=%s" tc.local
auth_param basic program /usr/lib/squid3/squid_ldap_auth -b "dc=tc,dc=local" -R -D "ssa@tc.local" -w "password" -f "(&(userPrincipalName=%s)(objectClass=Person))" tc.local
auth_param basic children 3
auth_param basic realm TC.LOCAL
auth_param basic credentialsttl 2 hours
auth_param basic casesensitive off

#auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic
#auth_param basic children 3
#auth_param basic realm TC.LOCAL
#auth_param basic credentialsttl 2 hours
#auth_param basic casesensitive off

#auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm keep_alive on
#auth_param ntlm children 15

#external_acl_type nt_group %LOGIN /usr/lib/squid3/wbinfo_group.pl

external_acl_type nt_group ttl=1200 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=tc,dc=local" -D "ssa@tc.local" -w "password" -f "(&(objectCategory=user)(userPrincipalName=%v)(memberOf=CN=$

Отпишись по результатам, у меня все работает, самому интересно как рещил эту проблему

В логах у меня щас так:

2011/11/03 11:43:33| squid_kerb_auth: DEBUG: Decode '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' (decoded length: 1323).
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWhqPFToFSBoZaPSOP9BHpMI+w14iyRSxgmhD1nBWVYw0LOdueA5hDBcKnzFskyRD2bRdvb6dhMagK2x7k8CkuOJzygcMw4aDiMmqkZsOwtctF6F9/fPnQL7+2Q== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWtq19G7F3ouoGWu0FD++98HPJymp3saTvd4U8/TsxLsJ9Q2MDZufTXAklT1eaU3ZHyX6CDXk6hV0VoMsbcM558T3/eXetrI6h+Eq0+SSKbi4haRz9VMXg/GVaQ== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWgyU756beuYHUReDEbB0bhplS5jA8IBbyaPHJiAQmVxsKksr9mNow5Ox1CSVgR3qO8O4RNEQBmtHzr3SeBCy3QpkY1Z+eqOzAmJVkxPW8i5p4p56kpvKCMdUaQ== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated
2011/11/03 11:43:33| squid_kerb_auth: DEBUG: AF oYGgMIGdoAMKAQChCwYJKoZIgvcSAQICooGIBIGFYIGCBgkqhkiG9xIBAgICAG9zMHGgAwIBBaEDAgEPomUwY6ADAgEXolwEWu7LtTfHRj3iZ/W5+22tSF+BvSY9i4xao5hdLKu8fjf41tMu+//5/Ol0w/0wNjniA7KvvtuhdCDtrIA6Yjt4NMxjHURoShnAPePeEB6DrN3nTpH8tOk/Cd3+gw== leontev@TC.LOCAL
2011/11/03 11:43:33| squid_kerb_auth: INFO: User leontev@TC.LOCAL authenticated

>[оверквотинг удален]
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
>> 2011/11/03 09:26:32| squid_kerb_auth: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAGAHIXAAAADw=='
>> from squid (length: 59).
>> 2011/11/03 09:26:32| squid_kerb_auth: parseNegTokenInit failed with rc=101
>> 2011/11/03 09:26:32| squid_kerb_auth: received type 1 NTLM token
> в студию
> date && net ads info && ls -l /etc/krb5.keytab && net ads
> keytab list
> kinit usernameofdomain работает?

proxy ~ # date
Thu Nov  3 14:26:07

proxy ~ # net ads info
LDAP server: 192.168.11.3
LDAP server name: dc1.babilon.local
Realm: BABILON.LOCAL
Bind Path: dc=BABILON,dc=LOCAL
LDAP port: 389
Server time: Thu, 03 Nov 2011 14:26:21
KDC server: 192.168.11.3
Server time offset: -1

proxy ~ #  ls -l /etc/squid/proxy.babilon.local.keytab
-r-xr-xr-x 1 squid squid 95 Nov  2 22:03 /etc/squid/proxy.babilon.local.keytab

proxy ~ # net ads keytab list

Warning: "kerberos method" must be set to a keytab method to use keytab functions.

proxy ~ # kinit superadmin
Password for superadmin@BABILON.LOCAL:
proxy ~ # klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: superadmin@BABILON.LOCAL

Valid starting     Expires            Service principal
11/03/11 14:28:33  11/04/11 00:28:36  krbtgt/BABILON.LOCAL@BABILON.LOCAL
        renew until 11/04/11 14:28:33

Почему то не работает
proxy ~ # net time
Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME
proxy ~ # net time set
Can't contact server (null). Error NT_STATUS_BAD_NETWORK_NAME

auth_param negotiate program /usr/libexec/squid/squid_kerb_auth -d -i -s HTTP/proxy.babilon.local@BABILON.LOCAL
auth_param negotiate children 5
auth_param negotiate keep_alive on

acl AUTHENTICATED proxy_auth REQUIRED

http_access allow AUTHENTICATED localnet

nano /etc/krb5.conf
[libdefaults]
        default_realm = BABILON.LOCAL
        dns_lookup_realm = false
        dns_lookup_kdc = false
        ticket_lifetime = 24h
        forwardable = yes

[realms]
# use "kdc = ..." if realm admins haven't put SRV records into DNS
        BABILON.LOCAL = {
                kdc = dc1.babilon.local:88
                admin_server = dc1.babilon.local:749
                default_domain = BABILON.LOCAL

        }

[domain_realm]
        .babilon.local = BABILON.LOCAL
        babilon.local = BABILON.LOCAL

[logging]

default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[appdefaults]
pam = {
   debug = false
   ticket_lifetime = 36000
   renew_lifetime = 36000
   forwardable = true
   krb4_convert = false
}

Потом ты у себя куда прикрутил keytab выданный контроллером ?  

> Потом ты у себя куда прикрутил keytab выданный контроллером ?

А я его ни куда не крутил, он сам прикрутился глвное не забыть потом сделать

net ads keytab create HTTP

вообщем пот конциг самбы, обрати внимаение на kerberos method!

и заново перевведи в домен т.е. выведи введи

кстати по этой команде у меня часто ругался, а иногда и отлично без ругани проходило все

[global]
    # по умолчанию 0, нагружает систему и снижает скорость копирования/записи
        # для отладки, можно использовать 5
    #log level = 5
        security = ADS
        netbios name = UNLIM
    # лучше оставлять пустым, иначе в сетевом окружении будет показан как netbios name (server string)
    server string = 
    # рабочая группа. если домен, то его краткое имя
        workgroup = TC
    
    # полное имя домена
        realm = TC.LOCAL
    # обязательно, иначе будет выдавать ошибку что не может найти DOMAIN_CONTROLLER при выполнении присоединения к домену (net ads join)
    # error code was NT_STATUS_DOMAIN_CONTROLLER_NOT_FOUND (0xc0000233)
    # видимо не находит он wins сервера и соответсвенно не разрешает имена
    # указываем IP адреса контроллеров домена
    wins server = 192.168.0.250 192.168.0.251 192.168.0.252
    
    # лучше отключать, из-за излишнего широковещательного трафика и войны обозревателей в сети.
    # отключаем полность т.к. неправильная настройка samba может вызвать проблемы с сетевым окружением
    preferred master = no
    # использовать системный keytab файл /etc/krb5.keytab для хранения ключей kerberos, вместо базы secrets.tdb
    # эти ключи получает команда net ads join от сервера kerberos и сохраняет локально в недоступном для всех месте
    kerberos method = system keytab
    # переопределяет сервера в /etc/krb5.conf
    # можно указывать несколько через пробел
    # имеет смысл (используется) если указан параметр use kerberos keytab
    # ОТКЛЮЧИМ И ПРОВЕРИМ РАБОТАЕТ ЛИ АУТЕНТИФИКАЦИЯ
    # будет автоматически искать контроллеры домена для указанной realm, * - означает выбирать все из найденных.
    password server = *

    # все пользователи и группы должны иметь числовой идентификатор (uid, gid)
    # параметр ниже указывают демону winbind и его библиотеке pam_winbind использовать идентификаторы из указанного ниже диапазона
    # диапазон отмапленых winbindd`ом uid пользователей        
    winbind uid = 10000-20000
    # диапазон отмапленых winbindd`ом gid групп
        winbind gid = 10000-20000

        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # для работы системного вызова getpwent и команд getent passwd, getent group
        # необходимо для нормального логина на текущий юникс сервер, где стоит эта samba
        #winbind enum users = yes
        #winbind enum groups = yes
        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # если включен:
        #        для успешной аутентификации через pam_winbind достаточно ввести короткое имя пользователя
        #        для успешной аутентификации через pam_krb5 необходимо и достаточно будет ввести короткое имя пользователя
        # если выключен:
        #        для успешной аутентификации через pam_winbind необходимо будет вводит полное имя пользователя с доменом, например tc\sysadmin
        #        успешная аутентификация через pam_krb5 невозможно, по причине того, что этот модуль принимает только короткое имя пользователя(принципала)
        #
        # если вы хотите использовать оба модуля вместе (по очереди), то он необходим.
        #winbind use default domain = yes
    
        # ВКЛЮЧАЕМ, ЕСЛИ ТРЕБУЕТСЯ ВХОДИТЬ НА СЕРВЕР С УЧЕТНЫМИ ЗАПИСЫМИ ДОМЕНА
        #
        # в случае если в параметрах пользователя остнастки Active Directory Computers & Users не задана оболочка по умолчанию для пользователя, то
        # после входа на сервер в текстовом режиме через login вы будете сразу же выброшены, т.к. завершится единственный поражденный вами процесс
        # для того, чтобы чтобы у всех пользователей из AD по умолчанию был стандартный shell будем использовать параметр
        #template shell = /bin/bash

    # обязательно для samba 3.5 и новее если локаль где установлена система по умолчанию UTF8
    # на случай, если LOCALE не задана или не правильно задана
    display charset = utf8
    
    # локаль по умолчанию ОС, где установлена samba
    unix charset = utf8        
    # важно для dos клиентов, для нормального отображения кириллических символов
        dos charset = 866
    
    # Это имя пользователя будет использоваться для доступа к сервисам, для которых задан guest ok = yes
    # При подключении(входе на сервер через сетевое окружение) к smbd не потребуется вводить пароль.
    guest account = nobody
    # ТЮНИНГ
    # TCP_NODELAY - read speed more faster (in 2x)
    socket options = TCP_NODELAY 
    # Выключаем подсистему печати
    load printers = no
    printing = bsd
    show add printer wizard = no
    printcap name = /dev/null
    disable spoolss = yes

при перезапуске сквида, командой klist что должно показывать может в этом проблема ??

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??

unlim:~# klist -kte /etc/krb5.keytab
Keytab name: WRFILE:/etc/krb5.keytab
KVNO Timestamp         Principal
---- ----------------- --------------------------------------------------------
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 host/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 host/unlim@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:51 UNLIM$@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:59 HTTP/unlim.tc.local@TC.LOCAL (ArcFour with HMAC/md5)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with CRC-32)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (DES cbc mode with RSA-MD5)
   2 10/31/11 13:23:59 HTTP/unlim@TC.LOCAL (ArcFour with HMAC/md5)

например, а вообще перезапуск сквида ни как с klist не связан.

связка ключей /etc/krb5.keytab нужна хелперу сквида для рассшифровки информации которую передает ему браузер о имени пользователя.

и она кстати самбой поидее время от времени может обновлятся. соответвенно для нормальной расшифровки нужно, чтобы версия кейтаба и ключей в нем соответсвовала тем ключам которые лежат в AD, наилучший способ этого достичь на мой взгляд использование kerberos method = system keytab

вывод и ввод в домен, проверка кейтаба.

поидее чтобы все работало нужно чтобы отрабатывала команда kinit -kt /etc/krb5.keytab ...

че то там, а вот че я уже забыл.

HTTP я уже писал как добавлять.

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??

ты хоть приблизительно пытался юзать мои конфиги ?

> при перезапуске сквида, командой klist что должно показывать может в этом проблема
> ??

выкинь у себя мысль из головы юзать кейтаб сгенереныый на винде.

там есть очень много нюансов, которые я щас не вспомню, но сделать правильный кейтаб по тому, что сейчас написано в инете я имею в виду статьи - архисложно

юзать самбу для этих целей

а кстати что у тебя выводит
wbinfo -u
wbinfo -g
wbinfo -t
wbinfo -p
wbinfo ...

файл hosts еще выложи

> файл hosts еще выложи

127.0.0.1       proxy.babilon.local proxy localhost
217.11.x.x      proxy.babilon.local proxy localhost
#::1            proxy.babilon.local localhost
192.168.11.1    proxy.babilon.local proxy localhost
192.168.11.3    dc1.babilon.local dc1

Насчет Samba. Идея в том чтобы отказаться от Samba и Ntlm. Так что мне надо обойтись без самбы. Неужели не получиться?

тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа). Можешь написать по шагово с нуля. Я думаю не только я но и другие будут благодарны. Или скинь ссылку где все подробно описывается. Спасибо

> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
> Можешь написать по шагово с нуля. Я думаю не только я
> но и другие будут благодарны. Или скинь ссылку где все подробно
> описывается. Спасибо

могу выслать не доделанную инструкцию с двумя условиями ?

1. не будешь её публиковать ни где даже в измененном виде. она конечно еще сырая, но все таки многие вещи в ней разъесены

2. отпишися о результатах и будешь идти до конца! согласен ?

>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
>> Можешь написать по шагово с нуля. Я думаю не только я
>> но и другие будут благодарны. Или скинь ссылку где все подробно
>> описывается. Спасибо
> могу выслать не доделанную инструкцию с двумя условиями ?
> 1. не будешь её публиковать ни где даже в измененном виде. она
> конечно еще сырая, но все таки многие вещи в ней разъесены
> 2. отпишися о результатах и будешь идти до конца! согласен ?

Да согласен! Пути назад нет.

>>> тут я говоря совсем запутался((((. Согласен и на самбу для генерации ключа).
>>> Можешь написать по шагово с нуля. Я думаю не только я
>>> но и другие будут благодарны. Или скинь ссылку где все подробно
>>> описывается. Спасибо
>> могу выслать не доделанную инструкцию с двумя условиями ?
>> 1. не будешь её публиковать ни где даже в измененном виде. она
>> конечно еще сырая, но все таки многие вещи в ней разъесены
>> 2. отпишися о результатах и будешь идти до конца! согласен ?
> Да согласен! Пути назад нет.

Ты тут ? Мне очень надо запустить эту схему.

>[оверквотинг удален]
> 09/23/10 15:46:12  09/24/10 01:45:54  krbtgt/TC.LOCAL@TC.LOCAL
>         renew until 09/24/10 15:46:12
> Kerberos 4 ticket cache: /tmp/tkt0
> klist: You have no tickets cached
>
> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
> squid всем пользователем выдает Cache Access Denied
> хелпер squid_ldap_group - работает верно
> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
> как только так сразу отпишусь

Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля все работает, даже без установки с чистой системы!!! Спасибо!)))

>[оверквотинг удален]
>> Kerberos 4 ticket cache: /tmp/tkt0
>> klist: You have no tickets cached
>>
>> далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом
>> squid всем пользователем выдает Cache Access Denied
>> хелпер squid_ldap_group - работает верно
>> а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
>> как только так сразу отпишусь
> Вся фишка была в способе шифрования. Вместо MD5 подставляешь AES и воля
> все работает, даже без установки с чистой системы!!! Спасибо!)))

такая же ошибка, можно чуть подробнее где подставлять???
Заранее благодарен!

Я уже неделю ломаю мозг, безуспешно пытаясь прикрутить Squid с Kerberos авторизацией к домену Windows 2003 SP2.
Уже тремя способами пробовал делать keytab, а при проверке одно и то же:
>kinit: Client not found in Kerberos database while getting initial credentials

или
>kinit: Generic preauthentication failure while getting initial credentials

Создается впечатление, что проблема в самом контроллере домена.
Изначально настраивал всё на Ubuntu Server 8.04 LTS, потом поставил на виртуалку 12.04 LTS - та же фигня.
Сейчас попробую поднять Squid вообще в другой сети, где тоже AD на 2003 винде.
Если не поможет, попробую поднять на вируалках новый домен уже на Windows 2008 и потестить там...

Подскажите, какие дампы можно снять или может логи включить, чтобы понять что именно не нравится AD при проверке Keytab?

>>kinit: Client not found in Kerberos database while getting initial credentials
> или
>>kinit: Generic preauthentication failure while getting initial credentials

Аналогичная проблема, Вам удалось её как-нибудь решить?

>>>kinit: Client not found in Kerberos database while getting initial credentials
>> или
>>>kinit: Generic preauthentication failure while getting initial credentials
> Аналогичная проблема, Вам удалось её как-нибудь решить?

Аналогичная проблема тоже

Попробую закрыть тему и помочь тем, кто натыкается на нее с помощью гугла.
Проблема с keytab-файлами описана здесь:
https://bugzilla.redhat.com/show_bug.cgi?id=748528

Причина проблем - методы шифрования.
Решается путем добавления в конфиг krb5.conf

default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

Мне помогло.