<html>

        <head>

                <meta http-equiv="content-type" content="text/html; charset=utf-8" />

        </head>

        <body dir="auto">

                <div>Hi Markus Moeller,<br /><br /><br />Hi Markus,<br /><br />Yeah, I'm currently using that option and permissions are correct too. </div>

                                <div><br />

On 27 Oct 2014 19:47, Markus Moeller wrote:

<br /><br /></div>

                <blockquote type="cite">

                        <div>

                                <body dir="ltr">

<div dir="ltr">

<div style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">

<div>Hi Pedro,</div>

<div> </div>

<div>  Did you try the –s GSS_C_NO_NAME option ?</div>

<div> </div>

<div>Markus</div>

<div> </div>

<div style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<div style="FONT-SIZE: small; FONT-FAMILY: 'Calibri'; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; TEXT-DECORATION: none; DISPLAY: inline">

<div>"Pedro Lobo" <palobo@gmail.com> wrote in message

news:94F74226-F24B-4910-95B7-B86ACE815995@gmail.com...</div>

</div>

</div>

<div style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<div style="FONT-SIZE: small; FONT-FAMILY: 'Calibri'; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; TEXT-DECORATION: none; DISPLAY: inline">

<div class="markdown">

<p>Hey Everybody,</p>

<p>Seems as though I celebrated too soon on Saturday. Today things

are back to not working for Windows 7+ machines and XP/2003

machines are working just fine.</p>

<p>I've also checked the permissions on the keytab file and they

haven't changed since Saturday, so it's not that... ARGH!!!!</p>

<p>Craving ideas and solutions right now... Pilot users are less

than satisfied ;)</p>

<p>Cheers,<br/>

Pedro</p>

<p>On 25 Oct 2014, at 14:13, Markus Moeller wrote:</p>

<blockquote>

<p>Hi Pedro,</p>

<p>I wonder if he upper case in the name is a problem. Can you

try</p>

<p>auth_param negotiate program

/usr/lib/squid3/negotiate_kerberos_auth -d -r -s GSS_C_NO_NAME</p>

<p>instead of</p>

<p>auth_param negotiate program

/usr/lib/squid3/negotiate_kerberos_auth -d -r -s

HTTP/proxy01tst.fake.net</p>

<p>Markus</p>

<p>"Pedro Lobo" <a href="mailto:palobo@gmail.com">palobo@gmail.com</a> wrote in message

news:FD6832B9-3F1F-48C6-A76F-47A224F1697B@gmail.com...<br/>

Hi Markus,</p>

<p>I used msktutil to create the keytab.</p>

<p>msktutil -c -s HTTP/proxy01tst.fake.net -h proxy01tst.fake.net

-k /etc/squid3/PROXY.keytab --computer-name proxy01-tst --upn

HTTP/proxy01tst.fake.net --server srv01.fake.net --verbose<br/>

Output of klist -ekt:</p>

<p>2 10/24/2014 22:59:50 proxy01-tst$@FAKE.NET (arcfour-hmac)<br/>

2 10/24/2014 22:59:50 proxy01-tst$@FAKE.NET

(aes128-cts-hmac-sha1-96)<br/>

2 10/24/2014 22:59:50 proxy01-tst$@FAKE.NET

(aes256-cts-hmac-sha1-96)<br/>

2 10/24/2014 22:59:50 HTTP/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(arcfour-hmac)<br/>

2 10/24/2014 22:59:50 HTTP/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(aes128-cts-hmac-sha1-96)<br/>

2 10/24/2014 22:59:50 HTTP/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(aes256-cts-hmac-sha1-96)<br/>

2 10/24/2014 22:59:50 host/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(arcfour-hmac)<br/>

2 10/24/2014 22:59:50 host/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(aes128-cts-hmac-sha1-96)<br/>

2 10/24/2014 22:59:50 host/<a href="mailto:proxy01tst.FAKE.net@FAKE.NET">proxy01tst.FAKE.net@FAKE.NET</a>

(aes256-cts-hmac-sha1-96)<br/>

Yep, using MIT Kerberos</p>

<p>Thanks in advance for any help.</p>

<p>Cheers,<br/>

Pedro</p>

<p>On 25 Oct 2014, at 1:26, Markus Moeller wrote:</p>

<p>Hi Pedro,</p>

<p>How did you create your keytab ? What does klist –ekt

<squid.keytab> show ( I assume you use MIT Kerberos) ?</p>

<p>Markus</p>

<p>"Pedro Lobo" <a href="mailto:palobo@gmail.com">palobo@gmail.com</a> wrote in message

news:40E1E0E7-50C6-4117-94AA-50B06573430A@gmail.com...<br/>

Hi Squid Gurus,</p>

<p>I'm at my wit's end and in dire need of some squid

expertise.</p>

<p>We've got a production environment with a couple of squid 2.7

servers using NTLM and basic authentication. Recently though, we

decided to upgrade and I'm now setting up squid 3.3 with Kerberos

and NTLM Fallback. I've followed just about every guide I could

find and in my testing environment, things were working great. Now

that I've hooked it up to the main domain, things are awry.</p>

<p>If I use a machine that's not part of the domain, NTLM kicks in

and I can surf the web fine. If I use a Windows XP or Windows

Server 2003, kerberos works just fine, however, if I use a machine

Windows 7, 8 or 2008 server, I keep getting a popup asking me to

authenticate and even then, it's and endless loop until it fails.

My cache.log is littered with:</p>

<p>negotiate_kerberos_auth.cc(200): pid=1607 :2014/10/24 23:03:01|

negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed:

Unspecified GSS failure. Minor code may provide more

information.<br/>

2014/10/24 23:03:01| ERROR: Negotiate Authentication validating

user. Error returned 'BH gss_accept_sec_context() failed:

Unspecified GSS failure. Minor code may provide more information.

'<br/>

The odd thing, is that this has worked before. Help me Obi Wan...

You're my only hope! :)</p>

<p>Current Setup<br/>

Squid 3.3 running on Ubuntu 14.04 server. It's connected to a 2003

server with function level 2000 (I know, we're trying to fase out

the older servers).</p>

<p>krb5.conf</p>

<p>[libdefaults]<br/>

default_realm = FAKE.NET<br/>

dns_lookup_kdc = yes<br/>

dns_lookup_realm = yes<br/>

ticket_lifetime = 24h<br/>

default_keytab_name = /etc/squid3/PROXY.keytab</p>

<p>; for Windows 2003<br/>

default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5<br/>

default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5<br/>

permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5</p>

<p>[realms]<br/>

FAKE.NET = {<br/>

kdc = srv01.fake.net<br/>

kdc = srv02.fake.net<br/>

kdc = srv03.fake.net<br/>

admin_server = srv01.fake.net<br/>

default_domain = fake.net<br/>

}</p>

<p>[domain_realm]<br/>

.fake.net = FAKE.NET<br/>

fake.net = FAKE.NET</p>

<p>[logging]<br/>

kdc = FILE:/var/log/kdc.log<br/>

admin_server = FILE:/var/log/kadmin.log<br/>

default = FILE:/var/log/krb5lib.log<br/>

squid.conf</p>

<p>auth_param negotiate program

/usr/lib/squid3/negotiate_kerberos_auth -d -r -s

HTTP/proxy01tst.fake.net<br/>

auth_param negotiate children 20 startup=0 idle=1<br/>

auth_param negotiate keep_alive off</p>

<p>auth_param ntlm program /usr/bin/ntlm_auth --diagnostics

--helper-protocol=squid-2.5-ntlmssp --domain=FAKE.NET<br/>

auth_param ntlm children 10<br/>

auth_param ntlm keep_alive off<br/>

Cheers,<br/>

Pedro</p>

<p>Cumprimentos<br/>

Pedro Lobo<br/>

Solutions Architect | System Engineer</p>

<p><a href="mailto:pedro.lobo@pt.clara.net">pedro.lobo@pt.clara.net</a><br/>

Tlm.: +351 939 528 827 | Tel.: +351 214 127 314</p>

<p>Claranet Portugal<br/>

Ed. Parque Expo<br/>

Av. D. João II, 1.07-2.1, 4º Piso<br/>

1998-014 Lisboa<br/>

<a href="http://www.claranet.pt">www.claranet.pt</a></p>

<p>Empresa certificada ISO 9001, ISO 20000 e ISO 27001</p>

<hr/>

<hr/>

<p>squid-users mailing list<br/>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br/>

<a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></p>

<hr/>

<p>squid-users mailing list<br/>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br/>

<a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></p>

<p>Cumprimentos<br/>

Pedro Lobo<br/>

Solutions Architect | System Engineer</p>

<p><a href="mailto:pedro.lobo@pt.clara.net">pedro.lobo@pt.clara.net</a><br/>

Tlm.: +351 939 528 827 | Tel.: +351 214 127 314</p>

<p>Claranet Portugal<br/>

Ed. Parque Expo<br/>

Av. D. João II, 1.07-2.1, 4º Piso<br/>

1998-014 Lisboa<br/>

<a href="http://www.claranet.pt">www.claranet.pt</a></p>

<p>Empresa certificada ISO 9001, ISO 20000 e ISO 27001</p>

<hr/>

<hr/>

<p>squid-users mailing list<br/>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br/>

<a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></p>

<hr/>

<p>squid-users mailing list<br/>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br/>

<a href="http://lists.squid-cache.org/listinfo/squid-users">http://lists.squid-cache.org/listinfo/squid-users</a></p>

</blockquote>

</div>

<p/>

<hr/>

_______________________________________________<br/>

squid-users mailing list<br/>

squid-users@lists.squid-cache.org<br/>

http://lists.squid-cache.org/listinfo/squid-users<br/></div>

</div>

</div>

</div>

</body>

                        </div>

                </blockquote>

        </body>

</html>