
<HTML><HEAD></HEAD>

<BODY dir=ltr>

<DIV dir=ltr>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">

<DIV>

<DIV 

style="FONT-FAMILY: ; COLOR: ; TEXT-DECORATION: ; DISPLAY: inline"></DIV> </DIV>

<DIV>Hi Olivier,</DIV>

<DIV> </DIV>

<DIV>  I think on some of your newer clients you have an issue with 

Negotiate and NTLM fallback. If I look at </DIV>

<DIV> </DIV>

<DIV><A 

href="https://msdn.microsoft.com/en-us/library/ff468736.aspx">https://msdn.microsoft.com/en-us/library/ff468736.aspx</A> 

I see this  <A 

href="https://i-msdn.sec.s-msft.com/dynimg/IC426444.gif">https://i-msdn.sec.s-msft.com/dynimg/IC426444.gif</A> 

</DIV>

<DIV> </DIV>

<DIV>If I interpret this correctly the client will try NegoEx after failing with 

Kerberos and before trying NTLM.  If on the client NegoEx is successful 

then NTLM will not be attempted.  And I think that is the case here.  

Do you know if NegoEx is used on the client ?  </DIV>

<DIV> </DIV>

<DIV> </DIV>

<DIV>Does anybody else know about NegoEx ?</DIV>

<DIV> </DIV>

<DIV>Markus</DIV>

<DIV> </DIV>

<DIV> </DIV>

<DIV>

<DIV 

style="FONT-SIZE: small; FONT-FAMILY: 'Calibri'; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; TEXT-DECORATION: none; DISPLAY: inline"></DIV>

<DIV 

style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<DIV dir=ltr>

<DIV style="FONT-SIZE: 12pt; FONT-FAMILY: 'Calibri'; COLOR: #000000">

<DIV>

<DIV 

style="FONT-FAMILY: ; COLOR: ; TEXT-DECORATION: ; DISPLAY: inline"> </DIV>

<DIV style="FONT-FAMILY: ; LINE-HEIGHT: normal">

<DIV style="BACKGROUND: #f5f5f5">

<DIV style="font-color: black"><FONT face=Tahoma><B><FONT 

style="FONT-SIZE: 10pt">From:</FONT></B><FONT style="FONT-SIZE: 10pt"> 

</FONT></FONT><FONT style="FONT-SIZE: 10pt"><A title=o.calvano@gmail.com 

href="mailto:o.calvano@gmail.com"><FONT face=Tahoma>Olivier 

CALVANO</FONT></A></FONT><FONT face=Tahoma><FONT style="FONT-SIZE: 10pt"> 

</FONT></FONT></DIV>

<DIV><FONT face=Tahoma><B><FONT style="FONT-SIZE: 10pt">Sent:</FONT></B><FONT 

style="FONT-SIZE: 10pt"> Tuesday, November 03, 2015 9:22 AM</FONT></FONT></DIV>

<DIV><FONT face=Tahoma><B><FONT style="FONT-SIZE: 10pt">To:</FONT></B><FONT 

style="FONT-SIZE: 10pt"> </FONT></FONT><FONT style="FONT-SIZE: 10pt"><A 

title=huaraz@moeller.plus.com href="mailto:huaraz@moeller.plus.com"><FONT 

face=Tahoma>Markus Moeller</FONT></A></FONT><FONT face=Tahoma><FONT 

style="FONT-SIZE: 10pt"> </FONT></FONT></DIV>

<DIV><FONT face=Tahoma><B><FONT style="FONT-SIZE: 10pt">Subject:</FONT></B><FONT 

style="FONT-SIZE: 10pt"> Re: [squid-users] Squit with NTLM and Kerberos auth 

=> a error</FONT></FONT></DIV></DIV></DIV>

<DIV> </DIV></DIV>

<DIV style="FONT-FAMILY: ; COLOR: ; TEXT-DECORATION: ; DISPLAY: inline">

<DIV dir=ltr>that's said that squid can by used with Windows AD 

?<BR><BR><BR></DIV>

<DIV class=gmail_extra>

<DIV> </DIV>

<DIV class=gmail_quote>2015-11-02 22:46 GMT+01:00 Markus Moeller <SPAN 

dir=ltr><<A href="mailto:huaraz@moeller.plus.com" 

target=_blank>huaraz@moeller.plus.com</A>></SPAN>:<BR>

<BLOCKQUOTE class=gmail_quote 

style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">

  <DIV dir=ltr>

  <DIV dir=ltr>

  <DIV style="FONT-FAMILY: ; COLOR: ">

  <DIV> </DIV>

  <DIV>Hi Olivier,</DIV>

  <DIV> </DIV>

  <DIV>If I decode a token I see</DIV>

  <DIV> </DIV>

  <DIV>/base64> hexdump -c base64_dec.out</DIV>

  <DIV>0000000   ` 201 236 006 006   + 006 001 005 005 002 

  240 201 223   0 201</DIV>

  <DIV>0000010 220 240 032   0 030 006  \n   + 006 001 

  004 001 202   7 002 002</DIV>

  <DIV>0000020 036 006  \n   + 006 001 004 001 202   7 

  002 002  \n 242   r 004</DIV>

  <DIV>0000030   p   N   E   

  G   O   E   X   T   S  

  \0  \0  \0  \0  \0  \0  \0</DIV>

  <DIV>0000040  \0   `  \0  \0  \0   

  p  \0  \0  \0 020 366   L   3   

  & 023 256</DIV>

  <DIV>0000050   O 271 216   4 305  \f 200   

  !  \t 034 340   # 327 322 177   _</DIV>

  <DIV>0000060 211 202   > 254   {   g 234 325 

  225 001 022 225  \f 323 276   A</DIV>

  <DIV>0000070 206 024   6 367   ;   .  

  \0   C 273  \0  \0  \0  \0  \0  

  \0  \0</DIV>

  <DIV>0000080  \0   `  \0  \0  \0 001  

  \0  \0  \0  \0  \0  \0  \0  \0  

  \0  \0</DIV>

  <DIV>0000090  \0   E   r   |   

  2   2   E 213   H 277 331   

  *   k 240   ^ 244</DIV>

  <DIV>00000a0  \n</DIV>

  <DIV>00000a1</DIV>

  <DIV> </DIV>

  <DIV>It says NEGOEXTS  which points me to <A 

  title=https://technet.microsoft.com/en-us/library/dd560645%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 

  href="https://technet.microsoft.com/en-us/library/dd560645%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396" 

  target=_blank>https://technet.microsoft.com/en-us/library/dd560645%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396</A> </DIV>

  <P>That is not supported.</P><SPAN>

  <DIV>Markus</DIV>

  <DIV> </DIV>

  <DIV> </DIV>

  <DIV 

  style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

  <DIV style="FONT-FAMILY: ; COLOR: ; TEXT-DECORATION: ; DISPLAY: inline">

  <DIV>"Olivier CALVANO" <<A href="mailto:o.calvano@gmail.com" 

  target=_blank>o.calvano@gmail.com</A>> wrote in message 

  news:CAJajPefqOygT5zsYW7fWszwRTTxN-r1Pd-U73XDfoNax9dLHkA@mail.gmail.com...</DIV></DIV></DIV></SPAN>

  <DIV 

  style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

  <DIV style="FONT-FAMILY: ; COLOR: ; TEXT-DECORATION: ; DISPLAY: inline">

  <DIV>

  <DIV class=h5>

  <DIV dir=ltr>

  <DIV>

  <DIV>

  <DIV>

  <DIV>

  <DIV>

  <DIV>Hi<BR><BR></DIV>i test a authentification AD with 

  Kerberos/Ntlm<BR><BR>### negotiate kerberos and ntlm 

  authentication<BR>auth_param negotiate program 

  /usr/local/bin/negotiate_wrapper --ntlm /usr/bin/ntlm_auth --diagnostics 

  --helper-protocol=squid-2.5-ntlmssp --kerberos 

  /usr/lib64/squid/squid_kerb_auth -d -s GSS_C_NO_NAME<BR>auth_param negotiate 

  children 160 startup=5 idle=1<BR>auth_param negotiate keep_alive on<BR><BR>## 

  Module d'authentification NTLM<BR>auth_param ntlm program /usr/bin/ntlm_auth 

  --diagnostics --helper-protocol=squid-2.5-ntlmssp<BR>auth_param ntlm children 

  160 startup=5 idle=1<BR>auth_param ntlm keep_alive on<BR><BR>## Si echec du 

  NTLM proposer la fenetre d'authentification<BR>auth_param basic program 

  /usr/bin/ntlm_auth --diagnostics 

  --helper-protocol=squid-2.5-basic<BR>auth_param basic children 40 startup=5 

  idle=1<BR>auth_param basic realm Company proxy-caching web 

  server<BR>auth_param basic credentialsttl 2 hours<BR><BR><BR></DIV>i have a 

  lot of user that works, but for other user, squid request Login/pass in 

  loop.<BR><BR></DIV>In cache.log i have:<BR><BR>2015/11/02 17:37:57| 

  squid_kerb_auth: gss_accept_sec_context() failed: An unsupported mechanism was 

  requested. Unknown error<BR>2015/11/02 17:37:57 kid1| ERROR: Negotiate 

  Authentication validating user. Error returned 'BH gss_accept_sec_context() 

  failed: An unsupported mechanism was requested. Unknown error'<BR>GENSEC login 

  failed: NT_STATUS_LOGON_FAILURE<BR>2015/11/02 17:37:58| squid_kerb_auth: Got 

  'YR 

  YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABD2TDMmE65PuY40xQyAIQkc4CPX0n9fiYI+rHtnnNWVARKVDNO+QYYUNvc7LgBDuwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  from squid (length: 219).<BR>2015/11/02 17:37:58| squid_kerb_auth: Decode 

  'YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABD2TDMmE65PuY40xQyAIQkc4CPX0n9fiYI+rHtnnNWVARKVDNO+QYYUNvc7LgBDuwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  (decoded length: 161).<BR>2015/11/02 17:37:58| squid_kerb_auth: 

  gss_accept_sec_context() failed: An unsupported mechanism was requested. 

  Unknown error<BR>2015/11/02 17:37:58 kid1| ERROR: Negotiate Authentication 

  validating user. Error returned 'BH gss_accept_sec_context() failed: An 

  unsupported mechanism was requested. Unknown error'<BR>2015/11/02 17:37:58| 

  squid_kerb_auth: Got 'YR 

  YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABH2TDMmE65PuY40xQyAIQlCKZmWETDY7iZgTnIeQF9VidD8h6SKLzwap1w7iI5lcwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  from squid (length: 219).<BR>2015/11/02 17:37:58| squid_kerb_auth: Decode 

  'YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABH2TDMmE65PuY40xQyAIQlCKZmWETDY7iZgTnIeQF9VidD8h6SKLzwap1w7iI5lcwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  (decoded length: 161).<BR>2015/11/02 17:37:58| squid_kerb_auth: 

  gss_accept_sec_context() failed: An unsupported mechanism was requested. 

  Unknown error<BR>2015/11/02 17:37:58 kid1| ERROR: Negotiate Authentication 

  validating user. Error returned 'BH gss_accept_sec_context() failed: An 

  unsupported mechanism was requested. Unknown error'<BR>2015/11/02 17:37:58| 

  squid_kerb_auth: Got 'YR 

  YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABL2TDMmE65PuY40xQyAIQlOCybIQKGs/hmFlEu3FzYMQIag5ivNn4JcpRWBrJ5vMwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  from squid (length: 219).<BR>2015/11/02 17:37:58| squid_kerb_auth: Decode 

  'YIGeBgYrBgEFBQKggZMwgZCgGjAYBgorBgEEAYI3AgIeBgorBgEEAYI3AgIKonIEcE5FR09FWFRTAAAAAAAAAABgAAAAcAAAABL2TDMmE65PuY40xQyAIQlOCybIQKGs/hmFlEu3FzYMQIag5ivNn4JcpRWBrJ5vMwAAAAAAAAAAYAAAAAEAAAAAAAAAAAAAAEVyfDIyRYtIv9kqa6BepAo=' 

  (decoded length: 161).<BR>2015/11/02 17:37:58| squid_kerb_auth: 

  gss_accept_sec_context() failed: An unsupported mechanism was requested. 

  Unknown error<BR>2015/11/02 17:37:58 kid1| ERROR: Negotiate Authentication 

  validating user. Error returned 'BH gss_accept_sec_context() failed: An 

  unsupported mechanism was requested. Unknown error'<BR>GENSEC login failed: 

  NT_STATUS_LOGON_FAILURE<BR>GENSEC login failed: 

  NT_STATUS_LOGON_FAILURE<BR><BR><BR><BR><BR></DIV>anyone know this problems 

  ?<BR><BR></DIV>regards<BR></DIV>Olivier<BR><BR>

  <DIV>

  <DIV>

  <DIV> </DIV></DIV></DIV></DIV></DIV></DIV>

  <HR>

  <SPAN>_______________________________________________<BR>squid-users mailing 

  list<BR><A href="mailto:squid-users@lists.squid-cache.org" 

  target=_blank>squid-users@lists.squid-cache.org</A><BR><A 

  href="http://lists.squid-cache.org/listinfo/squid-users" 

  target=_blank>http://lists.squid-cache.org/listinfo/squid-users</A><BR></SPAN></DIV></DIV></DIV></DIV></DIV><BR>_______________________________________________<BR>squid-users 

  mailing list<BR><A 

  href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</A><BR><A 

  href="http://lists.squid-cache.org/listinfo/squid-users" rel=noreferrer 

  target=_blank>http://lists.squid-cache.org/listinfo/squid-users</A><BR><BR></BLOCKQUOTE></DIV>

<DIV> </DIV></DIV></DIV>

<DIV 

style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<DIV 

style="FONT-SIZE: small; FONT-FAMILY: 'Calibri'; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; TEXT-DECORATION: none; DISPLAY: inline"></DIV></DIV></DIV></DIV></DIV></DIV></DIV></DIV></BODY></HTML>