<html xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:purple;

        text-decoration:underline;}

p.MsoPlainText, li.MsoPlainText, div.MsoPlainText

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

@page Section1

        {size:595.3pt 841.9pt;

        margin:70.85pt 69.6pt 70.85pt 69.6pt;}

div.Section1

        {page:Section1;}

-->

</style>

</head>

<body lang=NL link=blue vlink=purple>

<div class=Section1>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Hai, <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>First whats your OS/squid and samba version, handy to know. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And post your smb.conf please. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Few things to check. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>/etc/krb5.keytab should have rights 600 (root:root) <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Run : klist -e -k /etc/krb5.keytab  post the output.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Your SPN for squid must be HTTP/fqdn <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And not http/fqdn CAPS do matter here. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Put the HTTP/fqdn spn in a separated file and put it in the squid dir. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Chown and chmod it root:squid-user 440 <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Add it in your squid init script ( for debian i added it in

/etc/default/squid  ( squid for 3.5.12 ) (squid3 for 3.4.8 )<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>KRB5_KTNAME=/etc/squid/keytab.PROXY1-HTTP<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>export KRB5_KTNAME<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>The squid keytab should be like (manualy added on a different user in

the AD, special user for squid services.):<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>KVNO Principal<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>----

-----------------------------------------------------------------------<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HTTP/host.internal.domain.tld@YOUR_REALM (des-cbc-crc)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HTTP/host.internal.domain.tld@YOUR_REALM (des-cbc-md5)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HTTP/host.internal.domain.tld@YOUR_REALM (arcfour-hmac)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>This is my default ( /etc/krb5.keytab ) (from the join of samba.) <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host.internal.domain.tld@YOUR_REALM (des-cbc-crc)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host.internal.domain.tld@YOUR_REALM (des-cbc-md5)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host.internal.domain.tld@YOUR_REALM (aes128-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host.internal.domain.tld@YOUR_REALM (aes256-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host.internal.domain.tld@YOUR_REALM (arcfour-hmac)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host@YOUR_REALM (des-cbc-crc)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host@YOUR_REALM (des-cbc-md5)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host@YOUR_REALM (aes128-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host@YOUR_REALM (aes256-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 host/host@YOUR_REALM (arcfour-hmac)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HOST$@YOUR_REALM (des-cbc-crc)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HOST$@YOUR_REALM (des-cbc-md5)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HOST$@YOUR_REALM (aes128-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HOST$@YOUR_REALM (aes256-cts-hmac-sha1-96)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>   1 HOST$@YOUR_REALM (arcfour-hmac)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>The needed krb5.conf<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>cat /etc/krb5.conf<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>[libdefaults]<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    default_realm = YOUR_REALM<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    dns_lookup_kdc = true<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    dns_lookup_realm = false<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    ticket_lifetime = 24h<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    ccache_type = 4<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    forwardable = true<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    proxiable = true<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>install ntp and point it to you AD so time is always in sync. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Now you have 2 options to setup and you choose  based on you SPN setup.

<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Seperated keytab for squid HTTP service. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Use: <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth -d \<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    --kerberos /usr/lib/squid/negotiate_kerberos_auth -s HTTP/ host.internal.domain.tld@YOUR_REALM

\<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    --ntlm /usr/bin/ntlm_auth --helper-protocol=gss-spnego --domain=NTDOMAIN<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Or with everyting in one keytab file and make sure squid can read this

keytab file 640 root:squid !! :  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>auth_param negotiate program /usr/lib/squid/negotiate_wrapper_auth \<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    --kerberos /usr/lib/squid/negotiate_kerberos_auth -s GSS_C_NO_NAME

-d \<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>    --ntlm /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --domain=NTDOMAIN<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>I have a setup with a separated keytab file, i tested above and these

work. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>( tested on debian jessie, samba 4.1, squid 3.4.8, 3.5.10 and 3.5.12. )

<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Above i told about how i did setup. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>A big advantave with the squid-service user. You kan add all you squid

hosts/services in that user.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>I have 1 user for this and 3 proxy servers. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>So where did you go wrong. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> net ads keytab add HTTP<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And rights on the /etc/krb5.keytab file are the first things to check. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Optionaly, start the auth progrom on command line, with the debugging

enabled. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Greetz, <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Louis<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> -----Oorspronkelijk bericht-----</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Van: squid-users

[mailto:squid-users-bounces@lists.squid-cache.org] Namens</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> LYMN</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Verzonden: donderdag 7 januari 2016 5:23</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Aan: squid-users@squid-cache.org</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Onderwerp: [squid-users] kerberos authentication with a machine

account</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> doesn't work</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Hi,</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> We have been using kerberos authentication against Active

Directory here</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> for a long time by using a SPN attached to a user account and

exporting</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> the keytab.  The issue we have is that security policy mandates

that</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> the password on the user account be changed which means we have to

go</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> and regenerate keytabs every time this happens.  Not exactly

difficult</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> but tedious nonetheless.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> To avoid the password change I thought it may be an idea to use

the</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> machine account and add a SPN (http/fqdn.is.here) to that.  I

added:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>>         kerberos method = secrets and keytab</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>>         dedicated keytab file = /etc/krb5.keytab</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> to the smb.conf so samba will manage the keytab for me then did:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> net ads join</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> net ads keytab add http</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> klist -k shows me the principals that should be there and AD

agrees they</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> exist.  I can get a TGT using:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> kinit -k</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> without error (setting the UPN to host/fqdn.is.here@KERBEROS.REALM

may</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> have helped this).  Doing a</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> kinit -kS http/fqdn.is.here</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> works without error too.  So, I think kerberos is ok but with a

squid</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> 3.5.12 configured with negotiate_kerberos_auth I see the dreaded</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> message:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> negotiate_kerberos_auth.cc(180): pid=4888 :2016/01/07 12:50:29|</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> negotiate_kerberos_auth: ERROR: gss_accept_sec_context() failed:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Unspecified GSS failure.  Minor code may provide more information.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> and only that, no minor code when I try to use the proxy with a

browser</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> on a windows client.  Interestingly, doing a klist on the windows

client</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> I can see a kerberos ticket for HTTP/fqdn.is.here that is for the

proxy</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> I am testing.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Not sure what is missing here, I have a bee in my bonnet that this

should</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Just Work (tm) as the only real difference is that the SPN is

attached</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> to a computer account not a user account - I would have thought as

long</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> as the keytab is done correctly that this should not matter but

clearly</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> something is not agreeing with me.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> --</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Brett Lymn</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> This email has been sent on behalf of one of the following

companies</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> within the BAE Systems Australia group of companies:</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>>     BAE Systems Australia Limited - Australian Company Number 008

423 005</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>>     BAE Systems Australia Defence Pty Limited - Australian Company

Number</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> 006 870 846</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>>     BAE Systems Australia Logistics Pty Limited - Australian

Company</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Number 086 228 864</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Our registered office is Evans Building, Taranaki Road, Edinburgh

Parks,</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> Edinburgh, South Australia, 5111. If the identity of the sending

company</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> is</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> not clear from the content of this email please contact the

sender.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> This email and any attachments may contain confidential and

legally</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> privileged information.  If you are not the intended recipient, do

not</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> copy or</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> disclose its content, but please reply to this email immediately

and</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> highlight</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> the error to the sender and then immediately delete the message.</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> </span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> _______________________________________________</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> squid-users mailing list</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> squid-users@lists.squid-cache.org</span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>> http://lists.squid-cache.org/listinfo/squid-users</span></font></p>

</div>

</body>

</html>