
<HTML><HEAD></HEAD>

<BODY dir=ltr>

<DIV dir=ltr>

<DIV style="FONT-SIZE: 10pt; FONT-FAMILY: 'Arial'; COLOR: #000000">

<DIV>Hi,</DIV>

<DIV> </DIV>

<DIV>    Is you client a member of FATHER.COM or KID1.FATHER.COM 

/ KID2.FATHER.COM ? </DIV>

<DIV> </DIV>

<DIV>     Can you get a wireshark capture on your client on 

port 88  ?  You should see some TGS –REQs in the capture and I assume 

also TGS-REPs  with error messages.  Can you share these error 

messages ? </DIV>

<DIV> </DIV>

<DIV>Regards</DIV>

<DIV>Markus</DIV>

<DIV> </DIV>

<DIV> </DIV>

<DIV 

style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<DIV 

style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>

<DIV>"akn ab" <drcimino@mail.com> wrote in message 

news:trinity-1aed7413-4936-4022-90fa-eac7e2d892ed-1458301713239@3capp-mailcom-lxa01...</DIV></DIV></DIV>

<DIV 

style="BORDER-TOP-COLOR: #000000; BORDER-BOTTOM-COLOR: #000000; PADDING-LEFT: 5px; MARGIN-LEFT: 5px; BORDER-LEFT: #000000 4px solid; BORDER-RIGHT-COLOR: #000000">

<DIV 

style='FONT-SIZE: small; TEXT-DECORATION: none; FONT-FAMILY: "Calibri"; FONT-WEIGHT: normal; COLOR: #000000; FONT-STYLE: normal; DISPLAY: inline'>

<DIV style="FONT-SIZE: 12px; FONT-FAMILY: verdana">

<DIV>Dear all,</DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV>i'm having a problem in configuring my squid 3.5.15 with negotiated 

kerberos authentication in my Mono Forest Multi Domains.</DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV>My FATHER.COM is a forest with 2 children: KID1 and KID2.</DIV>

<DIV>Like this:     FATHER.COM -> KID1.FATHER.COM</DIV>

<DIV>                                        

-> KID2.FATHER.COM</DIV>

<DIV><FONT size=2 face=Arial></FONT> </DIV>

<DIV>With actual configurazion, squid negotiated kerberos auth works with only 

FATHER.COM but not when my users belongs to KID1 and KID2.</DIV>

<DIV>I readed some discussions on mailing list about forest, but cannot find a 

definitive advice and procedure to authenticate childern domains users.</DIV>

<DIV> </DIV>

<DIV>My krb5.conf:</DIV>

<DIV>

<DIV>[logging]<BR>default = FILE:/var/log/krb5libs.log<BR>kdc = 

FILE:/var/log/krb5kdc.log<BR>admin_server = FILE:/var/log/kadmind.log</DIV>

<DIV>[libdefaults]<BR>default_realm = FATHER.COM<BR>dns_lookup_realm = 

false<BR>dns_lookup_kdc = false<BR>ticket_lifetime = 24h<BR>renew_lifetime = 

7d<BR>forwardable = true<BR>default_keytab_name = 

/usr/local/squid/etc/HTTP.keytab<BR>default_tgs_enctypes = 

aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<BR>default_tkt_enctypes 

= aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<BR>permitted_enctypes 

= aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5</DIV>

<DIV>[realms]<BR>FATHER.COM = {<BR>  kdc = dc1.father.com:88</DIV>

<DIV>  kdc = dc2.father.com:88<BR>  default_domain = 

father.com<BR>}<BR>KID1.FATHER.COM = {<BR>  kdc = 

dc1.kid1.father.com:88<BR>  kdc = dc2.kid1.father.com:88<BR>  

default_domain = kid1.father.com<BR>}</DIV>

<DIV>KID2.FATHER.COM = {<BR>  kdc = dc1.kid2.father.com:88<BR>  kdc = 

dc2.kid2.father.com:88<BR>  default_domain = kid2.father.com<BR>}</DIV>

<DIV>[domain_realm]<BR>.father.com = FATHER.COM<BR>father.com = 

FATHER.COM<BR>.kid1.father.com = KID1.FATHER.COM<BR>kid1.father.com = 

KID1.FATHER.COM</DIV>

<DIV>.kid2.father.com = KID2.FATHER.COM<BR>kid2.father.com = 

KID2.FATHER.COM</DIV>

<DIV>[capaths]<BR>KID1.FATHER.COM = {<BR>   FATHER.COM = .<BR>}</DIV>

<DIV>KID2.FATHER.COM = {<BR>   FATHER.COM = .<BR>}</DIV>

<DIV> </DIV>

<DIV>To join kerberous auth with FATHER.COM i did:</DIV>

<DIV># kinit user@FATHER.COM</DIV>

<DIV># msktutil -c -b "CN=Computers" -s HTTP/proxy1.father.com -h 

proxy1.father.com -k /usr/local/squid/etc/HTTP.keytab --computer-name proxy1krb 

--upn HTTP/proxy1.father.com --server dc1.father.com --enctypes 28 --verbose 

-N</DIV>

<DIV> </DIV>

<DIV>On squid config i have:</DIV>

<DIV>auth_param negotiate program 

/usr/local/squid/libexec/negotiate_kerberos_auth -r -k 

/usr/local/sq<BR>uid/etc/HTTP.keytab -s HTTP/proxy1.father.com</DIV>

<DIV> </DIV>

<DIV>Doing so, all my users belonging to FATHER.COM can negotiate kerberos using 

proxy1.father.com:8080 (this exact name. If i use an alias dns name, does not 

work).</DIV>

<DIV> </DIV>

<DIV>Now i'm trying to add KID1 and KID2 users to krb auth.</DIV>

<DIV>As i sayed previously, i readed some posts but i cannot find correct 

configuration to support my forest.</DIV>

<DIV>1) Someone say to add to HTTP.keytab KID1 and KID2. To do so i did:</DIV>

<DIV>- kinit user@FATHER.COM</DIV>

<DIV>- msktutil -c -b "CN=Computers" -s HTTP/proxy1.father.com -h 

proxy1.father.com -k /usr/local/squid/etc/HTTP.keytab --computer-name 

proxy1krb-kid1 --upn HTTP/proxy1.father.com --server dc1.kid1.father.com 

--enctypes 28 --verbose -N</DIV>

<DIV>but this configuration give my an error authentication of my keytab or 

ticketing problem. So i tryed:</DIV>

<DIV>- kinit user@KID1.FATHER.COM</DIV>

<DIV>but my user is an Enterprise Admin form FATHER.COM, so i cannot get the 

ticket.</DIV>

<DIV> </DIV>

<DIV>After many, many and many hours, i need some advices to complete my 

configuration.</DIV>

<DIV>Is there anyone that could help me?</DIV>

<DIV> </DIV>

<DIV>Many thanks in advance.</DIV></DIV></DIV><FONT face=Verdana></FONT>

<HR>

_______________________________________________<BR>squid-users mailing 

list<BR>squid-users@lists.squid-cache.org<BR>http://lists.squid-cache.org/listinfo/squid-users<BR></DIV></DIV></DIV></DIV></BODY></HTML>