
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">


<meta name=Generator content="Microsoft Word 11 (filtered medium)">


<style>


<!--


 /* Style Definitions */


 p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman";}


a:link, span.MsoHyperlink


        {color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {color:purple;


        text-decoration:underline;}


pre


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:10.0pt;


        font-family:"Courier New";}


span.E-mailStijl17


        {mso-style-type:personal-reply;


        font-family:Arial;


        color:navy;}


@page Section1


        {size:595.3pt 841.9pt;


        margin:70.85pt 70.85pt 70.85pt 70.85pt;}


div.Section1


        {page:Section1;}


-->


</style>


</head>


<body lang=NL link=blue vlink=purple>


<div class=Section1>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Hi Marcio, <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Have a look here a good guide. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><a


href="https://dev.tranquil.it/wiki/SAMBA_-_Configuration_Squid_Kerberos">https://dev.tranquil.it/wiki/SAMBA_-_Configuration_Squid_Kerberos</a>


<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Most important, make sure your DNS setup


is correct and the proxy server has an A and PTR (RR) record. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Can be done without but that can result in


problems. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<div style='border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt'>


<div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'>You must create the krb5.keytab file when using Samba 4 as DC? If


positive, how to create it?<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>On the proxy itself as member server.  <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Make sure you then have also those 2. <o:p></o:p></span></font></p>


<p class=MsoNormal style='margin-left:5.25pt'><font size=2 color=navy


face=Arial><span style='font-size:10.0pt;font-family:Arial;color:navy'>    #


enable offline logins<o:p></o:p></span></font></p>


<p class=MsoNormal style='margin-left:5.25pt'><font size=2 color=navy


face=Arial><span style='font-size:10.0pt;font-family:Arial;color:navy'>   


winbind offline logon = yes<o:p></o:p></span></font></p>


<p class=MsoNormal style='margin-left:10.5pt'><font size=2 color=navy


face=Arial><span style='font-size:10.0pt;font-family:Arial;color:navy'>    #


renew the kerberos ticket<o:p></o:p></span></font></p>


<p class=MsoNormal style='margin-left:10.5pt'><font size=2 color=navy


face=Arial><span style='font-size:10.0pt;font-family:Arial;color:navy'>   


winbind refresh tickets = yes<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<pre><font size=2 face="Courier New"><span lang=FR style='font-size:10.0pt'>net ads join -U administrator<o:p></o:p></span></font></pre>


<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=FR


style='font-size:12.0pt'>net ads keytab add HTTP -U administrator<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=FR


style='font-size:12.0pt'><o:p> </o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span lang=FR


style='font-size:12.0pt'>or  </span><font color=navy><span style='color:navy'>with


samba tool on the DC. which i did since i use 2 proxys and 1 user for SPNs <o:p></o:p></span></font></font></p>


<p class=MsoNormal><font size=3 color=navy face="Times New Roman"><span


style='font-size:12.0pt;color:navy'><o:p> </o:p></span></font></p>


<pre><font size=2 face="Courier New"><span lang=EN style='font-size:10.0pt'>samba-tool user create squid-proxy --description="Unprivileged user for SQUID-Proxy Services" --random-password<o:p></o:p></span></font></pre>


<p class=MsoNormal><font size=3 color=navy face="Times New Roman"><span


style='font-size:12.0pt;color:navy'>samba-tool user setexpiry squid-proxy –noexpiry


<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 color=navy face="Times New Roman"><span


style='font-size:12.0pt;color:navy'>samba-tool spn add HTTP/proxy1.internal.domain.tld


squid-proxy<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=3 color=navy face="Times New Roman"><span


style='font-size:12.0pt;color:navy'>samba-tool spn add HTTP/proxy1.internal.domain.tld@REALM


squid-proxy<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>and export it. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>samba-tool domain exportkeytab


--principal=</span></font><font color=navy><span style='color:navy'>HTTP/proxy1.


internal.domain.tld</span></font><font size=2 color=navy face=Arial><span


style='font-size:10.0pt;font-family:Arial;color:navy'> proxy1.keytab<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>and put the proxy1.keytab file in place on


the proxy server, see link above. <o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'><o:p> </o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'>Kerberos authentication (squid_kerb_auth) works for both Windows and


Linux?<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Yes<o:p></o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'><o:p> </o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'>In this type of authentication the user will not need to enter your


username / password when you open the browser?<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>Correct, but you also need to setup your


webbrowser for it. <o:p></o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'><o:p> </o:p></span></font></p>


</div>


<div>


<p class=MsoNormal><font size=3 face="Times New Roman"><span style='font-size:


12.0pt'>On the workstations I install ntp or ntpdate package?<o:p></o:p></span></font></p>


<p class=MsoNormal><font size=2 color=navy face=Arial><span style='font-size:


10.0pt;font-family:Arial;color:navy'>No, but the make sure time is in sync with


the DC’s. <o:p></o:p></span></font></p>


</div>


</div>


</div>


</div>


</body>


</html>