<div dir="ltr"><div>My Kerberos Authentication doesn't work. This is very hard!</div><div><br></div><div>My Squid3 is join in the Domain</div><div>kinit and klist are ok</div><div>wbinfo -g and wbinfo -u are ok too.</div><div><br></div><div>I have created the squid3 file in /etc/default with the following content: </div><div>KRB5_KTNAME=/etc/squid3/HTTP.keytab</div><div>export KRB5_KTNAME</div><div><br></div><div>I have two keytab files:</div><div>/etc/krb5.keytab and /etc/squid3/HTTP.keytab (both are identical)</div><div><br></div><div>I have installed libsasl2-modules-gssapi-mit libsasl2-modules packages because my Squid server is Debian 8. But I didn't use msktutil tool. I have only joined Squid server in the Domain (net ads join -U administrator)</div><div><br></div><div>How can I debbug the problem?</div><div>How can I test kerberos authentication in terminal (command line)?</div><div><br></div><div>Below is my squid.conf file:</div><div><br></div><div>### Configuracoes Basicas</div><div><br></div><div>cache_mgr <a href="mailto:administrator@empresa.com.br">administrator@empresa.com.br</a></div><div><br></div><div>http_port 3128</div><div><br></div><div>#debug_options ALL,111,2 29,9 84,6</div><div><br></div><div>cache_mem 512 MB</div><div>cache_swap_low 80</div><div>cache_swap_high 90</div><div><br></div><div>maximum_object_size 512 MB</div><div>minimum_object_size 0 KB</div><div><br></div><div>maximum_object_size_in_memory 4096 KB</div><div><br></div><div>cache_replacement_policy heap LFUDA</div><div>memory_replacement_policy heap LFUDA</div><div><br></div><div>#Para não bloquear downloads</div><div>quick_abort_min -1 KB</div><div><br></div><div><br></div><div>#Resolve um problema com conexoes persistentes</div><div>detect_broken_pconn on</div><div><br></div><div>fqdncache_size 1024</div><div><br></div><div>### Parametros de atualizacao da memoria cache</div><div>refresh_pattern ^ftp:<span class="" style="white-space:pre">    </span>1440<span class="" style="white-space:pre">      </span>20%<span class="" style="white-space:pre">       </span>10080</div><div>refresh_pattern ^gopher:<span class="" style="white-space:pre">      </span>1440<span class="" style="white-space:pre">      </span>0%<span class="" style="white-space:pre">        </span>1440</div><div>refresh_pattern -i (/cgi-bin/|\?) 0 0% <span class="" style="white-space:pre">        </span>0</div><div>refresh_pattern .<span class="" style="white-space:pre">         </span>0<span class="" style="white-space:pre"> </span>20%<span class="" style="white-space:pre">       </span>4320</div><div><br></div><div>### Localizacao dos logs</div><div>access_log /var/log/squid3/access.log</div><div>cache_log /var/log/squid3/cache.log</div><div><br></div><div><br></div><div>### define a localizacao do cache de disco, tamanho, qtd de diretorios pai e subdiretorios</div><div>cache_dir aufs /var/spool/squid3 600 16 256</div><div><br></div><div>auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/<a href="mailto:proxy.empresa.com.br@EMPRESA.COM.BR">proxy.empresa.com.br@EMPRESA.COM.BR</a></div><div>auth_param negotiate children 20</div><div>auth_param negotiate keep_alive on</div><div><br></div><div>visible_hostname <a href="http://proxy.empresa.com.br">proxy.empresa.com.br</a></div><div><br></div><div>### acls</div><div>#acl manager proto cache_object</div><div>acl localhost src <a href="http://192.168.200.7/32">192.168.200.7/32</a></div><div>acl to_localhost dst <a href="http://192.168.200.7/32">192.168.200.7/32</a></div><div>acl SSL_ports port 22 443 563 7071 10000 # ssh, https, snews, zimbra, webmin</div><div>acl Safe_ports port 21<span class="" style="white-space:pre">            </span> # ftp</div><div>acl Safe_ports port 70<span class="" style="white-space:pre">               </span> # gopher</div><div>acl Safe_ports port 80 <span class="" style="white-space:pre">           </span> # http</div><div>acl Safe_ports port 88<span class="" style="white-space:pre">              </span> # kerberos</div><div>acl Safe_ports port 210<span class="" style="white-space:pre">         </span> # wais</div><div>acl Safe_ports port 280<span class="" style="white-space:pre">             </span> # http-mgmt</div><div>acl Safe_ports port 389<span class="" style="white-space:pre">                </span> # ldap</div><div>acl Safe_ports port 443 <span class="" style="white-space:pre">    </span> # https</div><div>acl Safe_ports port 488<span class="" style="white-space:pre">            </span> # gss-http</div><div>acl Safe_ports port 563<span class="" style="white-space:pre">         </span> # snews</div><div>acl Safe_ports port 591<span class="" style="white-space:pre">            </span> # filemaker</div><div>acl Safe_ports port 777<span class="" style="white-space:pre">                </span> # multiling http</div><div>acl Safe_ports port 3001         # imprenssa nacional</div><div>acl Safe_ports port 8080<span class="" style="white-space:pre">  </span> # http</div><div>acl Safe_ports port 1025-65535<span class="" style="white-space:pre">      </span> # unregistered ports</div><div><br></div><div>acl purge method PURGE</div><div>acl CONNECT method CONNECT</div><div><br></div><div><br></div><div>### Regras iniciais do Squid</div><div>http_access allow localhost</div><div>http_access allow purge localhost</div><div>http_access deny purge</div><div>http_access deny !Safe_ports</div><div>http_access deny CONNECT !SSL_ports</div><div><br></div><div>### Exige autenticacao</div><div>acl autenticados proxy_auth REQUIRED</div><div>http_access allow autenticados</div><div><br></div><div><br></div><div><br></div><div>### Rede do Local #####</div><div>acl rede_local src <a href="http://192.168.200.0/22">192.168.200.0/22</a> </div><div><br></div><div><br></div><div>### Nega acesso de quem nao esta na rede local</div><div>http_access allow rede_local </div><div><br></div><div>#negando o acesso para todos que nao estiverem nas regras anteriores</div><div>http_access deny all</div><div><br></div><div>### Erros em portugues</div><div>error_directory /usr/share/squid3/errors/pt-br</div><div><br></div><div>#cache_effective_user proxy</div><div>coredump_dir /var/spool/squid3</div><div><br></div><div><br></div><div>Regards,</div><div><br></div><div>Márcio</div></div>