<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<META HTTP-EQUIV="Content-Type" CONTENT="text/html; charset=us-ascii">

<meta name=Generator content="Microsoft Word 11 (filtered medium)">

<style>

<!--

 /* Style Definitions */

 p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman";}

a:link, span.MsoHyperlink

        {color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {color:blue;

        text-decoration:underline;}

p.MsoPlainText, li.MsoPlainText, div.MsoPlainText

        {margin:0cm;

        margin-bottom:.0001pt;

        font-size:10.0pt;

        font-family:"Courier New";}

span.E-mailStijl17

        {mso-style-type:personal;

        font-family:Arial;

        color:navy;}

span.E-mailStijl18

        {mso-style-type:personal;

        font-family:Arial;

        color:navy;}

span.E-mailStijl19

        {mso-style-type:personal;

        font-family:Arial;

        color:navy;}

span.E-mailStijl20

        {mso-style-type:personal;

        font-family:Arial;

        color:navy;}

@page Section1

        {size:595.3pt 841.9pt;

        margin:70.85pt 69.6pt 70.85pt 69.6pt;}

div.Section1

        {page:Section1;}

-->

</style>

</head>

<body lang=NL link=blue vlink=blue>

<div class=Section1>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Ok, found it. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>So a resume for a squid 3.5.19 + samba 4.4.5, kerberos auth and

kerberos groups on debian jessie. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>By default the package libsasl2-modules-gssapi-mit  was not installed.  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>So i installed it:  apt-get install libsasl2-modules-gssapi-mit<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>I always install with, --no-install-recommends, here i missed this

package. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>After installing it works fine, at least, ..  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>This works : (SASL/GSSAPI over port 389)  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>/usr/lib/squid3/ext_kerberos_ldap_group_acl -g group-mail@REALM  -D

REALM  -N group-mail@REALM <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>But with ssl enabled.. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>SASL/GSSAPI over port 636 (ldaps)<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>/usr/lib/squid3/ext_kerberos_ldap_group_acl -g group-mail@REALM  -D

REALM  -N group-mail@REALM –s <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Or .. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>SASL/GSSAPI over port 636 (ldaps) without cert checks.  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>/usr/lib/squid3/ext_kerberos_ldap_group_acl -g group-mail@REALM  -D REALM 

-N group-mail@REALM –s –a<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And with also tried adding this to the /etc/default/squid <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>TLS_CACERTFILE=/etc/ssl/certs/ca-certificates.crt<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>export TLS_CACERTFILE<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And adding the _ldaps_._tcp records the samba4/bind_dlz dns didnt help.

<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>(samba-tool dns add ADDC.FQDN REALM _ldaps._tcp SRV  'host.internal.domain.tld

636 0 100') <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>The log part of the remaining errors.  <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>But no need to fix this for me, im putting this here so people can find

it as reference. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Set SSL defaults<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Disable server certificate check for ldap server.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>ERROR: Error while setting start_tls for ldap server: Operations error<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Bind to ldap server with SASL/GSSAPI<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>ERROR: ldap_sasl_interactive_bind_s error: Strong(er) authentication

required<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>ERROR: Error while binding to ldap server with SASL/GSSAPI: Strong(er)

authentication required<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Setting up connection to ldap server hostname.internal.domain.tld:636<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Set SSL defaults<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Disable server certificate check for ldap server.<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>ERROR: Error while setting start_tls for ldap server: Operations error<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>DEBUG: Bind to ldap server with SASL/GSSAPI<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>ERROR: ldap_sasl_interactive_bind_s error: Strong(er) authentication

required<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>And if someone find the solution for this above, that would be nice to

report here. <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Greetz, <o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'>Louis<o:p></o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

<p class=MsoPlainText><font size=2 face="Courier New"><span style='font-size:

10.0pt'><o:p> </o:p></span></font></p>

</div>

</body>

</html>