<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">Hi, I try to use kerberos in my squid. Nut I get an error message :</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">############################33</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">msktutil --auto-update --verbose --computer-name suqidpnb1 --server dctoyo1.toyo.grp -k /etc/squid/PROXY.keytab  <br> -- init_password: Wiping the computer password structure<br> -- generate_new_password: Generating a new, random password for the computer account<br> -- generate_new_password:  Characters read from /dev/urandom = 95<br> -- create_fake_krb5_conf: Created a fake krb5.conf file: /tmp/.msktkrb5.conf-QCbGC5<br> -- destroy_g_context: Destroying Kerberos Context<br> -- initialize_g_context: Creating Kerberos Context<br> -- finalize_exec: SAM Account Name is: suqidpnb1$<br> -- try_machine_keytab_princ: Trying to authenticate for suqidpnb1$ from local keytab<br> -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Key table entry not found)<br> -- try_machine_keytab_princ: Authentication with keytab failed<br> -- try_machine_keytab_princ: Trying to authenticate for SUQIDPNB1$ from local keytab<br> -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Key table entry not found)<br> -- try_machine_keytab_princ: Authentication with keytab failed<br> -- try_machine_keytab_princ: Trying to authenticate for host/localhost from local keytab<br> -- try_machine_keytab_princ: Error: krb5_get_init_creds_keytab failed (Key table entry not found)<br> -- try_machine_keytab_princ: Authentication with keytab failed<br> -- try_machine_password: Trying to authenticate for suqidpnb1$ with password<br> -- create_default_machine_password: Default machine password for suqidpnb1$ is suqidpnb1<br> -- try_machine_password: Error: krb5_get_init_creds_keytab failed (Client not found in Kerberos database)<br> -- try_machine_password: Authentication with password failed<br> -- try_user_creds: Checking if default ticket cache has tickets<br> -- try_user_creds: Error: krb5_cc_get_principal failed (No credentials cache found)<br> -- try_user_creds: User ticket cache was not valid<br>Error: could not find any credentials to authenticate with. Neither keytab,<br>default machine password, nor calling user's tickets worked. Try<br>"kinit"ing yourself some tickets with permission to create computer<br>objects, or pre-creating the computer object in AD and selecting<br>'reset account'.<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">#############################33</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">Can't find why this happen:</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">My AD is 2012R2 function level</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">I create keytab with this:</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">msktutil -c -b "OU=Servers,DC=toyo,DC=grp" -s HTTP/squidtoyopnb1.toyo.grp -k /etc/squid/PROXY.keytab --computer-name SQUIDPNB1 --upn HTTP/squidtoyopnb1.toyo.grp --server dctoyo1.toyo.grp --verbose --enctypes 28<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">Keytab file permission is:</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">-rw-r----- 1 root squid 933 Sep 25 13:37 PROXY.keytab<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">and keytab file (klist -k output):</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">   3 SQUIDPNB1$@TOYO.GRP<br>   3 SQUIDPNB1$@TOYO.GRP<br>   3 SQUIDPNB1$@TOYO.GRP<br>   3 HTTP/squidtoyopnb1.toyo.grp@TOYO.GRP<br>   3 HTTP/squidtoyopnb1.toyo.grp@TOYO.GRP<br>   3 HTTP/squidtoyopnb1.toyo.grp@TOYO.GRP<br>   3 host/squidtoyopnb1@TOYO.GRP<br>   3 host/squidtoyopnb1@TOYO.GRP<br>   3 host/squidtoyopnb1@TOYO.GRP<br>   3 host/squidtoyopnb1.toyo.grp@TOYO.GRP<br>   3 host/squidtoyopnb1.toyo.grp@TOYO.GRP<br>   3 host/squidtoyopnb1.toyo.grp@TOYO.GRP<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">krb5.conf:</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">[libdefaults]<br>     default_realm = TOYO.GRP<br>        dns_lookup_kdc = no<br>        dns_lookup_realm = no<br>        ticket_lifetime = 24h<br>        default_keytab_name = /etc/squid/PROXY.keytab<br><br>    ; for Windows 2008 with AES<br>          default_tgs_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br>          default_tkt_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br>          permitted_enctypes = aes256-cts-hmac-sha1-96 rc4-hmac des-cbc-crc des-cbc-md5<br><br>    [realms]<br>       TOYO.GRP = {<br>                kdc = dctoyo1.toyo.grp<br>                kdc = DCTOYO2.toyo.grp<br>                admin_server = 10.65.12.254<br>                default_domain = toyo.grp<br>     }<br><br>    [domain_realm]<br>     toyo.grp = TOYO.GRP<br>     .toyo.grp = TOYO.GRP<br><br>    [logging]<br>      kdc = FILE:/var/log/kdc.log<br>      admin_server = FILE:/var/log/kadmin.log<br>      default = FILE:/var/log/krb5lib.log<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Tevfik Ceydeliler</div></div>