
<div dir="ltr"><div>Hello,</div><div><br></div><div>did not you change the password on the account? If you change password you should recreate the keytab.</div><div><br></div><div>Marek</div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">ut 24. 5. 2022 o 14:23 Suporte - Konntrol <<a href="mailto:suporte@konntrol.com.br">suporte@konntrol.com.br</a>> napísal(a):<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Thanks Amos.<br>

I have recreated the keytab and it is back working, although I will need to better investigate the root cause of it.<br>

I will check the expiration time as you mentioned.<br>

<br>

Thanks once again!<br>

Fabricio.<br>

<br>

-----Original Message-----<br>

From: squid-users [mailto:<a href="mailto:squid-users-bounces@lists.squid-cache.org" target="_blank">squid-users-bounces@lists.squid-cache.org</a>] On Behalf Of Amos Jeffries<br>

Sent: Saturday, May 21, 2022 2:50 AM<br>

To: <a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

Subject: Re: [squid-users] Squid 4.15 on FreeBSD 12.2 Stable - Kerberos helper issues<br>

<br>

On 21/05/22 04:51, Suporte - Konntrol wrote:<br>

> Hello everyone,<br>

> <br>

> Greetings.<br>

> <br>

> I got a strange situation with my SQUID 4.1 (FreeBSD 12.2 Stable <br>

> environment).<br>

> <br>

> Everything was working fine with Kerberos configuration and suddenly <br>

> it stopped with the following error:<br>

> <br>

> ==> /var/squid/logs/cache.log <==<br>

> <br>

> negotiate_kerberos_auth.cc(182): pid=85679 :2022/05/20 13:35:43|<br>

> negotiate_kerberos_auth: ERROR: gss_acquire_cred() failed: No <br>

> credentials were supplied, or the credentials were unavailable or <br>

> inaccessible. No principal in keytab matches desired name<br>

> <br>

> 2022/05/20 13:35:43| negotiate_kerberos_auth: INFO: User not <br>

> authenticated<br>

> <br>

> Judging by the “No principal in keytab matches desired name” message, <br>

> I went immediately to the AD object to check if it was really missing <br>

> the Principal entry.<br>

> <br>

> To my surprise, everything is there. (talking about the <br>

> HTTP/fqdn@REALM entry).<br>

<br>

That error message has a lot of parts.  Check the debug trace to see if you can find out what that "desired name" is for that lookup. It may be something odd going on there.<br>

<br>

Also, notice the character cases. Sometimes it matters, so best to make sure they always line up.<br>

<br>

<br>

> <br>

> Also, I checked the contents of my keytab, which looks OK, as it <br>

> contains the HTTP/server01.mydomain.corp@MYDOMAIN.CORP entry as well.<br>

> <br>

> Additionally, I checked the DNS configuration for the PTR and Reverse <br>

> entries. It looks OK as well.<br>

> <br>

> I have used “net ads join <br>

> createupn=HTTP/server01.mydomain.corp@MYDOMAIN.CORP -k” commands to Join <br>

> the Squid machine to Domain, and “net ads keytab create -k” to create a <br>

> keytab.<br>

> <br>

> Also, used the command “net ads keytab add HTTP” to add the HTTP entry <br>

> to the keytab.<br>

><br>

...<br>

> <br>

> As I mentioned, that was working for months, then stopped.<br>

> <br>

<br>

IME, this type of sudden delayed breakage usually occurs when there is <br>

some validity period associated with the credentials in the keytab (or <br>

domain controller which created it). There is a disclaimer in the wiki <br>

about the "net ads" under some conditions adding an expiry time.<br>

<br>

<<a href="https://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos#Create_keytab" rel="noreferrer" target="_blank">https://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos#Create_keytab</a>><br>

<br>

Rebuilding the keytab with kinit and msktutil may fix it for you.<br>

<br>

<br>

HTH<br>

Amos<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org" target="_blank">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div>