Squid и авторизация Kerberos

[LagunaGuardian]

Доброе утро.
Продолжаю опыты с заменой ISA на Squid. На данный момент работает сеть и маршрутизация, установлен squid3 и через него можно выйти в интернет без авторизации. В организации существует домен на основе Windows 2003 к которому подключены компьютеры в сети. Возник вопрос о авторизации на squid через Kerberos, в интернете огромное количество статей на эту тему, делал по мануалу http://www.k-max.name/linux/avtorizaciya-autentifikaciya-squid/ с небольшими нюансами (поскольку там домен windows 2008). Сейчас получается следующее, компьютер со squid прописан в домен, создан keytab-файл, но при попытке его использовать появляется ошибка, более подробно:

1) На контроллере домена создал записи типа (A) и (PTR) для компьютера squid-01
2) Настроил /etc/krb5.conf, при вводе команды kinit Administrator нормально получаю билет пользователя.
3) На контроллере домена ввожу команду
ktpass /princ HTTP/squid-01.OBR.DOMAIN.RU@OBR.DOMAIN.RU /mapuser squid-01$@OBR.DOMAIN.RU /crypto RC4-HMAC-NT /ptype KRB5_NT_PRINCIPAL /pass +rndpass /out C:\squid.keytab полученный файл копирую в /etc/squid3
4) Проверяю командой kinit -V -k -t /etc/squid3/squid.keytab HTTP/squid-01.OBR.DOMAIN.RU
получаю

(Нажмите, чтобы показать/скрыть)

Using default cache: /tmp/krb5cc_0
Using principal: HTTP/SQUID-01.OBR.DOMAIN.RU@OBR.DOMAIN.RU
Using keytab: /etc/squid3/squid.keytab
kinit: Client not found in Kerberos database while getting initial credentials

Есть какие-нибудь мысли?   

Файлы конфигурации:
/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface (LOCALNETWORK)
iface eth0 inet static
address 10.0.0.20
netmask 255.255.255.0
dns-nameservers 10.0.0.62 10.0.0.63
dns-search OBR.DOMAIN.RU
dns-domain OBR.DOMAIN.RU
auto eth0

# The secondary network interface
iface eth1 inet static
address 10.0.2.20
netmask 255.255.255.0
gateway 10.0.2.1
auto eth1

/etc/resolv.conf

(Нажмите, чтобы показать/скрыть)

nameserver 10.0.0.62
nameserver 10.0.0.63
search OBR.DOMAIN.RU

/etc/hostname

(Нажмите, чтобы показать/скрыть)

SQUID-01

/etc/hosts

(Нажмите, чтобы показать/скрыть)

27.0.1.1   SQUID-01.OBR.DOMAIN.RU
127.0.0.1   localhost

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

/etc/krb.conf

(Нажмите, чтобы показать/скрыть)

[libdefaults]
   default_realm = OBR.DOMAIN.RU
   default_keytab_name=/etc/squid3/squid.keytab
   default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
   default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
   permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# The following krb5.conf variables are only for MIT Kerberos.
   krb4_config = /etc/krb.conf
   krb4_realms = /etc/krb.realms
   kdc_timesync = 1
   ccache_type = 4
   forwardable = true
   proxiable = true

   v4_instance_resolve = false
   v4_name_convert = {
      host = {
         rcmd = host
         ftp = ftp
      }
      plain = {
         something = something-else
      }
   }
   fcc-mit-ticketflags = true

[realms]
   OBR.DOMAIN.RU {
      kdc = dc-01.OBR.domain.RU
      admin_server = dc-01.OBR.domain.RU
   }
[domain_realm]
   .obr.domain.ru = OBR.DOMAIN.RU
   obr.domain.ru = OBR.DOMAIN.RU

[login]
   krb4_convert = true
   krb4_get_tickets = false

[logging]
kdc = FILE:/var/log/kdc.log
admin_server = FILE:/var/log/kadmin.log
default = FILE:/var/log/krb5lib.log

[LagunaGuardian]

Продолжаю свои изыскания, может эта информация кому-нибудь поможет... После 4 дней созданий keytab файла разными способами (через ktpass, через msktutil) с разным шифрованием, разными именами, правами, нахождениями, конфигами и т.д. и т.п. решил попробовать перенести сервер из ДОЧЕРНЕГО домена в РОДИТЕЛЬСКИЙ. Повторил все действия которые мне уже снятся по ночам и при проверка keytaba получил заветную надпись "Authenticated to Kerberos v5"
Вот только мне надо чтобы оно заработало в ДОЧЕРНЕМ домене, есть какие-нибудь идеи?

[LagunaGuardian]

Скажу сразу что на гениальность и оригинальность не претендую, ибо мануалов в интернете немерянно по настройке. В моем случае надо было подружить домен на Windows 2003, xubuntu 12.04 и squid 3.1.19
Для настройки сети использую пока network-manager После тучи ошибок, проверок и настроек у меня заработало так:

/etc/hosts

(Нажмите, чтобы показать/скрыть)

10.0.0.20   squid-01
127.0.0.1   localhost

# The following lines are desirable for IPv6 capable hosts
::1     ip6-localhost ip6-loopback
fe00::0 ip6-localnet
ff00::0 ip6-mcastprefix
ff02::1 ip6-allnodes
ff02::2 ip6-allrouters

/etc/network/interfaces

(Нажмите, чтобы показать/скрыть)

auto lo
iface lo inet loopback

/etc/resolv.conf

(Нажмите, чтобы показать/скрыть)

nameserver 127.0.0.1
search OBR.DOMAIN.RU

/etc/hostname

(Нажмите, чтобы показать/скрыть)

squid-01

/etc/default/squid3

(Нажмите, чтобы показать/скрыть)

KRB5_KTNAME=/etc/krb5.keytab
export KRB5_KTNAME

/etc/krb5.conf

(Нажмите, чтобы показать/скрыть)

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
   default_realm = OBR.DOMAIN.RU
   default_keytab_name = /etc/krb5.keytab

# The following krb5.conf variables are only for MIT Kerberos.
#   krb4_config = /etc/krb.conf
#   krb4_realms = /etc/krb.realms
#   kdc_timesync = 1
#   ccache_type = 4
#   forwardable = true
#   proxiable = true
   dns_lookup_kdc = true
   dns_lookup_realm = true
   ticket_lifetime = 24h
   clockskew = 300

default_tgs_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
default_tkt_enctypes = rc4-hmac des-cbc-crc des-cbc-md5
permitted_enctypes = rc4-hmac des-cbc-crc des-cbc-md5

# The following libdefaults parameters are only for Heimdal Kerberos.
   v4_instance_resolve = false
   v4_name_convert = {
      host = {
         rcmd = host
         ftp = ftp
      }
      plain = {
         something = something-else
      }
   }
   fcc-mit-ticketflags = true

[realms]
   OBR.DOMAIN.RU = {
       kdc = 10.0.0.62
       admin_server = 10.0.0.62
       default_domain = obr.domain.ru
       kpasswd_server = 10.0.0.62
   }

[domain_realm]
.obr.domain.ru = OBR.DOMAIN.RU
obr.domain.ru = OBR.DOMAIN.RU

/etc/squid3/squid.conf

(Нажмите, чтобы показать/скрыть)

# Три следующие строки относятся к авторизации Kerberos
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -s HTTP/squid-01.obr.domain.ru@OBR.DOMAIN.RU
auth_param negotiate children 10
auth_param negotiate keep_alive on

# Написанные ниже три строки относятся к доступу в интернет
acl password proxy_auth REQUIRED
http_access allow password
http_access deny all

Самое интересное, что в некоторых мануалах советуют ставить первую строку
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -s -d HTTP/squid-01.obr.domain.ru@OBR.DOMAIN.RU
так вот если это делать, а я сделал сразу, то в логах сыпятся ошибки
authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH gss_acquire_cred() failed: Unspecified GSS failure.  Minor code may provide more information. '
authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'
И авторизацию пройти не получается, вот именно с этим ключом я бился очень долго 


apt-get install msktutil
keytab хранится в /etc/krb5.keytab, создавался с помощью команды:
msktutil -c -b "CN=COMPUTERS" -s HTTP/squid-01.obr.domain.ru -k /etc/krb5.keytab --computer-name SQUID-01-K --upn HTTP/squid-01.obr.domain.ru --server dc-01.obr.domain.ru --verbose

squid-01 -- сервер со сквидом
SQUID-01-K -- "виртуальный" комп который создается в AD и привязывается к реальному серверу со сквидом
dc-01 -- сервер раздающий ключи Kerberos, он же DNS, он же 10.0.0.62
Все эти ПК хранятся в AD в группе COMPUTERS (по-умолчанию так оно и есть, в мануалах рекомендуют группы с русскими именами не использовать)
На dc-01 предварительно создал записи типа "A" в прямой/обратной зоне DNS, объект типа КОМПЬЮТЕР в AD НЕ создавал.

chgrp proxy /etc/krb5.keytab
chmod g+r /etc/krb5.keytab
kinit -A -k -t /etc/krb5.keytab HTTP/squid-01.obr.domain.ru@OBR.DOMAIN.RU
squid3 -k reconfigure

В браузере прописал прокси squid-01 (не IP адрес), порт 3128 -- Заработало.

Во всем вышеописанном помогли мануалы:
http://wiki.squid-cache.org/ConfigExamples/Authenticate/Kerberos
http://wiki.squid-cache.org/ConfigExamples/Authenticate/WindowsActiveDirectory
Сейчас разбираюсь со временем жизни билета и необходимостью его обновления... В принципе тему можно и закрыть, я получил чего хотел