Проблема аутентификации squid 3.1.4

[Ackson]

Здравствуйте.
есть связка squid+sams+clamav+c-icap+sams redirector и домен AD

аутентификация по керберосу настроена следующим образом.
auth_param negotiate program /usr/lib/squid3/squid_kerb_auth -d -s HTTP/proxy.domain.local@DOMAIN.LOCAL
auth_param negotiate children 5   
auth_param negotiate keep_alive on

external_acl_type ldap_check children=5 %LOGIN /usr/lib/squid3/squid_ldap_group -R -b "dc=domain,dc=local" -f "(&(objectclass=user)(sAMAccoun
tName=%v)(memberof=cn=%a,ou=SystemUsers,dc=domain,dc=local))" -D "squid@domain.local" -W "/etc/squid3/psec" -K -d name.domain.local
acl inet_access external ldap_check internet_allow

http_access allow inet_access

-----------------

при попытке доступа Cache Доступ запрещён

кэш лог:
squid_kerb_auth: DEBUG: Got 'YR TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' from squid (length: 59).
squid_kerb_auth: DEBUG: Decode 'TlRMTVNTUAABAAAAB4IIogAAAAAAAAAAAAAAAAAAAAAFASgKAAAADw==' (decoded length: 40).
squid_kerb_auth: WARNING: received type 1 NTLM token
authenticateNegotiateHandleReply: Error validating user via Negotiate. Error returned 'BH received type 1 NTLM token'

-----------------

перерыл весь инет - толку ноль. прошу помощи разобраться у более опытных коллег)

[Sam Stone]

Это настройка по мануалу с сайта sams?

[Ackson]

это настройка с другой прокси (но там squid2.7stable6). на которой, собсно, работает. keytab рабочий. пользователь от которого люди ходят тоже в наличии. керберос настроен и тачка в домене.
бьюсь уже неделю.

[Sam Stone]

это настройка с другой прокси (но там squid2.7stable6)

Быть может в этом вся соль?..

Или может с правилами http_access накосячил?

[Ackson]

с http_access всё в норме. ругается то вроде как на то что не может проверить пользователей через Negotiate.