!!!!!!!!!!!!!!!!!!удалось побороть проблему!!!!!!!!!!!!!!!!!!!!!!!1111ура, правда не знаю, что будет потом ;)
вообщем решение:
суть в том, что я взял чистую систему и стал настраивать все с нуля, но по принципу ни чего лишнего
описываю что я сделал:
новая система debian netinst 5.0.6
cat /etc/resolv.conf
search tc.local
nameserver 192.168.0.250
#192.168.0.250 - pdc моего домена (w2k8 sp1)
устанавливаем
aptitude -R krb5-user с 2 зависимостями (krb5-config{a} krb5-user libkadm55{a})
этого оказалось достаточно, для работы аутентификации
далее в процессе настройки пакета dpkg спросил у меня
Default Kerberos version 5 realm, я ввел TC.LOCAL
и еще помоему он спросил про админ сервер, я ответил PDC.TC.LOCAL
далее копируем уже давно созданный keytab с контроллера домена (PDC) куда угодно, но лучше к /etc/squid3
а делал я его так:
c:\>ktpass -princ HTTP/proxy.tc.local@TC.LOCAL -mapuser userlink_proxy -crypto A
ES256-SHA1 -pass "cbkmysqgfhjkm" -ptype KRB5_NT_SRV_HST -out proxy.tc.local.keytab.pdc
Targeting domain controller: PDC.tc.local
Using legacy password setting method
Successfully mapped HTTP/proxy.tc.local to userlink_proxy.
WARNING: pType and account type do not match. This might cause problems.
Key created.
Output keytab to proxy.tc.local.keytab.pdc:
Keytab version: 0x502
keysize 79 HTTP/proxy.tc.local@TC.LOCAL ptype 3 (KRB5_NT_SRV_HST) vno 10 etype 0
x12 (AES256-SHA1) keylength 32 (0x2df13d49f38c5fb1c103121b99e4084e6d6a40c06ab301
c83eaecda54bc164eb)
я скопировал и зашел в нее
далее делаю попытку аутентификации с использованием этого кейтаба:
cd /etc/squid3/ && kinit -V -k -t proxy.tc.local.keytab.pdc HTTP/proxy.tc.local
и получаю
Authenticated to Kerberos v5
проверяем что вывод klist:
proxy:/etc/squid3# klist
Ticket cache: FILE:/tmp/krb5cc_0
Default principal: HTTP/proxy.tc.local@TC.LOCALValid starting Expires Service principal
09/23/10 15:46:12 09/24/10 01:45:54 krbtgt/TC.LOCAL@TC.LOCAL
renew until 09/24/10 15:46:12
Kerberos 4 ticket cache: /tmp/tkt0
klist: You have no tickets cached
далее пока разбираюсь, пока не каких ошибок в cache.log, но при этом squid всем пользователем выдает Cache Access Denied
хелпер squid_ldap_group - работает верно
а вот squid_kerb_auth пока не проверял, но поидее настроен правильно.
как только так сразу отпишусь