Расковырял, что пам-модуль использует общий кейтаб. Добавил параметр
Код:
default_keytab_name = /etc/krb/host.proxy.keytab
Соответственно в Windows создал учетную запись компьютера proxy и сгенерировал этот кейтаб командой:
Код:
ktpass -princ host/proxy.mydomain.local@MYDOMAIN.LOCAL -mapuser proxy$.mydomain.local -crypto rc4-hmac-nt -pass 123 -ptype KRB5_NT_SRV_HST -out C:\host.proxy.keytab
Кейтаб положил в /etc/krb/host.proxy.keytab и для отладки сделал chmod -R 777 /etc/krb/ (естественно потом права поменяю на нужные).
Код:
kinit -k host/proxy.mydomain.local@MYDOMAIN.LOCAL -t /etc/krb/host.proxy.keytab
проходит без проблем, билет выдает.
Однако проблема со сквидом осталась. У кого-нибудь вообще работает kerberos через pam? Пусть даже не для сквида, а для других служб?
