Вот вариант того, как работает у меня.
ktpass -princ HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC -mapuser squid_user@DOMAIN.NAME.LOC -crypto rc4-hmac-nt -pass "12345678" -out c:\krb5.keytab
(у пользователя, на которого генерируется билет, необходимо запретить смену пароля и срок действия пароля неограничен)После чего "krb5.keytab" размещаем в /etc/krb5.keytab (FreeBSD 8.2) и назначаем такие права:
============================================
-r-xr-xr-x 1 nobody nobody krb5.keytab
============================================
Проверяем:
============================================
% kinit -t /etc/krb5.keytab -k HTTP/squidname.domain.name.loc
% klist
Credentials cache: FILE:/tmp/krb5cc_0
Principal: HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC
Issued Expires Principal
Nov 1 11:06:09 Nov 1 21:06:09 krbtgt/DOMAIN.NAME.LOC@DOMAIN.NAME.LOC
============================================
в конфиге Squid-a:
============================================
auth_param negotiate program /usr/local/libexec/squid/squid_kerb_auth -d -s HTTP//squidname.domain.name.loc@DOMAIN.NAME.LOC
#-d debug режим, смотрим в cache.log (можно убрать после отладки)
auth_param negotiate children 10
auth_param negotiate keep_alive on
acl REQUIRED proxy_auth REQUIRED #REQUIRED - все пользователи, которые прошли авторизацию
http_access allow REQUIRED
============================================
В DNS на серверах необходимо создать запись squidname.domain.name.loc, которая будет соответствовать IP-адресу вашему прокси.
В браузерах клиентов необходимо указывать адрес прокси "squidname.domain.name.loc", по IP работать не будет!!!!
Надеюсь данная информация поможет вам в решение ваших проблем