Dotaz: kerberos + squid autentizace

Ahoj, zdravim Linuxaci
Mam sit, ve ktere se winXP klient(s kerberos podporou) autentizuje(negotiate) vuci squidu(squid_kerb_auth), tohle se vsak vzycky nezdari :( Prosim podivejte se na muj postup, jestli nekde nedelam chybu:

1,vygeneruju na win2k3 pomoci ktpass keytab, ktery dam na squid, exportuju do KRB5_KTNAME(ten podle me slouzi jako uloziste ticketu uzivatelu, kteri se maji pres squid autentizovat) 2,pustim squid a nastaveny prohlizec ve winxp, celou dobu dostavam hlasku Cache Acces denied. Kdyz se divam do cache.log, je tam X-Squid-Error: ERR_CACHE_ACCESS_DENIED 0


Otazka:Jak muzu zjistit, jaky uzivatel se autentizoval proti kteremu(aspon videt nejake hashe), squil log je strasne nah....

Otazka2:do squid.keytab mam davat ticket pro uzivatele, ptery se chce autentizovat, ne pro nejakeho uzivatele namapovaneho na squid,ze?

Moc dekuju za odpovedi, posilam este svuj squid.conf.
auth_param negotiate program /usr/local/squid/libexec/squid_kerb_auth -d -i
auth_param negotiate children 10
auth_param negotiate keep_alive on


http_port 3128
debug_options ALL,9
visible_hostname sqtest
coredump_dir /var/log/squid
cache_access_log /var/log/squid/access.log
useragent_log /var/log/squid/useragent.log


acl kerb_auth proxy_auth REQUIRED
http_access allow kerb_auth
http_access deny all


a zde krb5.conf

[logging]
default = FILE:/var/log/krb5libs.log
kdc = FILE:/var/log/krb5kdc.log
admin_server = FILE:/var/log/kadmind.log

[libdefaults]
default_realm = LBTEST12.BOX.CZ
dns_lookup_realm = false
dns_lookup_kdc = false
ticket_lifetime = 24h
forwardable = yes

[realms]
LBTEST12.BOX.CZ = {
kdc = lbtest12.box.cz:88
default_domain = lbtest12.box.cz
}

[domain_realm]
.lbtest12.box.cz = LBTEST12.BOX.CZ
lbtest12.box.cz = LBTEST12.BOX.CZ