DC 2003 + samba - специфика kerberos?

[Donat]

Сразу извинюсь, потому что не совсем локализовал проблему, но есть некоторые вопросы, ответы на которые могут быть важны

Есть DC 2003, настроенная самба в домене (и желание авторизовать пользователя сквида через домен)

На днях столкнулся с проблемой невозможности проверки имени через домен, которая решилась перезагрузкой winbindd
Насколько понимаю, процесс НЕ входа сопровождался в логах винбинда этим:
[2005/04/25 10:05:25, 0] rpc_client/cli_netlogon.c:cli_nt_setup_creds(256)  cli_nt_setup_creds: request challenge failed

Попытался разбиратся с ключиками - тоже непонятка - считал, что если ключ истекает, то авторизация прекращается, НО
# klist
Credentials cache: FILE:/tmp/krb5cc_0
       Principal: administrator@COOL.LOCAL

 Issued           Expires        Principal
Apr 25 17:33:25  >>>Expired<<<  krbtgt/COOL.LOCAL@COOL.LOCAL

-v дает

Server: krbtgt/COOL.LOCAL@COOL.LOCAL
Ticket etype: arcfour-hmac-md5, kvno 2
Auth time:  Apr 25 17:33:25 2005
End time:   Apr 26 00:15:44 2005 (expired)
Renew till: May  2 17:33:25 2005
Ticket flags: forwardable, proxiable, renewable, initial, pre-authenticated

при этом
# wbinfo -a administrator%d
plaintext password authentication succeeded
challenge/response password authentication succeeded  8)

Хочется услышать комментарии по поводу обновления тикетов у самбы  :? Надо ли что-то делать с тикетами "ручками", чтобы не отпадал winbindd?

Так, более того, после kdestroy и перезапуске samba\winbindd

# wbinfo -a administrator%d
plaintext password authentication succeeded
challenge/response password authentication succeeded
# klist
klist: No ticket file: /tmp/krb5cc_0