Dmitry Akindinov wrote:

Чтобы понять, на каком этапе ломается разбор данных сервером - только в
отладчике.

Дальше нужен кейтаб для расшифровки тикета и ошибка с форматом
происходит скорее всего уже прирасшифровке тикета.

Я бы предоставил кейтаб, если кто-то согласится взглянуть.

Взглянуть можно.

А чей keytab нужен, сервера? Который в CGP установлен?

Да.

Как мне его передать вам приватно?

Но даже если мы найдём - где, вряд ли получится починить, если баг -
плавающий.

Проверьте, что на сервере, клиенте и Керберос контроллере часы
синхронизованы.

Везде ntpd работает. Сколько у CGP-шного кербероса предельный
clockskew, не милисекунды же?

У клиента тоже?

Да.

Просто подумалось, что если "то работает, то не работает", то дело может
быть во времени, к кторому Керберос чуствителен. Но там, насколько
помню, допускается расхождение часов до пяти минут.

Вряд ли. Если запускать например mutt несколько раз подряд после
GSSAPI authentication error, то на второй-третий раз обязательно
пустит. Вряд ли что-то успевает произойти с часами за такой кратий
промежуток времени.

А какой керберос сервер используется?

В смысле KDC ? Heimdal 1.1.0 из комплекта FreeBSD 8.

Kerberos используется еще для ssh, SVN, CVS и еще чего-то, чего сходу
не вспомню. Но описанная проблема только с CGP.

А между попытками с mutt результат klist одинаковый?

Да. Ничего не меняется, есть один и тот же билет на
imap/mail.sibptus.tomsk.ru@SIBPTUS.TOMSK.RU
вот он то срабатывает, то нет.

Сужу, что он один и тот же, потому что "Start time" и прочие его
признаки не меняются.