Про ntlm аутентификацию через группы:1.Пользователи, которых надо пускать в и-нет прописаны в текстовом файле name_userov. Настройки имеют вид:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic
acl squidusers proxy_auth "/путь/name_userov"
Плюс такого подхода: если пользователя нет в файле name_userov, то при доступе к сквиду ему даётся отлуп в виде "Доступ запрещён".
Минус: после добавления пользователя в файл name_userov, необходимо перезапускать сквид.
2. Пользователи, которых надо пускать в и-нет, прописаны в группе ActiveDirectory, которая называется internet_users.
Настройки имеют вид:
auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="DOMAIN\\internet_users"
auth_param basic program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="DOMAIN\\internet_users"
acl squidusers proxy_auth REQUIRED
Плюс такого подхода: при добавлении пользователя в доменную группу internet_users, пользователю не надо перезаходить в домен (как это бывает необходимо при доступе к Win-ресурсам), нет необходимости перезапускать сквид.
Минус: если пользователя не допускают к и-нету,т.е. его имени нет в доменной группе internet_users, то при доступе к сквиду ему выдаётся окошко аутентификации. У пользователя возникает соблазн узнать чужие имя-пароль, набрать их в окошке, поставить галочку "запомнить", и ходить всегда, даже после перезагрузки ПК, в и-нет за счёт чужого трафика.