Принцип такой (как мне видится)
От пользователя (Рабочая станция) имя и пароль (подчёркиваю что пароль, а не какой либо хэш) летят к серверу с squid в открытом виде.
Как это поправить в случае использования squid_ldap_auth:
1. VPN соединение с этим сервером.
Есть конечно вариант использования Digest или NTLM, но следует учитывать, что Digest поддерживает и IE и Мозила, а вот NTLM только IE. В чём тут заковыка, а в том что непонятно умеют ли (есть ли) Digest хелперы которые с LDAP работают.
Вобщем читаем
тут про ето дело.
Далее...
Хелпер squid (squid_ldap_auth) идет на LDAP сервер
Как идет:
1. Либо нешифрованное соединение
2. Шифрованное соединение SSL/TLS c LDAP сервером
3. Шифрованное соединение (организуем тунель между LDAP клиентом и сервером)
В случае нешифрованного соединения есть двойная опасность, во-первых передается нешифрованный пароль пользователя, а во-вторых пароль пользователя с правами которого мы биндимся в LDAP серверу. Вы скажите что можно биндится с правами анонима, НО увы... аноним в NW по умолчанию не может смотреть у групп аттрибут securityequals
Самое хороше решение это соединение с LDAP сервером с использованием SSL/TLS. Про него кстате
читаем в моей статье
Если SLDAP не нравится, то можно организовать тунель с помощью левой программы, типа stunnel, но по мне это не есть маразм. Зачем пудрить мозги м левым софтом если есть способы попроще.