Для аутентификации Squid использует внешние прогораммы - хелперы (helpers), их в комплект поставки входит несколько для разных механизмов аутентификации и стыковки с разными службами (опять же - внешними по отношению к Squid-у). Какой именно из них выбрать - дело администратора. Мы, например, пользуемся хелпером ntlm_auth
Совершенно согласен. Под словом "компонент" я подразумевал компонент Squid, который называется winbind. Он включает в себя authentication helper для механизма аутентификации NTLM, с автоматическим получением учетных данных от MSIE, конструкцией вида domain\user. Зовется он wb_ntlmauth. А также для схемы basic, под названием wb_auth. Работают они с демоном winbindd, который находиться в комплекте Samba. В результате, для работы с доменом используется протокол NTLM SSP, и пароль на проверку
не передается по сети в открытом виде, в отличие от стандартного сквидовского auth_ntlm. Разработчики Squid официально рекомендуют использование Winbindd для работы с Windows-доменами.
Надо заметить, что в Самба третьей версии предлагает свой собственный, безопасный auth_ntlm, и использование хелперов Squid'а не требуется. Squid'овский winbind будет вскоре исключен из дистрибутивов.
Насчет клиентов - все же, как я понял из вышенаписанного, пользователю необязательно в явном виде логиниться в домен, достаточно только в Виндоуз ( на рабочей станции ) существовать локальному аккаунту с именем и паролем, идентичными имени и паролю пользователя в некоем домене - через который настроена аутентификация Сквида ( с помощью NTML-хелпера ).
Собственно, указание домена в настройках Сквида ( хелпера ) является единственной ассоциацией данного пользователя с доменом, правильно ли я понимаю ? Вопрос в том, необходимо ли наличие на рабочей станции клиента для сетей M$ с прописанным в нем доменом ? Как я понимаю, в данном случае - нет, ведь никакого контакта между рабочей станцией и собственно доменом не происходит ( они физически могут находиться в разных сетях ). Так или нет так ?
MSIE передает учетные данные в виде domain\user (кстати, только после третьего отлупа TCP_DENIED/407 от сквида). После чего эти данные проверяются на DC домена. Формально, каждый пользователь получает доступ к сквиду при наличии действующей учетки в домене. Однако, на практике, winbindd не давал положительный ответ сквиду от домена, если клиент не включен в этот домен - может MSIE не отправляет данные? Тут могу запросто ошибаться, эксплуатировать вышеописанный механизм приходилось по большей части на машинах-участниках домена.