<div dir="ltr">I have configured a Squid 3 proxy server on Debian 7, integrated with Samba 4 domain.<br><br>For windows machines integrated in the domain, Squid uses the network user credential to allow navigation.<br><br>On Linux stations, even in the domain, when is opened the browser, the user's password is requested. When the user type the correct password in the first time, access is allowed. However if the user wrong the password, a new authentication is required. Now is that the problem starts. Even that user to enter the correct password, appear again a box asking the username and password. In this point is not more possible authenticate in the proxy. It is as if the user were wrong the password. To work the user needs logout and logon again and enter the correct password first time in the browser.<br><br>Does anyone have an idea what can be?<br><br>This is my squid.conf<br><br>### Configuracoes Basicas<br>http_port 3128<br><br>#hierarchy_stoplist cgi-bin ?<br><br>### Bloqueia o cache de CGI's<br>acl QUERY urlpath_regex cgi-bin \?<br>cache deny QUERY<br><br>maximum_object_size 4096 KB<br>minimum_object_size 0 KB<br>maximum_object_size_in_memory 64 KB<br>cache_mem 60 MB<br><br>#Para não bloquear downloads<br>quick_abort_min -1 KB<br><br>detect_broken_pconn on<br><br>pipeline_prefetch on<br><br>fqdncache_size 1024<br><br>### Parametros de atualizacao da memoria cache<br>refresh_pattern ^ftp:    1440    20%    10080<br>refresh_pattern ^gopher:    1440    0%    1440<br>refresh_pattern -i (/cgi-bin/|\?) 0 0%     0<br>refresh_pattern .        0    20%    4320<br><br>### Parametros de cache em RAM e HD<br>cache_swap_low 90<br>cache_swap_high 95<br><br>### Localizacao dos logs<br>cache_access_log /var/log/squid3/access.log<br>cache_log /var/log/squid3/cache.log<br>cache_store_log /var/log/squid3/store.log<br><br><br>### define a localizacao do cache de disco, tamanho, qtd de diretorios pai e subdiretorios<br>cache_dir aufs /var/spool/squid3 600 16 256<br><br>#Controle do arquivo de log<br>logfile_rotate 10<br><br>hosts_file /etc/hosts<br><br>#Libera acesso ao site da caixa<br>acl caixa dstdomain .<a href="http://caixa.gov.br">caixa.gov.br</a><br>always_direct allow caixa<br>cache deny caixa<br><br><br>### Realiza a autenticacao no AD via Winbind<br><br># NTLM <br># para quem esta logado em maquinas windows, aproveita a senha do logon<br>auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp<br>auth_param ntlm children 30<br><br>#auth_param ntlm keep_alive on<br><br><br># para clientes nao windows, user/senha tem de ser solicitado<br>auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic<br>auth_param basic children 5<br>auth_param basic realm "Acesso Monitorado"<br>auth_param basic credentialsttl 2 hours<br><br>external_acl_type ad_group ipv4 ttl=600 children-max=35 %LOGIN /usr/lib/squid3/ext_wbinfo_group_acl<br><br><br>### ACLs<br><br>#acl manager proto cache_object<br>acl localhost src <a href="http://192.168.0.1/32">192.168.0.1/32</a><br>acl SSL_ports port 22 443 563     # https, snews<br>acl Safe_ports port 80        # http<br>acl Safe_ports port 21        # ftp<br>acl Safe_ports port 443 563    # https, snews<br>acl Safe_ports port 70        # gopher<br>acl Safe_ports port 210        # wais<br>acl Safe_ports port 1025-65535    # unregistered ports<br>acl Safe_ports port 280        # http-mgmt<br>acl Safe_ports port 488        # gss-http<br>acl Safe_ports port 591        # filemaker<br>acl Safe_ports port 777        # multiling http<br>acl Safe_ports port 3001        # imprenssa nacional<br><br>acl purge method PURGE<br>acl CONNECT method CONNECT<br><br><br>### Regras iniciais do Squid<br><br>http_access allow manager localhost<br>http_access deny manager<br>http_access allow purge localhost<br>http_access deny purge<br>http_access deny !Safe_ports<br>http_access deny CONNECT !SSL_ports<br><br>#acl manager proto cache_object<br><br>acl connect_abertas maxconn 8<br><br><br># acl ligada a autenticacao<br>acl grupo_admins external ad_group gg_webadmins<br>acl grupo_liberado external ad_group gg_webliberados <br>acl grupo_restrito external ad_group gg_webcontrolados<br><br><br>### Bloqueia extensoes de arquivos<br>acl extensoes_bloqueadas url_regex -i "/etc/squid3/acls/extensoes-proibidas"<br><br>### Liberar alguns sites<br>acl sites_liberados url_regex -i "/etc/squid3/acls/sites-permitidos"<br><br>### Bloqueia sites por URL<br>acl sites_bloqueados url_regex -i "/etc/squid3/acls/sites-proibidos"<br><br>### Realiza o bloqueio por palavras<br>acl palavras_bloqueadas url_regex -i "/etc/squid3/acls/palavras-proibidas"<br><br><br>### Exige autenticacao<br>acl autenticados proxy_auth REQUIRED<br><br><br>#libera o grupo internet<br>http_access allow grupo_admins<br><br>http_access deny extensoes_bloqueadas<br>http_access allow sites_liberados<br>http_access deny sites_bloqueados <br>http_access deny palavras_bloqueadas <br><br>##### Libera acesso ao grupo de chefes<br>http_access allow grupo_liberado<br><br>### Liberando midia social e musica no horario do almoco<br>acl almoco time 11:30-13:30<br>http_access allow almoco<br><br>#bloqueia midia social durante o expediente<br>acl social_proibido url_regex -i "/etc/squid3/acls/media-social"<br>http_access deny social_proibido<br><br># Regra para bloqueio de extensoes de radios online / arquivos de streaming:<br>acl streaming req_mime_type -i "/etc/squid3/acls/mimeaplicativo"<br><br>#acl proibir_musica urlpath_regex -i "/etc/squid3/acls/audioextension"<br>acl proibir_musica url_regex -i "/etc/squid3/acls/audioextension"<br>http_access deny proibir_musica<br>http_reply_access deny streaming <br><br>### Controle de banda<br>### So existe um pool (1)<br>delay_pools 1<br>### nr do pool (1) e tipo de classe (2): total da banda disponivel e total de banda por usuario <br>delay_class 1 2<br><br>### aprox 32Mbps para todos e 500Kbps para cada usuario <br>delay_parameters 1 4194304/4194304 64000/64000<br>delay_access 1 allow grupo_restrito<br><br>http_access allow grupo_restrito<br><br>#liberando acesso a todos os usuarios autenticados<br>#http_access deny !autenticados<br>http_access allow autenticados<br><br>### Rede Local #####<br>acl rede_local src <a href="http://192.168.0.0/22">192.168.0.0/22</a><br><br>### Nega acesso de quem nao esta na rede local<br>http_access deny !rede_local<br><br>#negando o acesso para todos que nao estiverem nas regras anteriores<br>http_access deny all<br><br>visible_hostname <a href="http://proxy.empresa.com.br">proxy.empresa.com.br</a><br><br><br>### Erros em portugues<br>error_directory /usr/share/squid3/errors/Portuguese<br><br>#cache_effective_user proxy<br>coredump_dir /var/spool/squid3<br><br></div>