<div dir="ltr"><div>
>LDAP is a database type, it is not specifically tied to the type of<br>
>credentials used either. For example; have you looked into using<br>
>Kerberos authentication? this over clear-text is similar or sometimes<br>
>more secure than TLS.

<br><br></div>Unfortunately administrators of LDAP can only provide basic authentication scheme, so I am stuck with TLS proxy , plus there are 16 squid boxes that a layer 7 load balancer routes the traffic depending on the hash of the url , so I think even if the administrators of openldap could provide me with kerberos or ntlm authentication I could not load balance the traffic based on url . <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Apr 21, 2018 at 12:19 AM, Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 21/04/18 06:55, Panagiotis Bariamis wrote:<br>
>>"credentials" does not necessarily mean passwords.<br>
> <br>
>>TLS also sends credentials in clear. It just happens those credentials<br>
>>are called certificates. Likewise all auth schemes in HTTP (except<br>
>>Basic) send security tokens of various types - not passwords.<br>
> <br>
> When referring to credentials I mean basic ldap authentication for squid<br>
> servers.<br>
> Those are sent in plain text (well base64) in every request. So my<br>
> concern is the client to proxy encryption so as to protect those<br>
> credentials.<br>
> <br>
<br>
</span>LDAP is a database type, it is not specifically tied to the type of<br>
credentials used either. For example; have you looked into using<br>
Kerberos authentication? this over clear-text is similar or sometimes<br>
more secure than TLS.<br>
<br>
 <<a href="http://www.squid-cache.org/Versions/v3/3.5/manuals/negotiate_kerberos_auth.html" rel="noreferrer" target="_blank">http://www.squid-cache.org/<wbr>Versions/v3/3.5/manuals/<wbr>negotiate_kerberos_auth.html</a>><br>
 <<a href="http://www.squid-cache.org/Versions/v3/3.5/manuals/ext_kerberos_ldap_group_acl.html" rel="noreferrer" target="_blank">http://www.squid-cache.org/<wbr>Versions/v3/3.5/manuals/ext_<wbr>kerberos_ldap_group_acl.html</a>><br>
<br>
That is the recommended Best Practice form of authentication with MSIE<br>
and avoids the need for TLS solely to secure the credentials. Other<br>
reasons for TLS remain, but are less important.<br>
<span class="HOEnZb"><font color="#888888"><br>
Amos<br>
</font></span></blockquote></div><br></div>