Squid + AD + ntlm через раз запрашивает у пользователя пароль

Имеется корпоративная сеть, около 60 машин.
Возникла необходимость поднять прокси сервер.

Взял связку Samba + Squid

Ядро:

proxy2 ~ # uname -a
Linux proxy2 2.6.39-gentoo-r3 #3 SMP Wed Aug 24 15:51:35 MSD 2011 x86_64 AMD Athlon(tm) 64 Processor 3000+ AuthenticAMD GNU/Linux

Сквид и самба:

net-proxy/squid-3.1.8  USE="epoll kerberos ldap mysql pam snmp ssl -caps -ecap -icap-client (-ipf-transparent) -ipv6 (-kqueue) -logrotate -nis (-pf-transparent) -postgres -radius -samba -sasl (-selinux) -sqlite -test -tproxy -zero-penalty-hit"

net-fs/samba-3.5.11  USE="acl ads aio client ldap netapi pam readline server smbclient syslog winbind -addns -avahi -caps -cluster -cups -debug -doc -examples -fam -ldb -quota -smbsharemodes -smbtav2 -swat" 

Вот конфиги (имя домена изменил на company.local):

/etc/samba/smb.conf

[global]
   workgroup = COMPANY
   netbios name = proxy2
   server string = %h server (%v)
   load printers = no
   printing = bsd
   printcap name = /dev/null
   disable spoolss = yes
   log file = /var/log/samba/log.%m
   max log size = 1000
   log level = 3
   hosts allow = 192.168.
   map to guest = bad user
   nt acl support = yes
   nt status support = yes
   security = ads
   password server = pdc.company.local
   passdb backend = tdbsam
   realm = company.local
   encrypt passwords = true
   winbind use default domain = yes
   winbind uid = 10000-20000
   winbind gid = 10000-20000
   winbind enum groups = yes
   winbind enum users = yes
   winbind offline logon = true
   winbind cache time = 900
   socket options = TCP_NODELAY SO_RCVBUF=16384 SO_SNDBUF=16384
   interfaces = 192.168.0.1/24
   local master = no
   os level = 0
   domain master = no
   preferred master = no
   domain logons = no
   name resolve order = host lmhosts bcast
   unix charset = UTF-8
   dos charset = 866
   display charset = UTF-8
   dns proxy = No

/etc/krb5.conf

[logging]
   default = FILE:/var/log/krb5libs.log
   kdc = FILE:/var/log/krb5kdc.log
   admin_server = FILE:/var/log/kadmind.log

[libdefaults]
   default_realm = COMPANY.LOCAL
   dns_lookup_realm = true
   dns_lookup_kdc = true
   ticket_lifetime = 24000
   #forwardable = yes

[realms]
COMPANY.LOCAL = {
   kdc = pdc.company.local
   admin_server = pdc.company.local
   default_domain = company.local
}

[domain_realm]
   .company.local = COMPANY.LOCAL
   company.local = COMPANY.LOCAL

/etc/squid/squid.conf

http_port 192.168.0.9:8080

#debug_options ALL,1 33,2
#debug_options ALL,1 28,9
#debug_options ALL,1 33,2 28,9

access_log /var/log/squid/access.log squid

cache_store_log none
cache_log /var/log/squid/cache.log

hosts_file /etc/hosts

error_directory /usr/share/squid/errors/ru-ru

cache_effective_user squid
cache_effective_group squid


auth_param negotiate program /usr/bin/ntlm_auth --helper-protocol=gss-spnego --require-membership-of="S-1-5-21-674429568-516021480-856271653-1304"
auth_param negotiate children 30
auth_param negotiate keep_alive off

auth_param ntlm program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp --require-membership-of="S-1-5-21-674429568-516021480-856271653-1304"
auth_param ntlm children 30
auth_param ntlm keep_alive off

auth_param basic program /usr/bin/ntlm_auth --helper-protocol=squid-2.5-basic --require-membership-of="S-1-5-21-674429568-516021480-856271653-1304"
auth_param basic children 5
auth_param basic credentialsttl 2 hours


acl manager proto cache_object
acl src_localhost src 127.0.0.0/8
acl src_company src 192.168.0.0/16
acl dst_localhost dst 127.0.0.0/8

acl   http_proto   proto   http
acl   ftp_proto   proto   ftp

acl ad_internet_users proxy_auth REQUIRED

acl ssl_ports port 443

acl purge_method method PURGE
acl head_method method HEAD

#acl bad_sites url_regex -i "/etc/squid/bw.regex"

acl Safe_ports port 80 88 21 443 563 70 210 1025-65535

acl dst_url_kav url_regex -i ^.*kaspersky\.com/.*


http_access allow manager src_localhost
http_access deny manager

#http_access deny bad_sites

http_access deny !Safe_ports

http_access allow purge_method src_localhost
http_access deny purge_method

http_access deny head_method

http_access allow src_company dst_url_kav
http_access allow src_company ad_internet_users
http_access allow src_localhost
http_access deny all


http_reply_access allow src_company


hierarchy_stoplist cgi-bin ?

acl QUERY urlpath_regex cgi-bin \?
no_cache deny QUERY

cache_mem 120 MB

cache_dir ufs /usr/local/squid/cache 50000 64 512

ignore_expect_100 on

Доступность в интернет определяется принадлежностью к группе безопасности internet-users (S-1-5-21-674429568-516021480-856271653-1304) в AD

В принципе все работает, пока ходишь по инету, но есть 2 засады, которые я вылечить не смог и прошу Вашей помощи:

1. При аплоаде вложения в веб-интерфейсе mail.ru на 2-м, а иногда на 3-м файле начинает истерично запрашивать у пользователей логин и пароль для доступа на прокси сервер, в логах при это сыпятся такие сообщения:

1314794227.505 0 192.168.3.5 TCP_DENIED/407 5357 POST http://e.mail.ru/cgi-bin/attach_upload2? - NONE/- text/html
1314794497.769 0 192.168.3.5 TCP_DENIED/407 5379 POST http://e.mail.ru/cgi-bin/attach_upload2? - NONE/- text/html

как будто пользователи не отсылают логин и пароль для авторизации на прокси.... хотя стоит только обновить страницу, появляются GET запросы:

1314794492.247 60 192.168.3.5 TCP_MISS/200 374 GET http://mail.radar.imgsmail.ru/update? rinat DIRECT/217.69.129.191 image/gif

И авторизация вроде проходит нормально...

2. Регулярно в логах появляются запреты TCP_DENIED/407 притом как-то хаотично...

Куда копать что искать?

Все что нагуглил, это что вроде как IE отсылает параметры авторизации не каждый раз и только после ответов 407 отсылает повторно... но трабл то есть и на опере и в лисе....

Все проходит, если отключить проверку авторизации, все начинают ходить в интернет без ошибок, но мне так не надо

Заранее всех благодарю