Имеется:

Схема: контроллер домена - win 2008 standart шлюз, dns, squid - debian 8 (без samba и она тут вовсе не нужна) клиент - win машина в домене, но могут быть и не в домене

Цель - на уровне домена добавлять юзеров в три-четыре специальные группы, и исходя из этого они будут или не будут получать доступ в интернет.

Способ - прозрачный прокси (squid), negotiate_wrapper_auth, ldap_utils...

Ситуация: по многочисленным мануалам настроил, мануалы вообще простые и не отличаются друг от друга практически, только некоторые староваты и пришлось погуглить и изменить некоторые названия (например ntlm_auth уже был заменен на ntlm_smb_lm_auth...). В cache.log сквида получаю вот такое: 2017/01/09 00:08:29| negotiate_wrapper: Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKAAAoAAAADw==' from squid (length: 59).
2017/01/09 00:08:29| negotiate_wrapper: Decode 'TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKAAAoAAAADw==' (decoded length: 40).
2017/01/09 00:08:29| negotiate_wrapper: received type 1 NTLM token
ntlm_smb_lm_auth.cc(482): pid=51375 :managing request
ntlm_smb_lm_auth.cc(488): pid=51375 :ntlm authenticator. Got 'YR TlRMTVNTUAABAAAAl4II4gAAAAAAAAAAAAAAAAAAAAAKAAAoAAAADw==' from Squid
ntlm_smb_lm_auth.cc(438): pid=51375 :obtain_challenge: selecting MYDOMAIN.RU\PDC (attempt #1)
ntlm_smb_lm_auth.cc(450): pid=51375 :attempting challenge retrieval
ntlm_smb_lm_auth.cc(154): pid=51375 :Connecting to server PDC domain MYDOMAIN.RU
ntlm_smb_lm_auth.cc(452): pid=51375 :make_challenge retuned 0x7f437af564c0
ntlm_smb_lm_auth.cc(454): pid=51375 :Got it
ntlm_smb_lm_auth.cc(623): pid=51375 :sending 'TT TlRMTVNTUAACAAAADQANACgAAACCgkEA8Fh11XiaEP4AAAAAAAAAAExBTi4xMi5PUkcuUlU=' to squid
2017/01/09 00:08:29| negotiate_wrapper: Return 'TT TlRMTVNTUAACAAAADQANACgAAACCgkEA8Fh11XiaEP4AAAAAAAAAAExBTi4xMi5PUkcuUlU=
'
IE, ни секунды не раздумывая, говорит «Не удалось отобразить страницу», при этом пароль не запрашивая, т.е. отсылает его сам.

Уже даже не знаю что именно гуглить, помогите, кто чем может, пожалуйста.

Конфиг squid:

auth_param negotiate program /usr/lib/squid3/negotiate_wrapper_auth -d --ntlm /usr/lib/squid3/ntlm_smb_lm_auth -d -b MYDOMAIN.RU\pdc --kerberos /usr/lib/squid3/negotiate_kerberos_auth -d -s HTTP/gateway.MYDOMAIN.RU
auth_param negotiate children 10
auth_param negotiate keep_alive on

auth_param ntlm program /usr/lib/squid3/ntlm_smb_lm_auth -d -b MYDOMAIN.RU\pdc
auth_param ntlm children 10
auth_param ntlm keep_alive on

####### provide access via ldap for clients not authenticated via kerberos
auth_param basic program /usr/lib/squid3/basic_ldap_auth -R \
-b «dc=MYDOMAIN,dc=ru» \
-D sso@MYDOMAIN.RU \
-w «PASSWORD» \
-f sAMAccountName=%s \
-h pdc.MYDOMAIN.RU
auth_param basic children 10
auth_param basic realm Internet Proxy
auth_param basic credentialsttl 1 minute
####### ldap authorizations

# restricted proxy access logged
external_acl_type internet_users %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -K \
-b «dc=MYDOMAIN,dc=ru» \
-D sso@MYDOMAIN.RU \
-w «PASSWORD» \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=Internet Users,ou=Domain Groups,dc=MYDOMAIN,dc=ru))" \
-h pdc.MYDOMAIN.RU
# full proxy access no logging
external_acl_type internet_users_full_nolog %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -K \
-b «dc=MYDOMAIN,dc=ru» \
-D sso@MYDOMAIN.RU \
-w «PASSWORD» \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=Internet Users Full NoLog,ou=Domain Groups,dc=MYDOMAIN,dc=ru))" \
-h pdc.MYDOMAIN.RU
# full proxy access logged
external_acl_type internet_users_full_log %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -K \
-b «dc=MYDOMAIN,dc=ru» \
-D sso@MYDOMAIN.RU \
-w «PASSWORD» \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=Internet Users Full Log,ou=Domain Groups,dc=MYDOMAIN,dc=ru))" \
-h pdc.MYDOMAIN.RU

Есть папка share, права на неё 755, владелец admin группа user

Внутри неё существует ряд папок. У некоторых папок владелец admin группа admin, права 777 (назовём их папками первого вида), у других папок владелец user группа user, права 755 (назовём их папками второго вида). Внутри папок обоих видов все файлы и подпапки имеют владелец user, группа user, но доступ к файлам 666, а доступ к подпапкам 777.

Конфиг самбы:

workgroup = workgroup netbios = WORKGROUP security = share guest account = user

interfaces = 10.11.1.0/24 eth0 encrypt passwords = true

passdb backend = tdbsam

obey pam restrictions = yes

unix password sync = yes

pam password change = yes

map to guest = bad user

usershare allow guests = yes

[share] path = /home/user/share comment = buh writable = yes guest ok = yes read only = no create mask = 0666 directory mask = 0777

[printers] comment = All Printers browseable = no path = /var/spool/samba printable = yes guest ok = no read only = yes create mask = 0700

[print$] comment = Printer Drivers path = /var/lib/samba/printers browseable = yes read only = yes guest ok = no

Теперь сама ситуация:

Внутри папок первого вида можно делать что угодно, права полные. В корне папок второго вида нельзя вносить изменения в существующие файлы, т.е. создать можно, удалить нельзя, редактировать нельзя, но если зайти в подпапку папок второго вида, то там доступ полный.

Если в корне шары (share) на папки первого вида сделать chmod, то всё получится, но если сделать chmod на папки второго вида, то сначала новые права применятся, но через 2-3 секунды вернутся 755. Если отключить самбу - права можно менять и на папки второго вида, но после включения самбы на них опять возвращается 755.

Как быть, что делать?