второй день туплю, прошу помочь хочу сделать прозрачный прокси с kerberos и чтобы группы фильтровал

squid.conf

shutdown_lifetime 5
cache_dir ufs /var/squid/cache 2048 16 256
maximum_object_size 10024
visible_hostname «ZSTTK Proxy»
auth_param negotiate program /usr/lib64/squid/squid_kerb_auth
auth_param negotiate children 10
auth_param negotiate keep_alive on
external_acl_type ldap_verify %LOGIN /usr/lib64/squid/squid_ldap_group -b dc=zsttk,dc=ru -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=cn=%a,cn=Users,dc=zsttk,dc=ru))" -D squidt@zsttk.ru -W /etc/squid/zsttk.ru.passwd -R -K -p 3268 -h nsksrvdc02.zsttk.ru acl manager proto cache_object
acl localhost src 127.0.0.1/32
acl to_localhost dst 127.0.0.0/8 0.0.0.0/32
acl SSL_ports port 443
acl Safe_ports port 80 # http
acl Safe_ports port 21 # ftp
acl Safe_ports port 443 # https
acl CONNECT method CONNECT
acl localnet src 10.7.0.0/23
acl to_localnet dst 10.7.0.0/23
acl users external ldap_verify squid_test
acl users-list external ldap_verify squid-list
#acl whitelist dstdomain «/etc/squid/whitelist»
acl allusers proxy_auth REQUIRED
http_access allow manager localhost
http_access allow localhost
http_access deny manager
http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow users
#http_access allow users-list whitelist
http_access deny !allusers all
http_access deny all
http_port 10.7.0.243:3129
http_port 127.0.0.1:3129
hierarchy_stoplist cgi-bin ?
coredump_dir /var/spool/squid
refresh_pattern ^ftp: 1440 20% 10080
refresh_pattern ^gopher: 1440 0% 1440
refresh_pattern -i (/cgi-bin/|\?) 0 0% 0
refresh_pattern . 0 20% 4320

kinit - работает, авторизацию проходит. хелпер скивда squid_ldap_group тоже отрабатывает время синхронизировано с ад

в итоге не о какой прозрачности и речи нет браузер постоянно сыплет окошками с логином и паролем а в итоге еще и не пускает.

если нужно лог, напишите выложу.

лично я думаю что дело в конфиге сквида. ткните носом, буду благодарен.