Hola, yo tuve el mismo problema y encontré dos soluciones posibles, utilicé la primera que describo:
Primera Solución:
1. Configurar el proxy como single-sign-on.
2. Crear mis reglas de acceso (por defecto el proxy cachea el puerto 80, 443 y otros cuando no es transparente), aquí puedes usar los grupos creados en tu AD.
3. Crear una GPO para configurar el acceso a internet de los clientes mediante el proxy, ademas de evitar que lo puedan cambiar.
4. Adicional a esto, como no todos los clientes van a iniciar sesión en el dominio, el firewall tiene habilitada la navegación a internet en donde personalizo unas reglas en el iptables para bloquear el acceso a las paginas bloquedas en el proxy, la regla de iptables es:
iptables –I FORWARD –p tcp –dport <xxx> -m iprange --src-range <rango de IPs> –m string --string ‘<dominio>’ --algo bm –j DROPLos valores en negrilla son los que deberias cambiar.
Esto lo configuras en el archivo: /etc/zentyal/hooks/firewall.postservice
Lee esto para que entiendas que son los hooks:
http://doc.zentyal.org/es/appendix-c.html#personalizacion-avanzada-de-serviciosSegunda solución:
1. Habilitar el proxy como transparente para el puerto 80
2. Paso 4 de la anterior, filtrando las paginas por el puerto 443.
El único inconveniente que he encontrado hasta ahora es que cuando los usuarios quieran ingresar a estas paginas simplemente el navegador les dirá que no encuentra la pagina luego de esperar varios segundos, no hay una pagina de bloqueo como en el proxy.
Saludos