Estou usando o Squid como um proxy não transparente para autenticar (e banco de dados) o acesso de usuários a sites da Web em produção e funciona muito bem.
Eu estou rodando no Win32, então a integração com o Active Directory tem sido bastante indolor. Como tal, não posso falar com os méritos relativos do WinBind versus o LDAP.
A funcionalidade de "bypass" que você está procurando re: usuários anônimos com acesso a alguns sites está documentada em o wiki do Squid . Eu não tentei o exemplo de configuração lá em uma instância real do Squid. Depois de ler a primeira configuração de amostra, eu diria que ela deve funcionar "como anunciado". Parece que o truque (já que o Squid analisa as ACLs de cima para baixo, resgatando após a primeira ACL que atende à solicitação) é colocar as ACLs de acesso anônimo antes de ACLs que dependem da autenticação .