Serwer Proxy z uwierzytelnieniem przez Kerberosa

[Jo_gurt]

Cześć,
szukam sensownego rozwiązania mającego na celu filtrowanie WWW w dość sporej sieci opartej na Active Directory.
W tym momencie wdrożony jest Squid + NTLM, ale niestety pojawiają się z tym rozwiązaniem problemy przy podnoszeniu poziomu domeny do Win2008R2, a i na Win2003 bywa różnie (potrafi bez konkretnej przyczyny pytać o hasło/login).
Teoretycznie Squid powinien obsłużyć Kerberosa, ale jakoś nie bardzo mi chce to wyjść - a przegrzebałem kilkanaście już tutoriali.

Znacie coś innego? A może jakaś dobra i przetestowana strona na temat konfiguracji Squida + Kerberos?

Są oczywiście rozwiązania typu MS ISA, ale to jest jednak spory koszt.