Что делает прокси-сервер squid при отрицании регулярного выражения acl proxy_auth в правиле?

Помощник NTLM auth помечает пользователей как авторизованных, только если они являются членами группы AD. Помощник Kerberos auth помечает пользователя как авторизованного, если он смог войти в систему, проверка группы не может быть выполнена помощником Kerberos, поэтому мне нужна внешняя программа ACL, которая проверяет через LDAP, разрешено ли этому пользователю использовать Кальмар.

Я должен разрешить только пользователям, авторизованным через NTLM напрямую, авторизованные пользователи Kerberos разрешены после успешной внешней проверки LDAP.

Пользователи Kerberos отображаются как sAMAccountName @ REALM, например "user@COMPANY.LOCAL"

Пользователи NTLM отображаются как sAMAccountName, например "пользователь"

У меня есть ACL:

# External ACL helper returns OK (User is in given LDAP group)
acl ldap_group_check external squid_kerb_ldap
# Username contains character '@'
acl kerberos_without_ldap_auth proxy_auth_regex (@)

И это Правила:

# Default: Kerberos + LDAP group check
http_access allow ldap_group_check
# Fallback: NTLM
http_access allow !kerberos_without_ldap_auth

Вот мой вопрос: при чем тут правило

http_access allow !kerberos_without_ldap_auth

значит? Есть ли у меня проблема с безопасностью в моей конфигурации?

Означает ли это "Все пользователи, кроме пользователей с '@' в имени пользователя" => плохо, потому что тогда пользователи, не прошедшие аутентификацию, тоже будут разрешены

или "Все аутентифицированный пользователей, за исключением пользователей с '@' в их имени пользователя "? => глупая вещь, потому что тогда будут разрешены только пользователи NTLM (Успешный Kerberos И Пользователи LDAP разрешены уже из первого правила, из-за кальмаров "первый матч выигрывает")