squid + 2 механизма аутентификации: в каких случаях происходит переход от первого механизма ко второму?

Чтобы этого не происходило никогда, достаточно выполнить одно из 2х условий:
Не использовать basic.
На виндовых клиентах только firefox.

в каких случаях происходит переход от первого механизма ко второму?

Это происходит только на клиенте. Бесконтрольно, насколько мне известно, это происходит только на винде. Лечится перезагрузкой клиента.

Краткий ответ: никто не знает когда и почему ломает башню виндовым ие и хрому. На сколько мне известно фокс неподвержен.
Детальный: браузер берёт список методов у прокси и выбирает «лучший». По неизвестным причинам ие и хром вдруг переходят на basic, причём в тяжёлых случаях сворачивания башни у ие применяется авторизация basic не сессионно, а например на каждую картинку. Перезагрузка спасает может быть на 1 час, а может быть на 1 месяц.

p.s. Наблюдалась гетерогенная сеть на 450+ клиентов в течении нескольких лет.
p.s.s. весь софт, что не может жить без basic -> в отдельный прокси

Спасибо

Хотя в магию верить не хочется, попробую собрать дамп и поискать закономерность. Главное, чтоб меня безопасники потом за яйца не повесили... :)

На моей памяти подобные проблемы решаются переходом на керберос авторизацию, там же можно как резервное и ntlm и basic. Только у меня всёж squid 3.5 .

Нет никакой магии, что-то ломается при определённом виде url. Можешь их насобирать и попытаться выяснить закономерность, правда чем тебе это поможет, если внутренности изменить нельзя. Отправная точка - если в IE домашняя страница дефолтная - он возьмёт первый отданный метод. Если любая другая - возьмёт «лучший»

Еще от настроек браузера может зависеть. Для IE: Security->Automatic Loggon Only in Intranet zone. Если сайт не в зоне Интранет, то посылать NTLM-хэш своего пароля кому попало небезопасно.
Есть возможность воспроизвести проблему, посмотреть на диалог сервера и клиента?