Как вариант, давать интернет по MAC-адресам.
Если MAC в вашем случае не решение, тогда как вариант поднять еще один squid на другом порте и сделать там базовую авторизацию (пароль логин). Но можно иначе. Где-то в интернете пробегала статься как сделать двойную авторизацию LDAP+BASIC. Один хелпер проверяет через каталог Acitive Directory LDAP, а второй через внутреннею базу учеток.
Можно как вариант поднять дополнительно mpd (pptp-vpn) и завесить туда transparent proxy (тот же squid, на другом порте и адресе).
На мой взгляд у вас не очень сложная задача, и ее можно решить многими способами.