<div dir="auto">FYI, this use case is why recent versions of kerberos auth helper being used in the OP config produces group= annotations for authenticated users. The note ACL mentioned can check for group SSID any of the fast access checks.<br><br>Amos</div><div style="line-height:1.5"><br><br>-------- Original message --------<br>From: Alex Rousskov <rousskov@measurement-factory.com><br>Date: Fri, 15 Jan 2021, 03:25<br>To: squid-dev@lists.squid-cache.org<br>Subject: Re: [squid-dev] effective acl for tcp_outgoing_address<br><blockquote>On 1/13/21 7:47 PM, Hideyuki Kawai wrote:<br><br>> 1. "external_acl" can not use on tcp_outgoing_address. Because the<br>> external_acl type is slow. My understanding is correct?<br><br><br>Yes, your understanding is correct. There are cases where a slow ACL<br>"usually works" with a tcp_outgoing_address directive due to ACL caching<br>side effects, and there are many examples on the web abusing those side<br>effects, but you should not rely on such accidents when using modern<br>Squid versions.<br><br><br>> 2. If yes, how to solve my requirement?<br><br>Use an annotation approach instead. The "note" ACL is fast, and the<br>external ACL helper can annotate transactions (and connections) in<br>modern Squids. The only difficulty with this approach is to find a<br>directive that satisfies all of the conditions below:<br><br>1. supports slow ACLs<br>2. evaluated after the info needed by the external ACL helper is known<br>3. evaluated before tcp_outgoing_address<br><br>In many cases, http_access is such a directive, but YMMV.<br><br><br>HTH,<br><br>Alex.<br>P.S. FWIW, I can agree with one Eliezer statement on this thread: This<br>thread belongs to squid-users, not squid-dev.<br>_______________________________________________<br>squid-dev mailing list<br>squid-dev@lists.squid-cache.org<br>http://lists.squid-cache.org/listinfo/squid-dev<br></blockquote></div>