
<div dir="auto">if you will provide a squid.conf we can try to use this and give you an example.</div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Fri, Jan 15, 2021, 02:54 Hideyuki Kawai <<a href="mailto:h.kawai@ntt.com">h.kawai@ntt.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div lang="JA" link="#0563C1" vlink="#954F72">

<div>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Dear Amos, Alex, Eliezer,<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Thank you for your support.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Sorry for my low experience and knowledge…<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Your comment is helpful for me, and could you let me know more about "note" ACL.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">I can not understand it, even checking the website.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Q1. Could you let me know about “note” ACL?<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Q2. If possible, sample config which is using(combined) “ext_kerberos_ldap_group_acl” and “tcp_outgoing_address” and “note ACL”.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Again, thanks for your support.<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Best regards,<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ">Kawai<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US" style="font-size:11.0pt;font-family:メイリオ"><u></u> <u></u></span></p>

<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> squid-dev <<a href="mailto:squid-dev-bounces@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-dev-bounces@lists.squid-cache.org</a>>

<b>On Behalf Of </b>?Amos Jeffries?<br>

<b>Sent:</b> Friday, January 15, 2021 8:16 AM<br>

<b>To:</b> Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com" target="_blank" rel="noreferrer">rousskov@measurement-factory.com</a>>; <a href="mailto:squid-dev@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-dev@lists.squid-cache.org</a><br>

<b>Subject:</b> Re: [squid-dev] effective acl for tcp_outgoing_address<u></u><u></u></span></p>

<p class="MsoNormal"><span lang="EN-US"><u></u> <u></u></span></p>

<div>

<p class="MsoNormal"><span lang="EN-US">FYI, this use case is why recent versions of kerberos auth helper being used in the OP config produces group= annotations for authenticated users. The note ACL mentioned can check for group SSID any of the fast access

 checks.<br>

<br>

Amos<u></u><u></u></span></p>

</div>

<div>

<p class="MsoNormal"><span lang="EN-US"><br>

<br>

-------- Original message --------<br>

From: Alex Rousskov <<a href="mailto:rousskov@measurement-factory.com" target="_blank" rel="noreferrer">rousskov@measurement-factory.com</a>><br>

Date: Fri, 15 Jan 2021, 03:25<br>

To: <a href="mailto:squid-dev@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-dev@lists.squid-cache.org</a><br>

Subject: Re: [squid-dev] effective acl for tcp_outgoing_address<u></u><u></u></span></p>

<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">

<p class="MsoNormal"><span lang="EN-US">On 1/13/21 7:47 PM, Hideyuki Kawai wrote:<br>

<br>

> 1. "external_acl" can not use on tcp_outgoing_address. Because the<br>

> external_acl type is slow. My understanding is correct?<br>

<br>

<br>

Yes, your understanding is correct. There are cases where a slow ACL<br>

"usually works" with a tcp_outgoing_address directive due to ACL caching<br>

side effects, and there are many examples on the web abusing those side<br>

effects, but you should not rely on such accidents when using modern<br>

Squid versions.<br>

<br>

<br>

> 2. If yes, how to solve my requirement?<br>

<br>

Use an annotation approach instead. The "note" ACL is fast, and the<br>

external ACL helper can annotate transactions (and connections) in<br>

modern Squids. The only difficulty with this approach is to find a<br>

directive that satisfies all of the conditions below:<br>

<br>

1. supports slow ACLs<br>

2. evaluated after the info needed by the external ACL helper is known<br>

3. evaluated before tcp_outgoing_address<br>

<br>

In many cases, http_access is such a directive, but YMMV.<br>

<br>

<br>

HTH,<br>

<br>

Alex.<br>

P.S. FWIW, I can agree with one Eliezer statement on this thread: This<br>

thread belongs to squid-users, not squid-dev.<br>

_______________________________________________<br>

squid-dev mailing list<br>

<a href="mailto:squid-dev@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-dev@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-dev" target="_blank" rel="noreferrer">http://lists.squid-cache.org/listinfo/squid-dev</a><u></u><u></u></span></p>

</blockquote>

</div>

</div>

</div>


_______________________________________________<br>

squid-dev mailing list<br>

<a href="mailto:squid-dev@lists.squid-cache.org" target="_blank" rel="noreferrer">squid-dev@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-dev" rel="noreferrer noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-dev</a><br>

</blockquote></div>