<div dir="ltr"><div><div>Hi,<br><br>My problem with Squid 3.4.8 is the following :<br><br>The ext_ldap_group_acl locates the user group of a user, but even if find the first group (eg "administrators") in which the user is a member continue to search for all groups that the user is a member, so authenticate the user only in his last group, in the my case is the Domain Users group.<br><br>This way, only rules to Domain Users is working in my Squid Server. Rules to admins users and others do not work.<br><br>I have the message in  /var/log/squid3/cache.log:<br><br>2015/12/10 06:36:33 kid1| helperOpenServers: Starting 1/50 'basic_ldap_auth' processes<br>ext_ldap_group_acl.cc(583): pid=24059 :Connected OK<br>ext_ldap_group_acl.cc(722): pid=24059 :group filter '(&(objectclass=person)(sAMAccountName=ze)(memberof=cn=webadmins,DC=empresa,DC=com,DC=br ))', searchbase 'DC=empresa,DC=com,DC=br'<br>2015/12/10 06:36:34 kid1| Starting new redirector helpers...<br>2015/12/10 06:36:34 kid1| helperOpenServers: Starting 1/20 'squidGuard' processes<br>ext_ldap_group_acl.cc(583): pid=24059 :Connected OK<br>ext_ldap_group_acl.cc(722): pid=24059 :group filter '(&(objectclass=person)(sAMAccountName=ze)(memberof=cn=webliberados,DC=empresa,DC=com,DC=br  ))', searchbase 'DC=empresa,DC=com,DC=br'<br>ext_ldap_group_acl.cc(583): pid=24060 :Connected OK<br>ext_ldap_group_acl.cc(722): pid=24060 :group filter '(&(objectclass=person)(sAMAccountName=ze)(memberof=cn=domain%20users,DC=empresa,DC=com,DC=br))', searchbase 'DC=empresa,DC=com,DC=br'<br>2015/12/10 06:38:04 kid1| Starting new redirector helpers...<br><br><br>Here is my squid.conf<br><br>http_port 3128<br>cache_mem 512 MB<br>cache_swap_low 80<br>cache_swap_high 90<br>maximum_object_size 512 MB<br>minimum_object_size 0 KB<br>maximum_object_size_in_memory 4096 KB<br>cache_replacement_policy heap LFUDA<br>memory_replacement_policy heap LFUDA<br>quick_abort_min -1 KB<br>detect_broken_pconn on<br>fqdncache_size 1024<br>refresh_pattern ^ftp:    1440    20%    10080<br>refresh_pattern ^gopher:    1440    0%    1440<br>refresh_pattern -i (/cgi-bin/|\?) 0 0%     0<br>refresh_pattern .        0    20%    4320<br>access_log /var/log/squid3/access.log<br>cache_log /var/log/squid3/cache.log<br>cache_dir aufs /var/spool/squid3 600 16 256<br><br>auth_param basic program /usr/lib/squid3/basic_ldap_auth -R -b DC=empresa,DC=com,DC=br -D CN=proxy,CN=Users,DC=empresa,DC=com,DC=br -w 12345 -h 192.168.0.25 -p 389 -s sub -v 3 -f "sAMAccountName=%s"<br>auth_param basic children 50<br>auth_param basic realm Proxy Server Squid<br>auth_param basic credentialsttl 2 hours<br>auth_param basic casesensitive off<br><br>external_acl_type ad_group %LOGIN /usr/lib/squid3/ext_ldap_group_acl -d -R -b DC=empresa,DC=com,DC=br -D <a href="mailto:proxy@empresa.com.br">proxy@empresa.com.br</a> -w 12345 -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,DC=empresa,DC=com,DC=br ))" -h 192.168.0.25<br><br>visible_hostname <a href="http://proxy.empresa.com.br">proxy.empresa.com.br</a><br>acl localhost src <a href="http://192.168.0.1/32">192.168.0.1/32</a><br>acl SSL_ports port 22 443 563 <br>acl Safe_ports port 21         <br>acl Safe_ports port 70         <br>acl Safe_ports port 80          <br>acl Safe_ports port 88         <br>acl Safe_ports port 210        <br>acl Safe_ports port 280         <br>acl Safe_ports port 389          <br>acl Safe_ports port 443          <br>acl Safe_ports port 464         <br>acl Safe_ports port 488         <br>acl Safe_ports port 563         <br>acl Safe_ports port 591        <br>acl Safe_ports port 777         <br>acl Safe_ports port 1025-65535    <br>acl purge method PURGE<br>acl CONNECT method CONNECT<br>http_access deny !Safe_ports<br>http_access deny CONNECT !SSL_ports<br>http_access allow manager localhost<br>http_access deny manager<br>http_access allow purge localhost<br>http_access deny purge<br>acl grupo_admins external ad_group webadmins<br>acl grupo_liberado external ad_group webliberados <br>acl grupo_restrito external ad_group domain%20users<br>acl autenticados proxy_auth REQUIRED<br>http_access deny !autenticados<br>http_access allow grupo_admins<br>acl extensoes_bloqueadas url_regex -i "/etc/squid3/acls/extensoes-proibidas"<br>acl sites_liberados url_regex -i "/etc/squid3/acls/sites-permitidos"<br>acl sites_bloqueados url_regex -i "/etc/squid3/acls/sites-proibidos"<br>http_access deny extensoes_bloqueadas<br>http_access allow sites_liberados<br>http_access deny sites_bloqueados <br>http_access allow grupo_liberado<br>redirect_program /usr/bin/squidGuard<br>redirect_children 20<br>redirector_bypass on<br>http_access allow grupo_restrito<br>acl lan src <a href="http://192.168.0.0/22">192.168.0.0/22</a><br>http_access allow lan<br>http_access deny all<br>error_directory /usr/share/squid3/errors/en<br>coredump_dir /var/spool/squid3<br><br></div>Regards,<br><br></div>Márcio<br><div><div><br><br></div></div></div>