
<div dir="ltr"><div><div><div><div><div><div>Hi Amos,<br><br></div>Thanks for your help,<br><br></div>buit if i don't put the line <span class="im">http_access deny !Group_Allowed, user not in the group connect connect<br></span></div><span class="im">and access to all internet<br><br></span></div><span class="im">my config:<br><br><br><br>######################################################################<br># ACL pour les Droits d'accès d'apres l'Active Directory<br>######################################################################<br>acl Authentification proxy_auth REQUIRED<br>http_access deny !Authentification<br>acl Group_Allowed external AD_Group Internet-Access<br>http_access allow Group_Allowed<br>#http_access deny !Group_Allowed<br>######################################################################<br><br>#always_direct deny Authentification<br>http_access allow Lan<br>http_access deny all<br><br><br><br><br><br><br></span></div><span class="im">i see that i have a <br></span><br><span class="im">http_access allow Lan<br><br></span></div><span class="im">it's not this the problems ?<br></span><div><div><div><span class="im"><br><br></span></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-07 11:44 GMT+01:00 Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 7/02/2016 9:39 p.m., Olivier CALVANO wrote:<br>

> Hi<br>

><br>

> i have a problems with AD Group, i use this config:<br>

><br>

><br>

> external_acl_type AD_Group children-startup=5 children-max=100<br>

> concurrency=80 ttl=1800 negative_ttl=900 %LOGIN<br>

> /usr/lib64/squid/ext_ldap_group_acl -d -S -K -R -b DC=mydomain,DC=fr -D<br>

> cn=UserAdmin,ou=vpn,dc=mydomain,dc=fr -w "Pa77word" -f<br>

> (&(objectclass=person)<br>

> (sAMAccountName=%v)(memberof=CN=%g,OU=Admin,DC=mydomain,DC=fr)) -h<br>

> 192.168.10.1<br>

><br>

><br>

> acl Group_Allowed external AD_Group Internet-Access<br>

> http_access allow Group_Allowed<br>

> http_access deny !Group_Allowed<br>

><br>

><br>

> When i want use the proxy, squid request all time the Login/pass<br>

<br>

</span>To check group membership, Squid must first know what user login<br>

credentialsare being checked.<br>

<span class=""><br>

<br>

><br>

> if i change config:<br>

><br>

> http_access allow Group_Allowed<br>

> http_access deny !Group_Allowed<br>

<br>

</span>As Group_Allowed uses %LOGIN format code it will perfom 407 auth if it<br>

is used on any line and login is not yet provided, or do 407<br>

re-authentication whenever it is last ACL named on a deny line. In order<br>

to give the user the chance to provide credentials that will pass the test.<br>

<br>

In this particular config setup use "deny all" instead of "deny<br>

!Group_Allowed".<br>

<br>

Amos<br>

<br>

_______________________________________________<br>

squid-users mailing list<br>

<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>

<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>

</blockquote></div><br></div>