<div dir="ltr"><div><div><div><div><div><div>Hi Amos,<br><br></div>Thanks for your help,<br><br></div>buit if i don't put the line <span class="im">http_access deny !Group_Allowed, user not in the group connect connect<br></span></div><span class="im">and access to all internet<br><br></span></div><span class="im">my config:<br><br><br><br>######################################################################<br># ACL pour les Droits d'accès d'apres l'Active Directory<br>######################################################################<br>acl Authentification proxy_auth REQUIRED<br>http_access deny !Authentification<br>acl Group_Allowed external AD_Group Internet-Access<br>http_access allow Group_Allowed<br>#http_access deny !Group_Allowed<br>######################################################################<br><br>#always_direct deny Authentification<br>http_access allow Lan<br>http_access deny all<br><br><br><br><br><br><br></span></div><span class="im">i see that i have a <br></span><br><span class="im">http_access allow Lan<br><br></span></div><span class="im">it's not this the problems ?<br></span><div><div><div><span class="im"><br><br></span></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">2016-02-07 11:44 GMT+01:00 Amos Jeffries <span dir="ltr"><<a href="mailto:squid3@treenet.co.nz" target="_blank">squid3@treenet.co.nz</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 7/02/2016 9:39 p.m., Olivier CALVANO wrote:<br>
> Hi<br>
><br>
> i have a problems with AD Group, i use this config:<br>
><br>
><br>
> external_acl_type AD_Group children-startup=5 children-max=100<br>
> concurrency=80 ttl=1800 negative_ttl=900 %LOGIN<br>
> /usr/lib64/squid/ext_ldap_group_acl -d -S -K -R -b DC=mydomain,DC=fr -D<br>
> cn=UserAdmin,ou=vpn,dc=mydomain,dc=fr -w "Pa77word" -f<br>
> (&(objectclass=person)<br>
> (sAMAccountName=%v)(memberof=CN=%g,OU=Admin,DC=mydomain,DC=fr)) -h<br>
> 192.168.10.1<br>
><br>
><br>
> acl Group_Allowed external AD_Group Internet-Access<br>
> http_access allow Group_Allowed<br>
> http_access deny !Group_Allowed<br>
><br>
><br>
> When i want use the proxy, squid request all time the Login/pass<br>
<br>
</span>To check group membership, Squid must first know what user login<br>
credentialsare being checked.<br>
<span class=""><br>
<br>
><br>
> if i change config:<br>
><br>
> http_access allow Group_Allowed<br>
> http_access deny !Group_Allowed<br>
<br>
</span>As Group_Allowed uses %LOGIN format code it will perfom 407 auth if it<br>
is used on any line and login is not yet provided, or do 407<br>
re-authentication whenever it is last ACL named on a deny line. In order<br>
to give the user the chance to provide credentials that will pass the test.<br>
<br>
In this particular config setup use "deny all" instead of "deny<br>
!Group_Allowed".<br>
<br>
Amos<br>
<br>
_______________________________________________<br>
squid-users mailing list<br>
<a href="mailto:squid-users@lists.squid-cache.org">squid-users@lists.squid-cache.org</a><br>
<a href="http://lists.squid-cache.org/listinfo/squid-users" rel="noreferrer" target="_blank">http://lists.squid-cache.org/listinfo/squid-users</a><br>
</blockquote></div><br></div>