<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 25, 2016 at 7:33 AM, Hack Ensolo <span dir="ltr"><<a href="mailto:hackensolo@gmail.com" target="_blank">hackensolo@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div style="color:rgb(0,0,0);font-size:12.8px">### http_access rules</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow manager localhost</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow auth</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny !auth</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow kerbusers</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow localnet</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny manager</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny all</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div></div></div></blockquote><div><br></div><div>Since the rules are "first match", once you have "allow auth", squid is done. it will not look at the group membership (under "kerbusers").</div><div><br></div><div>you should look at the acl type "all-of" and "any-of" to build your logic:</div><div>acl authn_authz all-of auth kerbusers</div><div><br></div><div>might be helpful and would make your config slightly easier to read...</div><div><br></div><div>With that in mind, reconsider how you organize the rules...</div><div><br></div><div>Jok</div><div><br></div><div> </div></div></div></div>