<div dir="ltr">Hi,<div>I try to authenticate a user in AD (windows server 2008 R2).</div><div>When he is in a group Webusers he must authenticated and when I remove the user of this group, he must not authenticated.</div><div>And this process doesn't work because he is always authticated.</div><div><br></div><div>Sorry for my english.</div><div><br></div><div>I post the squid configuration...</div><div>I don't post the logs because I 'm not errors.</div><div><br></div><div><div style="color:rgb(0,0,0);font-size:12.8px">cache_mgr <a href="mailto:service.informatique@ipl.be" target="_blank">service.informatique@</a><a href="http://example.com">example.com</a></div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### Negotiate kerberos authentification </div><div style="color:rgb(0,0,0);font-size:12.8px">auth_param negotiate program /usr/lib/squid3/negotiate_kerberos_auth -s HTTP/<a href="mailto:rex.example.com@EXAMPLE.COM">rex.example.com@EXAMPLE.COM</a></div><div style="color:rgb(0,0,0);font-size:12.8px">auth_param negotiate children 20 startup=0 idle=1</div><div style="color:rgb(0,0,0);font-size:12.8px">auth_param negotiate keep_alive off</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### ldap authorisation</div><div style="color:rgb(0,0,0);font-size:12.8px">external_acl_type kerbgroup ttl=60 children-max=15 children-startup=10 ipv4 %LOGIN /usr/lib/squid3/ext_ldap_group_acl -R -K -b ou=students,dc=server,dc=example,dc=com -D <a href="mailto:squid@example.com">squid@example.com</a> -W /etc/squid3/ldappass.txt -f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%g,ou=students,dc=server,dc=example,dc=com))" -h <a href="http://dc1.server.example.com">dc1.server.example.com</a></div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### acl for proxy auth and ldap authorizations</div><div style="color:rgb(0,0,0);font-size:12.8px">acl auth proxy_auth REQUIRED</div><div style="color:rgb(0,0,0);font-size:12.8px">acl kerbusers external kerbgroup webusers</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### squid defaults</div><div style="color:rgb(0,0,0);font-size:12.8px">acl localnet src <a href="http://172.17.0.0/16" target="_blank">172.17.0.0/16</a></div><div style="color:rgb(0,0,0);font-size:12.8px">acl SSL_ports port 443</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 80          # http</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 21          # ftp</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 443         # https</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 70          # gopher</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 210         # wais</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 1025-65535  # unregistered ports</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 280         # http-mgmt</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 488         # gss-http</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 591         # filemaker</div><div style="color:rgb(0,0,0);font-size:12.8px">acl Safe_ports port 777         # multiling http</div><div style="color:rgb(0,0,0);font-size:12.8px">acl CONNECT method CONNECT</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny !Safe_ports</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny CONNECT !SSL_ports</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow localhost</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### http_access rules</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow manager localhost</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow auth</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny !auth</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow kerbusers</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access allow localnet</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny manager</div><div style="color:rgb(0,0,0);font-size:12.8px">http_access deny all</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### logging</div><div style="color:rgb(0,0,0);font-size:12.8px">access_log stdio:/var/log/squid3/access.log</div><div style="color:rgb(0,0,0);font-size:12.8px">cache_store_log stdio:/var/log/squid3/store.log</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### squid Debian defaults</div><div style="color:rgb(0,0,0);font-size:12.8px">http_port 3128</div><div style="color:rgb(0,0,0);font-size:12.8px">cache_effective_user proxy</div><div style="color:rgb(0,0,0);font-size:12.8px">cache_effective_group proxy</div><div style="color:rgb(0,0,0);font-size:12.8px">cache_dir ufs /cache1 20000 16 256</div><div style="color:rgb(0,0,0);font-size:12.8px">cache_dir ufs /cache2 20000 16 256</div><div style="color:rgb(0,0,0);font-size:12.8px">coredump_dir /var/spool/squid3</div><div style="color:rgb(0,0,0);font-size:12.8px"><br></div><div style="color:rgb(0,0,0);font-size:12.8px">### default squid rules</div><div style="color:rgb(0,0,0);font-size:12.8px">refresh_pattern ^ftp:           1440    20%     10080</div><div style="color:rgb(0,0,0);font-size:12.8px">refresh_pattern ^gopher:        1440    0%      1440</div><div style="color:rgb(0,0,0);font-size:12.8px">refresh_pattern -i (/cgi-bin/|\?) 0     0%      0</div><div style="color:rgb(0,0,0);font-size:12.8px">refresh_pattern .               0       20%     4320</div></div><div><br></div><div><br></div></div>