
<font size=2 face="sans-serif">Hello Amos;</font>

<br><font size=2 face="sans-serif">is there a simpler way to tackle this

as I am not linux guy and not sure howto write any helper program which

need to call.</font>

<br>

<br>

<br><font size=2 face="sans-serif">Regards;</font>

<br><font size=2 face="sans-serif">Nilesh Gavali</font>

<br>

<br>

<br><tt><font size=2><br>

> Thanks Eliezer for reply.<br>

> Its is working now for be perfectly with below command with -d option

<br>

> gives helpful debug info to troubleshoot.<br>

> <br>

> external_acl_type AD_Group %LOGIN /usr/lib64/squid/squid_ldap_group

-P -R <br>

> -b "DC=ABCD,DC=GOV,DC=IN" -D svcproxy -w 123456789 -f <br>

> "(&(objectclass=person)(userPrincipalName=%v)(memberof=cn=%a,ou=InternetAccess,ou=Groups,dc=ABCD,dc=GOV,dc=IN))"

<br>

> -h abcd.gov.in -s sub -v 3 -d<br>

> <br>

> Currently I have configure squid with AD kerberos auth. also url access

<br>

> restricted based on  AD group membership.<br>

> <br>

> Now I observed, is that when I add any user to one of the AD group

which <br>

> allowed in squid.  it is not accepting the changes until I restart

the <br>

> squid service.<br>

<br>

Your external_acl_type has a 1 hour response cache. Meaning it will take<br>

a minimum of 1 hour for any changes to the AD group settings to be<br>

passed on to Squid.<br>

<br>

<br>

> <br>

> auth_param negotiate program /usr/lib64/squid/squid_kerb_auth -s <br>

> HTTP/proxy02.abcd.gov.in@ABCD.GOV.IN <br>

> auth_param negotiate children 10 <br>

> auth_param negotiate keep_alive on <br>

> auth_param basic credentialsttl 2 hours <br>

<br>

NP: settings for Basic authentication do not have any affect on<br>

non-Basic types of authentication.<br>

<br>

There is no TTL for Kerberos user credentials. They are valid for as<br>

long as the TCP connection to the proxy is open. Any change in the<br>

Kerberos security tokens sent by the client after authentication is<br>

completed will terminate/close the TCP connection.<br>

<br>

<br>

> <br>

> external_acl_type AD_Group %LOGIN /usr/lib64/squid/squid_ldap_group

-P -R <br>

> -b "DC=ABCD,DC=GOV,DC=IN" -D svcproxy -w 123456789 -f <br>

> "(&(objectclass=person)(userPrincipalName=%u)(memberof=cn=%g,ou=InternetAccess,ou=Groups,dc=ABCD,dc=GOV,dc=IN))"

<br>

> -h abcd.gov.in -s sub -v 3 -d <br>

> <br>

<br>

Since your helper names were outdated 6 years ago I assume you are using<br>

Squid-3.1 or older:<br>

<</font></tt><a href="http://www.squid-cache.org/Versions/v3/3.1/cfgman/external_acl_type.html"><tt><font size=2>http://www.squid-cache.org/Versions/v3/3.1/cfgman/external_acl_type.html</font></tt></a><tt><font size=2>><br>

<br>

Note the default values for ttl= , negative_ttl=, and grace=<br>

<br>

Amos<br>

</font></tt>

<br><p>=====-----=====-----=====<br>

Notice: The information contained in this e-mail<br>

message and/or attachments to it may contain <br>

confidential or privileged information. If you are <br>

not the intended recipient, any dissemination, use, <br>

review, distribution, printing or copying of the <br>

information contained in this e-mail message <br>

and/or attachments to it are strictly prohibited. If <br>

you have received this communication in error, <br>

please notify us by reply e-mail or telephone and <br>

immediately and permanently delete the message <br>

and any attachments. Thank you</p>


<p></p>