<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 30, 2016 at 4:05 AM, alberto <span dir="ltr"><<a href="mailto:alberto.furia@gmail.com" target="_blank">alberto.furia@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>Hi all,</div><div>I have a squid3 installation with kerberos ldap groups authentication.</div><div>Everything works like a charm except for one of my user that belongs to too many groups (more than 50): this user can not browse any site because of authentication problem.</div><div>I always see TCP_DENIED/407 in the squid log file for that user.</div><div><br></div><div>Is there a parameter that I can change in the squid.conf file to increase the number of groups allowed during authentication?</div><div>FYI I'm on Debian Jessie and using this kerberos configuration</div><div><br></div></div></blockquote><div><br></div><div>if you are using group membership authorization purely to allow/deny access globally (rather than for specific sites), you can tweak your filter to accomplish that...</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div></div><div>====squid.conf snippet=======</div></div></blockquote><div><br></div><div> [snip]</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>################# Basic Auth ########################</div><div>auth_param basic program /usr/lib/squid3/basic_ldap_<wbr>auth -D srvc_squid@example.lcl -W /etc/squid3/ldappwd.txt -h "example.lcl" -b "OU=root,DC=EXAMPLE,DC=LCL" -s sub -f (&(objectClass=Person)(<wbr>sAMAccountName=%s))</div></div></blockquote><div><br></div><div>this filter (after "-f") could be tweaked like this:</div><div>(&(objectClass=Person)(sAMAccountName=%s)(|(memberOf=CN=group1,OU=somewhere,dc=EXAMPLE,dc=LCL)(memberOf=CN=group2,OU=somewhere,dc=EXAMPLE,dc=LCL))</div><div> </div><div>That would allow the user to login if they are member of either group. (that syntax/schema is for AD, feel free to adjust as needed)</div><div><br></div></div></div></div>