<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">Hi,</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">My squid ACL can't catch AD user's group of membership.That's why can't send the request correct outgoing interface</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">Users member of group_g_internet_socialmediausers and its correct interface IP address is 10.65.12.247. 10.65.12.250 is general outgoing address</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">### NTLM<br>auth_param ntlm program /usr/bin/ntlm_auth --diagnostic --helper-protocol=squid-2.5-ntlmssp --domain=COMPANY<br>auth_param ntlm children 100<br>auth_param ntlm max_challenge_reuses 0<br>auth_param ntlm max_challenge_lifetime 2 minutes<br>auth_param ntlm keep_alive off</blockquote><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">group_g_internet_socialmediausers.acl:<br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">CN=G_Internet_SocialMedisUsers,OU=Internet Groups,DC=company,DC=grp</blockquote><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">and  Configuration file:</div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">acl group_g_internet_socialmediausers  external nt_group "/etc/squid/group_g_internet_socialmediausers.acl"</blockquote><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">http_access allow group_g_internet_socialmediausers</blockquote><div> </div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><span class="gmail_default" style="font-family:verdana,sans-serif;color:rgb(0,0,102)"></span>tcp_outgoing_address 10.65.12.250</blockquote><div><span class="gmail_default" style="font-family:verdana,sans-serif;color:rgb(0,0,102)"></span> </div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">and outgoing part:</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">tcp_outgoing_address 10.65.12.247 group_g_internet_socialmediausers<br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">cache.log shows:</div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote">(truncated)<br>2019/09/23 15:31:45.811 kid1| 28,5| Checklist.cc(400) bannedAction: Action 'ALLOWED/0is not banned<br>2019/09/23 15:31:45.811 kid1| 28,5| Acl.cc(138) matches: checking http_access#10<br>2019/09/23 15:31:45.811 kid1| 28,5| Acl.cc(138) matches: checking group_g_internet_socialmediausers<br>2019/09/23 15:31:45.811 kid1| 28,3| Acl.cc(158) matches: checked: group_g_internet_socialmediausers = 0<br>2019/09/23 15:31:45.811 kid1| 28,3| Acl.cc(158) matches: checked: http_access#10 = 0<br>(truncated)<br>2019/09/23 15:31:45.811 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff26947320 checking fast ACLs<br>2019/09/23 15:31:45.811 kid1| 28,5| Acl.cc(138) matches: checking tcp_outgoing_address 10.65.12.247<br>2019/09/23 15:31:45.811 kid1| 28,5| Acl.cc(138) matches: checking (tcp_outgoing_address 10.65.12.247 line)<br>2019/09/23 15:31:45.811 kid1| 28,5| Acl.cc(138) matches: checking group_g_internet_socialmediausers<br>2019/09/23 15:31:45.811 kid1| 28,3| Acl.cc(158) matches: checked: group_g_internet_socialmediausers = 0<br>2019/09/23 15:31:45.811 kid1| 28,3| Acl.cc(158) matches: checked: (tcp_outgoing_address 10.65.12.247 line) = 0<br>2019/09/23 15:31:45.811 kid1| 28,3| Acl.cc(158) matches: checked: tcp_outgoing_address 10.65.12.247 = 0<br>2019/09/23 15:31:46.094 kid1| 28,3| Checklist.cc(63) markFinished: 0x7fff26946d40 answer AUTH_REQUIRED for aclMatchExternal exception<br>2019/09/23 15:31:46.094 kid1| 28,3| Acl.cc(158) matches: checked: group_g_internet_socialmediausers = -1<br>2019/09/23 15:31:46.094 kid1| 28,3| Acl.cc(158) matches: checked: (tcp_outgoing_address 10.65.12.247 line) = -1<br>2019/09/23 15:31:46.094 kid1| 28,3| Acl.cc(158) matches: checked: tcp_outgoing_address 10.65.12.247 = -1<br>2019/09/23 15:31:46.094 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff26946d40 checking fast ACLs<br>(truncated)<br>2019/09/23 15:31:52.069 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff26947320 checking fast ACLs<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking tcp_outgoing_address 10.65.12.247<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking (tcp_outgoing_address 10.65.12.247 line)<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking group_g_internet_socialmediausers<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: group_g_internet_socialmediausers = 0<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: (tcp_outgoing_address 10.65.12.247 line) = 0<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: tcp_outgoing_address 10.65.12.247 = 0<br>2019/09/23 15:31:52.069 kid1| 28,3| Checklist.cc(63) markFinished: 0x7fff26947320 answer DENIED for ACLs failed to match<br>2019/09/23 15:31:52.069 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff26947320 checking fast ACLs<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking tcp_outgoing_address 10.65.12.250<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking (tcp_outgoing_address 10.65.12.250 line)<br>2019/09/23 15:31:52.069 kid1| 28,5| Acl.cc(138) matches: checking 8_18_sinirsiz<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: 8_18_sinirsiz = 1<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: (tcp_outgoing_address 10.65.12.250 line) = 1<br>2019/09/23 15:31:52.069 kid1| 28,3| Acl.cc(158) matches: checked: tcp_outgoing_address 10.65.12.250 = 1<br>2019/09/23 15:31:52.069 kid1| 28,3| Checklist.cc(63) markFinished: 0x7fff26947320 answer ALLOWED for match<br>2019/09/23 15:31:52.069 kid1| 28,4| FilledChecklist.cc(66) ~ACLFilledChecklist: ACLFilledChecklist destroyed 0x7fff26947320<br>2019/09/23 15:31:52.069 kid1| 28,4| Checklist.cc(197) ~ACLChecklist: ACLChecklist::~ACLChecklist: destroyed 0x7fff26947320<br>2019/09/23 15:31:52.069 kid1| 28,4| FilledChecklist.cc(66) ~ACLFilledChecklist: ACLFilledChecklist destroyed 0x7fff269470c0<br>2019/09/23 15:31:52.069 kid1| 28,4| Checklist.cc(197) ~ACLChecklist: ACLChecklist::~ACLChecklist: destroyed 0x7fff269470c0<br>2019/09/23 15:31:52.069 kid1| 28,4| FilledChecklist.cc(66) ~ACLFilledChecklist: ACLFilledChecklist destroyed 0x56416a6dc118<br>2019/09/23 15:31:52.069 kid1| 28,4| Checklist.cc(197) ~ACLChecklist: ACLChecklist::~ACLChecklist: destroyed 0x56416a6dc118<br>2019/09/23 15:31:54.699 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff269480a0 checking fast ACLs<br>2019/09/23 15:31:54.700 kid1| 28,5| Acl.cc(138) matches: checking cache_access_log /var/log/squid/access.log<br>2019/09/23 15:31:54.700 kid1| 28,5| Acl.cc(138) matches: checking (cache_access_log /var/log/squid/access.log line)<br>2019/09/23 15:31:54.700 kid1| 28,3| Acl.cc(158) matches: checked: (cache_access_log /var/log/squid/access.log line) = 1<br>2019/09/23 15:31:54.700 kid1| 28,3| Acl.cc(158) matches: checked: cache_access_log /var/log/squid/access.log = 1<br>2019/09/23 15:31:54.700 kid1| 28,3| Checklist.cc(63) markFinished: 0x7fff269480a0 answer ALLOWED for match<br>2019/09/23 15:31:54.700 kid1| 28,4| FilledChecklist.cc(66) ~ACLFilledChecklist: ACLFilledChecklist destroyed 0x7fff269480a0<br>2019/09/23 15:31:54.700 kid1| 28,4| Checklist.cc(197) ~ACLChecklist: ACLChecklist::~ACLChecklist: destroyed 0x7fff269480a0<br>2019/09/23 15:31:59.925 kid1| 28,8| Acl.cc(355) aclCacheMatchFlush: aclCacheMatchFlush called for cache 0x56416a71d1a8<br>2019/09/23 15:33:11.925 kid1| 28,3| Checklist.cc(70) preCheck: 0x7fff269480a0 checking fast ACLs<br>2019/09/23 15:33:11.925 kid1| 28,5| Acl.cc(138) matches: checking cache_access_log /var/log/squid/access.log<br>2019/09/23 15:33:11.925 kid1| 28,5| Acl.cc(138) matches: checking (cache_access_log /var/log/squid/access.log line)<br>2019/09/23 15:33:11.925 kid1| 28,3| Acl.cc(158) matches: checked: (cache_access_log /var/log/squid/access.log line) = 1<br>2019/09/23 15:33:11.925 kid1| 28,3| Acl.cc(158) matches: checked: cache_access_log /var/log/squid/access.log = 1<br>2019/09/23 15:33:11.925 kid1| 28,3| Checklist.cc(63) markFinished: 0x7fff269480a0 answer ALLOWED for match<br>2019/09/23 15:33:11.925 kid1| 28,4| FilledChecklist.cc(66) ~ACLFilledChecklist: ACLFilledChecklist destroyed 0x7fff269480a0<br>2019/09/23 15:33:11.925 kid1| 28,4| Checklist.cc(197) ~ACLChecklist: ACLChecklist::~ACLChecklist: destroyed 0x7fff269480a0<br>2019/09/23 15:33:11.925 kid1| 28,8| Acl.cc(355) aclCacheMatchFlush: aclCacheMatchFlush called for cache 0x56416a6ec138</blockquote><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">At the end user routes to 10.65.12.250 which is not allowed for this users.</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">What is wrong?</div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066"><br></div><div class="gmail_default" style="font-family:verdana,sans-serif;color:#000066">  </div><div><br></div>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature">Tevfik Ceydeliler</div></div>