<div dir="auto">The issue is many layers of caching and interdependent data.<div><br /><div>Once the auth backend system is producing the right output the group helper cache needs to expire, then lookups by that helper will be correct.</div><div><br /></div><div>Then all the tcp connections holding onto that users credentials need to close. Only once all that happens will there be no user+group1 link to confuse.</div><div><br /></div><div>If any of the old tcp connections remain open they cache the old credentials which were linked to the old group1. New tcp connections will be linked to their cached username state.</div><div><br /></div><div>In modern squid the kerberos auth helper gives squid the list of groups at the same time as username. So there is no external ACL helper and its caching to get things mixed up. You should use the note ACL type to check those group SSIDs.</div><div>At worst you may still have to wait for tcp connections closure part.</div><div><br />Amos</div></div></div>