
<html><head></head><body><div style="font-family: Verdana;font-size: 12.0px;"><div>So I finally tried it on my Squid Proxy.</div>


<div> </div>


<div>

<div>I edited the squid like this:</div>


<div> </div>


<div>external_acl_type ad_group_member_check ttl=120 %LOGIN /usr/lib/squid/ext_ldap_group_acl -d -R -K -S -b "dc=domain,dc=com" -D ProxyUser@domain.com -W /etc/squid/ldappass.txt -f "(&(sAMAccountName=%u)(memberOf=CN=%g,OU=Groups,DC=domain,DC=com))" -h my.domain.com</div>


<div> </div>


<div>ProxyUser is a AD-User I created and the file "ldappass.txt" contains the password for this user.</div>


<div>Now I did try to ask for specific groups with the help of this:</div>


<div> </div>


<div>acl LDAPLookup1  external ad_group_member_check Test1</div>


<div> </div>


<div>Test1 is a group in the AD and part of the OU "Groups".</div>


<div>But now I have the problem, that in the squid cache.log is written:</div>


<div>ext_ldap_group_acl: WARNING: LDAP search error 'Referral'</div>


<div> </div>


<div>So it seems like LDAP can not check the groups but I have no clue why.. Can someone help?</div>


<div> </div>


<div> </div>


<div>Regards,</div>


<div>Philipp</div>


<div> </div>


<div> </div>


<div> 

<div name="quote" style="margin:10px 5px 5px 10px; padding: 10px 0 10px 10px; border-left:2px solid #C3D9E5; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">

<div style="margin:0 0 10px 0;"><b>Gesendet:</b> Sonntag, 24. Januar 2021 um 17:02 Uhr<br/>

<b>Von:</b> "Marek Greško" <mgresko8@gmail.com><br/>

<b>An:</b> heimarbeit123.99@web.de<br/>

<b>Cc:</b> squid-users@lists.squid-cache.org<br/>

<b>Betreff:</b> Re: [squid-users] Squid doesn't notice AD group changes</div>


<div name="quoted-content">Hello,<br/>

<br/>

that looks correct. Maybe I would add -B option to the<br/>

ext_ldap_group_acl helper to specify basedn for users.<br/>

<br/>

Marek<br/>

<br/>

<br/>

2021-01-24 10:06 GMT+01:00, heimarbeit123.99@web.de <heimarbeit123.99@web.de>:<br/>

> Thanks for your replies!<br/>

><br/>

> Yes, I did try "external_acl_type wbinfocheck %LOGIN<br/>

> /usr/lib/squid/ext_wbinfo_group_acl -K".<br/>

><br/>

> So if my fqdn would be "my.domain.com" it would be:<br/>

><br/>

> external_acl_type ad_group_member_check ttl=120 %LOGIN<br/>

> /usr/lib/squid/ext_ldap_group_acl -d -R -K -S -b "dc=domain,dc=com"<br/>

> -D 192.168.1.250@domain.com -W /etc/squid/ldappass.txt -f<br/>

> "(&(sAMAccountName=%u)(memberOf=CN=%g,OU=Groups,DC=domain,DC=com))" -h<br/>

> my.domain.com<br/>

><br/>

> for 192.168.1.250 being the IP from my Squid Proxy Server, right?<br/>

><br/>

> So I could ask for specific groups like this:<br/>

> acl Group1 ad_group_member_check TestGroup1<br/>

> acl Group2 ad_group_member_check TestGroup2<br/>

> and so on.. Am I right?<br/>

><br/>

> Thank you so far for your help!<br/>

><br/>

> Regads,<br/>

> Philipp<br/>

><br/>

> --<br/>

> Diese Nachricht wurde von meinem Android Mobiltelefon mit WEB.DE Mail<br/>

> gesendet.</div>

</div>

</div>

</div></div></body></html>