>>больше нет никаких соображений?
>
>а для групп случайно используют не squid_ldap_group ??? Если в имени группы есть проблел, то его надо заменить так:
Domain%20USers
На счет вложенности - не проверял, но посмотрите флаги squid_ldap_auth:
-b basedn (REQUIRED) base dn under which to search
-f filter search filter to locate user DN
-u userattr username DN attribute
-s base|one|sub search scope
-D binddn DN to bind as to perform searches
-w bindpasswd password for binddn
-W secretfile read password for binddn from file secretfile
-H URI LDAPURI (defaults to ldap://localhost)
-h server LDAP server (defaults to localhost)
-p port LDAP server port
-P persistent LDAP connection
-c timeout connect timeout
-t timelimit search time limit
-R do not follow referrals
-a never|always|search|find
when to dereference aliases
-v 2|3 LDAP version
-Z TLS encrypt the LDAP connection, requires LDAP version 3