иногда (очень редко) случается что-то с учеткой в AD и ext_ldap_group_acl перестает видеть группы в которых состоит пользователь. помогает только пересоздание учетки в AD. сталкивался ли кто-нибудь с подобной проблемой? может есть возможность кк-то починить учетку. не удаляя ее?

• AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),eRIC, 18:44 , 23-Ноя-15
  • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),ach2ach, 09:34 , 24-Ноя-15
    • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),eRIC, 07:58 , 26-Ноя-15
      • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),ach2ach, 11:44 , 26-Ноя-15
        • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),eRIC, 12:41 , 26-Ноя-15
          • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),ach2ach, 15:35 , 30-Ноя-15
            • AD Server 2008 R2 + kerberos + squid-3.5.3 (FreeBSD 86x64 10.0),eRIC, 18:54 , 09-Дек-15

ошибки в squid при этом регистрируется?
external_acl_type в squid как прописан? ipv6 используется?

> ошибки в squid при этом регистрируется?
> external_acl_type в squid как прописан? ipv6 используется?

ошибок в squid нет, ipv6 не используется (dns_v4_first on)

external_acl_type ldap_group children-max=30 children-startup=10 children-idle=5 %LOGIN \
    /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" \
    -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd \
    -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" \
    -R -K -p 3268 -h ad.mydomain.ru

могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы долго не хранил результат отработки внешнего ACL. попробуйте

> могу посоветовать добавить ttl=120 (значение в секундах) после ldap_group, для того чтобы
> долго не хранил результат отработки внешнего ACL. попробуйте

проблема, по видимому, именно в самой учетной записи в AD. т.к. тестирую так:

root@proxy1:~ # /usr/local/libexec/squid/ext_ldap_group_acl -b "OU=myusr,DC=ad,DC=mydomain,DC=ru" -D "CN=squid_ldap,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru" -W /usr/local/etc/squid/ldap.passwd -f "(&(sAMAccountType=805306368)(sAMAccountName=%u)(memberOf=CN=%a,OU=Proxy,OU=SpecialUsers,DC=ad,DC=mydomain,DC=ru))" -R -K -p 3268 -h ad.mydomain.ru

ввожу соответственно пользователя и группу и получаю ОК
для проблемного пользователя результат ERR, причем создаю другую группу, добавляю в нее проблемного пользователя и результат тот же. ext_ldap_group_acl не видит групп вообще у этого поьзователя.

ldapsearch хоть находит ненормального пользователя этими фильтрами?

в чем разница между проблемным пользователем и не проблемным? может учетка expired(или требует сменить пароль и так далее) или какие-то другие свойства учетной записи отличаются от нормальных

> ldapsearch хоть находит ненормального пользователя этими фильтрами?
> в чем разница между проблемным пользователем и не проблемным? может учетка expired(или
> требует сменить пароль и так далее) или какие-то другие свойства учетной
> записи отличаются от нормальных

вроде как ldapsearch не может искать пользователя с условием, что он в определенной группе?

> вроде как ldapsearch не может искать пользователя с условием, что он в
> определенной группе?

чего?