Здравствуйте, господа. есть стенд
debian 13 kdc, Squid6
настроена авторизация в домене через krb5.keytab
Squid ом пользователи берутся
external_acl_type часть конфига Squid
external_acl_type internet-full_krb children=10 cache=10 grace=15 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g internet-full@DOMAIN.RU
external_acl_type internet-domain_krb children=10 cache=10 grace=15 %LOGIN /usr/lib/squid/ext_kerberos_ldap_group_acl -a -g internet-domain@DOMAIN.RU
acl AD_users proxy_auth REQUIRED 56 acl AD_FastInet external internet-full_krb 57 acl AD_RegularInet external internet-domain_krb
http_access allow AD_FastInet
64 http_access allow AD_RegularInet
65 http_access deny AD_users
66 http_access deny all
tcp_outgoing_address 192.168.0.100 AD_FastInet !to_localhost
tcp_outgoing_address 10.43.142.4 AD_RegularInet
логи
kid1| WARNING: inet_ful_users ACL is used in context without an ALE state. Assuming mismatch. current master transaction: master56 2025/10/24 21:46:46 kid1| WARNING: inet_users ACL is used in context without an ALE state. Assuming mismatch.
Как я понимаю последнии строки в конфиге не отрабатывают
tcp_outgoing_address 192.168.0.100 AD_FastInet !to_localhost
tcp_outgoing_address 10.43.142.4 AD_RegularInet
Данные acl относятся к разряду медненых
AD_FastInet
AD_RegularInet
и с ними правило tcp_outgoing_address рабатывать не будет. Чем и как заменить данную acl чтобы одна группа домена шла через один сетевой интерфейс, а вторая группа через другой?
