Авторизация SQUD+LDAP группы

Сам не смотрел, но скорее всего squid выбирает наиболее ограниченную группу. То Есть, если есть хоть одно ограничение - использовать его.

Мне кажется все-таки правильный путь - создать для такого пользователя отдельную группу с нужными ограничениями. А то, если честно, мне трудно представить ситуацию, в которой нужно было бы все решать именно таким путем, как у вас.

Или, если такая ситуация имеет место быть - написать Хенрику вопрос в списках рассылки squid. Детализировав его, ест-но.

Добрый день.
Честно говоря я всегда считал наоборот - в момент авторизации идет проверка пользователя на предмет принадлежности конкретной группе и в случае первого нахождения все остальные поиски прекращаются. Тем самым приоритетной считается первая найденная группа.
т.е.
acl authusers proxy_auth REQUIRED
acl sarg-limit-users proxy_auth "/etc/squid/sarg-limit-users"
http_access deny sarg-limit-users
http_access allow authusers
http_access deny all

в результате чего если в течении дня пользователь перебрал больше нормы , он попадает в группу sarg-limit-users и прекращает свою работу.

Вывод всего этого - приоритетная группа должно стоять в начале конфига.
Других вариантов я не знаю.
squid пользую версии 2.5.9-10

Да, попутал. Попробуйте увеличить вербосность логов на acl.

И может быть имеет смысл посмотреть, как дело будет обстоять в 2.6.

А каким образом у тебя acl-ы описываются для поиска пользователей в ldap-е?

По acl в логах можно же понять, на каком этапе squid принимает решение, где разрешить, где запретить. Для auth по-моему тоже можно увеличить вербосность, в исходниках squid'а или в доках был файлик про дебаг.