Здравствуйте! Проверенного на 100% решения у меня нет (поскольку проверять не на чем =) ), но, если, как утверждается в многочисленных HOWTO в интернет, squid_kerb_auth возвращает нечто удобоворимое в переменную %LOGIN (типа user@mycompany.ru), то задача вполне по силам даже стандартному squid_ldap_group, нужно только указать ему подходящие searchBase и фильтр. Примерно так:
auth_param negotiate program /path/to/squid_kerb_auth ...
...
# Вызов squid_ldap_group для ou=OFFICE
external_acl_type ldap_office ttl=1200 %LOGIN /path/to/squid_ldap_group -R -K \
-D squidAccount@mycompany.ru -W /path/to/squidAccountPassword.txt -H ldap://x.x.x.x \
-b "ou=OFFICE,dc=mycompany,dc=ru" -f "sAMAccountName=%v"
# Вызов squid_ldap_group для ou=VIP
external_acl_type ldap_vip ttl=1200 %LOGIN /path/to/squid_ldap_group -R -K \
-D squidAccount@mycompany.ru -W /path/to/squidAccountPassword.txt -H ldap://x.x.x.x \
-b "ou=VIP,dc=mycompany,dc=ru" -f "sAMAccountName=%v"
# ACL
acl auth_users proxy_auth REQUIRED
acl OFFICE external ldap_office office
acl VIP external ldap_vip vip
acl FLASH urlpath_regex \.flv(\?.*)?$
acl FLASH urlpath_regex \.swf(\?.*)?$
# Доступ
http_access allow auth_users VIP
http_access allow auth_users OFFICE !FLASH
http_access deny all
Т.е. ou=VIP -- доступ без ограничений, ou=OFFICE -- всё, кроме flash, остальным доступ запрещён. Кажется, так.
Егор