Ситуация следующая! организованна связка squid + squidGuard (LDAP)
Пользователь находится в группе inet_group. при запросе на любой сайт, он говорит что доступ запрещен. В логах я нашел что он обращается к acl по умолчанию т.е. default.
почему не отрабатывает cначало ldapusersearch,  т.е. не ищет пользователя по ЛДАПу? он вообще молчит!!!! хотя ни о каких либо ошибках он не сообщает. В чем может быть проблема........ Может быть запрос неправильно составлен? Пожалуйста помогите уже неделя как я бьюсь с этим вопросом:

squidGuard.conf

ldapbinddn cn=ldapreader,cn=Users,dc=domain,dc=local
ldapbindpass 123qweQWE

ldapcachetime 300

src my_users {
ldapusersearch ldap://domain.local:636/DC=domain,DC=lan?userPrincipalName?sub?(&(userPrincipalName=%s)(memberOf=CN=inet_group%2cOU=inet%2cDC=domain%2cDC=local))
acl {
     my_users {
         pass !mail all
     default {
         pass none
       log /var/log/squid/default.log

• SquidGuard необрабатывает запрос по LDAP,Денис, 21:32 , 13-Авг-12
  • SquidGuard необрабатывает запрос по LDAP,alekseyeng, 09:04 , 14-Авг-12
    • SquidGuard необрабатывает запрос по LDAP,alekseyeng, 09:09 , 14-Авг-12
    • SquidGuard необрабатывает запрос по LDAP,Денис, 19:07 , 14-Авг-12
      • SquidGuard необрабатывает запрос по LDAP,alekseyeng, 09:47 , 16-Авг-12
        • SquidGuard необрабатывает запрос по LDAP,Денис, 14:07 , 16-Авг-12
          • SquidGuard необрабатывает запрос по LDAP,alekseyeng, 15:04 , 16-Авг-12

>[оверквотинг удален]
> ldapbindpass 123qweQWE
> ldapcachetime 300
> src my_users {
> ldapusersearch ldap://domain.local:636/DC=domain,DC=lan?userPrincipalName?sub?(&(userPrincipalName=%s)(memberOf=CN=inet_group,OU=inet,DC=domain,DC=local))
> acl {
>      my_users {
>          pass !mail all
>      default {
>          pass none
>        log /var/log/squid/default.log

Вот пример работающего запроса:

ldapusersearch ldap://dc-00.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=oit,OU=InternetAccess,OU=OU_GROUPS,DC=DC-00,DC=LOCAL)(sAMAccountName=%s))

>[оверквотинг удален]
>> src my_users {
>> ldapusersearch ldap://domain.local:636/DC=domain,DC=lan?userPrincipalName?sub?(&(userPrincipalName=%s)(memberOf=CN=inet_group,OU=inet,DC=domain,DC=local))
>> acl {
>>      my_users {
>>          pass !mail all
>>      default {
>>          pass none
>>        log /var/log/squid/default.log
> Вот пример работающего запроса:
> ldapusersearch ldap://dc-00.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=oit,OU=InternetAccess,OU=OU_GROUPS,DC=DC-00,DC=LOCAL)(sAMAccountName=%s))

не работает :((((((( не мог ли бы Вы скинуть мне работающую конфигурацию squid.conf и squidGuard.conf

>[оверквотинг удален]
>>> acl {
>>>      my_users {
>>>          pass !mail all
>>>      default {
>>>          pass none
>>>        log /var/log/squid/default.log
>> Вот пример работающего запроса:
>> ldapusersearch ldap://dc-00.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=oit,OU=InternetAccess,OU=OU_GROUPS,DC=DC-00,DC=LOCAL)(sAMAccountName=%s))
> не работает :((((((( не мог ли бы Вы скинуть мне работающую конфигурацию
> squid.conf и squidGuard.conf

он как будто пропускает его не читает и сразу переходит сюда:
  default {
pass none
log /var/log/squid/default.log

>[оверквотинг удален]
>>> acl {
>>>      my_users {
>>>          pass !mail all
>>>      default {
>>>          pass none
>>>        log /var/log/squid/default.log
>> Вот пример работающего запроса:
>> ldapusersearch ldap://dc-00.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=oit,OU=InternetAccess,OU=OU_GROUPS,DC=DC-00,DC=LOCAL)(sAMAccountName=%s))
> не работает :((((((( не мог ли бы Вы скинуть мне работающую конфигурацию
> squid.conf и squidGuard.conf

Полностью кидать squid.conf смысла не вижу, вот кусок касаемо squidGuard:

url_rewrite_program /usr/local/bin/squidGuard
url_rewrite_children 200
url_rewrite_concurrency 0
url_rewrite_host_header on
url_rewrite_access deny lan_servers
url_rewrite_access allow all
redirector_bypass on

Вот основные моменты из squidGuard.conf:

# CONFIG FILE FOR SQUIDGUARD
#

dbhome /var/db/squidGuard
logdir /usr/local/var/squid/logs/squidGuard

### --------------------- LDAP OPTIONS ----------------------------###
ldapbinddn    CN=squidGuard,OU=ServiceAccounts,OU=OU_USERS,DC=domain,DC=local
ldapbindpass    password
ldapcachetime    600
### ------------------------------------------------------------------

#
# TIME RULES:
# abbrev for weekdays:
# s = sun, m = mon, t =tue, w = wed, h = thu, f = fri, a = sat

time workhours {
    weekly mtwhf 07:00 - 17:30
    date *-*-01  07:00 - 17:30
}

time high-privilegy {
    weekly smtwhfa 00:00-24:00
}
time low-privilegy {
    weekly smtwhfa 07:00-20:00
}
#

# SOURCE ADDRESSES:
#
## LDAP SUPPORT ###
#
#
src OIT {
ldapusersearch ldap://dc-00.domain.local:3268/DC=DOMAIN,DC=LOCAL?sAMAccountName?sub?(&(memberof=CN=oit,OU=InternetAccess,OU=OU_GROUPS,DC=DOMAIN,DC=LOCAL)(sAMAccountName=%s))
}
#
#
#
# DESTINATION CLASSES:
#

dest ads {
domainlist ads/domains
urllist ads/urls
expressionlist ads/expressions
redirect 302:http://proxy/replace/1x1.gif
}

acl {

        OIT within high-privilegy {
        pass all
        redirect http://proxy/cgi-bin/block.cgi?clientaddr=%a&clientname...
        }
        
        ### DEFAULT ###
        
        default {
        pass !ads !in-addr none
        redirect http://proxy/replace/ERR_NOT_ALLOWED_INET.html
            }
}

Не забывайте про "squid -k parse" и "squidGuard -d"

>[оверквотинг удален]
>   pass all
>   redirect http://proxy/cgi-bin/block.cgi?clientaddr=%a&clientname...
>   }
>   ### DEFAULT ###
>   default {
>   pass !ads !in-addr none
>   redirect http://proxy/replace/ERR_NOT_ALLOWED_INET.html
>    }
> }
> Не забывайте про "squid -k parse" и "squidGuard -d"

все равно не работает:

вот мой
squid.conf

http_port 3128
cache_mem 1024 MB
cache_dir ufs /usr/local/squid/cache 50000 64 512
access_log /usr/local/squid/logs/access.log squid
cache_store_log none
error_directory /usr/local/etc/squid/errors/ru

url_rewrite_program /usr/local/bin/squidGuard
url_rewrite_children 20
url_rewrite_access allow all
#url_rewrite_access deny localhost
#auth_param ntlm program /usr/local/bin/ntlm_auth --helper-protocol=squid-2.5-ntlmssp
#auth_param ntlm children 5
#auth_param ntlm keep_alive off
#auth_param basic program /usr/local/libexec/squid/ncsa_auth /usr/local/etc/squid/ncsa.sams
#auth_param basic children 5
#auth_param basic realm Squid proxy-caching web server

#acl auth proxy_auth REQUIRED
#http_access allow authenticated
#acl all src 0.0.0.0/0
acl manager         proto cache_object
acl localhost       src 127.0.0.1
acl SSL_ports       port 443 483 563 2005 4017
acl Safe_ports      port 80 81 82 83 84 85 86 21 443 483 563 70 980-65535
acl CONNECT         method CONNECT
#acl squidusers proxy_auth REQUIRED

http_access deny !Safe_ports
http_access deny CONNECT !SSL_ports
http_access allow manager localhost
http_access deny manager
#http_access allow auth
#http_access allow all

cache_effective_user squid
cache_effective_group squid

coredump_dir /usr/local/squid/cache

visible_hostname dc.domain.local

и соответственно squidGuard.conf
dbhome /var/db/squidGuard
logdir /var/log

ldapbinddn cn=ldapreader,cn=Users,dc=domain,dc=local
ldapbindpass 123QWEasd

ldapcachetime 300

src internet {
ldapusersearch ldap://domain.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=inet_group,OU=inet,DC=domain,DC=local)(sAMAaccountName=%s))

acl {
     internet {
         pass all
#    redirect http://192.168.1.28/cgi/blocked?clientaddr=%a+clientnam...
    log /var/log/squid/pass_all.log
     }

     default {
         pass none
     redirect http://192.168.1.28/cgi/blocked?clientaddr=%a+clientnam...
         log /var/log/squid/default.log
         }

Взгляните пожалуйста свежим взглядом, а то уже вообще голова не соображает. Достал он меня. что может быть не так???? вроде все нормально. все так же соталось, default берет все на себя, запрос ldap он пропускает.

> src internet {
> ldapusersearch ldap://domain.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=inet_group,OU=inet,DC=domain,DC=local)(sAMAaccountName=%s))

нет  закрывающейся "}"

> acl {
>      internet {
>          pass all
> #    redirect http://192.168.1.28/cgi/blocked?clientaddr=%a+clientnam...

тут тоже

1. собран ли squidGuard с поддержкой LDAP ?
2. Что говорит "squidGuard -d"

>> src internet {
>> ldapusersearch ldap://domain.local:3268/DC=domain,DC=local?sAMAccountName?sub?(&(memberof=CN=inet_group,OU=inet,DC=domain,DC=local)(sAMAaccountName=%s))
> нет  закрывающейся "}"
>> acl {
>>      internet {
>>          pass all
>> #    redirect http://192.168.1.28/cgi/blocked?clientaddr=%a+clientnam...
> тут тоже
> 1. собран ли squidGuard с поддержкой LDAP ?
> 2. Что говорит "squidGuard -d"

"}" - имеется просто неудачно скопировал.
да собирался squidGuard  с поддержкой LDAP.

2012-08-16 15:03:41 [10428] init domainlist /var/db/squidGuard/aggressive/domains
2012-08-16 15:03:41 [10428] loading dbfile /var/db/squidGuard/aggressive/domains.db
2012-08-16 15:03:41 [10428] init urllist /var/db/squidGuard/aggressive/urls
2012-08-16 15:03:41 [10428] loading dbfile /var/db/squidGuard/aggressive/urls.db
2012-08-16 15:03:41 [10428] init domainlist /var/db/squidGuard/ads/domains
2012-08-16 15:03:41 [10428] loading dbfile /var/db/squidGuard/ads/domains.db
2012-08-16 15:03:41 [10428] init urllist /var/db/squidGuard/ads/urls
2012-08-16 15:03:41 [10428] loading dbfile /var/db/squidGuard/ads/urls.db
2012-08-16 15:03:41 [10428] logfile not allowed in acl other than default
2012-08-16 15:03:41 [10428] squidGuard 1.4 started (1345115021.030)
2012-08-16 15:03:41 [10428] squidGuard ready for requests (1345115021.033)
и молчание!!!! я так понимаю он ждет....... !
вот и все! больше ничего! подскажите пожалуйста что делать уже замучалсяяяяя