Мне нужно настроить два типа доступа в Squid:

• Пользователи с привилегиями (аутентификация AD) для доступа к аудио-видео сайтам и сайтам социальных сетей;
• Пользователи без прав, всего несколько сайтов

Я использую:

CentOS 7

SELinux Enforcing
Брандмауэр, разрешающий доступ через порт 3128

Squid 3.3.8

...
acl local_network src 192.168.0.0/24
external_acl_type user_priv ipv4 %LOGIN /usr/lib64/squid/ext_ldap_group_acl -R -K \
-h example.com \
-b "dc=example,dc=com" \
-D user@DOMAIN \
-w password \
-f "(&(objectclass=person)(sAMAccountName=%v)(memberof=cn=%a,ou=ADMINISTRATION,dc=example,dc=com))"

acl access_priv external user_priv PRIVILEGED_USERS

http_access allow access_priv
http_access allow local_network

url_rewrite_program /usr/bin/squidGuard -c /etc/squid/squidGuard.conf  
...

SquidGuard 1.4

ldapbinddn cn=User,ou=TI,dc=example,dc=com
ldapbindpass password
ldapcachetime  300  

src user_priv {
    ldapusersearch  ldap://ad.example.com/dc=example,dc=com?sAMAccountName?sub?(&(sAMAccountName=%s)(memberof=cn=PRIVILEGED_USERS,ou=ADMINISTRATION,dc=example,dc=com)
}  

user_priv {
    pass !ads !porn audio-video social_networks whitelist
    redirect http://squid.example.com/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
}
default {
    pass !ads !porn !audio-video !social_networks whitelist
    redirect http://squid.example.com/cgi-bin/squidGuard.cgi?clientaddr=%a+clientname=%n+clientuser=%i+clientgroup=%s+targetgroup=%t+url=%u
}

Я не мог заставить его работать. Я попытался изменить порядок acls, но это не сработало так, как мне нужно. Или у пользователей без аутентификации нет доступа, или у привилегированных пользователей нет своего частного доступа.

Есть идеи?