<div dir="ltr">Hello, Amos,<div><br></div><div>Thank you for clarifying.</div><div><br></div><div>I've opened a PR (<a href="https://github.com/squid-cache/squid/pull/2395">https://github.com/squid-cache/squid/pull/2395</a>) for the <font face="monospace">negotiate_kerberos_auth</font> helper to support custom annotation attributes for PAC groups. The output format has been changed to a single key with comma-separated values. This allows using attributes like <font face="monospace">clt_conn_tag</font> to annotate connections.</div><div><br></div><div>Kind regards,</div><div>    Ankor.</div><div><br></div><div><br></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">чт, 26 мар. 2026 г. в 01:03, Amos Jeffries <<a href="mailto:squid3@treenet.co.nz">squid3@treenet.co.nz</a>>:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 26/03/2026 00:55, Andrey K wrote:<br>
> <br>
> Hello Alex and Amos,<br>
> <br>
> I ran some more tests and would like to share the results.<br>
> <br>
> It turned out that the following auth helper responses are equivalent:<br>
>    OK user=user1 group=group1 group=group2<br>
>    OK user=user1 group=group1,group2<br>
>    OK user=user1 group="group1,group2"<br>
> <br>
<br>
As Alex pointed out "group" key name has special handling that <br>
essentially converts the first line into the second.<br>
<br>
The difference of output is more important for the clt_conn_tag use <br>
where the first line would mark the connection with <br>
"clt_conn_tag=group1", then immediately replace it with <br>
"clt_conn_tag=group2".<br>
<br>
Double-quotes as used on the third line are supported to allow <br>
whitespace and \-escaped characters to exist within values. As used <br>
above line 2 and 3 are exactly the same - the annotation value is a <br>
comma-delimited list of group names.<br>
<br>
<br>
> It also turned out that using the -m flag in the ACL note is <br>
> unnecessary: the ACL<br>
>    acl has_group2 note group group2<br>
> matches each of the three above responses.<br>
<br>
Because all three cases add a note "group=group2".<br>
<br>
Again the special case for "group"  key name has changed line #1 to mean <br>
the same as the others.<br>
<br>
<br>
> However, the ACL<br>
>    acl has_2groups note group group1,group2<br>
> did not match any of them.<br>
<br>
Nod. ',' is a delimiter for notes with a list of values.<br>
The ACL tests each value separately against the squid.conf value.<br>
<br>
<br>
Cheers<br>
Amos<br>
<br>
</blockquote></div>