Люди, уже голову всю сломал. Подскажите, пожалуйста.

Сервер squid работает с аутентификацией kerberos и авторизацией по группам с помощью хелпера squid_ldap_group (тест squid_ldap_group) проходит удачно и видно подтверждение того, что пользователи находятся в своих группах.

acl у меня такие:
acl OFFICE external ldap_verify Access_Proxy_ftl_OFFICE
acl VIP external ldap_verify Access_Proxy_ftl_VIP

acl media url_regex "/etc/squid/deny_flash.conf"
acl allusers proxy_auth REQUIRED
http_access allow VIP
http_access allow media OFFICE
http_access deny !allusers all

Что хочу получиьт в итоге: acl VIP доступен весь интернет без ограничений.
acl OFFICE должен быть заблокирован доступ к flash контенту.
Файлик: /etc/squid/deny_flash.conf
acl media rep_mime_type video/flv video/x-flv
acl mediapr urlpath_regex \.flv(\?.*)?$
acl media rep_mime_type application/x-shockwave-flash
acl mediapr urlpath_regex \.swf(\?.*)?$
acl mimeblock rep_mime_type -i ^video
acl mimeblock rep_mime_type -i ^audio

#http_access deny mediapr
#http_reply_access deny media

C acl, приведенными сверху, группа VIP работает отлично.
А с acl OFFICE, пользователям из группы OFFICE вообще ничего не доступно: обращаясь на любой веб-сайт, получаю страницу squid: Доступ запрещен. И так абсолютно везде.
Если просто заинклюдить(include) файл deny_flash.conf в конфиг squid, то flash блокируется как и положено, но для всех. А мне нужно только для группы OFFICE. Помогите, пожалуйста.