Manual traduzido do Squid - Parte 3

Nesta terceira parte da tradução do manual do Squid 3, lucraremos com informações valiosas sobre SSL e cache. A tradução não foi realizada literalmente. Alguns termos foram adaptados para maior compreensão e alguns termos, foram deixados em inglês para evitar perder-se alguma coisa na tradução.

[ Hits: 29.636 ]

Por: Buckminster em 02/12/2013


Opções de autenticação



==== AUTHENTICATION OPTIONS ====

login=user:password :: use se este for um proxy pessoal ou de grupo de trabalho e seu pai requer autenticação.

Nota: a string pode incluir escapes na URL (por exemplo, %20 para espaços). Isto também significa que o símbolo % deve ser escrito como %%.

login=PASSTHRU :: envia dados de login recebidos do cliente para este peer. Ambos os cabeçalhos Proxy e WWW-Authorization são passados sem alteração para os peers.

A autenticação não é exigida pelo Squid para que isso funcione.

Nota: isso vai passar qualquer forma de autenticação, mas somente Basic auth funcionará através de um proxy, a menos que as opções de conexão connection-auth também forem utilizadas.

login=PASS :: envia dados de login recebidos do cliente para este peer. A autenticação não é exigida para esta opção.

Se no cabeçalho não há clientes fornecidos para autenticação repassar, mas o nome de usuário e senha estão disponíveis a partir de uma ACL externa, as tags user= e password= podem ser enviadas.

Nota: para combinar isso com proxy_auth, ambos os proxies devem compartilhar o mesmo banco de dados do usuário, porque o HTTP só permite um único login (um para proxy, um para servidor de origem).

Também, lembre que isto irá expor as senhas dos usuários do proxy para os peers. USE COM CUIDADO.

login = *:password :: envia o nome de usuário para o cache upstream, mas com a senha corrigida. Isto é feito para ser usado quando o peer está em outro domínio administrativo, mas ainda é necessário para identificar cada usuário.

O asterisco ( * ) pode, opcionalmente, ser seguido por alguma informação extra do que for adicionado ao nome do usuário. Isto pode ser utilizado para identificar este proxy para os peers, semelhante ao o login=username:password acima.

login=NEGOTIATE :: use se este for um proxy pessoal/grupo de trabalho e seu pai requer uma autenticação de proxy segura. O primeiro e principal do keytab default ou o definido pela variável de ambiente KRB5_KTNAME será usado.

* Atenção: a conexão pode transmitir pedidos de múltiplos clientes. Negociar muitas vezes, assume que a autenticação é fim-a-fim e de um único cliente. O que não é rigorosamente verdade aqui.

login=NEGOTIATE:principal_name :: use se este for um proxy pessoal/grupo de trabalho e seu pai requer uma autenticação de proxy segura. O principal principal_name do keytab default, ou o definido pela variável de ambiente KRB5_KTNAME, será usado.

* Atenção: a conexão pode transmitir pedidos de múltiplos clientes. Negociar muitas vezes, assume que a autenticação é fim-a-fim e de um único cliente. O que não é rigorosamente verdade aqui.

connection-auth= on | off :: informa ao Squid se este peer suporta ou não suporta autenticação Microsoft orientada à conexão, sendo que qualquer pedido recebido não deve ser ignorado.

O default é auto para determinar automaticamente o status do peer.

==== SSL / HTTPS / TLS OPTIONS ====

ssl :: criptografar conexões deste perr com SSL/TLS.

sslcert =/path/to/ssl/certificate :: indica o caminho do certificado SSL para usar ao conectar neste peer.

sslkey =/path/to/ssl/key :: indica o caminho da chave SSL privada correspondente à sslcert acima. Se sslkey não estiver especificada, a sslcert é assumida como referência a um arquivo combinado contendo tanto o certificado, como a chave.

sslversion=1 | 2 | 3 | 4 | 5 | 6 :: indica a versão SSL para usar quando conectar neste peer.
    
  1 = automatic (default)
  2 = SSL v2
  3 = SSL v3
  4 = TLS v1.0
  5 = TLS v1.1
  6 = TLS v1.2
    
sslcipher=... :: lista de cifragem SSL válida para usar ao conectar neste peer.

ssloptions=... :: especifica várias opções de implementação SSL:

NO_SSLv2 - desabilita o uso de SSLv2
NO_SSLv3 - desabilita o uso de SSLv3
NO_TLSv1 - desabilita o uso de TLSv1.0
NO_TLSv1_1 - desabilita o uso de TLSv1.1
NO_TLSv1_2 - desabilita o uso de TLSv1.2

SINGLE_DH_USE :: Sempre cria uma nova chave ao usar trocas de chaves efêmeras/temporárias DH.
ALL :: Ativa várias soluções de bugs sugeridas como "inofensivas" pelo OpenSSL.

Esteja avisado que isso reduz a segurança SSL/TLS para alguns ataques.

Consulte a documentação do OpenSSL SSL_CTX_set_options para uma lista mais completa.

sslcafile=... :: um arquivo contendo os certificados CA adicionais para usar ao verificar o certificado do peer.

sslcapath=... :: um diretório contendo os certificados CA adicionais para utilizar na verificação do certificado do peer.

sslcrlfile=... :: um arquivo de lista de certificados revogados para usar na verificação do certificado do peer.

sslflags=... :: especifica várias flags modificando a implementação SSL:

DONT_VERIFY_PEER - aceita certificados mesmo se a verificação falhar.
NO_DEFAULT_CA - não utiliza a lista CA Default construída no OpenSSL.
DONT_VERIFY_DOMAIN - não verifica o certificado do peer corresponde ao nome do servidor

ssldomain= :: o nome do peer como anunciado no certificado. Usado para verificar a exatidão do peer que recebeu certificado. Se não for especificado o nome de host do peer, será utilizado.

front-end - https :: ativa o cabeçalho "Front-End-Https: On" necessário quando o Squid for utilizado como um front-end SSL para Microsoft OWA. Veja MS KB documento Q307347, para obter detalhes sobre este cabeçalho. Se for setado como auto, só será adicionado o cabeçalho se a requisição for encaminhada como uma URL https://

==== OPÇÕES GERAIS ====

connect-timeout=N :: um tempo limite de conexão específica do peer. Veja também a diretiva peer_connect_timeout.

connect-fail-limit=N :: especifica quantas vezes o peer deve tentar conectar-se antes de falhar e ser marcado como down. O default é 10.

allow-miss :: desabilita o Squid de encaminhar as requisições armazenadas em cache para siblings (irmãos). Isto é principalmente útil, quando icp_hit_stale fot usado pelo irmão. O uso extensivo desta opção pode resultar em loops, e você deve evitar ter dois sentidos de peerings com esta opção. Por exemplo, para negar o uso de pedidos de peer para peer negando cache_peer_access se a fonte for o próprio peer.

max-conn=N :: limita a quantidade de conexões que o Squid pode abrir neste peer.

name=xxx :: nome único para o peer. Necessário se você tem múltiplos peers no mesmo host, mas em portas diferentes. Este nome pode ser usado em cache_peer_access para identificar o peer. Pode ser usado para controles de acesso de saída através de uma ACL peername.

no-tproxy :: não use o suporte a TPROXY ao encaminhar requisições para este peer. Use a seleção normal de endereços. Isso substitui a ACL spoof_client_ip.

proxy-only :: objetos buscados a partir do peer, não serão armazenados localmente.
Default: None


TAG: cache_peer_domain Use para limitar os domínios para os quais um cache vizinho será consultado.

Uso:
  • cache_peer_domain cache-host domain [domain...]
  • cache_peer_domain cache-host !domain

Por exemplo, especificando:
    
   cache_peer_domain parent.foo.net  .edu
    
Tem o efeito de tal modo que, os pacotes de consulta UDP são enviados para "BIGSERVER" somente quando o objeto solicitado existe em um servidor no domínio .edu. Prefixar o nome do domínio com ! significa que o cache NÃO será consultado para objetos nesse domínio.

NOTAS:
  • Qualquer número de domínios pode ser concedido por um host de cache, quer na mesma ou em diferentes linhas.
  • Quando múltiplos domínios são dados para um determinado cache-host, o primeiro domínio encontrado será aplicado.
  • Cache de hosts sem restrições de domínio são consultados para todas as requisições.
  • Não há padrões.
  • Há também uma Tag cache_peer_access na seção ACL.

TAG: cache_peer_access
Semelhante à cache_peer_domain, mas fornece mais flexibilidade usando elementos das ACLs.

Uso:
    
    cache_peer_access cache-host allow | deny  [ ! ] aclname...
    
A sintaxe é idêntica à http_access e de outras listas de elementos de ACLs. Veja os comentários para http_access, ou o Squid FAQ.
Default: none


TAG: neighbor_type_domain
Uso:
    
    neighbor_type_domain neighbor parent | sibling domain domain ...
    
Agora, é possível modificar o tipo de vizinho para domínios específicos. Você pode tratar alguns domínios de forma diferente do tipo especificado na linha cache_peer. Normalmente, só deve ser necessário listar os domínios que devem ser tratados de forma diferente, porque o tipo de vizinho default se aplica para nomes de host que não correspondem a domínios listados aqui.

Exemplo:
    
   cache_peer cache.foo.org parent 3128 3130
   neighbor_type_domain cache.foo.org sibling .com  .net
   neighbor_type_domain cache.foo.org sibling .au .de
   Default: none
    
    
TAG: dead_peer_timeout (segundos)
Controla o tempo que o Squid espera para declarar um cache peer como "morto". Se não houver respostas ICP recebidas neste tempo, o Squid irá declarar o peer morto e não esperará receber quaisquer respostas ICP. No entanto, ele continua a enviar consultas ICP e marcará o peer como vivo após o recebimento da primeira resposta ICP subsequente.

Este tempo limite também afeta quando o Squid espera receber respostas ICP do peer. Se passar mais do que um segundo desde a última resposta ICP recebida, o Squid não vai esperar para receber a resposta ICP da consulta seguinte. Assim, se seu tempo entre os pedidos é maior do que esse tempo limite, você vai ter um monte de pedidos enviados diretamente para servidores de origem em vez de seus pais.
Default: dead_peer_timeout 10 seconds


TAG: forward_max_tries
Controla quantos caminhos diferentes o Squid vai tentar encaminhar antes de desistir. Veja também forward_timeout.

Nota: connect_retries (default: none), pode fazer com que cada um destes caminhos possíveis de encaminhamento sejam tentados várias vezes.
Default: forward_max_tries 10


TAG: hierarchy_stoplist
Lista de palavras que, se encontradas em uma URL, fazem com que o objeto seja tratado diretamente por este cache. Em outras palavras, use esta opção para não consultar caches vizinhos para determinados objetos. Você pode listar esta opção várias vezes.

Exemplo:
   
    hierarchy_stoplist cgi- bin ?
    
Nota: never_direct substitui essa opção.
Deafult: none

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Opções relacionadas com ACLS externas SSL_CRTD e opções ICP
   3. Opções de autenticação
   4. Opções de cache de memória e armazenamento
   5. Opções de logfile
   6. Opções para solução de problemas
Outros artigos deste autor

Instalação do PostgreSQL, Apache2 e PHP8 no Debian Buster 10 e no Stretch 9

Configuração do sistema, DHCP, compartilhamento e DNS no Debian Squeeze

Como utilizar de forma correta os repositórios e pacotes Backports

Compilação do Kernel

Montagem de Cluster

Leitura recomendada

Servidor proxy com Squid - Instalação e configuração

SQUID autenticado - Bloqueando o acesso dos usuários por grupos

Squid + SSL

Implementação de um servidor Linux Squid + Iptables + DHCP

SQUID e as autenticações em NTLM e RADIUS

  
Comentários
[1] Comentário enviado por Diego-Garcia em 02/12/2013 - 11:29h

Já está no meus favoritos, mais um excelente artigo.

[2] Comentário enviado por Buckminster em 02/12/2013 - 20:36h


[1] Comentário enviado por Diego-Garcia em 02/12/2013 - 11:29h:

Já está no meus favoritos, mais um excelente artigo.


Obrigado Diego.

[3] Comentário enviado por andersonjackson em 03/12/2013 - 12:56h

Excelente trabalho. Parabéns.

[4] Comentário enviado por Buckminster em 03/12/2013 - 16:53h


[3] Comentário enviado por andersonjackson em 03/12/2013 - 12:56h:

Excelente trabalho. Parabéns.


Obrigado.

[5] Comentário enviado por alysonpires em 05/12/2013 - 04:55h

Parabéns! Conteúdo grande, enorme... Pode ser até chato de ler, mas é completo! Isso que importa ;)

[6] Comentário enviado por Buckminster em 05/12/2013 - 17:06h


[5] Comentário enviado por alysonpires em 05/12/2013 - 04:55h:

Parabéns! Conteúdo grande, enorme... Pode ser até chato de ler, mas é completo! Isso que importa ;)


Obrigado.
É o Manuel do Squid. Não tem como ser de outro tamanho.
É bom para consultas. Não tem necessidade de ler tudo de uma vez.
Eu uso para consultas quando preciso de algum esclarecimento.

[7] Comentário enviado por jfernandes em 09/12/2013 - 09:47h

Meus parabéns primeiro pela iniciativa, muito boa, e segundo por fazer um belo trabalho .
Parabéns .

[8] Comentário enviado por Buckminster em 09/12/2013 - 20:03h


[7] Comentário enviado por jfernandes em 09/12/2013 - 09:47h:

Meus parabéns primeiro pela iniciativa, muito boa, e segundo por fazer um belo trabalho .
Parabéns .


Obrigado.

[9] Comentário enviado por px em 12/12/2013 - 14:32h

Mais um excelente conteúdo, como sempre! muito bem escrito e direto ao ponto, parabéns e nota 10!

[10] Comentário enviado por Buckminster em 12/12/2013 - 17:23h


[9] Comentário enviado por px em 12/12/2013 - 14:32h:

Mais um excelente conteúdo, como sempre! muito bem escrito e direto ao ponto, parabéns e nota 10!


Obrigado Pedro.


Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts