Manual traduzido do Squid

Este é o começo de uma série com a tradução do manual do Squid, versão 3.3. Desde as versões anteriores, há algumas mudanças no manual, porém, nada que prejudique o entendimento de versões próximas/passadas.

[ Hits: 51.378 ]

Por: Buckminster em 01/07/2013


Opções de autenticação II



Opções de esquema NTLM

"program" cmdline :: especifica o comando para o autenticador NTLM externo. Este programa lê troca de pacotes NTLMSSP com o navegador via Squid3 até que a autenticação seja concluída.

Se você usar um autenticador NTLM, certifique-se que tem uma ACL do tipo proxy_auth tipo. Por padrão, o NTLM authenticator_program não é utilizado.

auth_param ntlm program /etc/squid3/bin/ntlm_auth


"children" numberofchildren [startup=N] [idle=N] :: número máximo de processos para autenticar (O padrão é 5).

Se você iniciar com um valor baixo, o Squid3 vai ter que esperar por eles para processar um backlog de verificação de credenciais, e isto vai diminuir a velocidade. Quando as verificações de senha são feitas através de uma rede (lenta,) é provável que você precise de muitos processos autenticadores.

As opções "startup=" e "idle=" permitem uma distorção na quantidade exata de execução. O mínimo startup=N será usado durante a inicialização e o reconfigure do Squid3.

Squid3 irá iniciar em grupos de até idle=N em uma tentativa de atender às necessidades do tráfego e manter idle=N livre, acima do máximo das necessidades.

auth_param ntlm children 20 startup=0 idle=1


"keep_alive" on|off :: se você tiver problemas com requisições PUT/POST ao usar o esquema de negociação de autenticação, então, você pode tentar definir isso como off.

Isso fará com que o Squid3 force o fechamento da conexão nas requisições iniciais, onde o navegador solicita os esquemas que são suportados pelo proxy.

auth_param ntlm keep_alive on


Opções de configuração NEGOTIATE

"program" cmdline :: especifica o comando para o autenticador NEGOTIATE externo. Este protocolo é utilizado no Microsoft Active Directory com as configurações habilitadas no Microsoft Internet Explorer ou no Mozilla Firefox.

Seu principal objetivo, é a troca de credenciais com o proxy Squid3 usando os mecanismos Kerberos. Se você usar um autenticador Negotiate, certifique-se de ter pelo menos uma ACL do tipo proxy_auth ativa. Por padrão, o authenticator_program Negotiate não é utilizado.

O único programa suportado para esta regra é o ntlm_auth, programa distribuído como parte do Samba, versão 4 ou superior.

auth_param negotiate program /etc/squid3/bin/ntlm_auth --helper-protocol=gss-spnego


"children" numberofchildren [startup=N] [idle=N] :: número máximo de processos para autenticar (O padrão é 5).

Se você iniciar com um valor baixo, o Squid3 vai ter que esperar por eles para processar um backlog de verificação de credenciais, e isto vai diminuir a velocidade. Quando as verificações de senha são feitas através de uma rede (lenta) é provável que você precise de muitos processos autenticadores.

As opções "startup=" e "idle=", permitem uma distorção na quantidade exata de execução. O mínimo startup=N será usado durante a inicialização e o reconfigure do Squid3.

Squid3 irá iniciar em grupos de até idle=N em uma tentativa de atender às necessidades do tráfego e manter idle=N livre, acima do máximo das necessidades.

auth_param negotiate children 20 startup=0 idle=1


"keep_alive" on|off :: se você tiver problemas com requisições PUT/POST ao usar o esquema de negociação de autenticação, então, você pode tentar definir isso como off.

Isso fará com que o Squid3 force o fechamento da conexão nas requisições iniciais, onde o navegador solicita os esquemas que são suportados pelo proxy.

auth_param negotiate keep_alive on


Exemplos:

#Configuração mínima recomendada por esquema:
#auth_param negotiate program < descomente e complete esta linha para ativar >
#auth_param negotiate children 20 startup=0 idle=1
#auth_param negotiate keep_alive on
#
#auth_param ntlm program < descomente e complete esta linha para ativar >
#auth_param ntlm children 20 startup=0 idle=1
#auth_param ntlm keep_alive on
#
#auth_param digest program < descomente e complete esta linha >
#auth_param digest children 20 startup=0 idle=1
#auth_param digest realm Squid proxy-caching web server
#auth_param digest nonce_garbage_interval 5 minutes
#auth_param digest nonce_max_duration 30 minutes
#auth_param digest nonce_max_count 50
#
#auth_param basic program <descomente e complete esta linha>
#auth_param basic children 5 startup=5 idle=1
#auth_param basic realm Squid proxy-caching web server
#auth_param basic credentialsttl 2 hours

Default:
none


TAG: authenticate_cache_garbage_interval :: período de tempo da coleta de lixo em todo o cache do nome de usuário.

Este é um trade-off entre a utilização da memória (intervalos longos - digamos 2 dias) e CPU (intervalos curtos - digamos 1 minuto).

Mude somente se você tiver boas razões para isso.

Default: authenticate_cache_garbage_interval 1 hour

TAG: authenticate_ttl :: tempo que um usuário fica logado com as suas credenciais. Quando o intervalo de coleta de lixo ultrapassa o tempo, todas as credenciais dos usuários passadas pelo TTL são removidas da memória.

Default: authenticate_ttl 1 hour

TAG: authenticate_ip_ttl :: se você usar a autenticação de proxy com uma ACL do tipo "max_user_ip" esta diretiva controla por quanto tempo o Squid3 mantém o endereço IP associado com cada usuário.

Use um pequeno valor (por exemplo, 60 segundos) se os usuários alteram os endereços IP rapidamente, como é o caso de dial-up. Você pode utilizar um valor maior (por exemplo, 2 horas) em uma LAN corporativa com atribuições de endereços IP estáticos.

Default: authenticate_ip_ttl 0 seconds

Página anterior     Próxima página

Páginas do artigo
   1. Introdução
   2. Opções de autenticação I
   3. Opções de autenticação II
   4. Controles de acesso
   5. Tipos de ACLs disponíveis
Outros artigos deste autor

Manual traduzido do Squid - Parte 3

Compilação do Squid 3 no Debian Wheezy

Instalação do PostgreSQL com Apache 2, PHP 5, OpenSSL no Debian Wheezy 7.7 64 bits com systemd e chroot

VMD no Debian - Instalação e configuração

Manual traduzido do Squid - Parte 2

Leitura recomendada

Compilando o Squid e criando o pacote para Slackware

PhpDansAdmin, protótipo de ferramenta web para administração do DansGuardian

Squid no FreeBSD

Controle de acesso à internet com Squid

Manual traduzido do Squid - Parte 2

  
Comentários
[1] Comentário enviado por danniel-lara em 01/07/2013 - 08:54h

Parabéns pelo Artigo , muito bom

[2] Comentário enviado por Diego-Garcia em 01/07/2013 - 15:16h

Bem, não li tudo, mas como conheço seu trabalho, já está nos meus favoritos.

[3] Comentário enviado por Buckminster em 02/07/2013 - 10:45h


[1] Comentário enviado por danniel-lara em 01/07/2013 - 08:54h:

Parabéns pelo Artigo , muito bom


Obrigado.

[4] Comentário enviado por Buckminster em 02/07/2013 - 10:45h


[2] Comentário enviado por Diego-Garcia em 01/07/2013 - 15:16h:

Bem, não li tudo, mas como conheço seu trabalho, já está nos meus favoritos.


Obrigado.

[5] Comentário enviado por Carlos_Cunha em 02/07/2013 - 22:55h

Parabéns amigo.!!! Conteúdo sobre o squid é sempre bem vindo...
Abraço

[6] Comentário enviado por removido em 03/07/2013 - 07:22h

Parabéns e excelente iniciativa, favoritado.....

[7] Comentário enviado por removido em 03/07/2013 - 07:30h

João, parabéns cara!

Iniciativa louvável!

Abs

[8] Comentário enviado por Buckminster em 03/07/2013 - 12:47h


[5] Comentário enviado por PretooOO em 02/07/2013 - 22:55h:

Parabéns amigo.!!! Conteúdo sobre o squid é sempre bem vindo...
Abraço


Valeu Preto.

[9] Comentário enviado por Buckminster em 03/07/2013 - 12:47h


[6] Comentário enviado por elementarGO em 03/07/2013 - 07:22h:

Parabéns e excelente iniciativa, favoritado.....


Obrigado. Estamos aí.

[10] Comentário enviado por Buckminster em 03/07/2013 - 12:48h


[7] Comentário enviado por Gedimar em 03/07/2013 - 07:30h:

João, parabéns cara!

Iniciativa louvável!

Abs


Obrigado Gedimar.

[11] Comentário enviado por pontozip em 03/07/2013 - 21:06h

Parabéns pelo seu trabalho, dedicação! A comunidade VOL agradece.

Ats
Curitiba/Pr

[12] Comentário enviado por Buckminster em 04/07/2013 - 01:24h


[11] Comentário enviado por pontozip em 03/07/2013 - 21:06h:

Parabéns pelo seu trabalho, dedicação! A comunidade VOL agradece.

Ats
Curitiba/Pr


Obrigado.


Contribuir com comentário