Configurando Squid como acelerador/offload SSL para Outlook Web Access
Dica publicada em Linux / Avançado
Configurando Squid como acelerador/offload SSL para Outlook Web Access
O Squid pode ser facilmente usado para fornecer serviços de aceleração de SSL para o Outlook Web Access. Ele também pode "falar" SSL para o servidor Exchange back-end.
Versões posteriores do Squid-2.6, possuem apoio de todos os métodos utilizados pelos WebDAV por padrão. Por favor, considere atualizar para, pelo menos, a mais recente versão estável (Squid 2.6) antes de tentar isso.
No exemplo, a situação envolve um único servidor do Outlook Web Access e um único servidor Squid. As seguintes informações são necessárias:
Obs.: esta configuração deve aparecer na parte superior do squid.conf acima de qualquer outra configuração voltada para o Proxy (http_access etc). Caso contrário, as regras de acesso de Proxy padrão irão bloquear algumas pessoas que estão vendo o site acelerado.
Obs.: se a conexão com o servidor OWA requer SSL, então a linha cache_peer deve ser alterada de forma adequada:
Por causa de um aparente bug no Squid 3.1, em https_port também poderá ser preciso usar a opção connection-auth=off, por enquanto.
E-mail: talmeida.silva02[at]gmail.com
Skype: talmeida02
Versões posteriores do Squid-2.6, possuem apoio de todos os métodos utilizados pelos WebDAV por padrão. Por favor, considere atualizar para, pelo menos, a mais recente versão estável (Squid 2.6) antes de tentar isso.
No exemplo, a situação envolve um único servidor do Outlook Web Access e um único servidor Squid. As seguintes informações são necessárias:
- O IP do servidor Squid (ip_of_squid);
- O domínio "público" usado para o Outlook Web Access (owa_domain_name);
- O IP do servidor do Outlook Web Access (ip_of_owa_server).
Obs.: esta configuração deve aparecer na parte superior do squid.conf acima de qualquer outra configuração voltada para o Proxy (http_access etc). Caso contrário, as regras de acesso de Proxy padrão irão bloquear algumas pessoas que estão vendo o site acelerado.
Configuração
https_port ip_of_squid:443 accel cert=/path/to/certificate/ defaultsite=owa_domain_name
cache_peer ip_of_owa_server parent 80 0 no-query originserver login=PASS front-end-https=on name=owaServer
acl OWA dstdomain owa_domain_name
cache_peer_access owaServer allow OWA
never_direct allow OWA
# lock down access to only query the OWA server!
http_access allow OWA
http_access deny all
miss_access allow OWA
miss_access deny all
cache_peer ip_of_owa_server parent 80 0 no-query originserver login=PASS front-end-https=on name=owaServer
acl OWA dstdomain owa_domain_name
cache_peer_access owaServer allow OWA
never_direct allow OWA
# lock down access to only query the OWA server!
http_access allow OWA
http_access deny all
miss_access allow OWA
miss_access deny all
Obs.: se a conexão com o servidor OWA requer SSL, então a linha cache_peer deve ser alterada de forma adequada:
cache_peer ip_of_owa_server parent 443 0 no-query originserver login=PASS ssl sslcert=/path/to/client-certificate name=owaServer
Por causa de um aparente bug no Squid 3.1, em https_port também poderá ser preciso usar a opção connection-auth=off, por enquanto.
E-mail: talmeida.silva02[at]gmail.com
Skype: talmeida02