El Jueves, 5 de Mayo de 2005 20:33, Dionisio Ruiz de Zárate escribió:

Hola, a modo general, alguien me podria decir si squid podria andar holgadamente, con una maquina buena, autentificandose contra una bbdd mysql con 100000 usuarios sin que fuera un cuello de botella? gracias

* La autentificación nunca es un cuello de botella es un mecanismo de seguridad, o se hace porque se necesita o no, una red de 100000 usuarios ha de estar fuertemente segmentada y en cada cabecera o enrutador (que ha de ser donde se produzca la autentificación) correra un squid hijo, alli ha de producirse la autentificación y no en el de salida que sera el padre, de esta forma además a medida que se vayan produciendo peticiones y alimentandose las caches distribuidas en cada segmento de red, las peticiones no saldran a internet ni a la red troncal, serán servidas desde su propio segmento, excepto aquellas inexistentes que las servira la cache padre que corresponde a la maquina que proporciona el acceso a internet. * En cuanto a ese número de usuarios, que entiendo que pueden no ser simultáneos, es obligado implementar mecanismos de autenficación unica por sesión o por tiempo, ya sea ldap con expedición de tickets kerberos, usando las capacidades de ldap y samba, combinaciones entre ambas, o un servidor radius, tambien con los mecanismos autentificadores standard de squid, ncsa, pam, etc.., pueden fijarse tiempos de expiración, un ajuste fino por grupos de usuarios en las ACL's te permitiria fijar, periodos posibles de conexión y tiempos de expiración de la autentificación, esto puedes hacerlo contra ficheros planos de usuarios con distintos privilegios de conexion, pero lo conveniente es contra ldap ya sea contra su propia base de datos o contra mysql, en cualquier caso no es conveniente el uso de demonios autentificadores ya que se produce una autentificación por cada petición. * También te recuerdo que hay otros proxys, delegate por ejemplo que cubre muchos más protocolos y dispone de cache.