Radiator

Server Radiator RADIUS este flexibil, extensibil, iar autentifică dintr-o gamă foarte mare de metode tățile, inclusiv wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, fisiere, LDAP, NIS +, parola, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, extern, Opie, POP3, EAP, Active Directory si Apple parola Server. Interoperează cu Vasco Digipass, RSA SecurID, YubiKey. Se rulează pe Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, și mai mult. Sursă completă furnizate. Suport comercial disponibil

Ce este nou în această versiune:.

bug fixat selectate, note de compatibilitate si accesorii

• Rezolvă o vulnerabilitate și bug foarte important în autentificare EAP. OSC recomandă
      toți utilizatorii să revizuiască OSC consultativ de securitate OSC-SEC-2014-01 pentru a vedea dacă acestea sunt afectate.
• findAddress Client () a fost schimbată pentru căutare clientilor CIDR înainte client DEFAULT.
      Afectează ServerTACACSPLUS și în module unele cazuri SessionDatabase.
• Adăugat suport pentru prize non-blocarea pe Windows
• interogări SQL SessionDatabase susțin acum variabile bind

• Adaugata VENDOR Allot 2603 și VSA Allot-User-Rol la dicționar.
• Diametru Adaugata informatii pavilion AVP în dicționarul Diametru Credit-Control aplicație.
• accident prevenite în timpul pornirii când configurat pentru a suporta o cerere Diametru de
  care nu modul în dicționarul nu a fost prezent. Raportat de Arthur.
  Logare îmbunătățită de încărcare a modulelor de dicționar de aplicare Diametru.
• Îmbunătățirile aduse AuthBy SIP2 pentru a adăuga suport pentru SIP2Hook. SIP2Hook poate fi folosit
  pentru autorizare patron și / sau autentificare. Adaugata un bunatati exemplu cârlig / sip2hook.pl.
  Adăugat un nou UsePatronInformationRequest parametru opțional pentru configurații în care
  Patron Starea cerere nu este suficient.
• Fixed o problemă cu SNMPAgent care ar putea provoca un accident în cazul în care configurația nu a avut nici
  Clienti.
• Stream și StreamServer prize sunt acum în modul de nonblocking pe Windows prea. Acest lucru permite
  de exemplu, RadSec pentru a utiliza prize neblocante pe Windows.
• radpwtst onorează acum opțiune -message_authenticator pentru toate tipurile de cerere
  specificat cu parametrul -Code.
• Client.pm findAddress () a fost schimbată pentru a căuta clienți CIDR înainte client DEFAULT. Acest
  este același Cautare comanda de Client pentru cererile primite RADIUS juca. Acest lucru afectează cea mai mare parte
  ServerTACACSPLUS. SessionDatabase DBM, interne și SQL folosi, de asemenea findAddress ()
  și sunt afectate atunci când clienții au NasType configurat pentru simultane-utilizare verificare on-line.
  Căutare de clienți a fost simplificată în ServerTACACSPLUS.
• Adaugata VENDOR Cambium 17,713 și patru Cambium-Canopy VSAs în dicționar.
  "RADIUS Atributele pentru IEEE 802 Rețele" este acum RFC 7268. Actualizat unele tipuri de atribute.
• AuthBy MULTICAST verifică acum în primul rând, nu după, în cazul în care gazda următorul hop este de lucru înainte de a crea
  cerere de a transmite. Acest lucru va salva de cicluri când hop viitor nu este de lucru.
• Adaugata VENDOR Apcon 10,830 și VSA Apcon-User-Level dictionar. Contribuit de Jason Griffith.
• Adăugat suport pentru hash parola personalizate și alte metode de verificare definite de utilizator parolă.
  În cazul în care noul CheckPasswordHook parametru este definit pentru o AuthBy și
  parolă extrase din baza de date de utilizator începe cu conducere '{OSC-PW-cârlig} ", cererea,
  parola prezentat și parola preluate sunt trecute la CheckPasswordHook.
  Cârligul trebuie să returneze true dacă parola prezentat se consideră corectă. TranslatePasswordHook
  ruleaza inainte de CheckPasswordHook și pot fi folosite pentru a adăuga "{OSC-PW-cârlig}" pentru parolele recuperate.
• AuthLog SYSLOG și Log SYSLOG verifica acum LogOpt în timpul fazei de verificare de configurare.
  Orice probleme sunt acum logat cu identificatorul furnizori de bustean.
• valorile implicite pentru SessionDatabase SQL AddQuery și CountQuery folosesc acum% 0, în cazul numele de utilizator
  este nevoie. Actualizarea documentatiei de a clarifica valoarea% 0 pentru
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery și DeleteQuery: 0% este original citat
  nume de utilizator. Cu toate acestea, în cazul în care SessionDatabaseUseRewrittenName este setat pentru manipulator
  iar verificarea se face prin Handler (MaxSessions) sau AuthBy (DefaultSimultaneousUse), apoi
  % 0 este numele de utilizator rescrise. Pentru interogări de baze de date per-utilizator sesiune% 0 este întotdeauna numele de utilizator inițial.
  Actualizarea documentatiei pentru CountQuery pentru a include% 0% și 1. Pentru CountQuery% 1 este valoarea
  din limita utilizarea simultană.
• rezoluție îmbunătățită de nume furnizor la furnizor de-ld valori pentru SupportedVendorIds,
  VendorAuthApplicationIds și VendorAcctApplicationIds. DictVendors cuvinte cheie pentru
  SupportedVendorIds include acum vânzătorii din alte dicționare care sunt încărcate.
  Numele furnizor în furnizor * ApplicationIds poate fi în oricare dintre dicționarele încărcate
  în plus de a fi enumerate în modulul DiaMsg.
• Adaugata VENDOR Inmon 4300 și VSA Inmon-Access-Level la dicționar.
  Contribuit de Garry Shtern.
• Adăugat ReplyTimeoutHook la AuthBy RADIUS, numit în cazul în care nici un răspuns se aude de la serverul de la distanță a încercat în prezent.
  Cârligul se numeste dacă nu se aude un răspuns pentru o solicitare specifică după retransmisii încercări și
  cererea se consideră că nu a reușit pentru că-gazdă.
  Sugestii de David Zych.
• implicit ConnectionAttemptFailedHook nu mai înregistrează valoarea DBAuth real, dar "** ** ascunse" în loc.
• Nume meciul cu metoda de deconectare SqlDb cauzate Fidelio deconectări inutile de interfață și reconectează
  în AuthBy FIDELIOHOTSPOT după erori SQL. AuthBy FIDELIOHOTSPOT acum moștenește direct de la SqlDb.
• Adaugata VENDOR 4ipnet 31,932 și și 14 4ipnet VSAs în dicționar. Acestea VSA sunt folosite și de dispozitive de la partenerii 4ipnet,
  cum ar fi LevelOne. Contribuit prin Itzik Ben Itzhak.
• MaxTargetHosts se aplică acum la AuthBy RADIUS și sub-tipuri AuthBy ROUNDROBIN, VOLUMEBALANCE, LoadBalance,
  HASHBALANCE și EAPBALANCE. MaxTargetHosts a fost implementat anterior numai pentru AuthBy VOLUMEBALANCE.
  Sugestii de David Zych.
• Adaugata VENDOR ZTE 3902 și mai multe VSAs în dicționar cu ajutorul fel de Nguyen Huy Song.
  Actualizat Cisco VSAs în dicționar.
• Adăugat radiator.service, un eșantion systemd fișier de pornire pentru Linux.
• AuthBy FIDELIO și subtipuri de jurnal acum un avertisment în cazul în care serverul trimite exista inregistrari timpul
  resync de baze de date. Acest lucru indică de obicei o problemă de configurare pe partea de server Fidelio,
  cu excepția cazului în adevăr există verificate în oaspeții. Adaugata o notă despre acest lucru în fidelio.txt în bunatati.
• Diametru Adaugata Baza protocol AVP norme de pavilion în DiaDict. Radiator nu mai reuseste CEA cu
  AVP firmware-Revizie care are M set de pavilion.
• BogoMips din nou implicit în mod corect pentru 1 când BogoMips nu este configurat într-o clauză gazdă în AuthBy
  LoadBalance sau VOLUMEBALANCE. Raportat de Serge ANDREY. Implicit fost spart în comunicat 4.12.
  Actualizat exemplu LoadBalance în proxyalgorithm.cfg în bunatati.
• Asigurarea că găzduiește cu BogoMips stabilite la 0 în AuthBy VOLUMEBALANCE nu va fi o candidați pentru proxy.
• Diametru Adaugata norme pavilion AVP în DiaDict pentru următoarele aplicații Diametru: RFC 4005 și 7155 NASREQ,
  RFC 4004 Mobile IPv4 aplicare, CFR 4740 SIP Cerere și RFC 4072 de aplicare EAP.
• Adaugata atributele de la RFC 6929 la dicționar. Atributele vor fi aproximate în mod implicit, dar
  nu de manipulare specific se face pentru ei încă.
• VENDOR Adaugata Covaro Networks 18022 și multiple Covaro VSAs în dicționar. Acestea
  VSAs sunt folosite de produse de la ADVA optice Networking.
  Îmbunătățirile
• performanță semnificative în ServerDIAMETER și prelucrare cerere Diametru. Diametru
  cererile sunt acum formatate pentru depanare numai atunci când nivelul Trace este setat la depanare sau mai mare.
• FILE AuthLog și Jurnal fișier acum sprijini LogFormatHook pentru a personaliza mesajul jurnal.
  Cârligul este de așteptat să se întoarcă o valoare scalară singur conținând mesajul jurnal.
  Acest lucru permite formatarea jurnalele, de exemplu, în JSON sau orice alt format adecvat
  pentru postprocesare necesar. Sugestii si ajutor de Alexander Hartmaier.
• Updated valorile pentru Acct-Terminați-Cauză, NAS-Port-Type și Error-Cauză în dicționar
  pentru a se potrivi cele mai recente misiuni IANA.
• Certificate de probă actualizate de la SHA-1 și RSA 1024 la SHA-256 și RSA 2048 algoritmi.
  Adaugarea noilor certificate directoarelor / SHA1-rsa1024 și certificate / SHA256-secp256r1 cu
  certificate folosind (eliptice criptografie curba) algoritmi anterioare și ECC. Toate
  Certificatele de probă folosi același subiect și emitentului informații și extensii. Acest lucru permite
  testarea diferit semnarea și algoritmii de chei publice cu modificări minime de configurare.
  Mkcertificate.sh Actualizat în bunatati pentru a crea certificate cu SHA-256 și RSA 2048 algoritmi.
• Adaugarea de noi parametri de configurare a EAPTLS_ECDH_Curve pentru metode EAP TLS bazate și TLS_ECDH_Curve
  pentru clienții Stream și servere, cum ar fi RadSec și diametru. Acest parametru permite curbe eliptice
  negociere manipulare efemer și valoarea sa este CE "nume scurt", cum returnat de
  comandă OpenSSL ecparam -list_curves. Noile parametri necesită Net-SSLeay 1.56 sau mai târziu și de potrivire OpenSSL.
• Testat Radiator cu RSA2048 / SHA256 și ECDSA (curba secp256r1) / certificate de SHA256 pe diferite
  platforme și cu clienti diferiti. Suport client EAP a fost disponibil pe scară largă pe ambele mobil,
  cum ar fi, alte sisteme de operare Android, IOS și WP8, și. Actualizat multiple EAP, RadSec, Diametru
  și alte fișiere de configurare din bunatati pentru a include exemple de noi EAPTLS_ECDH_Curve și
  Parametrii de configurare TLS_ECDH_Curve.
• Handler și AuthBy SQL, RADIUS, RADSEC și FREERADIUSSQL susține acum AcctLogFileFormatHook. Acest cârlig este
  disponibil pentru a personaliza mesajele de contabilitate, cerere inregistrata cu AcctLogFileName sau AcctFailedLogFileName.
  Cârligul este de așteptat să se întoarcă o valoare scalară singur conținând mesajul jurnal. Acest lucru permite formatarea
  jurnalele, de exemplu, în JSON sau orice alt format adecvat pentru postprocesare necesar.
• parametrul de configurare Group sustine acum stabilirea ID-urile de grup suplimentare în plus față de
  GID efectiv. Grupul poate fi acum specificată ca separate prin virgula listă a grupurilor cazul în care primul
  grup este dorit id-ul de grup eficientă. Dacă există nume care nu pot fi rezolvate, grupurile nu sunt stabilite.
  Grupurile suplimentare pot ajuta cu, de exemplu, AuthBy NTLM accesarea priza winbindd.
• Adăugat multiple Alcatel, furnizor 6527, VSAs în dicționar.
• rezoluție Alias ​​pentru Radius Clienti si IdenticalClients este acum testată în timpul fazei de verificare de configurare. Sugestii de Garry Shtern.
  Blocuri de IPv4 și IPv6 CIDR specificat incorect sunt acum în mod clar logat. Verificările acoperă, de asemenea clienților încărcate de ClientListLDAP și ClientListSQL.
• formatare specială suportă acum% {AuthBy: parmname} care se înlocuiește cu parametrul parmname
  de clauza AuthBy care se ocupa pachetul curent. Sugestii de Alexander Hartmaier.
• VENDOR Adaugata Tropic Networks 7483, acum Alcatel-Lucent, precum și două Tropic VSAs în dicționar. Acestea
  VSAs sunt folosite de unele produse Alcatel-Lucent, cum ar fi 1830 fotonice service butonul de control.
  Fix unei greșeli în atribut RB-IPv6-Option.
• TLS 1.1 și TLS 1.2 sunt acum permise pentru metode EAP atunci când sunt susținute de OpenSSL și EAP suplicii.
  Datorită Nick Lowe de Lugatech.
• AuthBy FIDELIOHOTSPOT suportă acum servicii preplătite, cum ar fi planuri cu diferite lățime de bandă.
  Achizițiile sunt înregistrate la Opera cu înregistrările de facturare. Fișierele de configurare Fidelio-hotspot.cfg și
  Fidelio-hotspot.sql în bunatati au fost la curent cu un exemplu de integrare Mikrotik portal captiv.
• AuthBy RADIUS și AuthBy RADSEC folosesc acum mai puțin decât și egal la compararea
  timbre timp folosind MaxFailedGraceTime. Anterior strict mai putin decat a fost utilizat
  provocând o în afara de unul eroare secundă când marcajul următor hop Gazde jos.
  Depanat și raportate de David Zych.
• AuthBy SQLTOTP a fost actualizat pentru a sprijini HMAC-SHA-256 și HMAC-SHA-512 funcții. Hash HMAC
  algoritm poate fi acum Parametrarea pentru fiecare semn, precum și pas de timp și de origine timp Unix.
  O parolă gol va lansa acum Accesul-provocare să solicite OTP. SQL și configurare
  exemple au fost actualizate. Un nou generate-totp.pl utilitate în bunatati / pot fi folosite pentru a crea
  secrete partajate. Secretele sunt create în hex și RFC 4648 formate de text Base32 și ca
  Imagini cod QR, care pot fi importate de autentificatori, cum ar fi Google Authenticator și FreeOTP
  Authenticator.
• root.pem Reformatată, CERT-clt.pem și CERT-srv.pem în certificatele / directorul.
  Tastele privat criptate în aceste fișiere sunt acum formatate în format tradițional SSLeay
  în loc de PKCS # 8 format. Unele sisteme mai vechi, cum ar fi RHEL 5 și CentOS 5, nu înțeleg
  PKCS # 8 format și nu cu un mesaj de eroare de genul "TLS nu a putut use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27197: 1 - eroare: 06074079: rutine plic digitale: EVP_PBE_CipherInit: algoritmul PBE necunoscut "
  atunci când încearcă să încarce cheile. Tastele privat criptate în SHA1-rsa1024 și SHA256-secp256r1
  directoare rămân în formatul PKCS # 8. O notă despre formatul cheii private s-a adăugat în
  certificate / README.
• Adaugata nou parametru pentru toate AuthBys: EAP_GTC_PAP_Convert forțează toate cererile EAP-GTC a fi
  convertit la cererile Raza PAP convenționale care sunt redespatched, poate să fie proxy
  la un alt server de bază non-EAP-GTC Radius capabil sau pentru autentificare locală. Convertit
  cererile pot fi detectate și tratate cu Handler ConvertedFromGTC = 1.
• interogări SessionDatabase SQL suporta acum variabile bind. Parametrii de interogare urmați
  convenție de denumire de obicei în cazul în care, de exemplu, AddQueryParam este folosit pentru variabile bind AddQuery.
  Interogările actualizate sunt: ​​AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery și CountNasSessionsQuery.
• AddressAllocator SQL suportă acum un nou UpdateQuery parametru opțional care va rula un SQL
  Declarație pentru fiecare mesaj de contabilitate cu Acct-Statutul-tip de Start or Alive.
  Această interogare poate fi folosit pentru a actualiza ștampila de timp de expirare a permite mai scurt LeaseReclaimInterval.
  Adaugata un exemplu de UpdateQuery în addressallocator.cfg în bunatati.
• fixă ​​mesaj jurnal greșit formatat în AuthBy RADIUS. Raportat lui Patrik Forsberg.
  Fixe mesaje logare EAP-PAX și EAP-PSK și actualizată o serie de exemple de configurare în bunatati.
• compilate de pachete Win32-Lsa Ferestre PPM pentru Perl 5,18 și 5,20, atât pentru x64 și x86 cu numere întregi pe 32 de biți.
  Cele PPMS au fost compilate cu capsuni Perl 5.18.4.1 și 5.20.1.1. Inclus acestea și
  compilat anterior PPMS Win32-LSA în distribuție Radiator.
• compilate de pachete autentică-Digipass pentru Windows PPM cu capsuni Perl 5.18.4.1 și 5.20.1.1 pentru
  Perl 5,18 și 5,20 pentru x86 cu numere întregi pe 32 de biți. Digipass.pl actualizat pentru a utiliza getopt :: lung în loc
  de depreciată newgetopt.pl. Reambalate autentică-Digipass PPM pentru Perl 5.16 pentru a include digipass.pl actualizat.
• tip Diametru Adresa atributelor cu valori IPv6 sunt acum decodate în text lizibil uman adresa IPv6
  reprezentare. Anterior, decodare întors valoarea atributului brut. Raportat de Arthur Konovalov.
• Diametru îmbunătățită EAP manipulare atât pentru DIAMETRU AuthBy și ServerDIAMETER. Ambele module publicitate acum
  Aplicație Diametru-EAP în mod implicit în timpul schimbului capacități inițială. AuthBy DIAMETRU suportă acum
  AuthApplicationIds, AcctApplicationIds și SupportedVendorIds parametri de configurare
• schimbat tipul de tarifara-User-identitate în dicționar a binar pentru a vă asigura orice NUL posterioară
  caractere nu sunt dezbrăcat.
• Mai multe update-uri la fișiere de configurare exemplu. Eliminați "DupInterval 0" și de a folosi Manere în loc de Realms
• Fixed un bug PAM, care ar putea permite ocolirea restricții metoda EAP. Copiat EAP testarea de tip extins
  modul de bunatati si a schimbat modul de testare a răspuns de fiecare dată cu acces respinge.
• note backport Adăugat și backportări pentru versiunile mai vechi de radiator pentru a aborda bug EAP în
  Consultativ de securitate OSC.

Ce este nou în versiunea 4.13:

• atributele uri pot fi acum aproximat în loc să fie scăzut
  
• Diametru îmbunătățiri pot solicita modificări ale modulelor personalizate Diametru
  
• îmbunătățiri majore IPv6 includ: Atribute cu valori IPv6 poate fi acum aproximat fără suport IPv6, Socket6 nu mai este o condiție absolut. "IPv6:" prefix este acum opțională și nu prefixate în valorile atributelor
  
• TACACS + autentificare și autorizare poate fi acum decuplate
  
• variabile Bind sunt acum disponibile pentru AuthLog SQL și SQL Log.
  
• cereri Starea-Server nicio corect mesaj-Identificator sunt ignorate. Răspunsurile stare-Server sunt acum configurabile.
  
• atribute LDAP poate fi acum preluat cu scop de bază după subarbore cad căutare. Util de exemplu, tokenGroups AD atributele care nu sunt disponibile în alt mod
  
• Verificare adăugat recent pentru CVE-2014-0160, vulnerabilitatea OpenSSL Heartbleed pot loga alarme false
  
• New AuthBy pentru autentificarea împotriva serverul de validare YubiKey adăugat
  
• Vezi Radiator SIM pachet istoricul versiunilor pentru versiunile de ambalaj SIM suportate

Limitări :

maxima 1000 cereri. Perioadă limitată de timp.