Radiator

Radiator RADIUS-serveren er fleksibel, utvidbar, og autentiserer fra et stort spekter av auth metoder, inkludert Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, filer, LDAP, NIS +, passord, NT SAM , Emerald, Platypus, Freeside, tacacs, PAM, eksternt, Opie, POP3, EAP, Active Directory og Apple Passord Server. Interoperates med Vasco Digi, RSA SecurID, Yubikey. Det kjører på Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007 MacOS 9, MacOS X, VMS, og mer. Full kilde gitt. Full kommersiell støtte tilgjengelig

Hva er nytt i denne utgaven:.

Valgte feilrettinger, kompatibilitets notater og forbedringer

• Løser en sårbarhet og meget betydelig feil i EAP-godkjenning. OSC anbefaler
      alle brukere en anmeldelse OSC sikkerhetsveiledning OSC-SEC-2014-01 for å se om de er berørt.
• Client findAddress () ble endret til oppslag CIDR klienter før STANDARD klient.
      Påvirker ServerTACACSPLUS og i noen tilfeller SessionDatabase moduler.
• Lagt til støtte for ikke-blokkerende kontakter på Windows
• SessionDatabase SQL-spørringer nå støtter bind variabler

• Lagt VENDOR Allot 2603 og VSA Allot-User-rolle til ordliste.
• Lagt Diameter AVP flagg hint i Diameter Credit-Control Application ordbok.
• Forhindret krasj under oppstart når konfigurert til å støtte en Diameter søknad om
  som ingen ordboken modul ikke var til stede. Rapportert av Arthur.
  Forbedret logging av lasting av Diameter applikasjons ordbok moduler.
• Forbedringer AuthBy SIP2 å legge til støtte for SIP2Hook. SIP2Hook kan benyttes
  for skyts autorisasjon og / eller autentisering. Lagt et eksempel krok godbiter / sip2hook.pl.
  Lagt til en ny valgfri parameter UsePatronInformationRequest for konfigurasjoner der
  Patron Status Request er ikke tilstrekkelig.
• Fast et problem med SNMPAgent som kan føre til krasj hvis konfigurasjonen hadde ingen
  Klienter.
• Stream og StreamServer stikkontakter er nå satt til nonblocking modus på Windows også. Dette gjør
  for eksempel RadSec å bruke nonblocking stikkontakter på Windows.
• radpwtst hedrer nå -message_authenticator alternativ for alle typer forespørsel
  angitt med koden punkt parameter.
• Client.pm findAddress () ble endret for å slå opp CIDR klienter før STANDARD klient. Dette
  er den samme for Client oppslag for innkommende RADIUS forespørsler bruker. Dette påvirker det meste
  ServerTACACSPLUS. SessionDatabase DBM, INTERN og SQL bruker også findAddress ()
  og påvirkes når klienter har NasType konfigurert for Simultan-Bruk online sjekking.
  Klient lookup ble forenklet i ServerTACACSPLUS.
• Lagt VENDOR Cambium 17713 og fire Cambium-Canopy VSAs til i ordliste.
  "RADIUS attributter for IEEE 802 Networks" er nå RFC 7268. Oppdatert noen av sine attributtyper.
• sjekker AuthBy Multicast nå først, ikke etter, hvis den neste hop verten fungerer før du oppretter
  forespørsel om å videresende. Dette vil spare sykluser når neste hop ikke fungerer.
• Lagt VENDOR Apcon 10830 og VSA Apcon-User-nivå til ordliste. Innsendt av Jason Griffith.
• Lagt til støtte for egendefinerte passord-hasher og andre brukerdefinerte passord sjekk metoder.
  Når den nye konfigurasjonsparameter CheckPasswordHook er definert for en AuthBy og
  passord hentes fra brukerdatabasen starter med ledende {-krok OSC-pw}, anmodningen,
  den innsendte passord og hentet passord sendes til CheckPasswordHook.
  Kroken skal returnere true hvis den innsendte passord anses riktig. TranslatePasswordHook
  runs før CheckPasswordHook og kan brukes til å legge til '{-krok OSC-pw} på hentede passord.
• AuthLog SYSLOG og Log SYSLOG nå sjekke LogOpt under konfigurasjonen sjekk fasen.
  Noen problemer er nå logget med loggere Identifier.
• De standardverdiene for SessionDatabase SQL AddQuery og CountQuery nå bruke% 0 hvor brukernavn
  er nødvendig. Oppdatert dokumentasjon for å avklare verdien av% 0 for
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery og DeleteQuery:% 0 er sitert opprinnelige
  brukernavn. Men hvis SessionDatabaseUseRewrittenName er satt for Handler
  og sjekken er gjort av Handler (MaxSessions) eller AuthBy (DefaultSimultaneousUse), deretter
  % 0 er omskrevet brukernavn. For per bruker session databasespørringer% 0 er alltid den opprinnelige brukernavn.
  Oppdatert dokumentasjonen for CountQuery å inkludere% 0 og% 1. For CountQuery% 1 er verdien
  av bruken grense samtidig.
• Forbedret oppløsning på leverandørens navn til Selger-Id verdier for SupportedVendorIds
  VendorAuthApplicationIds og VendorAcctApplicationIds. Søkeord DictVendors for
  SupportedVendorIds omfatter nå leverandører fra alle ordbøker som er lastet.
  Leverandørnavn i leverandør * ApplicationIds kan være i noen av de belastede ordbøker
  i tillegg for å bli oppført i DiaMsg modulen.
• Lagt VENDOR Inmon 4300 og VSA Inmon-Access-Level til ordliste.
  Innsendt av Garry SHTERN.
• Lagd ReplyTimeoutHook til AuthBy RADIUS, kalt hvis ingen svar høres fra tiden prøvd ekstern server.
  Kroken kalles hvis ingen svar er hørt for en spesifikk forespørsel etter Nye forsøk nye sendinger og
  anmodningen anses å ha mislyktes for at Host.
  Foreslått av David Zych.
• Standard ConnectionAttemptFailedHook logger ikke lenger den virke DBAuth verdi, men '** skjult **' i stedet.
• Name sammenstøt med SqlDb koble metode forårsaket unødvendige Fidelio grensesnitt kobler og kobler
  i AuthBy FIDELIOHOTSPOT etter SQL-feil. AuthBy FIDELIOHOTSPOT arver nå direkte fra SqlDb.
• Lagt VENDOR 4ipnet 31932 og og 14 4ipnet VSAs til i ordliste. Disse VSA brukes også av enheter fra 4ipnet partnere,
  slik som Levelone. Innsendt av Itzik Ben Itzhak.
• MaxTargetHosts nå gjelder AuthBy RADIUS og dens undertyper AuthBy ROUNDROBIN, VOLUMEBALANCE, lastbalanserings,
  HASHBALANCE og EAPBALANCE. MaxTargetHosts ble tidligere gjennomført kun for AuthBy VOLUMEBALANCE.
  Foreslått av David Zych.
• Lagt VENDOR ZTE 3902 og flere VSAs til i ordliste med den type assistanse av Nguyen Song Huy.
  Oppdatert Cisco VSAs i ordboken.
• Lagt radiator.service, en prøve systemd oppstartsfilen for Linux.
• AuthBy FIDELIO og dens undertyper nå logge en advarsel hvis serveren sender ingen poster i løpet av
  database resync. Dette betyr vanligvis en konfigurasjon problem på Fidelio server side,
  med mindre det virkelig er ingen sjekket inn gjester. Lagt til en merknad om dette i fidelio.txt i godbiter.
• Lagt Diameter Base Protocol AVP flaggregler i DiaDict. Radiator sender ikke lenger CEA med
  Firmware-Revision AVP som har M-flagget.
• BogoMips igjen defaults riktig til en når BogoMips er ikke konfigurert i en Host klausul i AuthBy
  Lastbalanserings eller VOLUMEBALANCE. Rapportert av Serge ANDREY. Standard ble brutt i utgivelsen 4.12.
  Oppdatert lastbalanserings eksempel i proxyalgorithm.cfg i godbiter.
• sørget for at vertene med BogoMips satt til 0 i AuthBy VOLUMEBALANCE vil ikke være noen kandidater for proxyer.
• Lagt Diameter AVP flaggregler i DiaDict for følgende Diameter programmer: RFC 4005 og 7155 NASREQ,
  RFC 4004 Mobil IPv4 Application, RFC 4740 SIP Søknad og RFC 4072 EAP Application.
• Lagt attributtene fra RFC 6929 til ordliste. Attributtene vil nå bli proxy som standard, men
  ingen spesifikk behandling er gjort for dem ennå.
• Lagt VENDOR Covaro Networks 18022 og flere Covaro VSAs til i ordliste. Disse
  VSAs brukes av produkter fra Adva Optical Networking.
• Betydelig ytelsesforbedringer i ServerDIAMETER og Diameter forespørsel behandling. Diameter
  forespørsler er nå formatert for debugging bare når Trace nivået er satt til debug eller høyere.
• AuthLog FIL og loggfil nå støtte LogFormatHook å tilpasse loggmeldingen.
  Kroken er forventet å gi et entydig skalar verdi som inneholder loggmeldingen.
  Dette gjør det mulig for formaterings stokkene, for eksempel i JSON eller et annet format som er egnet
  for den nødvendige etterbehandling. Forslag og hjelp ved Alexander Hartmaier.
• Oppdatert verdiene for stat-Avslutt-Cause, NAS-Port-Type og Error-Årsak ordliste
  å matche de nyeste IANA oppdrag.
• Oppdatert prøve sertifikater fra SHA-1 og RSA 1024 til SHA-256 og RSA 2048 algoritmer.
  Lagt til nye kataloger sertifikater / SHA1-rsa1024 og sertifikater / SHA256-secp256r1 med
  sertifikater ved hjelp tidligere og ECC (elliptisk kurve kryptografi) algoritmer. Alt
  eksempel sertifikater bruke samme emne og utsteder informasjon og utvidelser. Dette gjør
  teste forskjellig signatur og offentlige nøkkel algoritmer med minimale endringer i konfigurasjonen.
  Oppdatert mkcertificate.sh i godbiter å lage sertifikater med SHA-256 og RSA 2048 algoritmer.
• Lagt til nye konfigurasjonsparametere EAPTLS_ECDH_Curve for TLS basert EAP metoder og TLS_ECDH_Curve
  for Stream klienter og servere som RadSec og diameter. Denne parameteren gjør Elliptic Curve
  flyktig keying forhandling og dens verdi er EF-kortnavn "som returneres av
  openssl ecparam -list_curves kommando. De nye parametere krever Net-SSLeay 1.56 eller senere og matchende OpenSSL.
• Testet Radiator med RSA2048 / SHA256 og ECDSA (kurve secp256r1) / SHA256 sertifikater på forskjellig
  plattformer og med ulike klienter. Klientstøtte EAP var allment tilgjengelig på både mobil,
  for eksempel, Android, IOS og WP8, og andre operativsystemer. Oppdatert multippel EAP, RadSec, Diameter
  og andre konfigurasjonsfiler i godbiter å ta med eksempler på den nye EAPTLS_ECDH_Curve og
  TLS_ECDH_Curve konfigurasjonsparametere.
• Handler og AuthBy SQL, RADIUS, RADSEC og FREERADIUSSQL støtter nå AcctLogFileFormatHook. Denne kroken er
  tilgjengelig for å tilpasse regnskapsloven-Request-meldinger som logges av AcctLogFileName eller AcctFailedLogFileName.
  Kroken er forventet å gi et entydig skalar verdi som inneholder loggmeldingen. Dette gjør formatering
  stokkene, for eksempel i JSON eller et annet format som er egnet for den nødvendige etterbehandling.
• Konsernet konfigurasjonsparameter nå støtter innstillingen de supplerende gruppe IDer i tillegg til
  effektiv gruppe id. Gruppe kan nå angis som kommaseparert liste over grupper der den første
  gruppe er ønsket effektiv gruppe id. Hvis det er navn som ikke kan løses, er gruppene ikke satt.
  De utfyllende grupper kan hjelpe med, for eksempel, AuthBy NTLM tilgang til winbindd kontakten.
• Lagt multippel Alcatel, leverandør 6527, VSAs til i ordliste.
• Navn oppløsning for Radius klienter og IdenticalClients nå er testet under konfigureringen sjekk fase. Foreslått av Garry SHTERN.
  Oppgitt feil IPv4 og IPv6 CIDR blokker er nå klart logget. De sjekker også dekke kunder lastet av ClientListLDAP og ClientListSQL.
• Spesial formatering støtter nå% {AuthBy: parmname} som er erstattet av parmname parameter
  fra AuthBy klausul som håndterer dagens pakke. Foreslått av Alexander Hartmaier.
• Lagt VENDOR Tropic Networks 7483, nå Alcatel-Lucent, og to Tropic VSAs til i ordliste. Disse
  VSAs brukes av enkelte Alcatel-Lucent produkter, som for eksempel 1830 Fotoniske Tjenesten Switch.
  Fikset en skrivefeil i RB-IPv6-Option attributt.
• TLS 1.1 og TLS 1.2 er nå tillatt for EAP-metoder når det støttes av OpenSSL og EAP anmodere.
  Takk til Nick Lowe av Lugatech.
• AuthBy FIDELIOHOTSPOT støtter nå forhåndsbetalte tjenester, for eksempel planer med forskjellig båndbredde.
  Kjøpene er lagt til Opera med fakturering poster. Konfigurasjonsfiler Fidelio-hotspot.cfg og
  Fidelio-hotspot.sql i godbiter ble oppdatert med et eksempel på Mikrotik portal integrasjon.
• AuthBy RADIUS og AuthBy RADSEC nå bruke mindre enn og lik når man sammenligner
  tidsstempler ved hjelp MaxFailedGraceTime. Tidligere strengt mindre enn det som ble brukt
  forårsaker en av av ett sekund feil ved merking neste hop Verter ned.
  Feilsøkt og rapportert av David Zych.
• AuthBy SQLTOTP ble oppdatert for å støtte HMAC-SHA-256 og HMAC-SHA-512 funksjoner. HMAC hash
  Algoritmen kan nå parametrised for hver token samt tid skritt og Unix tid opprinnelse.
  Et tomt passord vil nå lansere Tilgang-Challenge skal be om OTP. SQL og konfigurasjon
  eksempler ble oppdatert. Et nytt verktøy generate-totp.pl i godbiter / kan brukes til å lage
  delte hemmeligheter. Hemmelighetene er skapt i hex og RFC 4648 Base32 tekstformater og som
  QR-kode bilder som kan bli importert av autentikatorer som Google Authenticator og FreeOTP
  Godkjenningsinstansen.
• reformateres root.pem, cert-clt.pem og cert-srv.pem i sertifikater / katalog.
  De krypterte private nøkler i disse filene er nå formatert i den tradisjonelle SSLeay format
  i stedet for PKCS # 8-format. Noen eldre systemer, for eksempel RHEL 5 og CentOS 5, ikke forstår
  PKCS # 8-format og mislykkes med en feilmelding som "TLS kunne ikke use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27 197: 1 - error: 06074079: digitale konvolutt rutiner: EVP_PBE_CipherInit: ukjent PBE algoritme '
  når jeg prøver å laste inn nøklene. De krypterte private nøkler i SHA1-rsa1024 og SHA256-secp256r1
  kataloger forbli i PKCS # 8-format. En merknad om den private nøkkelen formatet ble lagt i
  sertifikater / README.
• Lagt ny parameter for alle AuthBys: EAP_GTC_PAP_Convert tvinger alle EAP-GTC forespørsler om å være
  konverterte til konvensjonelle Radius PAP forespørsler som redespatched, kanskje for å bli proxy
  til en annen ikke-EAP-GTC stand Radius server eller for lokal godkjenning. Den konverterte
  forespørsler kan oppdages og håndteres med Handler ConvertedFromGTC = 1.
• SessionDatabase SQL-spørringer nå støtte bind variabler. De søkeparametere følger
  vanlig navnekonvensjon hvor, for eksempel, er AddQueryParam brukes for AddQuery bind variabler.
  De oppdaterte spørsmål er: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery og CountNasSessionsQuery.
• AddressAllocator SQL støtter nå en ny valgfri parameter UpdateQuery som vil kjøre en SQL
  uttalelse for hver regnskaps melding med stat-Status-Type Start eller Alive.
  Denne spørringen kan brukes til å oppdatere utløpstidsstempel gir kortere LeaseReclaimInterval.
  Lagt et eksempel på UpdateQuery i addressallocator.cfg i godbiter.
• Fast dårlig formatert loggmelding i AuthBy RADIUS. Rapportert av Patrik Forsberg.
  Fast loggmeldinger i EAP-PAX og EAP-PSK og oppdatert en rekke konfigurasjons eksempler i godbiter.
• Compiled Win32-Lsa Windows PPM pakker for Perl 5.18 og 5.20 for både x64 og x86 med 32bit heltall.
  De ppms ble kompilert med Strawberry Perl 5.18.4.1 og 5.20.1.1. Inkludert disse og
  tidligere utarbeidet Win32-LSA ppms i Radiator distribusjon.
• Compiled Authen-Digipass Windows PPM pakker med Strawberry Perl 5.18.4.1 og 5.20.1.1 for
  Perl 5.18 og 5.20 for x86 med 32bit heltall. Oppdatert digipass.pl å bruke getopt :: Long stedet
  av frarådet newgetopt.pl. Pakkes Authen-Digipass PPM for Perl 5.16 for å inkludere den oppdaterte digipass.pl.
• Diameter Adressetype attributter med IPv6 verdier er nå dekodet til lesbar IPv6-adresse tekst
  representasjon. Tidligere returnert dekode den rå attributtverdien. Rapportert av Arthur Konovalov.
• Forbedret Diameter EAP håndtering for både AuthBy DIAMETER og ServerDIAMETER. Begge modulene nå annonsere
  Diameter-EAP søknad som standard under den innledende evner utveksling. AuthBy DIAMETER støtter nå
  AuthApplicationIds, AcctApplicationIds og SupportedVendorIds konfigurasjonsparametere
• Endret type Oppladbart-User-Identity ordliste binær å sørge for at eventuelle etterfølgende NUL
  tegnene er ikke strippet.
• Flere oppdateringer til eksempel konfigurasjonsfiler. Fjern 'DupInterval 0' og bruke Handlers istedenfor Realms
• Fast et EAP bug som gjør at omgåelsen EAP-metoden restriksjoner. Kopierte EAP utvidet typen test
  modul til godbiter og endret testmodulen å alltid svare med tilgang avvise.
• Lagd Backport notater og backports for eldre Radiator versjoner for å løse EAP bug i
  OSC sikkerhetsveiledningen.

Hva er nytt i versjon 4.13:

• Ukjente attributter kan nå proxy stedet for å bli droppet
  
• Diameter ekstrautstyr kan kreve endringer i egendefinerte Diameter moduler
  
• Major IPv6 forbedringer inkluderer: Attributter med IPv6 verdier kan nå proxy uten IPv6-støtte, er Socket6 ikke lenger en absolutt forutsetning. 'Ipv6:' prefiks er nå valgfritt og ikke prepended i attributtverdier
  
• tacacs autentisering og autorisasjon kan nå bli frikoblet
  
• Bind variabler er nå tilgjengelig for AuthLog SQL og Log SQL.
  
• Status-Server forespørsler uten riktig Message-Identifier ignoreres. Status-Server svar er nå konfigurerbar.
  
• LDAP-attributter kan nå hentes med basen omfang etter treet omfangs søk. Nyttig for eksempel, attributter tokenGroups AD som ikke er ellers tilgjengelig
  
• Nylig lagt sjekk for CVE-2014-0160, OpenSSL Heartbleed sårbarhet kan logge falske positiver
  
• New AuthBy for autentisering mot YubiKey valideringsserver lagt
  
• Se Radiator SIM pakke revisjonshistorikk for støttede SIM pakkeversjoner

Begrensninger :

Maximum 1000 henvendelser. Begrenset tid.