Radiator

Radiator RADIUS-serveren er fleksibel, udvidelig og godkender fra et stort udvalg af AUTH-metoden, herunder Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, filer, LDAP, NIS +, password, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, ekstern, OPIE, POP3, EAP, Active Directory og Apple Password Server. Arbejder imellem Vasco DIGIPASS, RSA SecurID, Yubikey. Det kører på Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007 MacOS 9, MacOS X, VMS, og mere. Fuld kilde forudsat. Fuld erhvervsmæssig support tilgængelig

Hvad er nyt i denne udgivelse:.

Valgte fejlrettelser, kompatibilitet noter og forbedringer

• løses et problem, og meget betydelige fejl i EAP-godkendelse. OSC anbefaler
      alle brugere til anmeldelse OSC sikkerhed rådgivende OSC-SEC-2014-01 at se, om de er ramt.
• Client findAddress () blev ændret til opslag CIDR klienter før DEFAULT klient.
      Påvirker ServerTACACSPLUS og i nogle tilfælde SessionDatabase moduler.
• Tilføjet understøttelse af ikke-blokerende sockets på Windows
• SessionDatabase SQL-forespørgsler nu understøtter binder variabler

• Tilføjet VENDOR Allot 2603 og VSA Allot-User-rolle ordbogen.
• Tilføjet Diameter AVP flag hints i Diameter Credit-Control Application ordbog.
• Forhindrer nedbrud under opstart, når konfigureret til at understøtte en Diameter ansøgning om
  der ikke ordbog modulet ikke var til stede. Rapporteret af Arthur.
  Forbedret logning af lastning af Diameter ansøgning ordbog moduler.
• Forbedringer AuthBy SIP2 at tilføje understøttelse til SIP2Hook. SIP2Hook kan anvendes
  for protektor godkendelse og / eller godkendelse. Tilføjet et eksempel krog goodies / sip2hook.pl.
  Tilføjet en ny valgfri parameter UsePatronInformationRequest for konfigurationer, hvor
  Patron status Request ikke er tilstrækkelig.
• Rettet et problem med SNMPAgent som kan forårsage et styrt, hvis konfigurationen ikke havde
  Kunder.
• Stream og StreamServer stikkontakter er nu indstillet til at blokerende tilstand på Windows også. Dette gør det muligt
  for eksempel til RadSec bruge blokerende stikkene på Windows.
• radpwtst ærer nu -message_authenticator mulighed for alle typer anmodning
  angivet med -kode parameter.
• Client.pm findAddress () blev ændret til at kigge op CIDR klienter før DEFAULT klient. Dette
  er den samme rækkefølge Client opslag for indkommende RADIUS anmodninger bruger. Dette påvirker det meste
  ServerTACACSPLUS. SessionDatabase DBM, Intern og SQL også bruge findAddress ()
  og påvirkes, når kunder har NasType konfigureret til samtidig-Use online kontrol.
  Client opslag blev forenklet i ServerTACACSPLUS.
• Tilføjet VENDOR vækstlaget 17.713 og fire vækstlaget-Canopy VSA til ordbog.
  "RADIUS attributter for IEEE 802 Netværk" er nu RFC 7268. Opdateret nogle af sine attributtyper.
• AuthBy MULTICAST nu kontrollerer først, ikke efter, hvis den næste hop vært arbejder, inden du opretter den
  anmodning om at videresende. Dette vil spare cyklusser, når den næste hop ikke fungerer.
• Tilføjet VENDOR Apcon 10830 og VSA Apcon-User-niveau til ordbog. Bidraget af Jason Griffith.
• Tilføjet understøttelse af brugerdefinerede password hashes og andre brugerdefinerede password kontrolmetoder.
  Når den nye konfigurationsparameter CheckPasswordHook er defineret for en AuthBy og
  adgangskode hentet fra brugerdatabasen starter med førende '{OSC-PW-hook}', anmodningen,
  det indsendte password og den hentede adgangskode videregives til CheckPasswordHook.
  Krogen skal returnere true hvis den indsendte password anses korrekt. TranslatePasswordHook
  kører før CheckPasswordHook og kan anvendes til at tilføje "{OSC-PW-hook} 'til de hentede passwords.
• AuthLog SYSLOG og Log SYSLOG nu kontrollere LogOpt under konfigurationen kontrollen fase.
  Eventuelle problemer er nu logget med loggere Identifier.
• De standardindstillinger for SessionDatabase SQL AddQuery og CountQuery nu bruge% 0 hvor brugernavn
  er nødvendig. Opdateret den dokumentation for at præcisere værdien af% 0 for
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery og DeleteQuery:% 0 er den citerede original
  brugernavn. Men hvis SessionDatabaseUseRewrittenName er indstillet til Handler
  og check sker ved Handler (MaxSessions) eller AuthBy (DefaultSimultaneousUse), derefter
  % 0 er omskrevet brugernavn. For per-user sessions databaseforespørgsler% 0 er altid den oprindelige brugernavn.
  Opdateret dokumentationen for CountQuery at omfatte% 0 og% 1. For CountQuery% 1 er værdien
  af den samtidige brug grænse.
• Forbedret opløsning på leverandør navne til leverandør-Id værdier for SupportedVendorIds,
  VendorAuthApplicationIds og VendorAcctApplicationIds. Søgeord DictVendors for
  SupportedVendorIds omfatter nu leverandører fra alle ordbøger, der indlæses.
  Leverandørnavn i Vendor * ApplicationIds kan være i en hvilken som helst af de indlæste ordbøger
  ud for at blive opført i DiaMsg modul.
• Tilføjet VENDOR InMon 4300 og VSA InMon-Access-niveau til ordbog.
  Bidraget af Garry Shtern.
• Tilføjet ReplyTimeoutHook til AuthBy RADIUS, kaldet hvis noget svar høres fra den aktuelt prøvet fjernserver.
  Krogen kaldes hvis noget svar høres for en specifik anmodning efter forsøg retransmission og
  anmodningen anses for at have undladt for denne vært.
  Foreslået af David Zych.
• Standard ConnectionAttemptFailedHook ikke længere logger den reelle DBAuth værdi, men '** sløres **' i stedet.
• Navn sammenstød med SqlDb afbryde metode forårsagede unødvendige Fidelio grænseflade afbryder og genopretter
  i AuthBy FIDELIOHOTSPOT efter SQL fejl. AuthBy FIDELIOHOTSPOT nu arver direkte fra SqlDb.
• Tilføjet VENDOR 4ipnet 31932 og og 14 4ipnet VSA til ordbog. Disse VSA bruges også af enheder fra 4ipnet partnere
  såsom LevelOne. Bidraget af Itzik Ben Itzhak.
• MaxTargetHosts gælder nu for AuthBy RADIUS og dens undertyper AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
  HASHBALANCE og EAPBALANCE. MaxTargetHosts er tidligere kun gennemført for AuthBy VOLUMEBALANCE.
  Foreslået af David Zych.
• Tilføjet VENDOR ZTE 3902 og flere VSA til ordbog med den slags hjælp fra Nguyen Song Huy.
  Opdateret Cisco VSA i ordbogen.
• Tilføjet radiator.service en prøve systemd start fil til Linux.
• AuthBy FIDELIO og dens undertyper nu logge en advarsel, hvis serveren sender ingen optegnelser i
  database resync. Dette indikerer normalt en konfiguration problem på Fidelio server side,
  medmindre der er virkelig ingen kontrolleres i gæster. Tilføjet en bemærkning om dette i fidelio.txt i goodies.
• Tilføjet Diameter Base Protocol AVP flag regler DiaDict. Radiator ikke længere sender CEA med
  Firmware-Revision AVP, der har M flag sæt.
• BogoMips igen defaults korrekt 1, når BogoMips er ikke konfigureret i en Host klausul i AuthBy
  LOADBALANCE eller VOLUMEBALANCE. Rapporteret af Serge ANDREY. Standarden blev brudt i release 4.12.
  Opdateret LOADBALANCE eksempel i proxyalgorithm.cfg i goodies.
• sikret, at værter med BogoMips sat til 0 i AuthBy VOLUMEBALANCE vil ikke være en kandidater til proxy.
• Tilføjet Diameter AVP flag regler DiaDict for følgende Diameter programmer: RFC 4005 og 7155 NASREQ,
  RFC 4004 Mobile IPv4 Application, RFC 4740 SIP Ansøgning og RFC 4072 EAP Application.
• Tilføjet attributterne fra RFC 6929 til ordbogen. Attributterne vil nu blive udtrykt ved standard men
  Ingen specifik behandling er gjort for dem endnu.
• Tilføjet VENDOR Covaro Networks 18.022 og flere Covaro VSA til ordbog. Disse
  VSA anvendes af produkter fra ADVA Optical Networking.
• Betydelig ydeevne forbedringer i ServerDIAMETER og Diameter anmodning behandles. Diameter
  anmodninger er nu formateret til debugging, når Trace er indstillet til debug eller højere.
• AuthLog FILE og logfil understøtter nu LogFormatHook at tilpasse log meddelelsen.
  Forventes krog til at returnere en enkelt skalar værdi indeholdende logmeddelelsen.
  Dette tillader formatering logs, for eksempel i JSON eller et andet format egnet
  for det ønskede efterbehandlingen. Forslag og hjælp af Alexander Hartmaier.
• Opdateret værdierne for Acct-Afslut-Årsag, NAS-Port-Type og Error-Årsag ordbog
  at matche de nyeste IANA opgaver.
• Opdateret prøve certifikater fra SHA-1 og RSA 1024 til SHA-256 og RSA 2048 algoritmer.
  Tilføjet nye biblioteker certifikater / SHA1-rsa1024 og certifikater / SHA256-secp256r1 med
  certifikater ved hjælp af tidligere og ECC (elliptisk kurve kryptografi) algoritmer. Alle
  prøve certifikater bruger samme emne og udstedernes oplysninger og udvidelser. Dette gør det muligt
  teste forskellige signatur og offentlige nøglealgoritmer med minimale konfigurationsændringer.
  Opdateret mkcertificate.sh i godbidder til at skabe certifikater med SHA-256 og RSA 2048 algoritmer.
• Tilføjet nye konfigurationsparametre EAPTLS_ECDH_Curve for TLS baserede EAP-metoder og TLS_ECDH_Curve
  for Stream klienter og servere som RadSec og diameter. Denne parameter kan elliptisk kurve
  flygtig keying forhandling og dens værdi er EU 'korte navn "som returneres af
  openssl ecparam -list_curves kommando. De nye parametre kræver Net-SSLeay 1.56 eller nyere og matchende OpenSSL.
• Testet Radiator med RSA2048 / SHA256 og ECDSA (kurve secp256r1) / SHA256 certifikater på forskellige
  platforme og med forskellige klienter. EAP kundesupport var bredt tilgængelige på både mobil,
  såsom Android, IOS og WP8, og andre operativsystemer. Opdateret flere EAP, RadSec, Diameter
  og andre konfigurationsfiler i godbidder til at omfatte eksempler på den nye EAPTLS_ECDH_Curve og
  TLS_ECDH_Curve konfigurationsparametre.
• Handler og AuthBy SQL, RADIUS, RADSEC og FREERADIUSSQL understøtter nu AcctLogFileFormatHook. Denne krog er
  rådighed til at tilpasse Accounting-Request-beskeder logget af AcctLogFileName eller AcctFailedLogFileName.
  Forventes krog til at returnere en enkelt skalar værdi indeholdende logmeddelelsen. Dette tillader formatering
  logs, for eksempel i JSON eller et andet format egnet til den ønskede efterbehandling.
• Koncernen konfigurationsparameter understøtter nu indstille de supplerende gruppe-id'er i tillæg til
  den effektive gruppe id. Gruppen kan nu angives som kommasepareret liste med grupper, hvor den første
  gruppe er den ønskede effektiv gruppe id. Hvis der er navne, der ikke kan løses, er grupper, der ikke indstillet.
  De supplerende grupper kan hjælpe med for eksempel AuthBy NTLM adgang til winbindd socket.
• Tilføjet flere Alcatel, sælger 6527, at VSA Ordbog.
• Navn opløsning til Radius klienter og IdenticalClients nu testet under konfigurationen kontrol fase. Foreslået af Garry Shtern.
  Angivet forkert IPv4 og IPv6 CIDR blokke er nu klart logget. Kontrollen omfatter også klienter indlæst af ClientListLDAP og ClientListSQL.
• Special formatering understøtter nu% {AuthBy: parmname} som erstattes af parmname parameter
  fra AuthBy klausul, der håndterer den nuværende pakke. Foreslået af Alexander Hartmaier.
• Tilføjet VENDOR Tropic Networks 7483, nu Alcatel-Lucent, og to Tropic VSA til ordbog. Disse
  VSA bruges af nogle Alcatel-Lucent produkter, såsom 1830 Photonic service Switch.
  Rettet en tastefejl i RB-IPv6-Alternativ attribut.
• TLS 1.1 og TLS 1.2 er nu tilladt for EAP-metoder, når støttet af OpenSSL og EAP supplikanter.
  Takket være Nick Lowe i Lugatech.
• AuthBy FIDELIOHOTSPOT understøtter nu forudbetalte tjenester, såsom planer med forskellig båndbredde.
  Købene er indsendt til Opera med fakturering optegnelser. Konfigurationsfilerne Fidelio-hotspot.cfg og
  Fidelio-hotspot.sql i goodies blev opdateret med et eksempel på Mikrotik captive portal integration.
• AuthBy RADIUS og AuthBy RADSEC nu bruge mindre end og lige når man sammenligner
  tidsstempler der bruger MaxFailedGraceTime. Tidligere streng mindre end blev anvendt
  forårsager en off med et sekund fejl, når mærkning næste hop Værter ned.
  Fejlrettet og rapporteret af David Zych.
• AuthBy SQLTOTP blev opdateret til at understøtte HMAC-SHA-256 og HMAC-SHA-512 funktioner. Den HMAC hash
  algoritme kan nu parametrised for hver token samt tid skridt og Unix tid oprindelse.
  En tom adgangskode vil nu lancere Access-Challenge til at bede om OTP. SQL og konfiguration
  eksempler blev opdateret. Et nyt hjælpeprogram generate-totp.pl i godbidder / kan bruges til at oprette
  delte hemmeligheder. Hemmelighederne er skabt i hex og RFC 4648 Base32 tekstformater og som
  QR code billeder, som kan importeres af autentifikatorer såsom Google Autentificering og FreeOTP
  Godkenderen.
• omformateret root.pem, CERT-clt.pem og cert-srv.pem i certifikaterne / mappe.
  De krypterede private nøgler i disse filer er nu formateret i den traditionelle SSLeay format
  i stedet for PKCS # 8 format. Nogle ældre systemer, såsom RHEL 5 og CentOS 5, ikke forstår
  PKCS # 8 format og mislykkes med en fejlmeddelelse som "TLS kunne ikke use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - fejl: 06074079: digital kuvert rutiner: EVP_PBE_CipherInit: ukendt PBE algoritme '
  når de forsøger at indlæse tasterne. De krypterede private nøgler i sha1-rsa1024 og SHA256-secp256r1
  mapper forbliver i PKCS # 8 format. En bemærkning om den private nøgle format blev tilføjet i
  certifikater / README.
• Tilføjet ny parameter for alle AuthBys: EAP_GTC_PAP_Convert tvinger alle EAP-GTC ansøgninger kan
  konverteret til konventionelle Radius PAP anmodninger, der redespatched, måske skal proxyede
  til en anden ikke-EAP-GTC stand Radius server eller til lokal godkendelse. Den konverterede
  anmodninger kan påvises og håndteres med Handler ConvertedFromGTC = 1.
• SessionDatabase SQL-forespørgsler understøtter nu binder variabler. De søgeparametre følger
  sædvanlige navngivning, hvor for eksempel, AddQueryParam bruges til AddQuery binder variabler.
  De opdaterede forespørgsler er: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery og CountNasSessionsQuery.
• AddressAllocator SQL understøtter nu en ny valgfri parameter UpdateQuery som vil køre en SQL
  erklæring for hvert regnskabsår besked med Acct-status-type Start or Alive.
  Denne forespørgsel kan bruges til at opdatere udløbet tidsstempel tillader kortere LeaseReclaimInterval.
  Tilføjet et eksempel på UpdateQuery i addressallocator.cfg i goodies.
• Fast forkert formateret logmeddelelse i AuthBy RADIUS. Rapporteret af Patrik Forsberg.
  Fast logmeddelelser i EAP-PAX og EAP-PSK og opdateret en række konfigurations eksempler i goodies.
• Kompileret Win32-Lsa Windows PPM pakker til Perl 5.18 og 5.20 for både x64 og x86 med 32bit heltal.
  De PPM blev kompileret med Strawberry Perl 5.18.4.1 og 5.20.1.1. Inkluderet disse og
  tidligere kompileret Win32-LSA PPM i køleren distribution.
• Kompileret Authen-DIGIPASS Windows PPM pakker med Strawberry Perl 5.18.4.1 og 5.20.1.1 for
  Perl 5.18 og 5.20 til x86 med 32bit heltal. Opdateret digipass.pl at bruge getopt :: Long stedet
  af frarådet newgetopt.pl. Ompakkes Authen-DIGIPASS PPM til Perl 5.16 til også at omfatte den opdaterede digipass.pl.
• Diameter Adresse typen attributter med IPv6-værdier nu afkodes til læsbar IPv6-adresse tekst
  repræsentation. Tidligere afkode returnerede rå attribut værdi. Rapporteret af Arthur Konovalov.
• Forbedret Diameter EAP håndtering for både AuthBy diameter og ServerDIAMETER. Begge moduler nu annoncere
  Diameter-EAP ansøgning som standard i den indledende kapacitet udveksling. AuthBy DIAMETER understøtter nu
  AuthApplicationIds, AcctApplicationIds og SupportedVendorIds konfigurations parametre
• Ændret den type Opladeligt-Bruger-identitet i ordbogen til binær til at sikre enhver efterfølgende NUL
  tegn er ikke strippet.
• Flere opdateringer til eksempel konfigurationsfiler. Fjern 'DupInterval 0', og brug Handlers stedet for Realms
• Rettet en EAP bug der kan gøre det muligt at omgå EAP-metode restriktioner. Kopieret EAP udvidet typetest
  modul til godbidder og ændrede test modul til altid reagere med adgang afvise.
• Tilføjet Backport noter og tilbageporteringer for ældre Radiator versioner at løse EAP fejl i
  OSC sikkerhed rådgivende.

Hvad er nyt i version 4.13:

• Ukendte attributter kan nu proxy stedet for at blive droppet
  
• Diameter ekstraudstyret kan kræve ændringer custom Diameter moduler
  
• Major IPv6 forbedringer omfatter: Attributter med IPv6-værdier kan nu proxy uden IPv6 support, Socket6 er ikke længere en absolut forudsætning. »IPv6:" præfiks er nu valgfri og ikke foranstillet i attributværdier
  
• TACACS + godkendelse og autorisation kan nu afkoblet
  
• Bind variabler er nu tilgængelige for AuthLog SQL og Log SQL.
  
• Status-Server anmodninger uden korrekt Message-Identifier ignoreres. Status-Server svar er nu konfigureres.
  
• LDAP attributter kan nu hentes med basen rækkevidde efter undertræ scoped søgning. Nyttigt for eksempel tokenGroups AD egenskaber, som er ellers ikke tilgængelige
  
• Nyligt tilføjede check på CVE-2014-0160, OpenSSL Heartbleed-bug sårbarhed kan logge falske positiver
  
• Ny AuthBy til godkendelse mod YubiKey validering server tilføjet
  
• Se Radiator SIM pack revision historie til understøttede SIM pack-versioner

Begrænsninger :

Maximum 1000 anmodninger. Begrænset tid.