Radiator

RADIUS Радиатор сервер является гибким, расширяемым и подлинность из огромного диапазона Авт методов, в том числе беспроводной, TLS, TTLS, PEAP, LEAP, быстро, SQL, прокси, DBM, файлы, LDAP, NIS +, пароль, NT SAM , изумруд, Утконос, Freeside, TACACS +, PAM, внешний, OPIE, POP3, EAP, Active Directory и Apple, пароль сервера. Взаимодействует с Vasco Digipass, RSA SecurID, Yubikey. Она работает на Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, и многое другое. Полный исходный предусмотрено. Полное фирменное поддержка доступна

Что нового В этом выпуске:.

Отдельные исправления, замечания совместимости и улучшения

• Исправлена ​​уязвимость и очень важную ошибку в подлинности EAP. OSC рекомендует
      все пользователям просматривать информацию по безопасности OSC OSC-SEC-2014-01, чтобы увидеть, если они страдают.
• Клиент findAddress () была изменена для поиска клиентов, прежде чем CIDR клиента по умолчанию.
      Влияет ServerTACACSPLUS а в некоторых случаях SessionDatabase модулей.
• Добавлена ​​поддержка для не-блокирующих сокетов на окнах
• запросы SessionDatabase SQL теперь поддерживает переменные связывания

• Добавлена ​​VENDOR выделить 2603 и VSA выделить-User-роль словаря.
• Добавлена ​​Диаметр AVP намеки флаг в словаре Диаметр Кредит-контроль приложений.
• Предотвращена авария во время запуска, когда настроен на поддержку приложения диаметр для
  которые не модуль словаря не присутствовал. Сообщается, Артур.
  Улучшенная протоколирование загрузки словаря модулей Диаметр приложений.
• Улучшение AuthBy SIP2, чтобы добавить поддержку для SIP2Hook. SIP2Hook можно использовать
  для разрешения покровителя и / или аутентификации. Добавлена ​​пример крюк Плюсы / sip2hook.pl.
  Добавлен новый необязательный параметр UsePatronInformationRequest для конфигураций, в которых
  Покровитель Состояние запроса не является достаточным.
• Исправлена ​​проблема с SNMPAgent, которые могут привести к аварии, если бы конфигурация не
  Клиенты.
• поток и StreamServer розетки настоящее время установлен в неблокирующий режим на Windows, тоже. Это позволяет
  например, RadSec использовать неблокирующие розетки на Windows.
• radpwtst Теперь чтит вариант -message_authenticator для всех типов запросов
  определяется параметром -кода.
• Client.pm findAddress () была изменена, чтобы посмотреть на CIDR клиентов перед клиентом по умолчанию. Эта
  то же самое поиск Клиент заказ на входящие запросы RADIUS использует. Это влияет в основном
  ServerTACACSPLUS. SessionDatabase DBM, внутренней и SQL также использовать findAddress ()
  и пострадавших при Клиенты NasType сконфигурирован для синхронного использовании онлайн проверки.
  Клиент был упрощен поиск в ServerTACACSPLUS.
• Добавлена ​​ПОСТАВЩИК камбий 17713 и четыре камбий-Навес VSAs в словарь.
  "RADIUS Атрибуты для IEEE 802 сетей" теперь RFC 7268. Обновлено некоторые из его типов атрибутов.
• AuthBy MULTICAST теперь проверяет первых, не после, если хозяин рядом хоп работает до создания
  просьба переслать. Это позволит сэкономить циклы, когда следующий хоп не работает.
• Добавлена ​​VENDOR Apcon 10830 и VSA-Apcon пользовательского уровня словаря. Внесенный Джейсон Гриффит.
• Добавлена ​​поддержка пользовательских хэшей паролей и других определяемых пользователем методов проверки пароля.
  Когда новый параметр конфигурации CheckPasswordHook определяется для AuthBy а
  пароль извлекаются из базы данных пользователя начинается с ведущими '{OSC-PW-крючок}', просьба,
  представленный пароль, и полученный пароль передаются в CheckPasswordHook.
  Крючок должен вернуться верно, если представляется пароль считается правильным. TranslatePasswordHook
  работает до CheckPasswordHook и может быть использован для добавления '{OSC-PW-крючок}', чтобы найденных паролей.
• AuthLog журнал и Войти SYSLOG теперь проверяют LogOpt во время проверки конфигурации фазы.
  Любые проблемы в настоящее время вошли с идентификатором регистраторы.
• Значения по умолчанию для SessionDatabase SQL AddQuery и CountQuery теперь использовать% 0, где имя пользователя
  необходим. Обновлено документацию для уточнения стоимости% 0 для
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery и DeleteQuery:% 0 цитируемый оригинал
  Имя пользователя. Однако, если установить SessionDatabaseUseRewrittenName в обработчика
  и проверка делается Хэндлер (MaxSessions) или AuthBy (DefaultSimultaneousUse), то
  % 0 переписанный имя пользователя. Для каждого пользователя запросов к базе данных сессии% 0 всегда оригинальное имя пользователя.
  Обновлено документацию для CountQuery включить% 0% 1 и. Для CountQuery% 1 представляет собой значение
  одновременного использования лимита.
• Улучшенное разрешение имен поставщика к поставщику-Id значения SupportedVendorIds,
  VendorAuthApplicationIds и VendorAcctApplicationIds. Ключевое слово для DictVendors
  SupportedVendorIds теперь включает в себя поставщиков из всех словарей, которые загружаются.
  Название поставщика в Vendor * ApplicationIds может быть в любом из словарей загруженных
  Кроме того, чтобы быть перечислены в модуле DiaMsg.
• Добавлена ​​VENDOR Инмон 4300 и VSA Инмон-Access-Level словарю.
  Внесенный Гарри Штерна.
• Добавлена ​​ReplyTimeoutHook в AuthBy RADIUS, называется, если ответ не услышал от в настоящее время пытались удаленном сервере.
  Крючок вызывается, если ответ не услышал конкретного запроса после повторных попыток и
  запрос считается несостоявшимся для этого хоста.
  Предложил Дэвид Зых.
  не
• по умолчанию ConnectionAttemptFailedHook Чем дольше нет регистрирует реальную стоимость DBAuth но '** ** затемняется "вместо этого.
• Имя столкновение с методом отключения SQLdb в Lazarus вызвало ненужные интерфейс отключается и повторно подключается Fidelio
  в AuthBy FIDELIOHOTSPOT после ошибок SQL. AuthBy FIDELIOHOTSPOT Теперь наследует непосредственно от SQLdb в Lazarus.
• Добавлена ​​ПОСТАВЩИК 4ipnet 31932 и и 14 4ipnet VSAs в словарь. Они VSA также используется устройствами из 4ipnet партнеров,
  таких как LevelOne. Внесенный Ицик Бен Ицхака.
• MaxTargetHosts теперь распространяется и на AuthBy RADIUS и его подтипов AuthBy ROUNDROBIN, VOLUMEBALANCE, LoadBalance,
  HASHBALANCE и EAPBALANCE. MaxTargetHosts ранее реализована только для AuthBy VOLUMEBALANCE.
  Предложил Дэвид Зых.
• Добавлена ​​ПОСТАВЩИК ZTE 3902 и несколько VSAs в словарь при любезном содействии Нгуен Зуй песни.
  Обновлено Cisco VSAs в словаре.
• Добавлена ​​radiator.service, образец Systemd файл запуска для Linux.
• AuthBy FIDELIO и его подтипы в настоящее время необходимо войти предупреждение, если сервер не отправляет никаких записей во время
  ресинхронизация базы данных. Это, как правило, указывает на проблему конфигурации на стороне сервера Fidelio,
  если есть на самом деле нет проверены в гости. Добавлено примечание об этом в fidelio.txt в героев.
• Добавлена ​​Диаметр базовый протокол AVP правила флаг в DiaDict. Не Радиатор больше не отправляет СЕА с
  Прошивка-Редакция AVP, которая имеет M установлен флаг.
• BogoMips снова умолчанию правильно 1, когда BogoMips не настроен в разделе Узел в AuthBy
  LoadBalance или VOLUMEBALANCE. Сообщается, Серж Андрей. По умолчанию была нарушена в релизе 4.12.
  Обновлен пример LoadBalance в proxyalgorithm.cfg в героев.
• заверил, что хосты с BogoMips установлен в 0 в AuthBy VOLUMEBALANCE не будет кандидатов в прокси.
• Добавлена ​​Диаметр правила AVP флаг в DiaDict для следующих приложений: Диаметр RFC 4005 и 7155 NASREQ,
  RFC 4004 протокол Mobile IPv4 Применение, RFC 4740 SIP-приложений и RFC 4072 EAP Применение.
• Добавлены атрибуты из RFC 6929 словарю. Атрибуты теперь будет прокси по умолчанию, но
  никаких конкретных обработка не делается для них еще нет.
• Добавлена ​​ПОСТАВЩИК Covaro сети 18022 и несколько Covaro VSAs в словарь. Эти
  VSAs используются изделия из ADVA Optical Networking.
  Улучшения
• высокую производительность в ServerDIAMETER и обработки запроса Диаметр. Диаметр
  Запросы теперь отформатирован только для отладки, когда уровень трассировки устанавливается для отладки или выше.
• AuthLog файл и файл журнала теперь поддерживают LogFormatHook настроить сообщение журнала.
  Крючок должен вернуть одно скалярное значение, содержащее сообщение журнала.
  Это позволяет форматирование журналы, например, в JSON или любой другой формат, пригодный
  для требуемого постобработки. Предложение и помощь Александра Hartmaier.
• Обновлены значения Acct-Terminate-Cause, NAS-Port-Type и без ошибок Причина в словаре
  в соответствии с последними назначения IANA.
• Обновлены сертификаты образца от SHA-1 и RSA 1024 в SHA-256 и RSA 2048 алгоритмов.
  Добавлены новые каталоги сертификаты / SHA1-rsa1024 и сертификаты / sha256-secp256r1 с
  сертификаты, использующие предыдущие и ECC (криптографии эллиптических кривых) алгоритмов. Все
  образец свидетельства использовать тот же предмет и эмитенту информации и расширения. Это позволяет
  тестирование другую подпись и алгоритмы с открытым ключом с минимальными изменениями конфигурации.
  Обновлено mkcertificate.sh в положительных героев, чтобы создавать сертификаты с SHA-256 и RSA 2048 алгоритмов.
• Добавлены новые параметры конфигурации EAPTLS_ECDH_Curve для методов, основанных TLS EAP и TLS_ECDH_Curve
  для клиентов и поток серверов, таких как RadSec и диаметр. Этот параметр позволяет эллиптической кривой
  эфемерное манипуляция переговоров и его значение ЕК 'Краткое наименование », как возвращается
  Команда OpenSSL ecparam -list_curves. Новые параметры требуют Net-SSLeay 1,56 или более поздней версии и соответствующий OpenSSL.
• Испытано радиатора с RSA2048 / SHA256 и ECDSA (кривая secp256r1) / sha256 сертификатов на разные
  платформ и с разными клиентами. Поддержка клиента EAP была широко доступна как на мобильных,
  таких, как, Android, IOS и WP8, и других операционных систем. Обновлено несколько EAP, RadSec, диаметр
  и другие конфигурационные файлы в положительных героев, чтобы включить примеры нового EAPTLS_ECDH_Curve и
  Параметры конфигурации TLS_ECDH_Curve.
• Проводник и AuthBy SQL, RADIUS, RADSEC и FREERADIUSSQL теперь поддерживают AcctLogFileFormatHook. Эта ловушка
  доступны для настройки сообщения запроса учета, записанные AcctLogFileName или AcctFailedLogFileName.
  Крючок должен вернуть одно скалярное значение, содержащее сообщение журнала. Это позволяет форматирование
  журналы, например, в JSON или любой другой формат, пригодный для требуемого постобработки.
• Параметр конфигурации Группа поддерживает настройки дополнительных групп в дополнение к
  эффективный идентификатор группы. Группа в настоящее время могут быть указаны как список разделенных запятыми групп, где первый
  Группа является искомым эффективный идентификатор группы. Если есть имен, которые не могут быть решены, группы не установлен.
  Дополнительные группы могут помочь, например, AuthBy NTLM доступа к Winbindd гнездо.
• Добавлена ​​нескольких Alcatel, поставщик 6527, VSAs в словарь.
• Разрешение имен для клиентов RADIUS и IdenticalClients сейчас проходят во время регистрации конфигурации фазы. Похожие Гарри Штерна.
  Неправильно указанные IPv4 и IPv6 CIDR блоки теперь ясно вошли. Проверки также охватывать клиентов, загруженные ClientListLDAP и ClientListSQL.
• Специальные форматирование теперь поддерживает% {AuthBy: parmname}, которая заменяется параметром parmname
  из условия, что AuthBy обработки текущего пакета. Похожие Александра Hartmaier.
• Добавлена ​​ПОСТАВЩИК Тропик сети 7483, в настоящее время Alcatel-Lucent, и два Тропик VSAs в словарь. Эти
  VSAs используются некоторыми продуктами Alcatel-Lucent, таких как 1830 Фотонные Service Switch.
  Исправлена ​​опечатка в атрибуте РБ-протокола IPv6 Option.
• TLS 1.1 и TLS 1.2 теперь разрешено для методов EAP, если поддерживается OpenSSL и EAP просителей.
  Благодаря Ник Лоу из Lugatech.
• AuthBy FIDELIOHOTSPOT теперь поддерживает предоплаченные услуги, такие как планы с различной пропускной способностью.
  Покупки размещены в опере с биллинговых записей. Файлы конфигурации Fidelio-hotspot.cfg и
  Fidelio-hotspot.sql в героев были обновлены на примере Mikrotik плен портала интеграции.
• AuthBy RADIUS и AuthBy RADSEC теперь используют меньше, чем и равны при сравнении
  метки времени, использующие MaxFailedGraceTime. Ранее строгая меньше, чем было использовано
  вызывая офф одним второй ошибки при маркировке следующий хоп Кураторы вниз.
  Отлаженная и сообщил Дэвид Зых.
• AuthBy SQLTOTP был обновлен для поддержки HMAC-SHA-256 и HMAC-SHA-512 функций. HMAC хэш
  Алгоритм теперь можно параметрирован для каждого маркера, а также временной шаг и Unix времени происхождения.
  Пустой пароль теперь будет запустить Access-Challenge для запроса КАП. SQL и настройка
  примеры были обновлены. Новая утилита generate-totp.pl в героев / может быть использован для создания
  общие секреты. Секреты создаются в шестнадцатеричной и RFC 4648 текстовых форматах base32 и в
  Код изображения QR, которые могут быть импортированы с аутентификаторов, таких как Google Authenticator и FreeOTP
  Authenticator.
• переформатирован root.pem, CERT-clt.pem и CERT-srv.pem в сертификаты / каталог.
  Зашифрованные личные ключи в этих файлах теперь отформатирован в традиционном формате SSLeay
  вместо PKCS # 8 формате. Некоторые старые системы, такие, как RHEL 5 и CentOS 5, не понимаю,
  формат PKCS # 8 и не с сообщением об ошибке, как "TLS не мог use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27197: 1 - ошибка: 06074079: цифровые процедуры конверт: EVP_PBE_CipherInit: неизвестно алгоритм PBE "
  при попытке загрузить ключи. Зашифрованные частные ключи в sha1-rsa1024 и sha256-secp256r1
  каталоги остаются в формате PKCS # 8. Примечание о формате закрытого ключа была добавлена ​​в
  сертификаты / README.
• Добавлен новый параметр для всех AuthBys: EAP_GTC_PAP_Convert заставляет все запросы EAP-GTC будет
  преобразуется в обычных запросов Радиус PAP, которые redespatched, возможно, через прокси-
  другому, не EAP-GTC, способного сервера Radius или локальной аутентификации. Преобразованный
  Запросы могут быть обнаружены и обработаны с укротителем ConvertedFromGTC = 1.
• запросы SessionDatabase SQL теперь поддерживает переменные связывания. Параметры запроса следуйте
  обычно именования, когда, например, AddQueryParam используется для AddQuery переменных связывания.
  Обновленные запросы: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery и CountNasSessionsQuery.
• AddressAllocator SQL теперь поддерживает новый необязательный параметр UpdateQuery, который будет демонстрироваться в SQL
  Заявление для каждого отчетного сообщения с Acct-Status-Type Старта или жив.
  Этот запрос может быть использован для обновления истечения времени штамп, позволяющий короче LeaseReclaimInterval.
  Добавил пример UpdateQuery в addressallocator.cfg в героев.
• Исправлена ​​плохо отформатирован сообщение журнала в AuthBy RADIUS. Об этом сообщает Патрик Форсберг.
  Исправлена ​​лог сообщений в EAP-PAX и EAP-PSK и обновляется ряд примеров конфигурации в героев.
• Составитель Win32-Lsa Окна PPM пакеты для Perl 5.18 и 5.20 для обеих x64 и x86 с 32-битных целых чисел.
  В ПМП были составлены с клубникой Perl 5.18.4.1 и 5.20.1.1. В комплекте них и
  ранее составлен Win32-LSA ПМП в распределении радиатор.
• скомпилированные пакеты Authen-Digipass Окна PPM с клубникой Perl 5.18.4.1 и 5.20.1.1 для
  Perl 5.18 и 5.20 для x86 с 32-битных целых чисел. Обновленные digipass.pl использовать Getopt :: Длинные вместо
  устаревшего newgetopt.pl. Перепакованный Authen-Digipass PPM для Perl 5.16 включает обновленный digipass.pl.
• Тип Диаметр Адрес атрибуты со значениями IPv6 в настоящее время декодируется в читаемый текст IPv6-адрес человека
  представление. Ранее декодирования вернул значение атрибута сырой. Сообщается, Артур Коновалов.
• Улучшена Диаметр EAP обработки как для AuthBy диаметр и ServerDIAMETER. Оба модуля в настоящее время рекламировать
  Приложение диаметр-EAP по умолчанию во время начального обмена возможностями. AuthBy ДИАМЕТР теперь поддерживает
  AuthApplicationIds, AcctApplicationIds и SupportedVendorIds параметры конфигурации
• Изменен тип платных-User-идентичности в словаре двоичный чтобы убедиться, что любой завершающий нулевой
  символы не удаляются.
• Дополнительные обновления файлов конфигурации пример. Удалить '0' DupInterval и использовать обработчики вместо Realms
• Исправлена ​​ошибка, которая EAP может позволить обход EAP ограничения метода. Скопировано расширенный тест типа EAP
  модуль лакомства и изменил тестовый модуль всегда ответит доступ отвергают.
• Добавлены примечания Backport и Backports для старых версий Радиатор для решения ошибка EAP в
  OSC по безопасности.

Что нового в версии 4.13:

• не указан атрибуты теперь можно через прокси вместо того, снизилась
  
• усовершенствования диаметр может потребовать внесения изменений в пользовательский Диаметр модулей
  
• усовершенствования майор IPv6 включают: Атрибуты со значениями IPv6 теперь можно через прокси без поддержки IPv6, Socket6 больше не является абсолютно необходимым условием. "IPv6:" префикс теперь необязательно и не добавляется в значениях атрибутов
  
• TACACS + аутентификация и авторизация теперь могут быть развязан
  
• Связанные переменные теперь доступны для AuthLog SQL и SQL Войдите.
  
• запросы Статус-сервер без правильно Message-идентификатор игнорируются. Ответы Статус-сервера теперь настраивается.
  
• атрибуты LDAP в настоящее время могут быть выбраны с базовой сферы после поддерево областью видимости поиска. Полезная например, tokenGroups Д. атрибуты, которые не доступные иным
  
• Недавно добавленные проверка CVE-2014-0160, уязвимость OpenSSL Heartbleed может войти ложных срабатываний
  
• Нью-AuthBy для аутентификации против сервера проверки YubiKey добавил
  
• пакет пересмотр истории См Радиатор SIM-поддерживаемых версий SIM пакет

Ограничения

Максимальная 1000 запросов. Ограниченное время.