Radiator

Radiatoriaus RADIUS serveris yra lanksti, pailginamas ir autentiškumą iš daugybę valdžios metodus, įskaitant Wireless, TLS, TTLS, PEAP, šuolis, greitas, SQL, proxy, PSM, bylų, LDAP, NIS +, slaptažodį, NT SAM Emerald, Ančiasnapis, Freeside, TACACS + PAM, išorės, opie, POP3, AVP, "Active Directory" ir "Apple" Password. Interoperates Vasco Digipass, RSA SecurID, Yubikey. Jis veikia Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, LSS, ir dar daugiau. Visas šaltinis numatyta. Visas komercinė parama prieinama

Kas naujo , šioje laidoje:.

Pasirinkti pataisymai, suderinamumo pastabos ir priedai

• Išspręsti pažeidžiamumą ir labai didelę klaidą RP autentiškumo. OSC rekomenduoja
      visi vartotojai peržiūrėti OSC saugumo patariamoji OSC-SEC-2014-01 pamatyti, jei jie turi įtakos.
• Klientas findAddress () buvo pakeistas į peržvalgos CIDR klientams prieš DEFAULT klientui.
      Pasireiškia ServerTACACSPLUS o kai kuriais atvejais SessionDatabase modulius.
• Pridėta parama ne blokuoti lizdai Windows
• SessionDatabase SQL užklausų dabar palaiko įpareigoti kintamieji

• Pridėta Pardavėjas skirti 2603 ir VSA skirti-User-vaidmuo žodyną.
• Pridėta Skersmuo AVP vėliava užuominų į Skersmuo Kredito Valdymo Application žodyną.
• Neleido avarijos paleisties metu, kai sukonfigūruotas remti Skersmuo paraišką
  kuri nėra žodyną modulis nedalyvavo. Pranešė Arthur.
  Geresnis ruoša pakrovimo Skersmuo taikymo žodynas modulius.
• patobulinimai AuthBy SIP2 įtraukti paramą SIP2Hook. SIP2Hook gali būti naudojamas
  už globėjo leidimo ir / ar autentiškumo. Pridėta pavyzdį kablys gėrybės / sip2hook.pl.
  Pridėta naują neprivalomą parametrą UsePatronInformationRequest už konfigūracijų, kurioje
  Globėjas Būsena Prašymas nepakanka.
• Fiksuotas su SNMPAgent problema, kuri gali sukelti avariją, jei konfigūracija neturėjo
  Klientų.
• Stream ir StreamServer lizdai dabar nustatyti nonblocking režimu Windows taip pat. Tai leidžia
  Pavyzdžiui, RadSec naudoti nonblocking lizdai Windows.
• radpwtst dabar pagyrimu -message_authenticator galimybę visiems Užklausus tipų
  nurodyta su -code parametrą.
• Client.pm findAddress () buvo pakeistas ieškoti CIDR klientams prieš DEFAULT klientui. Tai
  yra tokia tvarka, Klientas peržvalgos atvykstantiems RADIUS prašymus naudoja. Tai turi įtakos daugiausia
  ServerTACACSPLUS. SessionDatabase PSM, VIDAUS ir SQL taip pat naudoti findAddress ()
  ir veikia, kai klientai yra NasType sukonfigūruotas Sinchroninis naudojimo internete patikra.
  Klientų peržvalgos buvo supaprastinti ServerTACACSPLUS.
• Pridėta TIEKĖJO Masė 17713 ir keturi Masė-Canopy VSAs į žodyną.
  "SPINDULYS savybės IEEE 802 Networks" dabar RFC 7268. Atnaujinta kai jos atributų tipus.
• AuthBy Multicast dabar tikrina pirma, ne po, jei šalia hop'as kompiuteris dirba prieš kurdami
  prašymas perduoti. Tai padės sutaupyti ciklų, kai šalia hop'as neveikia.
• Pridėta Pardavėjas Apcon 10830 ir VSA Apcon-vartotojo lygmens į žodyną. Prisidėjo Jason Griffith.
• Pridėta parama užsakymą slaptažodžių maišos ir kitomis vartotojų apibrėžta patikrinimo slaptažodį metodais.
  Kai nauja konfigūracija parametras CheckPasswordHook yra apibrėžta už AuthBy ir
  slaptažodis gauti iš vartotojo duomenų bazės prasideda pirmaujanti "{OSC-PW-kablys}", prašymą,
  pateiktas slaptažodžiu ir Gauta slaptažodis perduota CheckPasswordHook.
  Kablys turi grąžina true, jei pateikta slaptažodį laikoma teisinga. TranslatePasswordHook
  veikia iki CheckPasswordHook ir gali būti naudojamas pridėti "{OSC-PW-kablys}" į nuskaitytų slaptažodžius.
• AuthLog syslog ir prisijunkite syslog dabar patikrinti LogOpt konfigūracijos patikrinimo etapo metu.
  Visos problemos, dabar prisijungęs su kaupikliai identifikatorių.
• Už SessionDatabase SQL AddQuery ir CountQuery nutylėjimą dabar naudoja% 0 ", jei vartotojo vardą
  reikia. Atnaujinta dokumentus paaiškinti% 0 vertę
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery ir DeleteQuery:% 0 yra cituojamas originalas
  vartotojo vardą. Tačiau, jei SessionDatabaseUseRewrittenName yra nustatytas prižiūrėtojas
  ir tikrinimas atliekamas Handler (MaxSessions) arba AuthBy (DefaultSimultaneousUse), tada
  % 0 yra perrašytas vardą. Dėl vieno naudotojo sesijos duomenų bazės užklausų% 0 visada originalus vartotojo vardą.
  Atnaujinta už CountQuery dokumentus įtraukti% 0% 1 ir. Dėl CountQuery% 1 reikšmė
  iš sinchroninio Naudojimo ribos.
• Glaudesnis rezoliucija pardavėjas pavadinimais Pardavėjas ID vertes SupportedVendorIds
  VendorAuthApplicationIds ir VendorAcctApplicationIds. Raktinis DictVendors už
  SupportedVendorIds dabar apima pardavėjai iš visų žodynų, kurie pakraunami.
  Pardavėjo pavadinimas Vendor * ApplicationIds gali būti bet Įdėtas žodynai
  Be to iš jų įtrauktas į DiaMsg modulį.
• Pridėta Pardavėjas InMon 4300 ir VSA InMon prieigos lygmens į žodyną.
  Prisidėjo Garry Shtern.
• Pridėta ReplyTimeoutHook į AuthBy spindulys, vadinamas jei atsakymas girdėjote nuo metu bandė nuotolinio serverio.
  Kablys yra vadinamas, jei jokio atsakymo išgirdo konkretų prašymą po to, kai pakartojimų retransliavimui ir
  Laikoma, kad prašymas nepavyko tos priimančiosios.
  Siūloma David Zych.
• Numatytasis ConnectionAttemptFailedHook nebėra rąstų realią DBAuth vertę, bet "** ** neatskleistu" vietoj.
• Vardas susidūrimas su SqlDb atjungimo metodu sukelia nereikalingų Fidelio sąsajos atsijungia ir dugne
  į AuthBy FIDELIOHOTSPOT po SQL klaidų. AuthBy FIDELIOHOTSPOT dabar paveldi tiesiogiai iš SqlDb.
• Pridėta TIEKĖJO 4ipnet 31.932 ir ir 14 4ipnet VSAs į žodyną. Tai VSA taip pat naudoja prietaisus iš 4ipnet partneriais
  pvz LevelOne. Prisidėjo Itzik Ben Itzhakas.
• MaxTargetHosts dabar taikoma AuthBy RADIUS ir jos porūšių AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
  HASHBALANCE ir EAPBALANCE. MaxTargetHosts anksčiau buvo įgyvendintas tik AuthBy VOLUMEBALANCE.
  Siūloma David Zych.
• Pridėta TIEKĖJO ZTE 3902 ir daug VSAs į žodyną su natūra pagalbos Nguyen Huy dainų.
  Atnaujinta Cisco VSAs žodyną.
• Pridėta radiator.service, mėginio systemd paleisties failą Linux.
• AuthBy Fidelio ir jo potipiai dabar prisijungti įspėjimą, jei serveris siunčia jokių įrašų metu
  duomenų bazė RESYNC. Paprastai tai reiškia, konfigūracijos problemą Fidelio serverio pusėje,
  nebent ten tikrai yra ne patikrinti svečiams. Įtraukta pastaba apie tai fidelio.txt į goodies.
• Pridėta Skersmuo bazės protokolas AVP vėliava taisyklės DiaDict. Radiatorių nebesiunčia CEA su
  Firmware-Patikrinimo AVP, kad yra M vėliavos rinkinį.
• BogoMips vėl nutylėjimą teisingai 1, kai BogoMips nėra sukonfigūruotas į priimančiosios sąlyga AuthBy
  LOADBALANCE arba VOLUMEBALANCE. Pranešė Serge Andrejus. Numatytasis buvo suskirstytas į išleidimo 4.12.
  Atnaujinta LOADBALANCE pavyzdys proxyalgorithm.cfg į goodies.
• užtikrinti, kad Kompiuteriai su nustatytomis 0 iš AuthBy VOLUMEBALANCE nebus už tarpinį serverį kandidatai BogoMips.
• Pridėta Skersmuo AVP vėliava taisyklės DiaDict šioms Skersmuo paraiškas: RFC 4005 ir 7155 NASREQ,
  RFC 4004 Mobilus IPv4 taikymas, RFC 4740 SIP taikymas ir RFC 4072 AVP taikymas.
• Pridėta atributus iš RFC 6929 ir žodynu. Atributai dabar bus tarpinio serverio pagal nutylėjimą, tačiau
  jokių konkrečių tvarkymo daroma dėl jų dar.
• Pridėta TIEKĖJO Covaro tinklai 18022 ir daug Covaro VSAs į žodyną. Tai
  VSAs naudoja produktus iš Adva Optical Networking.
• Reikšmingas veiklos patobulinimai į ServerDIAMETER ir Skersmuo prašymas. Skersmuo
  prašymai dabar suformatuoti derinti tik tada, kai Trace lygis yra debug arba didesnis.
• AuthLog failą ir žurnalo failas dabar palaiko LogFormatHook pritaikyti žurnalo žinutę.
  Kablys tikimasi grįžti vieną skaliaro, kuriame žurnalo žinutę.
  Tai leidžia formatavimo logs, pavyzdžiui, JSON arba bet kokia kita forma tinkamame
  reikiamą postprocessing. Pasiūlymas ir pagalba Alexander Hartmaier.
• atnaujino Sąskaitos Nr-nutraukti-Priežastis, NAS-Port-Type ir be klaidų Priežastis žodyną vertybes
  kad atitiktų naujausius Ianą užduotis.
• Atnaujintas pavyzdžių sertifikatai iš SHA-1 ir RSA 1024 SHA-256 ir RSA 2048 algoritmai.
  Pridėta naujų katalogai sertifikatai / sha1-rsa1024 ir sertifikatai / SHA256 secp256r1 su
  sertifikatai, naudojant ankstesnius ir ECC (elipsinės kreivės kriptografijos algoritmus). Visi
  pavyzdžių pažymėjimai naudoti tą pačią temą ir emitento informacijos ir plėtinių. Tai leidžia
  išbandant skirtingas parašas ir viešojo rakto algoritmus su minimaliomis konfigūracijos pakeitimus.
  Atnaujinta mkcertificate.sh į goodies sukurti sertifikatus SHA-256 ir RSA 2048 algoritmai.
• Pridėta nauja konfigūracijos parametrus EAPTLS_ECDH_Curve NLS remiantis EAP metodus ir TLS_ECDH_Curve
  už Stream klientų ir serverių, tokių kaip RadSec ir skersmuo. Šis parametras leidžia elipsinės kreivės
  efemeriška įveda derybos ir jos vertė yra EB "trumpas pavadinimas", kaip grąžinti
  OpenSSL ecparam -list_curves komanda. Nauji parametrai reikalauja neto SSLeay 1,56 arba vėliau ir atitikimo OpenSSL.
• Testuota Radiatorių su RSA2048 / SHA256 ir ECDSA (kreivė secp256r1) / SHA256 sertifikatų skiriasi
  platformos ir su skirtingais klientais. AVP kliento parama buvo plačiai prieinami tiek mobiliojo ryšio,
  pvz, "Android", IOS ir WP8 ir kitų operacinių sistemų. Atnaujinta kelis AVP, RadSec, skersmuo
  ir kitos konfigūracijos failai goodies pavyzdžius įtraukti naują EAPTLS_ECDH_Curve ir
  TLS_ECDH_Curve konfigūracijos parametrus.
• Handler ir AuthBy SQL, spindulys, RADSEC ir FREERADIUSSQL dabar palaiko AcctLogFileFormatHook. Tai kablys
  galima pritaikyti apskaitos-request pranešimus registruos AcctLogFileName ar AcctFailedLogFileName.
  Kablys tikimasi grįžti vieną skaliaro, kuriame žurnalo žinutę. Tai leidžia formatavimą
  rąstai, pavyzdžiui, JSON arba bet kokia kita forma tinka reikiamai postprocessing.
• dabar grupė konfigūracijos parametras palaiko nustatant papildomas grupių ID be
  veiksminga grupės ID. Grupė dabar gali būti nurodyta kaip kableliais atskirtą sąrašą grupėse, kur pirmasis
  grupė yra norima veiksmingai grupės ID. Jei yra pavadinimai, kurių negalima išspręsti, grupės nėra nustatytas.
  Papildomi grupės gali padėti, pavyzdžiui, AuthBy NTLM patekti į winbindd lizdą.
• Pridėta kelis Samsung, pardavėjas 6527, VSAs į žodyną.
• Vardas rezoliucija spinduliui klientų ir IdenticalClients dabar išbandytos konfigūracijos patikrinimo etape. Siūloma Garry Shtern.
  Neteisingai nurodytas IPv4 ir IPv6 CIDR blokai dabar aiškiai k. Patikrinimai apima klientų pakrautas ClientListLDAP ir ClientListSQL.
• Specialios formatavimas dabar palaiko% {AuthBy: parmname}, kuris yra pakeičiamas parmname parametro
  nuo AuthBy sąlygą, kuri yra tvarkymo dabartinį paketą. Siūloma Alexander Hartmaier.
• Pridėta TIEKĖJO tropikuose Tinklai 7483, dabar "Alcatel-Lucent" ir du tropikuose VSAs į žodyną. Tai
  VSAs naudojami kai kurie "Alcatel-Lucent produktų, tokių kaip 1830 Fotoninių Service Switch.
  Ištaisyta į RB-IPv6 variantas atributas typo.
• TLS 1.1 ir TLS 1.2 dabar leidžiama EAP metodus, kai remiamas OpenSSL ir AVP supplicants.
  Ačiū Nick Lowe iš Lugatech.
• AuthBy FIDELIOHOTSPOT dabar palaiko iš anksto apmokėtas paslaugas, pavyzdžiui, planus su kitu pralaidumo.
  Apsipirkti talpinamos Opera su sąskaitų įrašų. Konfigūracijos failai Fidelio-hotspot.cfg ir
  Fidelio-hotspot.sql į goodies buvo atnaujinti su iš Mikrotik nelaisvėje portalo integracijos pavyzdys.
• AuthBy RADIUS ir AuthBy RADSEC dabar lyginant naudoti mažiau nei arba lygus
  laiko žymos naudojant MaxFailedGraceTime. Anksčiau griežta mažiau nei buvo
  sukelia off viena Antroji klaida, kai ženklinimas kitą hop Kompiuteriai žemyn.
  Debugged ir pranešė David Zych.
• AuthBy SQLTOTP buvo atnaujinta remti hmac-SHA-256 ir hmac-SHA-512 funkcijos. Hmac maišos
  algoritmas, dabar gali būti parametrised kiekvienos priežasties, taip pat laiko žingsnio ir Unix laiko kilmės.
  Dabar tuščias slaptažodį pradės Access-Challenge, kad tai paskatins už OTP. SQL ir konfigūracija
  pavyzdžiai buvo atnaujintas. Nauja programa generate-totp.pl į goodies / gali būti naudojama siekiant sukurti
  bendrų paslapčių. Paslaptis yra sukurta šešioliktainiu ir RFC 4648 Base32 teksto formatų ir kaip
  QR kodas vaizdai, kurie gali būti importuojami autentikacija, pvz Google "autentifikavimo ir FreeOTP
  Autentifikavimo.
• performatuoti root.pem, CERT-clt.pem ir CERT-srv.pem į sertifikatų / katalogą.
  Šifruotą privačiuosius raktus šių failų dabar suformatuoti tradicinėje SSLeay formatu
  vietoj PKCS # 8 formatu. Kai kurie senesni sistemų, tokių kaip RHEL 5 ir CentOS 5, nesuprantu
  PKCS # 8 formatas ir nesugeba su klaidos pranešimą, kaip "TLS negalėjo use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - klaida: 06.074.079: skaitmeninės voko kasdienybe: EVP_PBE_CipherInit: nežinoma PBE algoritmas "
  bandant įkelti raktus. Šifruotą asmeninius raktus SHA1 rsa1024 ir SHA256 secp256r1
  katalogų likti PKCS # 8 formatu. Pastaba apie privataus rakto formatas buvo įtraukta į
  sertifikatai / README.
• Pridėta naują parametrą visiems AuthBys: EAP_GTC_PAP_Convert verčia visus AVP-GTC prašymus būti
  paverčiama įprastinių Spindulys PAP prašymus, kurie redespatched, galbūt būtų tarpinis serveris
  į kitą non-EAP-GTC galintį Radius serverio arba vietinei autentifikavimą. Konvertuojami
  prašymai gali būti aptiktos ir elgtis Handler ConvertedFromGTC = 1.
• SessionDatabase SQL užklausų dabar palaiko BIND kintamuosius. Užklausos parametrai atlikite
  Įprasta pavadinimų konvencijos, kurioje, pavyzdžiui, AddQueryParam naudojamas AddQuery BIND kintamųjų.
  Atnaujintos užklausos yra: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery ir CountNasSessionsQuery.
• AddressAllocator SQL dabar palaiko naują neprivalomą parametrą UpdateQuery kuris bus paleisti SQL
  kiekvieną ataskaitinį pranešimą su Sąskaitos Nr statuso tipo Pradėkite ar gyvas.
  Ši užklausa gali būti naudojamas atnaujinti galiojimo laiko žymą, leidžiantį trumpesnis LeaseReclaimInterval.
  Pridėta UpdateQuery pavyzdį addressallocator.cfg į goodies.
• Fiksuotas blogai suformatuotas žurnalas žinutę AuthBy spinduliu. Pranešė Patrik Forsberg.
  Fiksuoto žurnalo pranešimus EAP-PAX ir EAP-PSK ir atnaujina konfigūracijos pavyzdžių goodies skaičių.
• Parengė Win32-Lsa Langai PPM paketai Perl 5.18 ir 5.20 už tiek x64 ir x86 su 32bit sveikieji skaičiai.
  Į PPM buvo rengiami braškių Perl 5.18.4.1 ir 5.20.1.1. Įtraukta į šiuos ir
  anksčiau sudarytas Win32-LSA PPM radiatoriuje paskirstymo.
• Parengė Authen-kodų DP Langai PPM paketai su braškių Perl 5.18.4.1 ir 5.20.1.1 už
  Perlas 5.18 ir 5.20 x86 su 32bit sveikieji skaičiai. Atnaujinta digipass.pl naudoti getopt :: Ilgas vietoj
  nuo pasenusios newgetopt.pl. Perpakuoti Authen-kodų DP ppm Perl 5.16 įtraukti atnaujintą digipass.pl.
• Skersmuo Adresas tipo atributus su IPv6 vertybes dabar atkoduoti žmogaus skaitymo IPv6 adreso tekstą
  atstovavimas. Anksčiau dekoduoti grąžino žalio požymio vertės. Pranešė Arthur Konovalovas.
• Geresnis Skersmuo AVP tvarkymo tiek AuthBy skersmuo ir ServerDIAMETER. Abu moduliai dabar reklamuoti
  Skersmuo-ojoje AVP taikymas pagal nutylėjimą per pradinį pajėgumų biržoje. AuthBy SKERSMUO dabar palaiko
  AuthApplicationIds, AcctApplicationIds ir SupportedVendorIds konfigūracijos parametrai
• Pasikeitė Apmokestinimo-User-Identity tipą žodyną binary įsitikinti jokios krašte, pasiuntė kamuolį nul
  simboliai nenuskusta.
• Daugiau atnaujinimai pavyzdys konfigūracijos failus. Pašalinti "DupInterval 0" ir naudoti apdorojimo programas vietoj Realms
• Ištaisyta EAP klaidą, kuri galėtų leisti aplenkiant EAP metodas apribojimus. Nukopijuota EAP išplėstą tipo bandymo
  modulis goodies ir pakeitė bandymo modulis visada reaguoja su prieiga atmesti.
• Pridėta backport pastabos ir adaptuotų paketų vyresnio amžiaus Radiatorių versijų spręsti EAP klaidą į
  OSC saugumo patariamoji.

Kas naujo versija 4.13:

• nežinomas atributai dabar gali būti tarpinio serverio užuot sumažėjo
  
• Skersmuo patobulinimai gali reikalauti pakeisti užsakymą Skersmuo moduliai
  
• Pagrindinės IPv6 patobulinimai apima: savybės su IPv6 vertės, dabar gali būti tarpinio serverio be IPv6, Socket6 nebėra būtina sąlyga. "IPv6:" priešdėlis dabar nebūtina ir nėra pridėtas pradžioje ir atributų reikšmių
  
• TACACS + patvirtinimas ir leidimas dabar gali būti atsieta
  
• Susieti kintamieji yra dabar galima AuthLog SQL ir prisijungti SQL.
  
• Būsenos Serverio prašymai be teisingas pranešimas-identifikatoriaus yra ignoruojami. Būsenos Serverio atsakas dabar konfigūruojama.
  
• LDAP atributai dabar gali būti nerealu su bazine apimtį po pomedžio scoped paiešką. Naudinga pavyzdžiui, tokenGroups AD atributus, kurie yra kitaip nebūtų prieinama
  
• Naujai pridėta patikrinimas CVE-2014-0160, OpenSSL Heartbleed pažeidžiamumas gali prisijungti neteisingus teigiamus
  
• Nauja AuthBy autentifikavimo prieš YubiKey patvirtinimo serverio pridėta
  
• Žr Radiatorių SIM pakuotė peržiūros istorija remiamų SIM pakuotės versijų

Apribojimai :

Maksimalus 1000 prašymai. Ribotą laiką.