Radiator

שרת RADIUS הרדיאטור הוא גמישה, להרחבה, ומאמת ממגוון עצום של שיטות auth, כולל Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, קבצים, LDAP, ש"ח +, סיסמא, NT SAM , אמרלד, Platypus, Freeside, TACACS +, PAM,, אופי, POP3, EAP, שרת Active Directory וסיסמא Apple חיצוני. Interoperates עם ואסקו Digipass, RSA SecurID, Yubikey. היא פועלת על יוניקס, לינוקס, סולאריס, Win95 / 98 / NT / XP / 2000/2003/2007, 9 MacOS, MacOS X, VMS, ועוד. מקור מלא סיפק. תמיכה מסחרית מלאה זמינים

מה חדש במהדורה זו:.

תיקוני באגים נבחרים, הערות תאימות ושיפורים

• מתקן את הפגיעות ובאגים משמעותיים מאוד באימות EAP. OSC ממליץ
      כל המשתמשים לסקור OSC-SEC-2014-01 עלון יידוע OSC כדי לראות אם הם מושפעים.
• findAddress לקוח () שונתה כדי בדיקת לקוחות CIDR לפני לקוח ברירת מחדל.
      משפיע ServerTACACSPLUS ובמודולים מקרים מסוימים SessionDatabase.
• תמיכה נוסף עבור שקעי חסימה שאינו ב- Windows

משתנים לאגד
• שאילתות SessionDatabase SQL תומכות כעת

• נוסף המוכרים אלוט 2,603 ​​וVSA אלוט-User-תפקיד למילון.
• רמזי דגל AVP קוטר נוסף במילון קוטר אשראי בקרת היישום.
• התרסקות מנעה במהלך אתחול כאשר היא מוגדרת לתמוך יישום קוטר ל
  שלא מודול מילון לא היה נוכח. שדווח על ידי ארתור.
  רישום משופר של טעינה של מודולים מילון יישום קוטר.
• שיפורים לAuthBy SIP2 להוסיף תמיכה בSIP2Hook. ניתן להשתמש SIP2Hook
  לאישור פטרון ו / או אימות. הוסיף דברים טובים דוגמא וו / sip2hook.pl.
  הוספתי UsePatronInformationRequest פרמטר אופציונאלי חדש לתצורות שבי
  בקשת סטטוס פטרונו אינה מספיק.
• תוקן בעיה עם SNMPAgent שעלול לגרום להתרסקות אם הייתה לי התצורה לא
  לקוחות.
  שקעים
• הנחל וStreamServer כעת מוגדרים למצב nonblocking על Windows מדי. זה מאפשר לי
  למשל, RadSec להשתמש שקעי nonblocking על Windows.
• radpwtst עכשיו מכבד אפשרות -message_authenticator לכל סוגי הבקשה
  צוין בפרמטר -code.
• Client.pm findAddress () שונה ללחפש לקוחות CIDR לפני לקוח ברירת מחדל. זה
  הוא אותו בדיקת לקוח כדי שבקשות RADIUS נכנסות משתמשת. זה משפיע בעיקר
  ServerTACACSPLUS. SessionDatabase DBM, פנימי וSQL גם להשתמש findAddress ()
  ומושפעים כאשר הלקוחות שNasType מוגדרים לבדיקה מקוונת סימולטני-שימוש.
  בדיקת הלקוח הייתה פשוטה בServerTACACSPLUS.
• נוסף cambium המוכרים 17,713 וארבעה cambium-החופה VSAs למילון.
  "RADIUS התכונות לIEEE 802 רשתות" הוא עכשיו RFC 7268. עדכון כמה סוגיה תכונה.
• AuthBy שידור כעת בודק ראשון, לא אחרי, אם מארח היפ הבא הוא עובד לפני יצירת
  בקשה להעברה. זה יחסוך מחזורים כאשר היפ הבא הוא לא עובד.
• נוסף המוכרים Apcon 10,830 וVSA Apcon-User-רמה למילון. נתרם על ידי ג'ייסון גריפית.
• תמיכה נוסף לגיבובי סיסמא מותאמות אישית ושיטות בדיקת סיסמא משתמש מוגדרות אחרות.
  כאשר CheckPasswordHook פרמטר תצורה החדש מוגדר לAuthBy ו
  הסיסמה שנאספה מבסיס נתוני המשתמש מתחילה עם מוביל '{OSC-PW-וו}', הבקשה,
  הסיסמה הוגשה וסיסמת האחזור מועברות לCheckPasswordHook.
  הוו חייב לחזור נכון אם הסיסמה שנשלחה תיחשב כנכון. TranslatePasswordHook
  ריצות לפני CheckPasswordHook וניתן להשתמש בם כדי להוסיף '{OSC-PW-וו}' לסיסמות אחזור.
• AuthLog SYSLOG והתחבר SYSLOG עכשיו לבדוק LogOpt במהלך שלב בדיקת תצורה.
  כל בעיות עכשיו מחוברים עם Identifier חוטבי העצים.
• ברירת המחדל עבור SessionDatabase SQL AddQuery וCountQuery כעת להשתמש בי% 0 שם משתמש
  יש צורך. עדכון לתיעוד להבהיר את הערך של% 0 ל
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery וDeleteQuery: 0% הוא מקורי המצוטט
  שם משתמש. עם זאת, אם SessionDatabaseUseRewrittenName מוגדר עבור הנדלר
  והבדיקה נעשה על ידי הנדלר (MaxSessions) או AuthBy (DefaultSimultaneousUse), ולאחר מכן
  0% הוא שם המשתמש של שוכתב. עבור שאילתות מסד נתונים מושב לכל משתמש% 0 תמיד את שם המשתמש המקורי.
  עדכון לתיעוד לCountQuery לכלול% 0 ו% 1. לCountQuery% 1 הוא הערך
  מגבלת השימוש בו זמני.
• רזולוציה משופרת של שמות ספק כדי ספק-זיהוי ערכים לSupportedVendorIds,
  VendorAuthApplicationIds וVendorAcctApplicationIds. DictVendors מילות מפתח ל
  SupportedVendorIds כולל כעת ספקים מכל המילונים שנטענו.
  שם יצרן בApplicationIds * ספק יכול להיות בכל אחד מהמילונים הטעונים
  בתוספת של להיות רשום במודול DiaMsg.
• נוסף המוכרים InMon 4300 וVSA InMon-גישה ברמה למילון.
  נתרם על ידי גארי שטרן.
• המוסף ReplyTimeoutHook לAuthBy RADIUS, הנקרא אם לא נשמעה תשובה מהשרת המרוחק ניסה כרגע.
  הוו נקרא אם הוא לא שמעה תשובה לבקשה ספציפית לאחר הניסיונות החוזרים ושידורים החוזרים
  בקשת כמי שנכשלה למארח ש.
  שהוצע על ידי דוד Zych.
• ברירת המחדל ConnectionAttemptFailedHook כבר לא רושם את הערך האמיתי DBAuth אבל '** ** טשטש' במקום.
• התנגשות שם עם שיטת ניתוק SqlDb גרמה מתנתק מיותר פידליו ממשק ומתחבר מחדש
  בAuthBy FIDELIOHOTSPOT אחרי שגיאות SQL. AuthBy FIDELIOHOTSPOT עכשיו יורש ישירות מSqlDb.
• נוסף 4ipnet מוכרים 31,932 וו -14 4ipnet VSAs למילון. VSA אלו משמשים גם על ידי מכשירים מהשותפים 4ipnet,
  כגון LevelOne. נתרם על ידי איציק בן יצחק.
• MaxTargetHosts עכשיו חל על AuthBy RADIUS ותת-סוגיו AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
  HASHBALANCE וEAPBALANCE. MaxTargetHosts יושם בעבר רק לAuthBy VOLUMEBALANCE.
  שהוצע על ידי דוד Zych.
• מוכרים נוסף ZTE 3902 וVSAs מרובה למילון בסיוע הסוג של Nguyen שיר הוי.
  עדכון סיסקו VSAs במילון.
• נוסף radiator.service, systemd מדגם קובץ הפעלה לינוקס.
• AuthBy פידליו ותת-סוגיו עכשיו להיכנס אזהרה אם השרת שולח לא רשומות ב
  resync מסד הנתונים. בדרך כלל זה מצביע על בעיה בתצורה בצד השרת פידליו,
  אלא אם כן יש באמת לא בדקו באורחים. הוסיף הערה על כך בfidelio.txt בדברים טובים.
• קוטר נוסף כללי דגל בסיס הפרוטוקול AVP בDiaDict. רדיאטור כבר לא שולח CEA עם
  AVP הקושחה-גרסאות שיש סט דגל M.
• bogomips שוב ברירות מחדל בצורה נכונה עד 1 כאשר bogomips אינה מוגדרים בסעיף מארח בAuthBy
  LOADBALANCE או VOLUMEBALANCE. שדווח על ידי סרג 'אנדריי. ברירת המחדל נשברה במהדורה 4.12.
  דוגמא LOADBALANCE מעודכנת בproxyalgorithm.cfg בדברים טובים.
• הבטחתי שמארח עם bogomips מוגדרת 0 בAuthBy VOLUMEBALANCE לא יהיו מועמדים לproxying.
• כללי קוטר נוסף דגל AVP בDiaDict ליישומי קוטר הבא: RFC 4005 ו7155 NASREQ,
  RFC 4004 Mobile Application IPv4, RFC 4740 יישום SIP וRFC 4072 יישום EAP.
• הוספת התכונות מRFC 6929 למילון. התכונות עכשיו תהיינה פרוקסי כברירת מחדל אבל
  אין טיפול ספציפי נעשה להם עדיין.
• מוכרים נוסף Covaro רשתות 18,022 ומרובה Covaro VSAs למילון. אלה
  VSAs משמש מוצרים מתדווו אופטית ברשת.
  שיפורים
• ביצועים משמעותיים בServerDIAMETER ועיבוד קוטר בקשה. קוטר
  בקשות עכשיו הן בתבנית באגים רק כאשר רמת Trace מוגדרת באגים או גבוהים יותר.
• FILE AuthLog וקובץ יומן תומך כעת LogFormatHook כדי להתאים אישית את הודעת היומן.
  הוו צפוי לחזור ערך סקלרי יחיד המכיל הודעת היומן.
  זה מאפשר עיצוב היומנים, למשל, בJSON או כל פורמט אחר מתאים
  לpostprocessing הנדרש. הצעה ועזרה על ידי אלכסנדר Hartmaier.
• עדכון הערכים לACCT-סיים-סיבה, סוג-Port-NAS ושגיאה-סיבה במילון
  כדי להתאים את משימות IANA האחרונות.
• מדגם תעודות עודכן בSHA-1 ו- RSA 1024 SHA-256 ו- RSA 2,048 אלגוריתמים.
  תעודות נוסף חדשות ספריות / sha1-rsa1024 ותעודות / sha256-secp256r1 עם
  תעודות באמצעות האלגוריתמים הקודמים וECC (הצפנה המבוססת עקומה אליפטיים). כל
  תעודות מדגם להשתמש באותו הנושא ומנפיק מידע והרחבות. זה מאפשר לי
  בדיקת החתימה שונה ואלגוריתמי מפתח ציבוריים עם שינויים בתצורה מינימאליים.
  mkcertificate.sh המעודכן בדברים טובים כדי ליצור תעודות עם SHA-256 ו- RSA 2,048 אלגוריתמים.
• פרמטרים נוסף חדשים תצורת EAPTLS_ECDH_Curve לשיטות EAP מבוססות TLS וTLS_ECDH_Curve
  עבור לקוחות זרם ושרתים כגון RadSec וקוטר. פרמטר זה מאפשר עקום אליפטיים
  משא ומתן מפתוח קיקיוני וערך שלו הוא "השם הקצר" EC כחזר על ידי
  פקודת ecparam -list_curves openssl. הפרמטרים החדשים דורשים Net-SSLeay 1.56 או במאוחר וOpenSSL התאמה.
• נבדק רדיאטור עם RSA2048 / SHA256 וECDSA (secp256r1 העקום) / תעודות SHA256 על שונה
  פלטפורמות ועם לקוחות שונים. תמיכת הלקוח EAP הייתה זמינה באופן נרחב בשני נייד,
  כגון, אנדרואיד, IOS וWP8, ומערכות הפעלה אחרות. עדכון EAP, RadSec, קוטר מרובה
  וקבצי תצורה אחרים בדברים טובים לכוללים דוגמאות של EAPTLS_ECDH_Curve החדש ו
  פרמטרים תצורת TLS_ECDH_Curve.
• הנדלר וAuthBy SQL, RADIUS, RADSEC וFREERADIUSSQL תומכים כעת AcctLogFileFormatHook. וו זה
  זמין כדי להתאים אישית את הודעות חשבונאות-ידי הבקשה המחובר AcctLogFileName או AcctFailedLogFileName.
  הוו צפוי לחזור ערך סקלרי יחיד המכיל הודעת היומן. זה מאפשר עיצוב
  היומנים, למשל, בJSON או כל פורמט אחר מתאים לpostprocessing הנדרש.
• פרמטר תצורת הקבוצה תומך כעת הגדרת מזהי הקבוצה המשלימות בנוסף ל
  קבוצת id היעיל. עכשיו יכולה להיות מוגדרת כקבוצת רשימה מופרדת בפסיקים של קבוצות שבי הראשון
  קבוצה היא הקבוצה היעילה id הרצוי. אם יש שמות שלא ניתן לפתור, קבוצות אינן מוגדרות.
  קבוצות המשלימות עשויות לעזור עם, למשל, AuthBy NTLM גישה שקע winbindd.
• נוסף Alcatel מרובה, ספק 6527, VSAs למילון.
• רזולוציה שם עבור לקוחות הרדיוס וIdenticalClients כעת נבדקה במהלך בדיקת תצורת שלב. שהוצע על ידי גארי שטרן.
  בלוקים IPv4 ו- IPv6 CIDR צוינו באופן שגוי כעת מחוברים באופן ברור. גם הבדיקות לכסות לקוחות נטענים על ידי ClientListLDAP וClientListSQL.
• עיצוב מיוחד תומך כעת% {AuthBy: parmname} שהוא הוחלף על ידי פרמטר parmname
  מסעיף AuthBy שמטפל במנות הנוכחיות. שהוצע על ידי אלכסנדר Hartmaier.
• מוכרים נוסף Tropic רשתות 7,483, עכשיו אלקטל-לוסנט, ושתי Tropic VSAs למילון. אלה
  VSAs משמש חלק ממוצרי Alcatel-Lucent, כמו מתג השירות פוטוניים 1830.
  קבוע טעות דפוס בתכונת RB-IPv6-אופציה.
• TLS 1.1 ו- TLS 1.2 מותר עכשיו לשיטות EAP כאשר היא נתמכת על ידי מבקשי OpenSSL וEAP.
  תודה לניק לואו של Lugatech.
• AuthBy FIDELIOHOTSPOT תומך כעת שירותים בתשלום מראש, כגון תוכניות עם רוחב פס שונה.
  הרכישות פורסמו לאופרה עם רשומות חיוב. וקבצי תצורה פידליו-hotspot.cfg
  פידליו-hotspot.sql בדברים טובים עודכנו עם דוגמא של שילוב פורטל שבוי Mikrotik.
• AuthBy RADIUS וAuthBy RADSEC כעת להשתמש בפחות מ שווה וכאשר משווים
  חותמות זמן באמצעות MaxFailedGraceTime. שימש בעבר קפדן יותר מפחות
  גורם את שגיאה על ידי אחד שנייה, כאשר סימון היפ הבא מארח את.
  מדובג ודווח על ידי דוד Zych.
• AuthBy SQLTOTP עודכן לתמוך HMAC-SHA-256 וHMAC-SHA-512 פונקציות. חשיש HMAC
  כעת ניתן parametrised אלגוריתם עבור כל אסימון, כמו גם צעד זמן ומקור זמן יוניקס.
  סיסמא ריקה עכשיו תשיק גישה-אתגר לבקש OTP. SQL ותצורה
  דוגמאות עודכנו. Generate-totp.pl שירות חדש בדברים טובים / יכול לשמש ליצירה
  סודות משותפים. הסודות נוצרים בhex וRFC 4648 תבניות טקסט Base32 וכ
  תמונות קוד QR שיכול להיות מיובאת על ידי authenticators כגון Google Authenticator וFreeOTP
  מאמת.
• root.pem מחדש, CERT-clt.pem וCERT-srv.pem בתעודות / הספרייה.
  המפתחות הפרטיים מוצפנים בקבצים אלה כעת מעוצבים בתבנית SSLeay המסורתית
  במקום פורמט PKCS # 8. במערכות ישנות יותר, כגון RHEL 5 וCentOS 5, לא מבינים
  פורמט PKCS # 8 ולא מצליח עם הודעת שגיאה כמו "TLS לא יכל use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27,197: 1 - שגיאה: 06,074,079: שגרה דיגיטלית מעטפה: EVP_PBE_CipherInit: אלגוריתם pbe לא ידוע '
  כאשר מנסה לטעון את המפתחות. המפתחות הפרטיים המוצפן בsha1-rsa1024 וsha256-secp256r1
  ספריות להישאר בפורמט PKCS # 8. הערה לגבי פורמט המפתח הפרטי נוספה ב
  תעודות / README.
• הוספת פרמטר חדש לכל AuthBys: EAP_GTC_PAP_Convert מאלץ את כל בקשות EAP-GTC להיות
  מומר לבקשות קונבנציונליות הרדיוס PAP הredespatched, אולי כדי להיות פרוקסי
  למשנהו שרת רדיוס שאינו מסוגל EAP-GTC או לאימות מקומית. המיר
  ניתן לאתר בקשות ולטפל בם בהנדלר ConvertedFromGTC = 1.
• שאילתות SessionDatabase SQL תומכות כעת משתנים לאגד. הפרמטרים שאילתא מעקב
  אמנת שמות רגילה שבו, למשל, AddQueryParam משמשת למשתנים לאגד AddQuery.
  השאילתות מעודכנות הן: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery וCountNasSessionsQuery.
• AddressAllocator SQL תומך כעת UpdateQuery פרמטר אופציונאלי חדש אשר יפעל SQL
  הצהרה עבור כל הודעה חשבונאית-Type-סטטוס ACCT של התחלה או Alive.
  שאילתא זו יכולה לשמש כדי לעדכן את חותמת זמן התפוגה מאפשרת LeaseReclaimInterval קצר יותר.
  הוסיף דוגמא UpdateQuery בaddressallocator.cfg בדברים טובים.
• קבוע הודעת יומן מעוצבת קשה בAuthBy RADIUS. שדווח על ידי Patrik פורסברג.
  קבוע הודעות יומן בEAP-PAX וEAP-PSK ומעודכן מספר דוגמאות תצורה בדברים הטובים.
• חבילות Win32-Lsa Windows PPM מלוקט עבור פרל 5.18 ו5.20 עבור שני x64 וx86 עם מספרים שלמים 32bit.
  Ppms לוקטו עם התות פרל 5.18.4.1 ו5.20.1.1. כלול אלה ו
  נערך בעבר ppms Win32-Lsa בהפצת הרדיאטור.
• חבילות Authen-Digipass Windows PPM מלוקט עם התות פרל 5.18.4.1 ו5.20.1.1 ל
  פרל 5.18 ו5.20 לx86 עם מספרים שלמים 32bit. digipass.pl המעודכן להשתמש Getopt :: ארוך במקום
  של מיושן newgetopt.pl. Authen-Digipass PPM ארז לפרל 5.16 לכלול digipass.pl המעודכן.
• סוג קוטר כתובת מייחס לערכי IPv6 עכשיו פוענחו טקסט כתובת IPv6 קריא אדם
  ייצוג. בעבר, לפענח חזר ערך תכונת הגלם. שדווח על ידי ארתור קונובלוב.
• קוטר משופר EAP טיפול עבור שני קוטר AuthBy וServerDIAMETER. שני מודולים עכשיו לפרסם
  יישום הקוטר-EAP כברירת מחדל במהלך חילופי יכולות הראשוניים. קוטר AuthBy תומך כעת
  AuthApplicationIds, AcctApplicationIds וSupportedVendorIds פרמטרים תצורה
• שינה את סוג לטעון את המשתמש-זהות במילון לינארי לוודא כל NUL נגרר
  תווים אינם חשוף.
• עוד עדכונים לקבצי תצורת דוגמא. הסר 'DupInterval 0' ולהשתמש מטפל במקום Realms
• קבוע באג EAP אשר עלול לאפשר עקיפת מגבלות שיטת EAP. העתיק את מבחן הסוג הרחיב EAP
  מודול לדברים טובים ושינה את מודול המבחן תמיד להגיב עם גישה לדחות.
• הערות נוסף backport וbackports לגרסאות ישנות יותר רדיאטור כדי לטפל בחיידק EAP ב
  עלון יידוע OSC.

מה חדש בגרסת 4.13:

• כעת ניתן פרוקסי תכונות ידועות במקום להיות ירד
  
• שיפורי קוטר עשוי לדרוש שינויים במודולים מותאמים אישית קוטר
  
• שיפורים העיקריים IPv6 כוללים: תכונות עם כעת ניתן פרוקסי ערכי IPv6 ללא תמיכת IPv6, Socket6 הוא כבר לא תנאי מוקדם מוחלט. 'IPv6: "קידומת כעת אופציונלית ולא prepended בערכי תכונות
  
• TACACS ואימות + אישור כעת ניתן decoupled
  
• משתני Bind זמינים לAuthLog SQL והתחבר SQL עכשיו.
  
• בקשות סטטוס-שרת בלי נכון Message-Identifier הם התעלמו. תגובות סטטוס-שרת הן להגדרה החברה.
  
• כעת ניתן הביאו תכונות LDAP עם היקף בסיס אחרי עץ משנה scoped חיפוש. שימושי, למשל, tokenGroups AD מידות שאינם זמינים בדרך אחרת
  
• בדיקה חדשה שנוספה לCVE-2014-0160, פגיעות OpenSSL Heartbleed להתחבר חיוביות שגוי
  
• החדש AuthBy לאימות נגד שרת אימות YubiKey הוסיף
• היסטוריית גרסאות חבילה ראה רדיאטור SIM עבור גרסאות חבילת ה- SIM נתמכות

מגבלות : מרבי

1,000 בקשות. זמן מוגבל.