FreeRADIUS

FreeRADIUS est une application de ligne de commande open-source qui fournit aux utilisateurs un serveur RADIUS (Remote Authentication Dial In Authentication Service) unique et complet pour les plates-formes Linux, BSD, Microsoft Windows et Mac OS X.

Le projet est composé du serveur RADIUS proprement dit, d'une bibliothèque client, d'un module pour le serveur Web Apache, ainsi que d'une bibliothèque PAM (Pluggable Authentication Module). Il peut être téléchargé en tant qu'archive source, permettant aux utilisateurs de configurer, compiler et installer le programme sur n'importe quelle distribution Linux.

Il s'agit d'un serveur RADIUS rapide, flexible et entièrement configurable qui prend en charge plus de protocoles d'authentification que tout autre produit commercial ou gratuit. Il prend en charge les bases de données LDAP, MySQL, PostgreSQL et Oracle.

Les méthodes d'authentification supportées incluent PAP, MS-CHAP, MS-CHAPv2, CHAP et SIP Digest. De plus, il prend en charge le protocole EAP, avec les sous-types EAP-SIM, EAP-MD5, EAP-TTLS, EAP-TLS, EAP-PEAP et Cisco LEAP.

Possède un design modulaire

Sa conception modulaire permet aux utilisateurs expérimentés de la déployer sur des systèmes embarqués. Toutes les requêtes peuvent être envoyées par proxy, prennent en charge les domaines RADIUS standard via des configurations simples et des serveurs virtuels. En outre, il a été testé et peut être utilisé avec une pléthore de clients, de serveurs et de clients 802.1x.

Une autre fonctionnalité intéressante est la possibilité d'assigner des VLAN (Virtual Local Area Networks) via le protocole VMPS (VLAN Management Policy Server). Il est également livré avec une implémentation DHCP intégrée pour les attributions d'adresses IP.

Par défaut, l'application prend en charge toutes les RFC de RADIUS et les définitions d'attribut, et elle est conforme à de nombreuses spécifications, y compris les RFC1157, RFC2868, RFC1448, RFC3748, RFC4880, RFC2865, et RFC2621.

Dans l'ensemble, FreeRADIUS s'avère être l'un des serveurs RADIUS les plus rapides et les plus évolutifs pour les systèmes d'exploitation Linux. Il s'agit également d'un produit très stable et fiable qui fonctionne sur les plates-formes Cygwin, Mac OS X, DragonFlyBSD, FreeBSD, NetBSD, OpenBSD, Solaris et Windows.

Nouveautés dans cette version:

• Améliorations des fonctionnalités:
• Appliquez l'expiration du certificat de client TLS à la reprise de la session et à l'expiration de la session. Voir CVE-2017-9148.
• Mise à jour de dictionary.cisco.vpn3000, dictionary.patton
• Ajout de dictionary.dellemc
• Réduction de la sortie du journal pour les sessions PEAP ayant échoué.
• ALlow utc dans rlm_date. Patch de Peter Lambrechtsen.
• Le cache de session OpenSSL interne a été désactivé. S'il vous plaît voir mods-available / eap
• Mettez à jour la documentation du lecteur de détails. Patch de Matthew Newton. Corrections # 1973.
• Rend les connexions RadSec sortantes non bloquantes.
• Ajouter le support SQL à Moonshot - * - Génération TargetedId. Patch de Stefan Paetow.
• Correction de bugs:
• radtest utilise Cleartext-Password pour EAP, et non User-Password.
• Mise à jour de la documentation pour les mods-enabled / linking.
• Amélioration des contrôles pour le sel moonshot. Corrige # 1933.
• Autoriser la reprise de session pour les connexions RadSec. Corrige # 1936.
• Mettez à jour le fichier "huntgroups" pour noter que les plages de ports ne sont pas supportées.
• Corrige les problèmes d'autorisations OpenSSL sur les fichiers clés par défaut. Corrige # 1941.
• Les certificats ne sont pas requis lorsque PSK est utilisé.
• Autoriser SubjectAltName comme première extension dans cert. Corrige # 1946.
• Correction du problème talloc avec reprise de session TLS. Corrections # 1980.
• "& amp; Attr-26: = 0x01" produit maintenant des messages d'erreur utiles.
• Gère l'erreur de connexion dans rlm_ldap_cacheable_groupobj. Corrige # 1951.
• Corriger les problèmes endian dans DHCP.
• Plusieurs corrections mineures pour les plaintes relatives à la couverture.
• Gère les expressions régulières inattendues. Corrections # 1959.
• Corrigez les problèmes mineurs dans les dictionnaires.
• Corrigez les fautes de frappe et la grammaire. Patches d'Alan Buxey.
• Corrige la création de VP erronée dans rlm_preproces.
• Correction de la base MIB. Patch de Jeff Gehlbach.
• Mise à jour du routeur de confiance d'Alejandro Perez.
• Autorise la compilation avec LibreSSL. Corrections # 1989
• Utilisez le paquet correct pour les liaisons de canaux. Corrections # 1990.
• De nombreux correctifs trouvés par PVS-Studio. Merci à PVS-Studio de nous avoir donné une licence de test. S'il vous plaît voir l'historique de commit git pour plus d'informations.
• Corrigez la vérification de longueur incorrecte dans EAP-PWD. Cela peut être exploitable.

Quoi de neuf dans la version 3.0.9:

• Améliorations des fonctionnalités:
• Rendre les configurations "pool" plus cohérentes et mettre à jour la documentation pour celles-ci.
• Déplacez la logique du pool de connexion sur "récemment lancé", au lieu de MRU. Cela devrait aider à la stabilité de la piscine.
• Plus de VSA pour 3GPP2
• Ajout d'exemples d'attributs multi-valeurs à rlm_perl.
• Les attributs du groupe LDAP et du groupe SQL sont maintenant alloués dynamiquement.
• Seul le module "sql" enregistre le groupe SQL. D'autres instances enregistrent "instance-name-SQL-Group", de manière similaire à "ldap".
• Les attributs inconnus sont maintenant plaints plus souvent lorsqu'ils sont utilisés dans des déclarations unlang. par exemple. si (Foo-Bar == 3) était une chaîne de comparaison de chaînes. C'est maintenant une erreur d'analyse.
• Renommez RLM_COMPONENT_ * en MOD_ * dans le code. Cela rend beaucoup de choses plus faciles.
• Passez aux initialisateurs C99 pour les modules.
• Charger les modules dans raddb / mods-enabled. Cela permet d'utiliser des attributs comme "LDAP-Group" dans le module "files", sans commande explicite ni listage dans "instancier".
• Ajout de la section 'bootstrap' aux modules. Les modules tiers devront être mis à jour.
• Lors de l'ajout de clients à partir d'une base de données, ajoutez-les à un serveur virtuel si ce serveur virtuel dispose d'une section «écouter». Sinon, ajoutez les clients à la liste globale.
• Lors de la lecture de clients dynamiques à partir d'un fichier, ne les expirez pas si le fichier sous-jacent reste inchangé.
• Autoriser le serveur à générer des demandes CoA à partir de l'étape post-auth.
• Le serveur crée $ {run_dir} et $ {logdir} en mode démon, s'ils n'existent pas déjà.
• Ajouter un dictionnaire pour Wi-Fi Alliance Hotspot 2.0. Le serveur prend désormais en charge tous les attributs obligatoires et facultatifs pour cette spécification.
• HUP ne re-charge la configuration que si les fichiers ont changé. Si tous les fichiers sont inchangés, HUP réouvre le fichier journal et ne fait rien d'autre.
• De meilleurs messages de débogage pour EAP-TLS, y compris les attributs mis en cache et leur récupération.
• Augmentez les max_requests par défaut à 16384. La mémoire est bon marché maintenant.
• Ajout de commandes "memory stats" à radmin. Création de débogage uniquement.
• Mises à jour du dictionnaire du contrôleur Aptilo.
• Les modules SQL utilisent désormais Acct-Unique-Session-Id partout.
• Les modules redis sont maintenant stables.
• Le module LDAP prend désormais en charge la méthode SASL "liaison interactive". Cela permet à l'administrateur et à l'utilisateur Kerberos de se lier.
• Le code DHCP est maintenant libfreeradius-dhcp.
• Plus d'essais de codage / décodage DHCP.
• rlm_replicate peut maintenant être répertorié dans la section "comptabilité".
• Une meilleure sortie de débogage sqlite.
• Supprimez l'option "required" de plusieurs directives sql_ippool.
• Définissez les "contraintes de base" CA par défaut sur "critiques". Correctifs # 1073
• Mises à jour des pages d'aide / man de Jorge Pereira.
• Ajout de plus de tests.
• Correction de bugs:
• Faites attention aux avertissements des éléments de configuration inutilisés lors de l'utilisation de -Xx.
• Déplacer plus de définitions pour qu'elles soient générées automatiquement.
• Autoriser les serveurs virtuels dans le remplacement du proxy.
• Autoriser% {module:} à fonctionner.
• Ne plantez pas dans RadSec. Ferme # 980.
• Renvoie de meilleures erreurs lorsqu'un groupe / utilisateur unix n'est pas trouvé.
• Réactivez le paramètre "verrouillage" du module de détail.
• Ne pas planter lors de la consignation des réponses des paquets Status-Server.
• Le module couchbase utilise maintenant "update" au lieu de "map", pour être cohérent avec le reste du serveur. Voir raddb / mods-available / couchbase
• Ne nécessite pas de mot de passe NT pour les modifications de mot de passe MS-CHAP.
• Faites un peu plus attention au déchiffrement des attributs MS-CHAP-MPPE-Key. Ferme # 1013. Il n'y a pas de solution parfaite, tho.
• Corrige les problèmes de sécurité avec EAP-PWD. Voir http://freeradius.org/security.html#eap-pwd-2015
• Correction des clients dynamiques lus depuis SQL en mode non-débogage
• MS-CHAP autorise maintenant les tentatives (c'est-à-dire le changement de mot de passe) lorsque les mots de passe sont expirés.
• Autoriser "user = radiusd" lorsque le serveur est déjà utilisateur "radiusd"
• suid up / down fonctionne sur des systèmes non Linux. Cela signifie que la prise de contrôle doit avoir la propriété correcte.
• Correction d'un problème qui causait parfois des problèmes au serveur quand un serveur domestique était marqué zombie.
• Correction de format.pl parce que Perl est maintenant plus pointilleux.
• Fixez le proxy à Packet-Dst-IP-Address, afin qu'il utilise le bon port de destination.
• Correction d'un cas de coin avec les fonctions du curseur et la suppression.
• Corrections et documentation OpenDirectory.
• Corrigez les fuites dans rlm_redis.
• Les attributs "evs" de la RFC 6929 sont maintenant codés / décodés correctement.
• Correction des fuites de pools de talloc lors de la réception de demandes de comptabilité / CoA malformées ou retransmises.
• Les attributs imprimés utilisent à nouveau des guillemets doubles plutôt que des guillemets simples.
• Définissez X509_V_FLAG_CRL_CHECK_ALL et ajoutez "check_all_crl" à eap.conf. Corrige oCert CVE-2015-4680.
• rlm_expr maintenant les erreurs correctement sur les références d'attributs malformées au lieu de déclencher une assertion.
• Effectuer un "break" dans les boucles "foreach"
• Autoriser les expansions dynamiques à fonctionner à nouveau dans le fichier "conseils".
• Corrigez les fautes de frappe mineures dans les commentaires et les exemples d'Alan Buxy.
• Re-urlencode la portion de chemin de ldapi: // urls avant de la passer à ldap_initialise.

Nouveautés dans la version 3.0.7:

• Améliorations des fonctionnalités:
• Autoriser coa home_servers à être dérivés des sections client si une section coa_server est fournie.
• Détermine automatiquement le port correct si aucun port n'est fourni pour un serveur domestique.
• Autoriserforeach à opérer sur les listes.
• Ajoutez les fonctions de compilation à $ {feature. *} et les versions des bibliothèques principales à $ {version. *}. Les noms de fonctionnalités et de versions correspondent à la sortie de radiud -xv. % v est maintenant obsolète.
• Ajouter le support de la méthode PATCH dans rlm_rest.
• Validez plus de modules xlats au démarrage, et avertissez si une extension xlat est trouvée dans un élément de configuration double qui ne sera pas développé.
• Ajouter un support pour les délais d'attente inférieurs à la seconde dans rlm_rest.
• Ajouter un support pour les délais d'attente de connexion dans rlm_rest.
• Ajouter% {jsonquote:} xlat pour échapper les chaînes pour insertion dans les documents json.
• Ajouter% {ldapquote:} xlat pour échapper les chaînes pour insertion dans les DN de LDAP.
• Ajouter% {explode: & amp; ref}, divise la valeur de & amp; ref on et crée des attributs de type new & amp; ref avec les fragments.
• Autoriser rlm_ldap à utiliser les références d'attributs pour base_dn et à filtrer les éléments de configuration. Les références d'attribut ne sont pas échappées, ce qui permet de créer dynamiquement des DN et des filtres.
• Ajoutez% {nexttime: [] h | d | w | y} pour calculer le nombre de secondes avant les prochaines heures, jours, semaines ou années. li>
• Autorise le côté gauche des sections de mise à jour à être des expansions xlat. Le résultat de l'expansion est ensuite utilisé pour référencer l'attribut à modifier.
• Ajoute% {lpad: & amp; Attribute-Name 7 x} et rpad. Ceux-ci produisent des chaînes de sortie de largeur fixe, avec padding à gauche (lpad) ou à droite (rpad).
• Pour certains pilotes SQL (MySQL, sqlite), distinguer entre les violations de contraintes (sur insert), les requêtes invalides et les erreurs de serveur, et retourner respectivement noop, invalide et erreur.
• Appelez SHOW WARNINGS dans le pilote MySQL et écrivez-les dans le journal des requêtes, si libmysqlclient indique que des avertissements sont disponibles sur le serveur.
• Interdire la création d'un fournisseur spécifique pour les VSA non standard. Utilisez Attr-26 = 0x ... à la place.
• Faire fonctionner dhcpclient avec des sockets raw et diverses autres améliorations - Contribué par nchaigne
• Ajouter le support pour SSHA2 - Contribué par PDD.
• Ajouter un dictionnaire perle - Contribution de Hachmer
• Moderniser les scripts init pour RHEL, SUSE et Debian.
• Radmin suit maintenant le code de retour des commandes et quitte avec l'état "1" si une commande échoue.
• radmin envoie maintenant des messages d'erreur du serveur à stderr, au lieu de stdout.
• radmin cherche maintenant des sockets correspondant à ses UID et GID, au lieu de simplement utiliser le premier qu'il trouve.
• radmin peut supprimer les clients qui sont liés à un écouteur.
• Déplacement des définitions d'attribut RADIUS vers src / include / rfc * .h
• Déplacer vers les pools talloc pour les requêtes. Pour les tests en mémoire (configuration par défaut, fichier 'utilisateurs'), les performances augmentent de 30%.
• Dans rlm_ldap, autoriser sasl_mech à spécifier pour les liens admin et user. Seuls les mécanismes non interactifs (comme EXTERNAL) sont actuellement pris en charge.
• Supprimer le support pour les clés RSA éphémères. Ils étaient "uniquement exportés" et ne devraient être utilisés par personne.
• Les erreurs de syntaxe dans le fichier "users" produisent maintenant de meilleurs messages d'erreur.
• Correction de bugs:
• Correction des problèmes d'analyse des noms d'hôte LDAP avec des ports non standard.
• Corrige les problèmes avec les domaines contenant des expressions régulières.
• Autoriser la négation unaire avant les paranthèses dans rlm_expr.
• Fixe la boucle infinie dans le code de boucle d'événement kevent. Problème présenté uniquement sur FreeBSD.
• Soyez plus attentif à définir les Auth-Types avant de charger les modules.
• Liez aussi libfreeradius-radius à OpenSSL pour éviter les symboles multi-versions dans les bibliothèques SSL.
• Lorsque rlm_ldap renoue une connexion, il doit utiliser les informations d'identification de liaison du module qui a créé le pool de connexions, et non les informations d'identification du module qui le référence.
• Les paires de configuration de serveur vides doivent être autorisées dans les instances rlm_ldap qui référencent le pool de connexions d'un autre module.
• Marquez rlm_always comme huppable, donc son rcode peut être modifié via radmin (autorise la politique à basculer).
• Émettre des avertissements en ignorant les valeurs de pool configurées par l'utilisateur.
• Correction d'un problème qui ferait se plaindre par intermittence à Radclient différents nombres de filtres et de requêtes.
• Corrige les problèmes esthétiques dans la journalisation du pool de connexion, ce qui fait apparaître que la même connexion a été ouverte plusieurs fois.
• Résoudre les problèmes de threads dans les pilotes SQL, où un tampon statique a été utilisé pour stocker les messages d'erreur.
• Log RERROR, RWARN, RINFO au journal global si la journalisation des requêtes n'est pas activée.
• Lien vers libldap au lieu de libldap_r. libldap_r n'est pas pris en charge par les projets en dehors d'OpenLDAP.
• Définissez le délai d'attente de connexion correctement dans rlm_sql_mysql.
• Construisez avec des versions plus anciennes de libcurl et utilisez CFLAGS depuis curl-config.
• Honneur Packet-Src-Port et Packet-Src-IP-address dans radclient.
• Initialisez le champ ldapai_info_version, afin que libldap signale son fournisseur et sa version.
• Corrigez les scripts de rotation des journaux en utilisant l'option copyrotate.
• Correction d'un problème qui faisait que les sockets de contrôle d'ouverture échouaient toujours sur des systèmes non Linux, si un utilisateur ou un groupe était défini.
• Enregistrer l'état de la session après le transfert par proxy.
• Corrections supplémentaires pour la lecture de requêtes CoA / DM à partir de fichiers de détails.
• Créez des clients dynamiques si le serveur virtuel des clients dynamiques retourne ok * ou * mis à jour. Émettre des messages utiles pour d'autres codes.
• Compiler les instructions "autoriser" nues, et émettre des erreurs en disant les utiliser n'est pas une bonne idée.

Nouveautés dans la version 3.0.4:

• Améliorations des fonctionnalités:
• Le serveur domestique "response_window" peut maintenant prendre des fractions de seconde. Voir proxy.conf.
• Radmin prend désormais en charge "afficher l'état du module", en tant que contrepartie de "définir l'état du module"
• Ajout du dictionnaire ericsson.packet.ccore.networks, bluecoat, citrix, compatible, riverbed, ruckus et RFC 7268.
• Ajoutez l'extension% {tag:} pour obtenir la valeur d'un attribut.
• Rapportez "nom_application" dans les connexions aux serveurs PostgreSQL. Les connexions FreeRADIUS apparaîtront désormais comme 'FreeRADIUS -' dans pg_stat_activity.
• Tous les champs d'élément de configuration sont maintenant vérifiés au moment de la compilation pour éviter que des problèmes similaires à # 634 se reproduisent.
• Modifiez pairparsevalue pour mieux gérer les valeurs NULL incorporées et utilisez les versions binaires des valeurs d'attribut dans rlm_ldap.
• "ipaddr" va maintenant utiliser v6 si aucune adresse v4 n'est présente. Vous devez utiliser "ipv4addr" ou "ipv6addr" pour forcer les adresses v4 / v6.
• Ce qui précède s'applique aux sections "listen", "home_server" et "client".

Les sections
• "client" autoriseront "ipaddr = 192.192.0 / 24". L'ancien "masque de réseau" est toujours accepté, mais le nouveau format est préféré.
• Autoriser les en-têtes HTTP personnalisés pour les demandes rlm_rest à l'aide du contrôle: REST-HTTP-Header (attributs consommés après utilisation)
• Étendre le format de l'extension% {rest:} pour permettre la spécification de la méthode HTTP et des données POST, par ex. % {reste: POST http://example.org/api foo = barre & baz = boink}.
• Ajoute les extensions% {hmacsha1: & amp; data & amp; key} et% {hmacmd5: & amp; data & amp; key} pour signer les données dans les requêtes.
• rlm_cache utilise désormais ses attributs de contrôle pour faciliter la configuration de l'exécution.
• Ajouter un contrôle: Cache-Read-Only qui, lorsqu'il est défini sur 'yes', fera en sorte que le module de cache fusionne les données de cache existantes sans créer de nouvelles entrées.
• Ajoutez% {unescape:} et% {urlunquote:} expansions pour inverser l'échappement et l'urlquoting.
• Ajouter le support des alias dans rlm_ldap.
• Ajouter la prise en charge du partage de pool de connexions à tous les modules utilisant le pool de connexions (pool =).

Les sections
• "tls" ont maintenant un élément de configuration "psk_query", permettant aux requêtes dynamiques de découvrir une clé à partir d'une identité PSK.
• Prise en charge préliminaire des liaisons de canaux EAP.
• Travail de base pour les serveurs domestiques dynamiques. Ils ne fonctionnent pas encore, mais il ne s'agit plus que de mettre à jour le module "realm" dans une future version.
• Syntaxe Support & amp; attr [*] pour copier toutes les occurrences d'un attribut lorsqu'il est utilisé avec l'opérateur + = dans une section de mise à jour. Peut être qualifié avec une étiquette.
• Les modules de logintime et d'expiration peuvent maintenant être listés dans la section post-auth. Cela rend certaines configurations plus simples.
• Autoriser la comparaison d'attributs entiers de différentes tailles, sans nécessiter de distribution.
• rlm_sqlippool est maintenant compatible IPV6. Définissez "ipv6 = yes" pour obtenir Framed-IPv6-Prefix retourné. Les requêtes SQL n'ont PAS été mises à jour. Veuillez envoyer des correctifs.
• La version debian vérifie maintenant le paquet OpenSSL avec le correctif heartbleed et, si elle est trouvée, définit: allow_vulnerable_openssl = 'CVE-2014-0160'
• autorise le bootstrap à partir de plusieurs fichiers dans le pilote sqlite.
• Correction de bugs:
• rendre les expressions régulières insensibles à la casse et les ajouter à nouveau.
• Quelques autres problèmes parentaux de talloc
• Corrige le traitement de la réponse du serveur proxy retardé. Ferme # 637
• Corrige l'ordre d'initialisation d'OpenSSL lors de l'utilisation de RADIUS / TLS. Corrections # 646
• Ne double pas les chaînes de caractères dans les messages de débogage
• Correction foreach / break. Corrections # 639
• L'identificateur d'utilisateur facturable, l'ID de circuit de l'agent ADSL et l'ID distant de l'agent ADSL doivent être des types "octets" dans le dictionnaire par défaut.
• Correction d'une faute de frappe dans mainconfig. Corrections # 634
• Plus de corrections rlm_perl. Corrections # 635
• Libérez la mémoire OpenSSL sur clean exit.
• Fix [0]! * ANY - Supprimait toutes les instances de
• Correction du cas où plusieurs attributs ont été renvoyés par RHS du mappage, comme avec rlm_ldap. Corrections # 652
• Correction d'un cas de coin dans le curseur où l'utilisation de fr_cursor_next_by_da après l'appel de fr_cursor_remove peut avoir pour résultat une lecture de la mémoire non initialisée.
• Ne pas SEGV si toutes les connexions à un serveur de base de données disparaissent. Corrige # 651.
• Correction d'un problème où - = ne supprimait pas les instances étiquetées égales à (seulement non étiquetées).
• Correction du problème où les valeurs des balises n'étaient pas définies sur les attributs créés avec les blocs de mise à jour unlang / ldap.
• Créez des attributs rlm_sqlcounter en tant que types entier64 au lieu de types entiers, de sorte que de grandes valeurs de compteur peuvent être spécifiées.
• Correction d'un problème où la spécification d'une adresse IP client dynamique à l'aide de FreeRADIUS-Client-IPv6-Prefix ou FreeRADIUS-Client-IP-Prefix peut avoir causé une erreur de validation.
• N'imprimez pas deux "& amp;" pour les messages relatifs aux références d'attribut ou de liste dans la sortie de débogage.
• Correction de urlquote et d'échappement pour encoder correctement les caractères Unicode.
• Fixe les blocs d'équilibrage de charge redondants pour essayer d'autres modules du groupe en cas de défaillance.
• Correction d'un problème avec la normalisation du mot de passe rlm_pap où les chaînes de mots de passe "bien connues" stockées dans les attributs de type octets seraient parfois mal formées en tant que base64.
• N'arrêtez pas de traiter les options DHCP si vous trouvez une option de remplissage 0x00.
• Correction d'un problème où la modification de la valeur d'un attribut créé à partir d'un modèle avec une valeur littérale pouvait entraîner la libération du libellé du modèle.
• Corrige les problèmes parentaux dans le code tls qui peuvent avoir entraîné une corruption de la mémoire et des plantages.
• Correction d'un problème dans radsniff où écrire des fichiers PCAP et utiliser des filtres de réponse -R, où les requêtes seraient toujours écrites dans le PCAP pour les réponses non appariées.
• Définissez le fichier __APPLE_USE_RFC_2292 de sorte que le serveur construise le support IPv6 sous OSX.
• Corrigez les recherches de groupe LDAP pour les instances rlm_ldap nommées. Notez que les références d'attribut doivent être utilisées lors de la vérification des attributs du groupe LDAP. par exemple. if (& amp; LDAP-Group == 'foo').
• Les références d'attribut retardées peuvent maintenant être utilisées dans les contrôles d'existence de unlang. c'est-à-dire si (& amp; Attribute-Name) {...}
• Corrige les problèmes dans EAP-PWD. CVE-2014-4731, CVE-2014-4732 et CVE-2014-4733. Il n'y a pas de contournement d'authentification externe.
• Corrige un certain nombre d'utilisations de la référence talloc parent / enfant.
• Relâchez la connexion utilisée pour lire les clients en masse dans rlm_ldap.
• rlm_rest est maintenant fail-safe s'il est utilisé sans configuration
• Tirez des corrections de build pour FreeBSD à partir des ports.
• Correction d'une erreur dans la requête sqlite postauth
• Évaluez l'argument pour "changer" les instructions une fois, au lieu de pour chaque instruction "case".
• Définit sig_t sur les systèmes sans cela. Ferme # 765.
• Résolution du problème de limite avec rlm_rest. Ferme # 768
• Optimisez "% {Attribute-Name}" dans les comparaisons uniquement si les types de dictionnaire correspondent.
• Ne faites pas chmod () dans rad_mkdir () si le répertoire existe déjà. Nous pourrions ne pas avoir la permission de le changer.
• Utilisez getpwnam_r () et getgrnam_r () sur les systèmes qui le supportent. Ferme # 775.
• Les clients chargés à partir de SQL sont maintenant liés à la section "écoute" d'un serveur virtuel, au lieu d'être global.
• Vérifiez pour -lpcre. Le système peut avoir pcre.h sans -lpcre.
• Lors d'un proxy sur un serveur virtuel, utilisez proxy_reply au lieu de l'ignorer.
• Correction de fautes de frappe dans DHP SQL IPPool.
• Correction d'un plantage lors du passage de plusieurs arguments à Perl xlat.