serveur Radiateur RADIUS est flexible, extensible, et authentifie à partir d'une vaste gamme de méthodes auth, y compris sans fil, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, fichiers, LDAP, NIS +, mot de passe, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, externe, OPIE, POP3, EAP, Active Directory et Apple passe Server. Interopérabilité avec Vasco Digipass, RSA SecurID, Yubikey. Il fonctionne sur Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, et plus encore. Source complet fourni. Support commercial complet est disponible
Ce qui est nouveau dans cette version:.
corrections de bugs sélectionnée, les notes de compatibilité et améliorations
- corrige une vulnérabilité et bug très important dans l'authentification EAP. CVMO recommande
tous les utilisateurs d'examiner l'avis de sécurité CVMO CVMO-SEC-2014 à 01 pour voir se ils sont affectés. - findAddress client () a été modifiée de rechercher clients CIDR avant client par défaut.
Affecte ServerTACACSPLUS et dans les modules de certains cas. - Ajout du support pour les sockets non bloquantes sur Windows
- requêtes SQL SessionDatabase prennent désormais en charge les variables de liaison
changements détaillés
- Ajout VENDEUR Allot 2603 et VSA Allot-utilisateur-rôle à dictionnaire.
- Diamètre Ajouté AVP conseils de drapeau dans le dictionnaire Diamètre crédit-Application Control.
- accident Empêché au démarrage lorsqu'il est configuré pour appuyer une demande de diamètre pour
dont aucun module de dictionnaire ne était pas présent. Rapporté par Arthur.
Amélioration de l'exploitation forestière de chargement des modules de dictionnaire d'application de Diamètre. - Amélioration AuthBy SIP2 d'ajouter le support pour SIP2Hook. SIP2Hook peut être utilisé
d'autorisation et / ou d'authentification patron. Ajout d'une goodies exemple de crochet / sip2hook.pl.
Ajout d'un nouveau paramètre UsePatronInformationRequest en option pour les configurations dans lesquelles
Patron Demande de statut ne est pas suffisant. - Correction d'un problème avec SNMPAgent qui pourrait causer un accident si la configuration ne avait pas
Clients.
Douilles - Stream et StreamServer sont maintenant réglés sur le mode non bloquant sur Windows aussi. Ceci permet
par exemple, RadSec pour utiliser des sockets non bloquantes sur Windows. - radpwtst honore désormais option -message_authenticator pour tous les types de demande
spécifié par le paramètre de -code. - Client.pm findAddress () a été modifiée pour rechercher clients CIDR avant client par défaut. Cette
est la même recherche ordre du Client pour les demandes RADIUS entrants utilise. Cela affecte surtout les
ServerTACACSPLUS. SessionDatabase DBM, internes et SQL utilisent également findAddress ()
et sont affectés lorsque les clients ont NasType configuré pour utilisation simultanée-vérification en ligne.
recherche de client a été simplifiée en ServerTACACSPLUS. - Ajout VENDEUR Cambium 17713 et quatre-Cambium Canopy VSA au dictionnaire.
"Attributs RADIUS pour les réseaux IEEE 802" est maintenant RFC 7268. Mise à jour certains de ses types d'attributs. - AuthBy MULTIDIFFUSION vérifie maintenant le premier, et non après, si l'hôte de la prochaine hop travaille avant de créer le
demande de transmettre. Cela permettra d'économiser cycles quand la prochaine hop ne fonctionne pas. - Ajout VENDEUR Apcon 10830 et VSA Apcon-niveau de l'utilisateur au dictionnaire. Proposé par Jason Griffith.
- Ajout du support pour les mots de passe personnalisés et d'autres méthodes de vérification de mot de passe définis par l'utilisateur.
Lorsque le nouveau paramètre de configuration est défini pour CheckPasswordHook un AuthBy et la
mot de passe extrait de la base de données utilisateur commence avec les principaux '{OSC-PW-crochet}', la demande,
le mot de passe soumis et le mot de passe récupéré sont passés à la CheckPasswordHook.
Le crochet doit retourner vrai si le mot de passe soumis est réputé correct. TranslatePasswordHook
court avant CheckPasswordHook et peuvent être utilisés pour ajouter '{OSC-PW-crochet} »pour les mots de passe récupérés. - authlog SYSLOG et SYSLOG Connexion maintenant vérifier LogOpt pendant la phase de vérification de la configuration.
Tous les problèmes sont maintenant enregistrés avec l'identificateur de bûcherons. - Les valeurs par défaut pour SQL SessionDatabase addQuery et CountQuery utilisent maintenant% 0 où username
est nécessaire. Mise à jour de la documentation de clarifier la valeur de% 0 pour
AddQuery, CountQuery, ReplaceQuery, UpdateQuery et DeleteQuery: 0% est l'original cité
nom d'utilisateur. Toutefois, si SessionDatabaseUseRewrittenName est réglé pour le gestionnaire
et de la vérification est effectuée par Handler (MaxSessions) ou AuthBy (DefaultSimultaneousUse), puis
0% est le nom d'utilisateur réécrit. Pour les requêtes de base de données par utilisateur séance% 0 est toujours le nom d'utilisateur d'origine.
Mise à jour la documentation de CountQuery d'inclure% 0 et 1%. Pour CountQuery% 1 est la valeur
de la limite d'utilisation simultanée. - Résolution améliorée des noms de fournisseur à-Id valeurs pour SupportedVendorIds,
VendorAuthApplicationIds et VendorAcctApplicationIds. DictVendors mots-clés pour
SupportedVendorIds comprend maintenant les vendeurs de tous les dictionnaires qui sont chargés.
Nom du fournisseur en fournisseur * ApplicationIds peut être dans l'un des dictionnaires chargés
en plus d'être répertoriés dans le module DiaMsg. - Ajout VENDEUR InMon 4300 et VSA InMon-Access-niveau pour le dictionnaire.
Proposé par Garry Shtern. - Ajouté ReplyTimeoutHook à AuthBy RADIUS, appelé si aucune réponse ne est entendu à partir du serveur distant actuellement essayé.
Le crochet est appelée si aucune réponse ne est entendu pour une demande spécifique après les tentatives et les retransmissions
la demande est considérée comme ayant échoué pour cet hôte.
Proposé par David Zych. - Le défaut ConnectionAttemptFailedHook ne enregistre la valeur de DBAuth réel, mais '** ** obscurci »à la place.
- Nom affrontement avec méthode de déconnexion SqlDB causé inutiles déconnecte et se reconnecte d'interface Fidelio
dans AuthBy FIDELIOHOTSPOT après des erreurs de SQL. AuthBy FIDELIOHOTSPOT hérite maintenant directement à partir SqlDB. - Ajout VENDEUR 4ipnet 31 932 et 14 et 4ipnet VSA au dictionnaire. Ces VSA sont également utilisés par des dispositifs de partenaires 4ipnet,
comme LevelOne. Proposé par Itzik Ben Itzhak. - MaxTargetHosts se applique désormais à AuthBy RADIUS et ses sous-types AuthBy RoundRobin, VOLUMEBALANCE, LoadBalance,
HASHBALANCE et EAPBALANCE. MaxTargetHosts a été précédemment mis en œuvre seulement pour AuthBy VOLUMEBALANCE.
Proposé par David Zych. - VENDEUR Ajouté ZTE 3902 et multiples VSA au dictionnaire avec l'aimable assistance de Nguyen Huy chanson.
Mise à jour Cisco VSA dans le dictionnaire. - Ajout radiator.service, le fichier de démarrage d'un échantillon de pour Linux.
- AuthBy FIDELIO et ses sous-types maintenant Se connecter un avertissement si le serveur envoie aucun enregistrement au cours de la
resynchronisation de base de données. Cela indique généralement un problème de configuration sur le côté serveur Fidelio,
sauf se il n'y a pas vraiment vérifié dans les invités. Ajout d'une note à ce sujet dans fidelio.txt dans goodies. - Ajout Diamètre du protocole de base AVP les règles du pavillon dans DiaDict. Radiateur ne envoie plus de CEA
AVP-Firmware révision qui a M flag set. - BogoMips encore défaut correctement à 1 lorsque BogoMips ne est pas configuré dans une clause d'accueil à AuthBy
LoadBalance ou VOLUMEBALANCE. Rapporté par Serge ANDREY. Le défaut a été rompu dans la version 4.12.
Mise à jour par exemple de LoadBalance dans proxyalgorithm.cfg dans goodies. - veillé à ce que les hôtes avec BogoMips fixés à 0 dans AuthBy VOLUMEBALANCE ne sera pas un des candidats pour le mandatement.
- Diamètre Ajouté les règles du pavillon AVP dans DiaDict pour les applications suivantes: Diamètre RFC 4005 et 7155 NASREQ,
RFC 4004 Application mobile IPv4, RFC 4740 SIP application et RFC 4072 EAP application. - Ajouté les attributs de la RFC 6929 au dictionnaire. Les attributs vont maintenant être transmises par proxy par défaut, mais
aucune manipulation spécifique ne est encore fait pour eux. - VENDEUR Ajouté Covaro Réseaux 18022 et multiple Covaro VSA au dictionnaire. Ces
VSA sont utilisés par les produits de ADVA Optical Networking.
Améliorations - rendement importante ServerDIAMETER et traitement des demandes de diamètre. Diamètre
demandes sont désormais formatés uniquement pour le débogage lorsque le niveau de trace est réglé à déboguer ou supérieur. - authlog FILE et le fichier journal maintenant soutenir LogFormatHook pour personnaliser le message de journal.
Le crochet devrait revenir une valeur scalaire unique contenant le message du journal.
Ceci permet de mise en grumes, par exemple, dans JSON ou tout autre format approprié
pour le post-traitement nécessaire. Suggestion et aide par Alexander Hartmaier. - Mise à jour des valeurs pour Acct-Terminate-Cause, NAS-Port-Type et cause d'erreur dans le dictionnaire
correspondre aux nouvelles missions de l'IANA. - certificats d'échantillons mis à jour de l'algorithme SHA-1 et RSA 1024 à SHA-256 et RSA 2048 algorithmes.
Ajout de nouveaux répertoires certificats / sha1-rsa1024 et les certificats / sha256-secp256r1 avec
les certificats en utilisant les (cryptographie à courbe elliptique) algorithmes précédents et ECC. Tous
certificats échantillon utilisent le même sujet et émetteur d'informations et les extensions. Ceci permet
tester la signature différente et des algorithmes de clés publiques avec les changements de configuration minimale.
Mis à jour en mkcertificate.sh goodies pour créer des certificats avec SHA-256 et RSA 2048 algorithmes. - Ajout de nouveaux paramètres de configuration pour EAPTLS_ECDH_Curve méthodes EAP TLS base et TLS_ECDH_Curve
pour les clients et les serveurs flux tel RadSec et diamètre. Ce paramètre permet Elliptic Curve
la négociation de manipulation éphémère et sa valeur est la CE 'nom court "retourné par
la commande openssl ecparam. Les nouveaux paramètres nécessitent Net-SSLeay 1,56 ou tard et l'appariement OpenSSL. - Testé radiateur avec RSA2048 / SHA256 et ECDSA (courbe secp256r1) / certificats SHA256 sur différents
plates-formes et avec différents clients. EAP support client était largement disponible à la fois sur mobile,
comme, d'autres systèmes d'exploitation Android, IOS et WP8, et. Mise à jour multiples EAP, RadSec, Diamètre
et d'autres fichiers de configuration dans goodies pour inclure des exemples de la nouvelle et EAPTLS_ECDH_Curve
TLS_ECDH_Curve paramètres de configuration. - Handler et AuthBy SQL, RADIUS, RADSEC et FREERADIUSSQL prennent désormais en charge AcctLogFileFormatHook. Ce crochet est
disponibles pour personnaliser les Accounting-Request messages enregistrés par AcctLogFileName ou AcctFailedLogFileName.
Le crochet devrait revenir une valeur scalaire unique contenant le message du journal. Ceci permet la mise en forme
les journaux, par exemple, dans JSON ou tout autre format approprié pour le post-traitement nécessaire. - Le paramètre de configuration Groupe prend désormais en charge la définition des ID de groupes supplémentaires en plus
l'ID effectif du groupe. Groupe peut maintenant être spécifié comme séparées par des virgules liste des groupes où les premiers
groupe est l'identifiant souhaité de groupe efficace. Se il ya des noms qui ne peuvent être résolus, les groupes ne sont pas définies.
Les groupes supplémentaires peuvent aider avec, par exemple, AuthBy NTLM accéder à la prise winbindd. - Ajout de multiples Alcatel, fournisseur 6527, VSA au dictionnaire.
- La résolution de noms pour les clients et IdenticalClients Radius est maintenant testé lors de l'enregistrement de configuration phase. Proposé par Garry Shtern.
Incorrectement spécifié blocs IPv4 et IPv6 CIDR sont maintenant clairement consignées. Les contrôles portent également des clients chargés par ClientListLDAP et ClientListSQL. - formatage spécial prend désormais en charge% {AuthBy: parmname} qui est remplacé par le paramètre parmname
de la clause AuthBy qui gère le paquet actuel. Proposé par Alexander Hartmaier. - VENDEUR Ajouté Tropic Networks 7483, aujourd'hui Alcatel-Lucent, et deux Tropic VSA au dictionnaire. Ces
VSA sont utilisés par certains produits Alcatel-Lucent, tels que le commutateur de services photonique 1830.
Correction d'une faute dans l'attribut RB-IPv6-Option. - TLS 1.1 et TLS 1.2 sont désormais autorisés pour les méthodes EAP lorsqu'elles sont appuyées par OpenSSL et PAE suppliants.
Merci à Nick Lowe de Lugatech. - AuthBy FIDELIOHOTSPOT prend désormais en charge les services prépayés, comme les plans avec une bande passante différente.
Les achats sont affichés à l'Opéra avec les dossiers de facturation. Les fichiers de configuration fidelio-hotspot.cfg et
fidelio-hotspot.sql dans goodies ont été mis à jour avec un exemple de l'intégration Mikrotik de portail captif. - AuthBy RADIUS et AuthBy RADSEC utilisent maintenant moins-que et l'égalité lorsque l'on compare
timbres de temps en utilisant MaxFailedGraceTime. Auparavant moins stricte que celle utilisée
provoquant une hors d'une seconde erreur lors du marquage prochaine hop accueille bas.
Débogage et rapportée par David Zych. - AuthBy SQLTOTP a été mis à jour pour soutenir HMAC-SHA-256 et HMAC-SHA-512 fonctions. Le hachage HMAC
algorithme peut maintenant être paramétrée pour chaque jeton ainsi que les pas de temps et Unix origine des temps.
Un mot de passe vide va maintenant lancer Access-Challenge pour demander le Bureau du Procureur. Et la configuration SQL
Des exemples ont été mis à jour. Une nouvelle generate-totp.pl d'utilité dans goodies / peut être utilisé pour créer
secrets partagés. Les secrets sont créés dans l'hexagone et RFC 4648 formats de texte et comme Base32
QR images de code qui peuvent être importés par authentificateurs tels que Google Authenticator et FreeOTP
Authenticator. - root.pem reformaté, cert-clt.pem et cert-srv.pem dans le certificats / répertoire.
Les clés privées chiffrées dans ces fichiers sont désormais formatées dans le format traditionnel SSLeay
au lieu de format PKCS # 8. Certains systèmes plus anciens, tels que RHEL et CentOS 5 5, ne comprennent pas
le format et PKCS # 8 échouer avec un message d'erreur comme «TLS ne pouvait pas use_PrivateKey_file
./certificates/cert-srv.pem, 1: 27,197: 1 - erreur: 06074079: routines d'enveloppe numérique: EVP_PBE_CipherInit: algorithme de pbe inconnu »
en essayant de charger les clés. Les clés privées chiffrées en SHA1-rsa1024 et sha256-secp256r1
répertoires restent dans le format PKCS # 8. Une note sur le format clé privée a été ajouté en
certificats / README. - Ajout d'un nouveau paramètre pour tous AuthBys: EAP_GTC_PAP_Convert oblige toutes les demandes EAP-GTC être
convertie aux demandes classiques Rayon PAP qui sont redespatched, peut-être d'être mandatées
à un autre serveur Radius capables non-EAP-GTC ou pour l'authentification locale. Le converti
les demandes peuvent être détectées et traitées avec Handler ConvertedFromGTC = 1. - requêtes SQL SessionDatabase prennent désormais en charge les variables de liaison. Les paramètres de la requête suivent le
convention de nommage habituel où, par exemple, est utilisé pour AddQueryParam variables de liaison addQuery.
Les requêtes mises à jour sont: addQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
ClearNasSessionQuery, CountQuery et CountNasSessionsQuery. - AddressAllocator SQL prend désormais en charge un nouveau paramètre optionnel UpdateQuery qui exécuter une SQL
déclaration pour chaque message de comptabilité avec Acct-Status-Type de démarrage or Alive.
Cette requête peut être utilisée pour mettre à jour l'horodatage d'expiration permettant LeaseReclaimInterval plus courte.
Ajouté un exemple de UpdateQuery dans addressallocator.cfg dans goodies. - Correction d'un message de journal mal formatée dans AuthBy RADIUS. Rapporté par Patrik Forsberg.
Correction des messages de journaux dans EAP-PAX et EAP-PSK et mis à jour un certain nombre d'exemples de configuration de goodies. - paquets Win32 de Windows Lsa PPM compilé pour Perl 5,18 et 5,20 pour les deux x64 et x86 avec des nombres entiers de 32 bits.
Les PMP ont été compilés avec Strawberry Perl 5.18.4.1 et 5.20.1.1. Inclus Ces et la
précédemment compilée PMP Win32 LSA dans la distribution de radiateur. - Compilé paquets Authen-Digipass de Windows PPM avec Strawberry Perl 5.18.4.1 et 5.20.1.1 pour
Perl 5,18 et 5,20 pour x86 avec des nombres entiers de 32 bits. Digipass.pl à jour pour utiliser Getopt :: long place
des newgetopt.pl obsolète. Remballé Authen-Digipass PPM pour Perl 5.16 pour inclure le digipass.pl jour. - Type Diamètre d'adresses attributs avec des valeurs IPv6 sont désormais décodé au texte lisible adresse IPv6 humaine
représentation. Auparavant, décodage retourné la valeur d'attribut brut. Rapporté par Arthur Konovalov. - Amélioration Diamètre EAP manipulation à la fois DIAMÈTRE AuthBy et ServerDIAMETER. Les deux modules annoncent aujourd'hui
Demande Diamètre-EAP par défaut lors de l'échange de capacités initial. AuthBy DIAMÈTRE prend désormais en charge
AuthApplicationIds, AcctApplicationIds et SupportedVendorIds les paramètres de configuration - a changé le type de Imputable-User-Identity dans le dictionnaire en binaire pour se assurer que toute fuite NUL
caractères ne sont pas dépouillés. - Plus de mises à jour de fichiers de configuration exemple. Supprimer 'DupInterval 0' et utiliser des gestionnaires lieu de Realms
- Correction d'un bug de PAE qui pourrait permettre contournant méthode EAP restrictions. Copié l'essai de type élargi PAE
module goodies et a changé le module de test de toujours répondre avec accès rejeter. - notes et rétroportages de rétroporter supplémentaires pour les versions de radiateur plus âgés pour résoudre le bug EAP
Avis de sécurité CVMO.
Ce qui est nouveau dans la version 4.13:
- Les attributs inconnus peut maintenant utiliser un proxy au lieu d'être abandonné
- améliorations de diamètre peut exiger des changements aux modules personnalisés Diamètre
- améliorations majeures comprennent IPv6: IPv6 attributs avec des valeurs peuvent maintenant être soumise à proxy sans le support IPv6, Socket6 ne est plus une condition absolue. 'Ipv6: «préfixe est désormais facultative et non préfixé des valeurs d'attributs
- TACACS + authentification et l'autorisation peut maintenant être découplé
- variables de liaison sont maintenant disponibles pour authlog SQL et SQL Connexion.
- demandes état-serveur sans correcte message identificateur sont ignorés. Statut-réponses du serveur sont maintenant configurables.
- attributs LDAP peuvent maintenant être récupérés avec une portée de base après arborescence scope recherche. Utile par exemple, tokenGroups AD attributs qui ne sont pas disponibles autrement
- chèque Nouvellement ajouté pour CVE-2014-0160, la vulnérabilité OpenSSL Heartbleed peut enregistrer de faux positifs
- Nouveau AuthBy pour authentifier contre YubiKey serveur de validation ajouté
- Voir Radiateur SIM Pack historique des révisions pour les versions pack SIM pris en charge
Limites :
Maximum 1000 demandes. À durée limitée.
Commentaires non trouvées