Radiator RADIUS-server är flexibel, utbyggbar och autentiserar från ett stort utbud av auth metoder, inklusive trådlöst, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, filer, LDAP, NIS +, lösenord, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, extern, OPIE, POP3, EAP, Active Directory och Apple Password Server. Fungerar tillsammans med Vasco Digipass, RSA SecurID, Yubikey. Den körs på Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, och mer. Full källa tillhandahålls. Full kommersiell support tillgänglig
Vad är nytt i den här versionen:.
Valda buggfixar, anteckningar och förbättringar kompatibilitet
- Åtgärdar en sårbarhet och mycket betydande bugg i EAP-autentisering. OSC rekommenderar
alla användare att granska OSC säkerhetsbulletin OSC-SEC-2014-01 för att se om de påverkas. - Klient findAddress () ändrades till lookup CIDR klienter innan DEFAULT klient.
Påverkar ServerTACACSPLUS och i vissa fall SessionDatabase moduler. - Utökat stöd för icke-blockerande uttag på Windows
- SessionDatabase SQL-frågor nu stöder bindevariabler
Detaljerade förändringar
- Inkom VENDOR Allot 2603 och VSA Allot-User-roll till ordlistan.
- Inkom Diameter AVP flagga tips i Diameter Credit-Control Application ordbok.
- Förhindrat krasch vid start när den är konfigurerad för att stödja en Diameter ansökan
vilket ingen ordlistan modulen inte var närvarande. Rapporterat av Arthur.
Förbättrad loggning av lastning av Diameter applikations ordbok moduler. - Förbättringar AuthBy SIP2 att lägga till stöd för SIP2Hook. SIP2Hook kan användas
för beskyddare tillstånd och / eller verifiering. Inkom ett exempel krok godbitar / sip2hook.pl.
Lade till en ny valfri parameter UsePatronInformationRequest för konfigurationer där
Patron Statusförfrågan är inte tillräcklig. - Fixat ett problem med SNMPAgent som kan orsaka en krasch om konfigurationen hade ingen
Kunder. - Stream och StreamServer uttag nu satt till icke blockerande läge i Windows också. Detta tillåter
till exempel för att RadSec använda icke-blockerande uttag i Windows. - radpwtst hedrar nu -message_authenticator alternativ för alla begäran typer
specificeras med -kod parametern. - Client.pm findAddress () ändrades för att leta upp CIDR kunder innan DEFAULT klient. Detta
är samma ordning Klient lookup för inkommande RADIUS förfrågningar använder. Detta drabbar främst
ServerTACACSPLUS. SessionDatabase DBM, INTERNT och SQL använder också findAddress ()
och påverkas när Kunderna har NasType konfigurerad för simultan-användning på nätet kontroll.
Klient lookup förenklades i ServerTACACSPLUS. - Inkom VENDOR Cambium 17713 och fyra Cambium-Canopy VSAs till i ordlistan.
"RADIUS attribut för IEEE 802 Networks" är nu RFC 7268. Uppdaterad några av dess attributtyper. - AuthBy MULTICAST kontrollerar nu först, inte efter, om nästa hop värd fungerar innan du skapar den
begäran att vidarebefordra. Detta kommer att spara cykler när nästa hop inte fungerar. - Inkom VENDOR Apcon 10830 och VSA Apcon-User-Level till ordlistan. Inskickad av Jason Griffith.
- Stöd för anpassade lösenord hashes och andra metoder användardefinierat lösenord check.
När den nya konfigurationsparametern CheckPasswordHook definieras för en AuthBy och
lösenord hämtas från användardatabasen börjar med ledande '{OSC-pw-hook} ", begäran,
den inlämnade lösenord och det hämtade lösenordet skickas till CheckPasswordHook.
Kroken måste returnera sant om det inlämnade lösenord bedöms korrekt. TranslatePasswordHook
körningar innan CheckPasswordHook och kan användas för att lägga till "{OSC-pw-hook}" till de hämtade lösenord. - AuthLog SYSLOG och Log SYSLOG nu kontrollera LogOpt under konfigurationskontroll fasen.
Eventuella problem är nu inloggad med loggers Identifier. - De standardvärden för SessionDatabase SQL AddQuery och CountQuery använder nu% 0 där användarnamn
behövs. Uppdaterat dokumentationen att förtydliga värdet av% 0 för
AddQuery, CountQuery, ReplaceQuery, UpdateQuery och DeleteQuery:% 0 är den citerade originalet
användarnamn. Om emellertid SessionDatabaseUseRewrittenName är inställd för den som hanterar
och kontrollen görs av Handler (MaxSessions) eller AuthBy (DefaultSimultaneousUse), sedan
% 0 är omskriven användarnamnet. För per användare sessionsdatabasfrågor% 0 är alltid den ursprungliga användarnamn.
Uppdaterat dokumentationen för CountQuery att inkludera% 0 och% 1. För CountQuery% 1 är värdet
av samtidig användning gränsen. - Förbättrad upplösning av namn leverantör till leverantör-Id värden för SupportedVendorIds,
VendorAuthApplicationIds och VendorAcctApplicationIds. Nyckelord DictVendors för
SupportedVendorIds innehåller nu säljare från alla ordböcker som laddas.
Vendor namn i Vendor * ApplicationIds kan vara i någon av de laddade ordböcker
förutom att vara listade i DiaMsg modulen. - Inkom VENDOR Inmon 4300 och VSA Inmon-Access-nivå till ordlistan.
Inskickad av Garry Shtern. - Lade ReplyTimeoutHook till AuthBy RADIUS, kallas om inget svar hörs från tillfället försökt fjärrserver.
Kroken heter om inget svar hörs för en specifik begäran efter försök omsänd och
begäran anses ha misslyckats för att Host.
Förslag från David Zych. - Standard ConnectionAttemptFailedHook inte längre loggar real DBAuth värde men "** fördunklat ** 'istället.
- Namn drabbning med SqlDb koppling metod orsakade onödiga Fidelio gränssnitt kopplar och återuppkoppling
i AuthBy FIDELIOHOTSPOT efter SQL fel. AuthBy FIDELIOHOTSPOT ärver nu direkt från SqlDb. - Inkom VENDOR 4ipnet 31932 och och 14 4ipnet VSAs till i ordlistan. Dessa VSA används också av enheter från 4ipnet partners,
såsom Lone. Bidrag från Itzik Ben Itzhak. - MaxTargetHosts gäller nu AuthBy RADIUS och dess undertyper AuthBy roundrobin, VOLUMEBALANCE, LOADBALANCE,
HASHBALANCE och EAPBALANCE. MaxTargetHosts tidigare genomförts endast för AuthBy VOLUMEBALANCE.
Förslag från David Zych. - Inkom VENDOR ZTE 3902 och flera VSAs till i ordlistan med benäget bistånd av Nguyen Song Huy.
Uppdaterad Cisco VSAs i ordboken. - Inkom radiator.service, ett prov Systemd start fil för Linux.
- AuthBy FIDELIO och dess undertyper nu logga en varning om servern skickar inga poster under
databas omsynkronisering. Detta indikerar vanligtvis ett konfigurationsproblem på Fidelio serversidan,
om det inte verkligen är något checkas in gäster. Lade till en anteckning om detta i fidelio.txt i godsaker. - Inkom Diameter Base Protocol AVP flagga regler i DiaDict. Radiator inte längre skickar CEA med
Firmware-Revision AVP som har M flaggan inställd. - bogomips igen standard korrekt till 1 när bogomips inte är konfigurerad i en värd klausul i AuthBy
LOADBALANCE eller VOLUMEBALANCE. Rapporterad av Serge ANDREY. Standard bröts i och med version 4.12.
Uppdaterad LOADBALANCE exempel i proxyalgorithm.cfg i godsaker. - Säker som värdar med bogomips satt till 0 i AuthBy VOLUMEBALANCE kommer inte att vara en kandidater för proxyfunktioner.
- Inkom Diameter AVP flagga regler i DiaDict för följande Diameter applikationer: RFC 4005 och 7155 NASREQ,
RFC 4004 Mobile IPv4 Application, RFC 4740 SIP Ansökan och RFC 4072 EAP Application. - Inkom attributen från RFC 6929 till ordlistan. Attributen kommer nu att proxyservern som standard men
ingen specifik hantering är gjort för dem ännu. - Inkom VENDOR Covaro Networks 18022 och multipel Covaro VSAs till i ordlistan. Dessa
VSAs används av produkter från ADVA Optical Networking. - Betydande prestandaförbättringar i ServerDIAMETER och Diameter begäran bearbetning. Diameter
förfrågningar nu formaterade för felsökning endast när Trace nivån är satt att felsöka eller högre. - AuthLog FIL och loggfil stöder nu LogFormatHook att anpassa loggmeddelandet.
Kroken förväntas återgå en enda skalär värde innehåller loggmeddelandet.
Detta tillåter formatering stockarna, exempelvis i JSON eller något annat format som är lämpligt
för önskad efterbearbetning. Förslag och hjälp av Alexander Hartmaier. - Uppdaterad värdena för Acct-Avsluta-Orsak, NAS-Port-Type och Fel-Orsak ordlista
att matcha de senaste IANA uppdrag. - Uppdaterade provintyg från SHA-1 och RSA 1024 till SHA-256 och RSA 2048 algoritmer.
Lade till nya kataloger certifikat / sha1-rsa1024 och certifikat / sha256-secp256r1 med
certifikat med hjälp tidigare och ECC (elliptisk kurva kryptografi) algoritmer. Allt
prov certifikat använder samma ämne och emittent information och förlängningar. Detta tillåter
testa olika signaturer och offentliga nyckelalgoritmer med minimala ändringar i konfigurationen.
Uppdaterad mkcertificate.sh i godsaker att skapa certifikat med SHA-256 och RSA 2048 algoritmer. - Lades nya konfigurationsparametrar EAPTLS_ECDH_Curve för TLS baserade EAP-metoder och TLS_ECDH_Curve
för Stream klienter och servrar såsom RadSec och Diameter. Denna parameter kan elliptisk kurva
efemära keying förhandling och dess värde är EG "kortnamn" som returneras av
openssl ecparam -list_curves kommando. De nya parametrarna kräver Net-SSLeay 1,56 eller senare och matchning OpenSSL. - Testad Radiator med RSA2048 / SHA256 och ECDSA (kurva secp256r1) / SHA256 certifikat på olika
plattformar och med olika kunder. EAP kundsupport var allmänt tillgänglig på både mobil,
såsom Android, IOS och WP8, och andra operativsystem. Uppdaterad flera EAP, RadSec, Diameter
och andra konfigurationsfiler i godsaker att ta med exempel på den nya EAPTLS_ECDH_Curve och
TLS_ECDH_Curve konfigurationsparametrar. - Handler och AuthBy SQL, RADIUS, RADSEC och FREERADIUSSQL nu stöder AcctLogFileFormatHook. Denna krok är
tillgängliga för att anpassa Accounting-Request-meddelanden loggas av AcctLogFileName eller AcctFailedLogFileName.
Kroken förväntas återgå en enda skalär värde innehåller loggmeddelandet. Detta tillåter formatering
stockarna, exempelvis i JSON eller något annat format som är lämpligt för den önskade efterbearbetning. - Konfigurationsparametern gruppen stöder nu ställa de kompletterande grupp ids utöver
den effektiva grupp-ID. Gruppen kan nu anges som kommaseparerad lista med grupper där den första
gruppen är den önskade effektiva grupp-ID. Om det finns namn som inte kan lösas, är grupper inte inställd.
De kompletterande grupperna kan hjälpa till med, till exempel, AuthBy NTLM åtkomst till winbindd uttaget. - Inkom flera Alcatel, försäljare 6527, VSAs till i ordlistan.
- Namn upplösning för RADIUS-klienter och IdenticalClients nu testas under konfigurationskontroll fasen. Föreslagen av Garry Shtern.
Felaktigt angivna IPv4 och IPv6 CIDR blocken är nu tydligt loggas. Kontrollerna omfattar även klienter lastade av ClientListLDAP och ClientListSQL. - Special formatering stöder nu% {AuthBy: parmname} som ersätts med parmname parametern
från AuthBy klausul som hanterar det aktuella paketet. Förslag från Alexander Hartmaier. - Inkom VENDOR Tropic Networks 7483, numera Alcatel-Lucent, och två Tropic VSAs till i ordlistan. Dessa
VSAs används av vissa Alcatel-Lucent produkter, såsom 1830 Photonic service Switch.
Fast ett stavfel i RB-IPv6-Option attribut. - TLS 1.1 och TLS 1.2 är nu tillåtet för EAP-metoder när den stöds av OpenSSL och EAP supplicants.
Tack vare Nick Lowe i Lugatech. - AuthBy FIDELIOHOTSPOT stöder nu förbetalda tjänster, såsom planer med olika bandbredd.
Inköpen bokförs mot Operan med fakturering poster. Konfigurationsfiler Fidelio-hotspot.cfg och
Fidelio-hotspot.sql i godsaker uppdaterades med ett exempel på Mikrotik captive portal integration. - AuthBy RADIUS och AuthBy RADSEC använder nu mindre än och lika när man jämför
tidsstämplar som använder MaxFailedGraceTime. Tidigare strikt mindre än användes
orsakar en av av en andra felet när märkning nästa hopp Värdar ner.
Debuggade och rapporteras av David Zych. - AuthBy SQLTOTP uppdaterades för att stödja HMAC-SHA-256 och HMAC-SHA-512 funktioner. Den HMAC hash
algoritm kan nu parametrised för varje token samt tidssteg och Unix tids ursprung.
En tom lösenord kommer nu att lansera Tillgång-Challenge ska be om OTP. SQL och konfiguration
exempel uppdaterades. Ett nytt verktyg generate-totp.pl i godbitar / kan användas för att skapa
delade hemligheter. Hemligheterna är skapade i hex och RFC 4648 Base32 textformat och som
QR-kod bilder som kan importeras av autentiserare som Google Authenticator och FreeOTP
Authenticator. - Omformate root.pem, cert-clt.pem och cert-srv.pem i certifikat / katalogen.
De krypterade privata nycklar i dessa filer nu formateras i den traditionella SSLeay formatet
istället för PKCS # 8-format. Vissa äldre system, såsom RHEL 5 och CentOS 5, inte förstår
PKCS # 8 format och misslyckas med ett felmeddelande som "TLS kunde use_PrivateKey_file
./certificates/cert-srv.pem, 1: 27197: 1 - error: 06.074.079: digitala kuvertrutiner: EVP_PBE_CipherInit: okänt PBE algoritm "
när man försöker ladda nycklarna. Den krypterade privata nycklar i sha1-rsa1024 och sha256-secp256r1
kataloger kvar i PKCS # 8-format. En anteckning om den privata nyckeln formatet lades i
certifikat / README. - Inkom ny parameter för alla AuthBys: EAP_GTC_PAP_Convert tvingar alla EAP-GTC ansökningar vara
konverterade till konventionella Radius PAP förfrågningar som redespatched, kanske att proxyservern
till en annan icke-EAP-GTC kapabla Radius server eller för lokal autentisering. Den konverterade
önskemål kan upptäckas och hanteras med Handler ConvertedFromGTC = 1. - SessionDatabase SQL-frågor nu stöder bindevariabler. De frågeparametrar följer
vanliga namnkonvention där exempelvis, är AddQueryParam används för AddQuery bindevariabler.
De uppdaterade frågor är: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
ClearNasSessionQuery, CountQuery och CountNasSessionsQuery. - AddressAllocator SQL stöder nu en ny valfri parameter UpdateQuery som kommer köra en SQL
uttalande för varje redovisnings meddelande med Acct-Status-Type i Start eller Alive.
Denna fråga kan användas för att uppdatera utgångs tidstämpel möjliggör kortare LeaseReclaimInterval.
Inkom ett exempel på UpdateQuery i addressallocator.cfg i godsaker. - Fast dåligt formaterade loggmeddelande i AuthBy RADIUS. Rapporterad av Patrik Forsberg.
Fast loggmeddelanden i EAP-PAX och EAP-PSK och uppdateras flera konfigurationsexemplen i godsaker. - Sammanställt Win32-Lsa Windows PPM paket för Perl 5.18 och 5.20 för både x64 och x86 med 32bit heltal.
De PPM sammanställdes med Strawberry Perl 5.18.4.1 och 5.20.1.1. Ingår dessa och de
tidigare sammanställt Win32-Lsa PPM i Radiator distributionen. - Sammanställt Authen-Digipass Windows PPM-paket med Strawberry Perl 5.18.4.1 och 5.20.1.1 för
Perl 5.18 och 5.20 för x86 med 32bit heltal. Uppdaterade digipass.pl att använda getopt :: Lång istället
av föråldrat newgetopt.pl. Packas Authen-Digipass PPM för Perl 5.16 för att inkludera den uppdaterade digipass.pl. - Diameter Adress textattribut med IPv6-värden nu avkodas till läsbar IPv6-adress text
representation. Tidigare avkoda returnråattributvärdet. Rapporterad av Arthur Konovalov. - Förbättrad Diameter EAP hantering för både AuthBy diameter och ServerDIAMETER. Båda modulerna nu annonsera
Diameter-EAP ansökan som standard under den inledande kapacitet utbytet. AuthBy DIAMETER stöder nu
AuthApplicationIds, AcctApplicationIds och SupportedVendorIds konfigurationsparametrar - Ändrad den typ av debiterbar-User-Identity ordlista till binärt att se till några avslutande NUL
tecken inte skalas. - Fler uppdateringar exempel konfigurationsfiler. Avlägsna 'DupInterval 0' och använd Hanterare stället för sfärer
- Fixat ett EAP bugg som kan göra det möjligt att kringgå EAP-metod restriktioner. Kopierat EAP expanderade typprovning
modul till godsaker och ändrade testmodulen att alltid svara med tillgång förkasta. - Lades backport anteckningar och backports för äldre Radiator versioner för att ta itu med EAP bugg i
OSC säkerhetsrådgivning.
Vad är nytt i version 4.13:
- Okända attribut kan nu proxade stället för att tappas
- Diameter tillbehören kan kräva ändringar anpassade Diameter moduler
- Major IPv6 förbättringar inkluderar: Attribut med IPv6-värden kan nu proxade utan IPv6-stöd, är Socket6 inte längre en absolut förutsättning. "Ipv6:" prefix är nu frivilligt och inte föregås av attributvärden
- TACACS + autentisering och godkännande kan nu frikopplas
- Bind variabler finns nu tillgängliga för AuthLog SQL och Log SQL.
- Status-server förfrågningar utan korrekt Meddelande-Identifier ignoreras. Status-Server svar är nu konfigurerbar.
- kan LDAP attribut nu hämtas med bas omfattning efter träd scoped sökning. Användbart exempelvis attribut tokenGroups AD som annars inte finns tillgängliga
- Nytillkomna check för CVE-2014-0160, OpenSSL Heartbleed sårbarhet kan logga falska positiva
- Ny AuthBy för autentisering mot YubiKey servervalidering sätts
- Se Radiator SIM pack versionshistorik för stöds SIM pack versioner
Begränsningar :
Högsta 1000 sidvisningar. Begränsad tid.
Kommentarer hittades inte