Radiator

Server Radiator RADIUS fleksibel, extensible, dan mengotentikasi dari sejumlah besar metode otentikasi, termasuk Wireless, TLS, TTLS, PEAP, LEAP, CEPAT, SQL, proxy, DBM, file, LDAP, NIS +, password, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, eksternal, OPIE, POP3, EAP, Active Directory dan Apple Sandi Server. Interoperasi dengan Vasco DigiPass, RSA SecurID, Yubikey. Ini berjalan pada Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, dan banyak lagi. Sumber penuh disediakan. Dukungan komersial penuh tersedia

Apa yang baru dalam rilis ini:.

Dipilih perbaikan bug, catatan kompatibilitas dan perangkat tambahan

• Perbaikan kerentanan dan bug yang sangat signifikan dalam otentikasi EAP. OSC merekomendasikan
      semua pengguna untuk meninjau OSC penasehat keamanan OSC-SEC-2014-01 untuk melihat apakah mereka terpengaruh.
• Client findAddress () diubah menjadi lookup CIDR klien sebelum DEFAULT klien.
      Mempengaruhi ServerTACACSPLUS dan dalam beberapa kasus SessionDatabase modul.
• Ditambahkan dukungan untuk soket non-blocking pada Windows
• query SessionDatabase SQL sekarang mendukung variabel mengikat

• Ditambahkan VENDOR Allot 2603 dan VSA Allot-User-Peran kamus.
• Ditambahkan Diameter petunjuk bendera AVP dalam kamus Diameter Kredit-Control Aplikasi.
• Dicegah kecelakaan saat startup jika dikonfigurasi untuk mendukung aplikasi Diameter untuk
  yang ada modul kamus tidak hadir. Dilaporkan oleh Arthur.
  Peningkatan penebangan loading aplikasi Diameter modul kamus.
• Perbaikan AuthBy SIP2 untuk menambahkan dukungan untuk SIP2Hook. SIP2Hook dapat digunakan
  otorisasi pelindung dan / atau otentikasi. Ditambahkan sebuah barang contoh kait / sip2hook.pl.
  Ditambahkan parameter opsional UsePatronInformationRequest baru untuk konfigurasi yang
  Patron Status Permintaan tidak cukup.
• Tetap masalah dengan SNMPAgent yang dapat menyebabkan kecelakaan jika konfigurasi tidak
  Klien.
• Streaming dan StreamServer soket kini diatur ke mode nonblocking pada Windows juga. Hal ini memungkinkan
  misalnya, RadSec menggunakan soket nonblocking pada Windows.
• radpwtst sekarang menghormati pilihan -message_authenticator untuk semua jenis permintaan
  ditentukan dengan parameter -kode.
• Client.pm findAddress () diubah menjadi mencari CIDR klien sebelum DEFAULT klien. Ini
  adalah sama lookup agar Client untuk permintaan RADIUS masuk menggunakan. Hal ini mempengaruhi sebagian besar
  ServerTACACSPLUS. SessionDatabase DBM, INTERNAL dan SQL juga menggunakan findAddress ()
  dan dipengaruhi ketika Klien telah NasType dikonfigurasi untuk Simultan-Gunakan pengecekan online.
  Lookup klien disederhanakan di ServerTACACSPLUS.
• Ditambahkan VENDOR Cambium 17.713 dan empat Cambium-Canopy VSAs ke kamus.
  "RADIUS Atribut untuk IEEE 802 Jaringan" sekarang RFC 7268. Diperbarui beberapa jenis atribut.
• AuthBy MULTICAST sekarang memeriksa pertama, tidak setelah, jika hop berikutnya tuan rumah bekerja sebelum membuat
  Permintaan untuk maju. Ini akan menghemat siklus ketika hop berikutnya tidak bekerja.
• Ditambahkan VENDOR Apcon 10.830 dan VSA Apcon-User-Level kamus. Disumbangkan oleh Jason Griffith.
• Ditambahkan dukungan untuk hash password kustom dan ditetapkan pengguna metode password cek lainnya.
  Ketika baru parameter konfigurasi CheckPasswordHook didefinisikan untuk AuthBy dan
  sandi diambil dari database pengguna dimulai dengan memimpin '{OSC-pw-hook}', permintaan,
  password yang disampaikan dan password diambil diteruskan ke CheckPasswordHook.
  Hook harus mengembalikan true jika password yang diajukan dianggap benar. TranslatePasswordHook
  berjalan sebelum CheckPasswordHook dan dapat digunakan untuk menambahkan '{OSC-pw-hook}' untuk password diambil.
• AuthLog syslog dan Log syslog kini memeriksa LogOpt selama fase konfigurasi cek.
  Setiap masalah sekarang login dengan penebang Identifier.
• Default untuk SessionDatabase SQL AddQuery dan CountQuery sekarang menggunakan% 0 dimana username
  diperlukan. Diperbarui dokumentasi untuk memperjelas nilai% 0 untuk
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery dan DeleteQuery: 0% adalah asli dikutip
  nama pengguna. Namun, jika SessionDatabaseUseRewrittenName ditetapkan untuk Handler
  dan cek dilakukan oleh Handler (MaxSessions) atau AuthBy (DefaultSimultaneousUse), maka
  % 0 adalah nama ditulis ulang. Untuk query database per pengguna sesi% 0 selalu username asli.
  Diperbarui dokumentasi untuk CountQuery untuk memasukkan% 0% dan 1. Untuk CountQuery% 1 adalah nilai
  dari batas penggunaan simultan.
• resolusi Peningkatan nama penjual untuk Vendor-Id nilai untuk SupportedVendorIds,
  VendorAuthApplicationIds dan VendorAcctApplicationIds. DictVendors kata kunci untuk
  SupportedVendorIds sekarang termasuk vendor dari semua kamus yang dimuat.
  Nama vendor di vendor * ApplicationIds dapat di salah satu kamus dimuat
  selain yang tercantum dalam modul DiaMsg.
• Ditambahkan VENDOR Inmon 4300 dan VSA Inmon-Access-Level kamus.
  Disumbangkan oleh Garry Shtern.
• Ditambahkan ReplyTimeoutHook ke AuthBy RADIUS, disebut jika tidak ada jawaban yang terdengar dari server jauh saat mencoba.
  Hook disebut jika ada jawaban yang terdengar untuk permintaan khusus setelah transmisi ulang secara beranting dan
  permintaan tersebut dianggap telah gagal untuk Host itu.
  Disarankan oleh David Zych.
• Default ConnectionAttemptFailedHook tidak lagi log nilai DBAuth nyata tetapi '** dikaburkan **' sebagai gantinya.
• Nama bentrokan dengan metode putuskan SqlDb menyebabkan tidak perlu Fidelio terputus antarmuka dan menghubungkan
  di AuthBy FIDELIOHOTSPOT setelah kesalahan SQL. AuthBy FIDELIOHOTSPOT sekarang mewarisi langsung dari SqlDb.
• Ditambahkan VENDOR 4ipnet 31.932 dan dan 14 4ipnet VSAs ke kamus. VSA ini juga digunakan oleh perangkat dari mitra 4ipnet,
  seperti LevelOne. Kontribusi dari Itzik Ben Itzhak.
• MaxTargetHosts sekarang berlaku untuk AuthBy RADIUS dan sub-tipe yang AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
  HASHBALANCE dan EAPBALANCE. MaxTargetHosts sebelumnya diterapkan hanya untuk AuthBy VOLUMEBALANCE.
  Disarankan oleh David Zych.
• Ditambahkan VENDOR ZTE 3902 dan beberapa VSAs ke kamus dengan bantuan jenis Nguyen Huy Lagu.
  Diperbarui Cisco VSAs dalam kamus.
• Ditambahkan radiator.service, sampel systemd berkas startup untuk Linux.
• AuthBy Fidelio dan sub-jenis yang sekarang log peringatan jika server akan mengirimkan ada catatan selama
  resync basis data. Hal ini biasanya menunjukkan masalah konfigurasi pada sisi server Fidelio,
  kecuali ada benar-benar sudah tidak diperiksa tamu. Ditambahkan catatan tentang hal ini dalam fidelio.txt di barang.
• Ditambahkan Diameter Basis Protokol AVP aturan bendera di DiaDict. Radiator tidak lagi mengirimkan CEA dengan
  Firmware-Revisi AVP yang memiliki M flag set.
• BogoMips lagi default benar untuk 1 ketika BogoMips tidak dikonfigurasi dalam klausul host di AuthBy
  LOADBALANCE atau VOLUMEBALANCE. Dilansir Serge ANDREY. Default rusak dalam rilis 4.12.
  Contoh LOADBALANCE diperbarui proxyalgorithm.cfg di barang.
• Memastikan bahwa Host dengan BogoMips set ke 0 di AuthBy VOLUMEBALANCE tidak akan menjadi kandidat untuk proxy.
• Ditambahkan Diameter aturan AVP bendera di DiaDict untuk aplikasi Diameter berikut: RFC 4005 dan 7155 NASREQ,
  RFC 4004 Ponsel IPv4 Aplikasi, RFC 4740 Aplikasi SIP dan RFC 4072 Aplikasi EAP.
• Ditambahkan atribut dari RFC 6929 ke dalam kamus. Atribut sekarang akan proksi secara default, tetapi
  tidak ada penanganan khusus yang dilakukan untuk mereka belum.
• Ditambahkan VENDOR Covaro Networks 18.022 dan beberapa Covaro VSAs ke kamus. Ini
  VSAs digunakan oleh produk-produk dari adva Optical Networking.
  Tambahan
• kinerja yang signifikan dalam ServerDIAMETER dan memproses permintaan Diameter. Garis Tengah
  Permintaan sekarang diformat untuk debugging hanya ketika tingkat Jejak diatur untuk debug atau lebih tinggi.
• AuthLog FILE dan Log FILE sekarang mendukung LogFormatHook untuk menyesuaikan pesan log.
  Hook diharapkan untuk mengembalikan nilai skalar yang berisi pesan log.
  Hal ini memungkinkan format log, misalnya, dalam JSON atau format lain yang sesuai
  untuk postprocessing diperlukan. Saran dan bantuan oleh Alexander Hartmaier.
• Diperbarui nilai untuk Acct-Hentikan-Penyebab, NAS-Port-Type dan Error-Penyebab dalam kamus
  untuk mencocokkan tugas IANA terbaru.
• sertifikat sampel Diperbarui dari SHA-1 dan RSA 1024 untuk SHA-256 dan RSA 2048 algoritma.
  Ditambahkan baru direktori sertifikat / sha1-rsa1024 dan sertifikat / SHA256-secp256r1 dengan
  sertifikat menggunakan sebelumnya dan ECC (Elliptic curve cryptography) algoritma. Semua
  sertifikat sampel menggunakan subjek yang sama dan Emiten informasi dan ekstensi. Hal ini memungkinkan
  menguji tanda tangan yang berbeda dan algoritma kunci publik dengan perubahan konfigurasi minimal.
  Diperbarui mkcertificate.sh dalam barang untuk membuat sertifikat dengan SHA-256 dan RSA 2048 algoritma.
• Ditambahkan parameter konfigurasi baru EAPTLS_ECDH_Curve untuk metode EAP berbasis TLS dan TLS_ECDH_Curve
  untuk Streaming klien dan server seperti RadSec dan Diameter. Parameter ini memungkinkan Curve Elliptic
  keying negosiasi sementara dan nilainya 'nama pendek' EC sebagai dikembalikan oleh
  perintah openssl ecparam -list_curves. Parameter baru membutuhkan Net-SSLeay 1.56 atau yang lebih baru dan pencocokan OpenSSL.
• Diuji Radiator dengan RSA2048 / SHA256 dan ECDSA (kurva secp256r1) / sertifikat SHA256 pada berbeda
  platform dan dengan klien yang berbeda. Dukungan klien EAP adalah banyak tersedia di kedua ponsel,
  seperti, Android, iOS dan WP8, dan sistem operasi lain. Diperbarui beberapa EAP, RadSec, Diameter
  dan file konfigurasi lainnya di barang untuk menyertakan contoh EAPTLS_ECDH_Curve baru dan
  Parameter konfigurasi TLS_ECDH_Curve.
• Handler dan AuthBy SQL, RADIUS, RADSEC dan FREERADIUSSQL sekarang mendukung AcctLogFileFormatHook. Buku ini adalah
  tersedia untuk menyesuaikan pesan Akuntansi-Permintaan dicatat oleh AcctLogFileName atau AcctFailedLogFileName.
  Hook diharapkan untuk mengembalikan nilai skalar yang berisi pesan log. Hal ini memungkinkan format
  log, misalnya, dalam JSON atau format lain yang cocok untuk postprocessing diperlukan.
• Parameter konfigurasi Grup sekarang mendukung pengaturan id kelompok tambahan selain
  id kelompok yang efektif. Grup sekarang dapat ditetapkan sebagai daftar dipisahkan koma kelompok mana yang pertama
  Kelompok adalah diinginkan id kelompok yang efektif. Jika ada nama-nama yang tidak bisa diselesaikan, kelompok yang tidak diatur.
  Kelompok tambahan dapat membantu, misalnya, AuthBy NTLM mengakses socket winbindd.
• Ditambahkan beberapa Alcatel, penjual 6527, VSAs ke kamus.
• Nama resolusi untuk Radius Klien dan IdenticalClients sekarang diuji selama fase konfigurasi cek. Disarankan oleh Garry Shtern.
  Salah ditentukan IPv4 dan IPv6 CIDR blok sekarang login jelas. Pemeriksaan juga mencakup klien dimuat oleh ClientListLDAP dan ClientListSQL.
• format khusus sekarang mendukung% {AuthBy: parmname} yang digantikan oleh parameter parmname
  dari klausa AuthBy yang menangani paket saat ini. Disarankan oleh Alexander Hartmaier.
• Ditambahkan VENDOR Tropic Networks 7483, sekarang Alcatel-Lucent, dan dua Tropic VSAs ke kamus. Ini
  VSAs digunakan oleh beberapa produk Alcatel-Lucent, seperti Photonic Service Switch 1830.
  Tetap kesalahan ketik di RB-IPv6-Option atribut.
• TLS 1.1 dan TLS 1.2 kini diizinkan untuk metode EAP bila didukung oleh OpenSSL dan EAP pemohon.
  Berkat Nick Lowe dari Lugatech.
• AuthBy FIDELIOHOTSPOT sekarang mendukung layanan prabayar, seperti rencana dengan bandwidth yang berbeda.
  Pembelian yang diposting ke Opera dengan catatan penagihan. File konfigurasi fidelio-hotspot.cfg dan
  fidelio-hotspot.sql dalam barang yang diperbarui dengan contoh Mikrotik integrasi captive portal.
• AuthBy RADIUS dan AuthBy RADSEC sekarang menggunakan kurang dari atau sama ketika membandingkan
  perangko waktu menggunakan MaxFailedGraceTime. Sebelumnya ketat kurang digunakan
  menyebabkan off dengan satu kesalahan kedua ketika menandai hop berikutnya Host bawah.
  Debugged dan dilaporkan oleh David Zych.
• AuthBy SQLTOTP telah diupdate untuk mendukung HMAC-SHA-256 dan HMAC-SHA-512 fungsi. HMAC hash
  algoritma sekarang dapat parametrised untuk setiap tanda serta langkah waktu dan Unix waktu asal.
  Password kosong sekarang akan meluncurkan Access-Tantangan untuk meminta untuk OTP. SQL dan konfigurasi
  contoh yang diperbarui. Sebuah generate-totp.pl utilitas baru dalam barang / dapat digunakan untuk membuat
  berbagi rahasia. Rahasia dibuat dalam hex dan RFC 4648 format teks Base32 dan sebagai
  Kode QR gambar yang dapat diimpor oleh otentikator seperti Google Authenticator dan FreeOTP
  Authenticator.
• Reformat root.pem, cert-clt.pem dan cert-srv.pem di sertifikat / direktori.
  Kunci privat yang dienkripsi dalam file ini sekarang diformat dalam format SSLeay tradisional
  bukannya PKCS # 8 format. Beberapa sistem yang lebih tua, seperti RHEL 5 dan CentOS 5, tidak mengerti
  PKCS # 8 format dan gagal dengan pesan error seperti 'TLS tidak bisa use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - error: 06074079: rutinitas amplop digital: EVP_PBE_CipherInit: algoritma PBE diketahui '
  ketika mencoba untuk memuat kunci. Kunci privat yang dienkripsi dalam sha1-rsa1024 dan SHA256-secp256r1
  direktori tetap dalam PKCS # 8 format. Catatan tentang format kunci pribadi ditambahkan dalam
  sertifikat / README.
• Ditambahkan parameter baru untuk semua AuthBys: EAP_GTC_PAP_Convert memaksa semua permintaan EAP-GTC menjadi
  dikonversi permintaan Radius PAP konvensional yang redespatched, mungkin akan proxy
  ke server lain non-EAP-GTC mampu Radius atau untuk otentikasi lokal. Dikonversi
  Permintaan dapat dideteksi dan ditangani dengan Handler ConvertedFromGTC = 1.
• query SessionDatabase SQL sekarang mendukung variabel mengikat. Parameter permintaan mengikuti
  penamaan yang biasa konvensi di mana, misalnya, AddQueryParam digunakan untuk variabel mengikat AddQuery.
  Query yang diperbarui adalah: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery dan CountNasSessionsQuery.
• AddressAllocator SQL sekarang mendukung UpdateQuery parameter opsional baru yang akan menjalankan SQL
  Pernyataan untuk setiap pesan akuntansi dengan Acct-Status-Jenis Mulai or Alive.
  Query ini dapat digunakan untuk memperbarui cap waktu kadaluwarsa yang memungkinkan lebih pendek LeaseReclaimInterval.
  Ditambahkan contoh UpdateQuery di addressallocator.cfg di barang.
• Tetap buruk diformat pesan log di AuthBy RADIUS. Dilansir Patrik Forsberg.
  Tetap pesan log in EAP-PAX dan EAP-PSK dan diperbarui sejumlah contoh konfigurasi di barang.
• Disusun paket Win32-Lsa Windows PPM untuk Perl 5.18 dan 5.20 untuk kedua x64 dan x86 dengan bilangan bulat 32bit.
  Para PPMs disusun dengan Strawberry Perl 5.18.4.1 dan 5.20.1.1. Termasuk ini dan
  sebelumnya disusun Win32-Lsa PPMs dalam distribusi Radiator.
• Disusun paket Authen-DigiPass Windows PPM dengan Strawberry Perl 5.18.4.1 dan 5.20.1.1 untuk
  Perl 5.18 dan 5.20 untuk x86 dengan bilangan bulat 32bit. Digipass.pl diperbarui untuk menggunakan Getopt :: panjang bukan
  dari usang newgetopt.pl. Repacked Authen-DigiPass PPM untuk Perl 5.16 untuk menyertakan digipass.pl diperbarui.
• Diameter Alamat jenis atribut dengan nilai-nilai IPv6 sekarang diterjemahkan ke dibaca manusia alamat IPv6 teks
  representasi. Sebelumnya, decode kembali nilai atribut mentah. Dilansir Arthur Konovalov.
• Peningkatan Diameter EAP penanganan untuk kedua AuthBy DIAMETER dan ServerDIAMETER. Kedua modul sekarang beriklan
  Diameter-EAP aplikasi secara default selama awal pertukaran kemampuan. AuthBy DIAMETER sekarang mendukung
  AuthApplicationIds, AcctApplicationIds dan SupportedVendorIds parameter konfigurasi
• Berubah jenis dikenakan biaya-User-Identitas dalam kamus ke biner untuk memastikan setiap membuntuti NUL
  karakter tidak dilucuti.
• update lebih file contoh konfigurasi. Hapus 'DupInterval 0' dan menggunakan Penangan bukan Realms
• Fixed bug EAP yang dapat memungkinkan melewati pembatasan metode EAP. Menyalin EAP diperluas uji tipe
  modul untuk barang dan mengubah modul tes untuk selalu merespon dengan akses menolak.
• Ditambahkan backport catatan dan backports untuk versi Radiator tua untuk mengatasi bug EAP di
  Penasehat keamanan OSC.

Apa yang baru dalam versi 4.13:

• atribut diketahui sekarang dapat proksi bukannya turun
  
• tambahan Diameter mungkin memerlukan perubahan modul kustom Diameter
  
• perangkat utama IPv6 meliputi: Atribut dengan nilai-nilai IPv6 sekarang dapat proxy tanpa dukungan IPv6, Socket6 tidak lagi merupakan prasyarat mutlak. 'Ipv6:' prefix sekarang opsional dan tidak prepended nilai atribut
  
• TACACS + otentikasi dan otorisasi sekarang dapat dipisahkan
  
• variabel Bind sekarang tersedia untuk AuthLog SQL dan SQL Log.
  
• permintaan Status-Server tanpa benar-Pesan Identifier diabaikan. Tanggapan status Server sekarang dikonfigurasi.
  
• atribut LDAP sekarang dapat diambil dengan lingkup dasar setelah subtree scoped pencarian. Berguna misalnya, tokenGroups AD atribut yang tidak dinyatakan tersedia
  
• cek baru ditambahkan untuk CVE-2014-0160, kerentanan OpenSSL Heartbleed dapat log positif palsu
  
• New AuthBy untuk otentikasi terhadap server validasi Yubikey ditambahkan
  
• Lihat Radiator SIM pack sejarah revisi untuk mendukung SIM pack versi

Keterbatasan :

Maksimum 1000 permintaan. Waktu yang terbatas.