Radiator

RADIUS Радіатор сервер є гнучким, розширюваним і аутентифікацію з величезним діапазоном AUTh методів, в тому числі бездротових, TLS, TTLS, PEAP, LEAP, швидко, SQL, проксі, DBM, файли, LDAP, NIS +, пароль, NT SAM , смарагд, Качконіс, Freeside, TACACS +, PAM, зовнішній, OPIE, POP3, EAP, Active Directory і Apple, пароль доступу до сервера. Взаємодіє з Vasco Digipass, RSA SecurID, Yubikey. Вона працює на Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, і багато іншого. Повний вихідний передбачено. Повне фірмове підтримка доступна

Що нового У цьому випуску :.

Вибрані виправлення, зауваження сумісності та покращення

• Виправлена ​​уразливість і дуже важливу помилку в автентичності EAP. OSC рекомендує
      всі користувачам переглядати інформацію з безпеки OSC OSC-втор-2014-01 побачити, якщо вони страждають.
• Client findAddress () була змінена для пошуку клієнтів CIDR перед клієнтом за замовчуванням.
      Впливає ServerTACACSPLUS а в деяких випадках SessionDatabase модулів.
• Додана підтримка для не-блокуючих сокетів на вікнах
• запити SessionDatabase SQL тепер підтримують змінні зв'язування

• Додана VENDOR виділити 2603 і VSA виділити-User-роль словника.
• Додана Діаметр AVP натяки прапор в словнику Діаметр Кредит-Control Application.
• Попереджено аварія під час запуску, коли налаштований на підтримку додатка діаметр для
  що не модуль словник не було. Про це повідомляє Артура.
  Покращена протоколювання завантаження словника модулів Діаметр додатків.
• Поліпшення AuthBy SIP2, щоб додати підтримку SIP2Hook. SIP2Hook можуть бути використані
  для дозволу покровителя та / або аутентифікації. Додана приклад гак Плюси / sip2hook.pl.
  Доданий новий необов'язковий параметр UsePatronInformationRequest для конфігурацій, в яких
  Patron Стан запиту не є достатнім.
• Виправлена ​​проблема з SNMPAgent, які можуть призвести до аварії, якби конфігурація не
  Клієнти.
• потік і StreamServer розетки даний час встановлено у неблокуючим режим на вікнах теж. Це дозволяє
  Наприклад, RadSec використовувати неблокірующіх розетки на Windows.
• radpwtst тепер шанує варіант -message_authenticator для всіх типів запитів
  визначається параметром -коду.
• Client.pm findAddress () була змінена, щоб подивитися на CIDR клієнтів перед клієнтом за замовчуванням. Це
  це ж пошук Клієнт замовлення на вхідні запити RADIUS використовує. Це впливає в основному
  ServerTACACSPLUS. SessionDatabase DBM, внутрішніх і SQL також використовувати findAddress ()
  і змінюються при Клієнти NasType налаштований для одночасного використанні онлайн перевірки.
  Клієнт пошук був спрощений в ServerTACACSPLUS.
• Додана ПОСТАЧАЛЬНИК камбій 17713 і чотири камбій-Canopy VSAs в словник.
  "RADIUS Атрибути для IEEE 802 мереж" тепер RFC 7268. Оновлене деякі з його типів атрибутів.
• AuthBy MULTICAST тепер спочатку перевіряє, чи не після, якщо господар поруч хоп працює, перш ніж створювати
  Запит вперед. Це дозволить заощадити час процесора наступного стрибка не працює.
• Додана VENDOR Apcon 10830 і VSA Apcon-рівня користувача для словника. Внесений Джейсон Гріффіт.
• Додана підтримка користувацьких хешів паролів та інших обумовлених користувачем методів перевірки пароля.
  Коли новий параметр конфігурації CheckPasswordHook визначається для AuthBy і
  пароль витягуються з бази даних користувача починається з провідними '{OSC-PW-гачок}', прохання,
  представлені пароль і витягти пароль передаються в CheckPasswordHook.
  Крюк повинен повернутися вірно, якщо представлений пароль вважається правильним. TranslatePasswordHook
  працює до CheckPasswordHook і може бути використаний для додавання '{OSC-PW-гачок}', щоб знайдених паролів.
• AuthLog журнал і Ввійти SYSLOG тепер перевіряють LogOpt під час перевірки конфігурації фази.
  Будь-які проблеми в даний час увійшли з ідентифікатором реєстратори.
• Значення за замовчуванням для SessionDatabase SQL AddQuery і CountQuery тепер використовувати% 0, де ім'я користувача
  необхідний. Оновлене документацію, щоб з'ясувати значення% 0 для
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery і DeleteQuery:% 0 цитує оригінал
  Ім'я користувача. Однак, якщо SessionDatabaseUseRewrittenName встановлений для обробника
  і перевірка здійснюється обробника (MaxSessions) або AuthBy (DefaultSimultaneousUse), то
  % 0 переписати ім'я користувача. Для кожного користувача запитів до бази даних сеансу% 0 завжди оригінальне ім'я користувача.
  Оновлене документацію для CountQuery включити% 0 та% 1. Для CountQuery% 1 являє собою значення
  одночасного обмеження на використання.
• Поліпшений дозвіл імен постачальника до постачальника-Id значення для SupportedVendorIds,
  VendorAuthApplicationIds і VendorAcctApplicationIds. Ключове слово DictVendors для
  SupportedVendorIds тепер включає виробники з усіх словниках, які завантажуються.
  Назва постачальника вендору * ApplicationIds може бути в будь-який з завантажених словників
  Крім того, щоб бути перераховані в модулі DiaMsg.
• Додана VENDOR Інмона 4300 і VSA Інмона доступу рівня для словника.
  Внесений Гаррі Штерн.
• Додана ReplyTimeoutHook в AuthBy RADIUS, викликається, якщо відповідь не почув від поточного спробував віддаленому сервері.
  Крюк викликається, якщо відповідь не почув конкретного запиту після повторних спроб і
  Запит вважається не відбувся для цього хоста.
  Схожі Девід Зих.
  не «LI> за замовчуванням ConnectionAttemptFailedHook більше не реєструє реальну вартість DBAuth, а" ** затемнюється ** 'замість цього.
• Ім'я зіткнення з методом відключення SQLdb в Lazarus викликало непотрібні інтерфейсу відключається, і підключиться Fidelio
  в AuthBy FIDELIOHOTSPOT після помилок SQL. AuthBy FIDELIOHOTSPOT зараз успадковує безпосередньо від SQLdb в Lazarus.
• Додана ПОСТАЧАЛЬНИК 4ipnet 31932 і і 14 4ipnet VSAs в словник. Це VSA також використовується пристроями з 4ipnet партнерів,
  таких як LevelOne. Внесений Іцик Бен Іцхак.
• MaxTargetHosts тепер поширюється і на AuthBy RADIUS і його підтипів AuthBy ROUNDROBIN, VOLUMEBALANCE, LoadBalance,
  HASHBALANCE і EAPBALANCE. MaxTargetHosts раніше реалізована тільки для AuthBy VOLUMEBALANCE.
  Схожі Девід Зих.
• Додана ПОСТАЧАЛЬНИК ZTE 3902 і кілька VSAs в словник за люб'язного сприяння Нгуен пісні Хай.
  Оновлене Cisco VSAs в словнику.
• Додана radiator.service, зразок Systemd файл запуску для Linux.
• AuthBy FIDELIO і його підтипи тепер увійти попередження, якщо сервер не посилає ніяких записів під час
  ресинхронізація бази даних. Це зазвичай вказує на проблеми з конфігурацією на стороні сервера Fidelio,
  якщо є насправді немає перевірені в гості. Додано примітка про це в fidelio.txt в героїв.
• Додана діаметр основи протокол AVP правила прапор в DiaDict. НЕ Радіатор більше не відправляє СЕА з
  Firmware-Revision AVP, яка має M встановлено прапор.
• BogoMips знову замовчуванням правильно 1, коли BogoMips не налаштований в реченні господаря, в AuthBy
  LoadBalance або VOLUMEBALANCE. Про це повідомляє Серж Андрій. За замовчуванням була порушена в релізі 4.12.
  Оновлений приклад LoadBalance в proxyalgorithm.cfg в героїв.
• запевнив, що хости з BogoMips встановлений в 0 в AuthBy VOLUMEBALANCE НЕ БУДЕ кандидатів на проксі.
• Додана Діаметр правила AVP прапор в DiaDict для наступних додатків: Діаметр: RFC 4005 і 7155 NASREQ,
  RFC 4004 Mobile IPv4 Застосування, RFC 4740 SIP додатків і RFC 4072 EAP Застосування.
• Додані атрибути з RFC 6929 словником. Атрибути тепер буде проксі за замовчуванням, але
  немає особливого поводження не робиться для них ще немає.
• Додана ПОСТАЧАЛЬНИК Covaro мережі 18022 і кілька Covaro VSAs в словник. Ці
  VSAs використовуються виробів з ADVA Optical Networking.
  Поліпшення
• високу продуктивність в ServerDIAMETER і обробки запиту діаметрі. Діаметр
  запити тепер відформатований тільки для налагодження, коли рівень трасування встановлюється для налагодження або вище.
• AuthLog файл і лог-файл тепер підтримують LogFormatHook налаштувати повідомлення журналу.
  Крюк очікується повернення одне скалярне значення, що містить повідомлення журналу.
  Це дозволяє форматування журнали, наприклад, в JSON або будь-який інший формат, придатний
  для необхідного постобработки. Пропозиція і допомогу Олександра Hartmaier.
• Оновлені значення Acct-Terminate-Cause, NAS-Port-Type і без помилок Причина в словнику
  у відповідності з останніми призначення IANA.
• Оновлені сертифікати Приклади з SHA-1 і RSA 1024 в SHA-256 і RSA 2048 алгоритмів.
  Додані нові каталоги сертифікати / SHA1-rsa1024 та сертифікати / sha256-secp256r1 з
  сертифікати, що використовують попередні і ECC (криптографії еліптичних кривих) алгоритмів. Всі
  Приклади сертифікати використовувати той же предмет і емітенті інформацію і розширень. Це дозволяє
  тестування іншу підпис і алгоритми з відкритим ключем з мінімальними змінами конфігурації.
  Оновлене mkcertificate.sh в героїв, щоб створювати сертифікати з SHA-256 і RSA 2048 алгоритмів.
• Додані нові параметри конфігурації EAPTLS_ECDH_Curve для методів, заснованих TLS EAP і TLS_ECDH_Curve
  для клієнтів потоку і серверів, таких як RadSec та діаметру. Цей параметр дозволяє еліптичної кривої
  ефемерне маніпуляція переговорів і його значення ЕК "Скорочене найменування», як повертається
  Команда OpenSSL ecparam -list_curves. Нові параметри вимагають Net-SSLeay 1,56 або пізнішої версії і відповідний OpenSSL.
• Випробувано Радіатор з RSA2048 / SHA256 і ECDSA (крива secp256r1) / sha256 сертифікатів на різні
  платформ і з різними клієнтами. Підтримка клієнта EAP була широко доступна як на мобільних,
  таких як, Android, IOS і РГ.8, та інших операційних систем. Оновлене кілька EAP, RadSec, діаметр
  та інші файли конфігурації в героїв, щоб включити приклади нового EAPTLS_ECDH_Curve і
  Параметри конфігурації TLS_ECDH_Curve.
• Провідник і AuthBy SQL, RADIUS, RADSEC і FREERADIUSSQL тепер підтримують AcctLogFileFormatHook. Ця пастка
  доступні для налаштування повідомлень Accounting-Request, що записуються AcctLogFileName або AcctFailedLogFileName.
  Крюк очікується повернення одне скалярне значення, що містить повідомлення журналу. Це дозволяє форматування
  журнали, наприклад, в JSON або будь-який інший формат, придатний для необхідного постобработки.
• параметр конфігурації Група тепер підтримує налаштування додаткових груп на додаток до
  ефективний ідентифікатор групи. Група в даний час можуть бути визначені як список, розділений комами груп, де перший
  група бажанні ефективний ідентифікатор групи. Якщо є імен, які не можуть бути вирішені, групи не встановлений.
  Додаткові групи можуть допомогти, наприклад, AuthBy NTLM доступу до Winbindd гніздо.
• додаватися різні Alcatel, постачальника 6527, VSAs в словник.
• Дозвіл імен для клієнтів RADIUS і IdenticalClients тепер випробувані під час перевірки конфігурації фази. Схожі Гаррі Штерн.
  Неправильно зазначені IPv4 і IPv6 CIDR блоки тепер ясно увійшли. Перевірки також охоплювати клієнтів, завантажені ClientListLDAP і ClientListSQL.
• Спеціальні форматування тепер підтримує% {AuthBy: parmname}, яка замінюється параметром parmname
  з умови AuthBy, що обробляють поточний пакет. Схожі Олександра Hartmaier.
• Додана ПОСТАЧАЛЬНИК Tropic Networks 7483, Зараз Alcatel-Lucent, а два Tropic VSAs в словник. Ці
  VSAs використовуються деякі продукти Alcatel-Lucent, таких як 1830 Фотонні Service Switch.
  Виправлена ​​помилка в атрибуті RB-IPv6-Option.
• TLS 1.1 і TLS 1.2 тепер дозволено для методів EAP, якщо підтримується OpenSSL і EAP прохачів.
  Завдяки Нік Лоу з Lugatech.
• AuthBy FIDELIOHOTSPOT тепер підтримує передоплачені послуги, такі як плани з різною пропускною здатністю.
  Покупки розміщені в опері з білінгових записів. Файли конфігурації Fidelio-hotspot.cfg і
  Fidelio-hotspot.sql в героїв були оновлені на прикладі Mikrotik полон порталу інтеграції.
• AuthBy RADIUS і AuthBy RADSEC тепер використовують менше, ніж і рівні при порівнянні
  мітки часу, що використовують MaxFailedGraceTime. Раніше сувора менше, ніж було використано
  викликаючи офф на одну секунду помилки при маркуванні наступного кроку Куратори вниз.
  Налагоджена і повідомив Девід Зих.
• AuthBy SQLTOTP був оновлений для підтримки HMAC-SHA-256 і HMAC-SHA-512 функцій. HMAC хеш
  Алгоритм тепер можна параметрірован для кожного маркера, а також час кроку і Unix відліку часу.
  Порожній пароль тепер буде запустити Access-Challenge для запиту КАП. SQL та налаштування
  приклади були оновлені. Нова утиліта generate-totp.pl в героїв / може бути використаний для створення
  загальні секрети. Секрети створюються в шістнадцятковому, і RFC 4648 текстових Base32 форматах і як
  Код зображення QR яка може бути імпортований аутентифікатор, таких як Google Authenticator і FreeOTP
  Authenticator.
• переформатований root.pem, CERT-clt.pem і CERT-srv.pem в сертифікати / каталог.
  Зашифровані особисті ключі в цих файлах тепер відформатований в традиційному форматі SSLeay
  замість PKCS форматі # 8. Деякі старі системи, такі, як RHEL 5 і CentOS 5, не розуміють,
  Формат PKCS # 8 і виводиться повідомлення про помилку, як "TLS не міг use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27197: 1 - помилка: 06074079: цифрові процедури конверт: EVP_PBE_CipherInit: невідомо алгоритм PBE "
  при спробі завантажити ключі. Зашифровані приватні ключі в sha1-rsa1024 і sha256-secp256r1
  каталоги залишаються у форматі PKCS # 8. Примітка про формат закритого ключа був доданий в
  Сертифікати / README.
• Додано новий параметр для всіх AuthBys: EAP_GTC_PAP_Convert змушує всі запити EAP-GTC буде
  перетвориться в звичайних запитів Радіус PAP, які redespatched, можливо, через проксі
  іншому, не EAP-GTC, здатного сервера Radius або локальної аутентифікації. Перетвориться
  Запити можуть бути виявлені і оброблені за приборкувачем ConvertedFromGTC = 1.
• запити SessionDatabase SQL тепер підтримує змінні зв'язування. Параметри запиту виконаєте
  зазвичай іменування, коли, наприклад, AddQueryParam використовується для AddQuery змінних зв'язування.
  Оновлені запити: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery і CountNasSessionsQuery.
• AddressAllocator SQL тепер підтримує новий необов'язковий параметр UpdateQuery, який буде демонструватися в SQL
  Заява для кожного звітного повідомлення з Acct-Status-Type Старту або живий.
  Цей запит може бути використаний для оновлення закінчення терміну штамп, що дозволяє коротше LeaseReclaimInterval.
  Додав приклад UpdateQuery в addressallocator.cfg в героїв.
• Виправлена ​​некоректний формат лог-повідомлення в AuthBy RADIUS. Про це повідомляє Патрік Форсберг.
  Виправлена ​​повідомлення в журналі в EAP-PAX і EAP-PSK і оновлюється ряд прикладів конфігурації в героїв.
• Укладач Win32-Lsa Вікна PPM пакети для Perl 5.18 і 5.20 для x64 і x86 з 32-бітних цілих чисел.
  У ПМП були складені з полуницею Perl 5.18.4.1 і 5.20.1.1. Які включили ці та
  Складені раніше Win32-LSA ПМП в розподілі радіатора.
• скомпільовані пакети Authen-Digipass Вікна PPM з полуницею Perl 5.18.4.1 і 5.20.1.1 для
  Perl 5.18 і 5.20 для x86 з 32-бітних цілих чисел. Оновлені digipass.pl використовувати Getopt :: Long замість
  застарілого newgetopt.pl. Перепакований Authen-Digipass PPM для Perl 5.16 включає оновлений digipass.pl.
• Тип Діаметр Адреса атрибути зі значеннями IPv6 в даний час декодируется в читаний текст адреси IPv6 людини
  уявлення. Раніше декодування повертав значення сирої атрибута. Про це повідомляє Артур Коновалов.
• Покращена Діаметр EAP обробки як для AuthBy діаметр і ServerDIAMETER. Обидва модулі тепер рекламують
  Додаток діаметр-EAP за замовчуванням під час початкового обміну можливостями. AuthBy ДІАМЕТР тепер підтримує
  AuthApplicationIds, AcctApplicationIds і SupportedVendorIds параметри конфігурації
• Змінено тип платних-User-ідентичності в словнику двійковий щоб переконатися, що будь завершальний нульовий
  символи не видаляється.
• Додаткові поновлення приклади конфігураційних файлів. Видалити "DupInterval 0 'і використовувати обробники замість Realms
• Виправлена ​​EAP помилка, яка може дозволити обхід EAP обмеження методу. Скопійовано розширений випробування типу EAP
  модуль для ласощі та змінив тестовий модуль завжди відповість доступ відмовитися.
• Додані примітки портировать і Backports для старих версій Радіатор для вирішення помилку EAP в
  OSC рекомендації з безпеки.

Що нового у версії 4.13:

• не вказано атрибути тепер можна через проксі замість того, знизилася
  
• Аксесуари діаметр може вимагати внесення змін в користувальницький Діаметр модулів
  
• Аксесуари майор IPv6 включають в себе: Атрибути зі значеннями IPv6 тепер можна через проксі без підтримки IPv6, Socket6 більше не абсолютно необхідною умовою. "Ipv6:" префікс тепер необов'язково і не додається в значеннях атрибутів
  
• TACACS + Аутентифікація і авторизація тепер можуть бути розв'язані
  
• Пов'язані змінні тепер доступні для AuthLog SQL та журналу SQL.
  
• запити Статус-сервер без правильного повідомлення ідентифікатора ігноруються. Відповіді Статус-сервера тепер налаштовуються.
  
• атрибути LDAP тепер можуть бути обрані з базовою сфери після поддерево області видимості пошуку. Корисна наприклад, tokenGroups AD атрибутів, що не доступні іншим
  
• Нещодавно додані перевірка CVE-2014-0160, вразливість OpenSSL Heartbleed може увійти помилкових спрацьовувань
  
• New AuthBy для аутентифікації проти сервері перевірки YubiKey додав
  
• пакет перегляд історії Див Радіатор SIM для підтримуваних версій SIM пакета

Обмеження

Максимальна 1000 запитів. Обмежений час.