Radiator

Radiator RADIUS-server is flexibel, uitbreidbaar, en verifieert uit een enorm scala aan auth methoden, waaronder draadloos, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, bestanden, LDAP, NIS +, wachtwoord, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, externe, OPIE, POP3, EAP, Active Directory en Apple Password Server. Werkt samen met Vasco Digipass, RSA SecurID, Yubikey. Het draait op Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, en nog veel meer. Volledige bron verstrekt. Volledige commerciële ondersteuning beschikbaar

Wat is nieuw in deze release:.

Geselecteerde bugfixes, compatibiliteit aantekeningen en verbeteringen

• verhelpt een kwetsbaarheid en zeer belangrijke bug in EAP-verificatie. OSC raadt
      alle gebruikers naar OSC beveiligingsadvies OSC-SEC-2014-01 bekijken om te zien of ze zijn aangetast.
• Client findAddress () werd veranderd in CIDR cliënten opzoeken voordat STANDAARD cliënt.
      Beïnvloedt ServerTACACSPLUS en in sommige gevallen SessionDatabase modules.
• Ondersteuning voor non-blocking sockets op Windows
• SessionDatabase SQL-query's ondersteunen nu bind variabelen

• Toegevoegd VERKOPER Allot 2603 en VSA Allot-User-Role naar woordenboek.
• Toegevoegd Diameter AVP vlag hints in de Diameter Credit-Control Application woordenboek.
• Verhinderd crash tijdens het opstarten wanneer geconfigureerd om een ​​Diameter aanvraag voor ondersteuning
  waarin geen woordenboek module niet aanwezig was. Gemeld door Arthur.
  Verbeterde logging van het laden van Diameter toepassing woordenboek modules.
• Verbeteringen aan AuthBy SIP2 om ondersteuning toe te voegen voor SIP2Hook. SIP2Hook kan worden gebruikt
  voor patronale autorisatie en / of authenticatie. Toegevoegd een voorbeeld haak goodies / sip2hook.pl.
  Voegde een nieuwe optionele parameter UsePatronInformationRequest voor configuraties waarbij
  Patron Status Request is niet voldoende.
• Oplossing voor een probleem met SNMPAgent die een crash zou kunnen veroorzaken als de configuratie had geen
  Klanten.
• Stroom en StreamServer stopcontacten zijn nu ingesteld op nonblocking modus op Windows ook. Hierdoor
  bijvoorbeeld RadSec te nonblocking sockets te gebruiken op Windows.
• radpwtst eert nu -message_authenticator optie voor alle soorten verzoek
  opgegeven met de parameter -code.
• Client.pm findAddress () werd veranderd om te kijken CIDR cliënten voor STANDAARD cliënt. Dit
  is dezelfde volgorde Client lookup voor inkomende RADIUS verzoeken gebruikt. Dit treft vooral
  ServerTACACSPLUS. SessionDatabase DBM, interne en SQL ook gebruik findAddress ()
  en worden beïnvloed wanneer Cliënten hebben NasType geconfigureerd voor Simultaneous-Use online controle.
  Opdrachtgever lookup werd vereenvoudigd ServerTACACSPLUS.
• Toegevoegd VERKOPER Cambium 17.713 en vier Cambium-Canopy VSA's aan woordenboek.
  "RADIUS Attributen voor IEEE 802 Networks" is nu RFC 7268. Bijgewerkt aantal van haar attribuut types.
• AuthBy MULTICAST controleert nu de eerste, niet na, als de volgende hop gastheer werkt voordat het creëren van de
  verzoek doorsturen. Dit zal cycli te besparen wanneer de volgende hop niet werkt.
• Toegevoegd VERKOPER Apcon 10.830 en VSA Apcon-User-Level aan woordenboek. Bijgedragen door Jason Griffith.
• Ondersteuning toegevoegd voor aangepaste wachtwoord hashes en andere door de gebruiker gedefinieerde wachtwoord check methoden.
  Wanneer de nieuwe configuratieparameter CheckPasswordHook is gedefinieerd voor een AuthBy en
  wachtwoord opgehaald uit de eigen database begint met toonaangevende '{OSC-pw-hook}', het verzoek,
  de ingediende wachtwoord en de opgehaalde wachtwoord worden doorgegeven aan de CheckPasswordHook.
  De haak moet waar terug te keren als de ingediende wachtwoord correct wordt geacht. TranslatePasswordHook
  runs voor CheckPasswordHook en kan worden gebruikt om "{OSC-PW-hook} toevoegen opgehaald wachtwoorden.
• AuthLog SYSLOG en Log SYSLOG nu check LogOpt tijdens de configuratie check-fase.
  Eventuele problemen worden nu ingelogd met de houthakkers Identifier.
• De standaardinstellingen voor SessionDatabase SQL AddQuery en CountQuery gebruiken nu% 0 waar gebruikersnaam
  nodig. Bijgewerkt de documentatie om de waarde van 0% te verduidelijken voor
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery en DeleteQuery:% 0 is de genoteerde origineel
  gebruikersnaam. Indien SessionDatabaseUseRewrittenName is ingesteld voor de Handler
  en de controle wordt gedaan door Handler (MaxSessions) of AuthBy (DefaultSimultaneousUse), dan
  % 0 is het herschreven gebruikersnaam. Voor per gebruiker sessie database queries% 0 is altijd de oorspronkelijke gebruikersnaam.
  Bijgewerkt de documentatie voor CountQuery om% 0% en 1 bevatten. Voor CountQuery% 1 is de waarde
  van het gelijktijdig gebruik limiet.
• Verbeterde resolutie van namen van leveranciers om waarden-Id leverancier voor SupportedVendorIds,
  VendorAuthApplicationIds en VendorAcctApplicationIds. Trefwoord DictVendors voor
  SupportedVendorIds bevat nu leveranciers uit alle woordenboeken die worden geladen.
  Vendor naam in Vendor * ApplicationIds kan worden in elke van de geladen woordenboeken
  in aanvulling van in DiaMsg module wordt vermeld.
• Toegevoegd VERKOPER Inmon 4300 en VSA Inmon-Access-niveau aan woordenboek.
  Bijgedragen door Garry Shtern.
• Toegevoegd ReplyTimeoutHook om AuthBy RADIUS, genoemd als er geen antwoord is gehoord van de op dat moment probeerde externe server.
  De haak wordt genoemd als er geen antwoord is gehoord voor een specifiek verzoek na de Pogingen heruitzendingen en
  het verzoek wordt geacht niet voor die host.
  Gesuggereerd door David Zych.
• De standaard ConnectionAttemptFailedHook niet meer logt de echte DBAuth waarde, maar '** verduisterd **' plaats.
• Naam botsing met SqlDB disconnect methode veroorzaakt onnodige Fidelio-interface loskoppelt en
  in AuthBy FIDELIOHOTSPOT nadat SQL fouten. AuthBy FIDELIOHOTSPOT erft nu rechtstreeks vanuit SqlDB.
• Toegevoegd VERKOPER 4ipnet 31.932 en en 14 4ipnet VSA's aan woordenboek. Deze VSA worden ook gebruikt door apparaten van 4ipnet partners,
  zoals LevelOne. Bijgedragen door Itzik Ben Itzhak.
• MaxTargetHosts geldt nu voor AuthBy RADIUS en haar sub-types AuthBy RoundRobin, VOLUMEBALANCE, loadbalance,
  HASHBALANCE en EAPBALANCE. MaxTargetHosts was voorheen alleen geïmplementeerd voor AuthBy VOLUMEBALANCE.
  Gesuggereerd door David Zych.
• Toegevoegd VERKOPER ZTE 3902 en meerdere VSA's aan woordenboek met het soort hulp van Nguyen Song Hoei.
  Bijgewerkt Cisco VSA's in woordenboek.
• Toegevoegd radiator.service, een monster systemd opstartbestand voor Linux.
• AuthBy FIDELIO en haar sub-types zich nu aanmelden een waarschuwing voor als de server geen records tijdens de
  databank resync. Dit duidt meestal op een probleem met de configuratie op de Fidelio server side,
  tenzij er echt geen gecontroleerd gasten. Toegevoegd een nota over dit in fidelio.txt in goodies.
• Toegevoegd Diameter Base Protocol AVP vlag regels in DiaDict. Radiator niet langer stuurt CEA met
  Firmware-revisie AVP dat M vlag set heeft.
• BogoMips weer defaults correct aan 1 wanneer BogoMips wordt niet in een Host clausule in AuthBy geconfigureerd
  Loadbalance of VOLUMEBALANCE. Gerapporteerd door Serge ANDREY. De standaard werd gebroken in versie 4.12.
  Bijgewerkt loadbalance bijvoorbeeld in proxyalgorithm.cfg in goodies.
• voor gezorgd dat Hosts met BogoMips ingesteld op 0 in AuthBy VOLUMEBALANCE zal geen kandidaten voor proxying.
• Toegevoegd Diameter AVP vlag regels in DiaDict voor de volgende toepassingen Diameter: RFC 4005 en 7155 NASREQ,
  RFC 4004 Mobile IPv4 Application, RFC 4740 SIP Application en RFC 4072 EAP Application.
• Toegevoegd de attributen van RFC 6929 tot woordenboek. De attributen worden nu proxied standaard aan, maar
  geen specifieke behandeling is nog voor hen gedaan.
• Toegevoegd VERKOPER Covaro Networks 18.022 en meerdere Covaro VSA's aan woordenboek. Deze
  VSA's worden gebruikt door producten van ADVA Optical Networking.
• Aanzienlijke prestatieverbeteringen in ServerDIAMETER en Diameter verzoek verwerken. Diameter
  verzoeken worden nu opgemaakt voor het debuggen alleen wanneer de Trace is ingesteld om te debuggen of hoger.
• AuthLog BESTAND en logbestand ondersteunen nu LogFormatHook om het logboek bericht aanpassen.
  De haak zal naar verwachting een scalaire waarde die de log boodschap terug.
  Hierdoor kan formatteren stammen, bijvoorbeeld in JSON of elk ander geschikt formaat
  voor de benodigde postprocessing. Suggestie en hulp van Alexander Hartmaier.
• Bijgewerkt de waarden voor Acct-Terminate-Cause, NAS-Port-Type en Fout-Oorzaak in woordenboek
  om de nieuwste IANA opdrachten overeenkomen.
• Bijgewerkt monster certificaten van SHA-1 en RSA 1024 naar SHA-256 en RSA 2048 algoritmen.
  Toegevoegd nieuwe directories certificaten / SHA1-rsa1024 en certificaten / sha256-secp256r1 met
  certificaten met behulp van de vorige en de ECC (elliptische curve cryptografie) algoritmen. Alle
  monster certificaten gebruiken hetzelfde onderwerp en informatie van de emittent en uitbreidingen. Hierdoor
  het testen van de verschillende signatuur en public key algoritmes met minimale wijzigingen in de configuratie.
  Bijgewerkt mkcertificate.sh in goodies om certificaten met SHA-256 en RSA 2048 algoritmes creëren.
• Toegevoegd nieuwe configuratieparameters EAPTLS_ECDH_Curve voor TLS-gebaseerde EAP-methoden en TLS_ECDH_Curve
  Stream clients en servers zoals RadSec en diameter. Met deze parameter kunt elliptische curve
  efemere keying onderhandeling en de waarde ervan is 'korte naam' de EG zoals geretourneerd door
  commando openssl ecparam -list_curves. De nieuwe parameters vereisen Net-SSLeay 1.56 of hoger en bijpassende OpenSSL.
• Getest Radiator met RSA2048 / SHA256 en ECDSA (curve secp256r1) / SHA256 certificaten op verschillende
  platforms en met verschillende klanten. EAP-client support was op grote schaal beschikbaar op zowel mobiele,
  zoals Android, iOS en WP8, en andere besturingssystemen. Bijgewerkt meerdere EAP, RadSec, Diameter
  en andere configuratiebestanden in goodies om voorbeelden van de nieuwe EAPTLS_ECDH_Curve omvatten en
  TLS_ECDH_Curve configuratieparameters.
• Handler en AuthBy SQL, RADIUS, RADSEC en FREERADIUSSQL ondersteunen nu AcctLogFileFormatHook. Deze haak is
  beschikbaar om de Accounting-Request-berichten gelogd door AcctLogFileName of AcctFailedLogFileName aanpassen.
  De haak zal naar verwachting een scalaire waarde die de log boodschap terug. Hierdoor opmaak
  de logs, bijvoorbeeld in JSON of een ander formaat geschikt voor de vereiste nabewerking.
• De Groep configuratieparameter ondersteunt nu het instellen van de aanvullende groep ID in aanvulling op
  de effectieve groep id. Groep kan nu worden gespecificeerd als komma's gescheiden lijst van groepen waar de eerste
  groep is de gewenste effectieve groep id. Als er namen die niet kunnen worden opgelost, worden groepen niet ingesteld.
  De aanvullende groepen kunnen helpen met bijvoorbeeld AuthBy NTLM de toegang tot winbindd socket.
• Toegevoegd meerdere Alcatel, vendor 6527, VSA's aan woordenboek.
• Naam resolutie voor RADIUS-clients en IdenticalClients wordt nu getest tijdens de configuratie check-fase. Gesuggereerd door Garry Shtern.
  Onjuist opgegeven IPv4 en IPv6 CIDR blokken zijn nu duidelijk ingelogd. De controles hebben ook betrekking op klanten door ClientListLDAP en ClientListSQL geladen.
• Speciale opmaak ondersteunt nu% {AuthBy: parmname}, die wordt vervangen door de parameter parmname
  uit de AuthBy clausule dat is de behandeling van het huidige pakket. Gesuggereerd door Alexander Hartmaier.
• Toegevoegd VERKOPER Tropic Networks 7483, nu Alcatel-Lucent, en twee Tropic VSA's aan woordenboek. Deze
  VSA's worden door sommige Alcatel-Lucent producten, zoals de 1830 Photonic Dienst Switch.
  Vast een typfout in RB-IPv6-Option attribuut.
• TLS 1.1 en TLS 1.2 zijn nu toegestaan ​​voor EAP-methoden indien ondersteund door OpenSSL en EAP smekelingen.
  Met dank aan Nick Lowe van Lugatech.
• AuthBy FIDELIOHOTSPOT ondersteunt nu prepaid-diensten, zoals de plannen met verschillende bandbreedte.
  De aankopen worden geplaatst op Opera met facturering verslagen. Configuratiebestanden Fidelio-hotspot.cfg en
  Fidelio-hotspot.sql in goodies werden bijgewerkt met een voorbeeld van Mikrotik captive portal integratie.
• AuthBy RADIUS en AuthBy RADSEC nu gebruik maken van minder-dan en gelijk bij het vergelijken
  tijdstempels gebruiken MaxFailedGraceTime. Eerder strikte-minder dan werd gebruikt
  het veroorzaken van een uit door een tweede fout toen markering volgende hop Hosts beneden.
  Debugged en gerapporteerd door David Zych.
• AuthBy SQLTOTP werd bijgewerkt om ondersteuning HMAC-SHA-256 en HMAC-SHA-512 functies. De HMAC hash
  algoritme kan nu worden geparametriseerd voor elk token evenals de tijd stap en Unix tijd oorsprong.
  Een leeg wachtwoord wordt nu lanceren Access-Challenge te vragen om de OTP. SQL en configuratie
  voorbeelden zijn bijgewerkt. Een nieuwe hulpprogramma generate-totp.pl in goodies / kan worden gebruikt voor het maken
  gedeelde geheimen. De geheimen worden gecreëerd in hex en RFC 4648 Base32 tekstformaten en als
  QR code beelden die door authenticators zoals Google Authenticator en FreeOTP kunnen worden geïmporteerd
  Authenticator.
• geformatteerd root.pem, cert-clt.pem en cert-srv.pem in de certificaten / directory.
  De versleutelde private sleutels in deze bestanden worden nu geformatteerd in de traditionele SSLeay formaat
  in plaats van PKCS # 8-indeling. Sommige oudere systemen, zoals RHEL 5 en CentOS 5, niet begrijpen
  de PKCS # 8-indeling en mislukken met een foutmelding zoals "TLS niet kon use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - fout: 06.074.079: digitale envelop routines: EVP_PBE_CipherInit: onbekend PBE algoritme '
  wanneer het proberen om de sleutels te laden. De versleutelde private sleutels in SHA1-rsa1024 en sha256-secp256r1
  directories blijven de PKCS # 8 formaat. Een opmerking over de private sleutel formaat werd in toegevoegd
  certificaten / README.
• Toegevoegde nieuwe parameter voor alle AuthBys: EAP_GTC_PAP_Convert dwingt alle EAP-GTC aanvragen te kunnen
  omgebouwde conventionele Radius PAP aanvragen die redespatched, misschien worden proxied
  naar een andere niet-EAP-GTC staat Radius-server of voor de lokale authenticatie. De geconverteerd
  aanvragen kunnen worden opgespoord en behandeld met Handler ConvertedFromGTC = 1.
• SessionDatabase SQL-query's ondersteunen nu bind variabelen. De query parameters volgen
  gebruikelijke naamgeving waar bijvoorbeeld, AddQueryParam wordt gebruikt voor AddQuery bind variabelen.
  De bijgewerkte queries zijn: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery en CountNasSessionsQuery.
• AddressAllocator SQL ondersteunt nu een nieuwe optionele parameter UpdateQuery die een SQL zal lopen
  statement voor elke verslagperiode bericht met Acct-Status-Type van Start or Alive.
  Deze query kan worden gebruikt voor het verstrijken tijdstempel zodat kortere LeaseReclaimInterval actualiseren.
  Toegevoegd een voorbeeld van UpdateQuery in addressallocator.cfg in goodies.
• Vaste slecht geformatteerd log bericht AuthBy RADIUS. Gerapporteerd door Patrik Forsberg.
  Vaste log berichten in EAP-PAX en EAP-PSK en bijgewerkt een aantal configuratie voorbeelden in goodies.
• Samengesteld Win32-Lsa Windows PPM pakketten voor Perl 5.18 en 5.20 voor zowel x64 en x86 met 32bit gehele getallen.
  De PVM's werden gecompileerd met Strawberry Perl 5.18.4.1 en 5.20.1.1. Inclusief deze en de
  eerder gecompileerde Win32-Lsa PVM in de Radiator distributie.
• Samengesteld Authen-Digipass Windows PPM pakketten met Strawberry Perl 5.18.4.1 en 5.20.1.1 voor
  Perl 5.18 en 5.20 voor x86 met 32bit gehele getallen. Bijgewerkt digipass.pl te Getopt gebruiken :: Lang plaats
  van afgekeurde newgetopt.pl. Omgepakt Authen-Digipass PPM voor Perl 5.16 om de bijgewerkte digipass.pl bevatten.
• soort Diameter Adres attributen met IPv6-waarden worden nu gedecodeerd tot door mensen leesbare IPv6-adres tekst
  representatie. Eerder, decoderen keerde de rauwe attribuut waarde. Gemeld door Arthur Konovalov.
• Verbeterde Diameter EAP hanteren voor zowel AuthBy diameter en ServerDIAMETER. Beide modules nu adverteren
  Diameter-EAP applicatie standaard tijdens de eerste mogelijkheden uitwisseling. AuthBy DIAMETER ondersteunt nu
  AuthApplicationIds, AcctApplicationIds en SupportedVendorIds configuratieparameters
• Veranderde het type Chargeable-User-Identity woordenboek om binair te zorgen dat elke trailing NUL maken
  tekens worden ontdaan.
• Meer updates voor bijvoorbeeld configuratiebestanden. Verwijder 'DupInterval 0' en gebruik Handlers in plaats van Realms
• Vast een EAP-bug die kan leiden tot het omzeilen van EAP-methode beperkingen. Kopieerde de EAP uitgebreid typekeuring
  module om goodies en veranderde de test module om altijd reageren met toegang weigeren.
• Toegevoegd backport notities en backports voor oudere Radiator versies naar de EAP bug in te pakken
  OSC beveiligingsadvies.

Wat is nieuw in versie 4.13:

• Onbekende attributen kunnen nu worden benaderd worden in plaats van een val
  
• Diameter toebehoren kunnen wijzigingen in aangepaste Diameter modules vereisen
  
• Major IPv6 verbeteringen zijn onder andere: Attributen met IPv6-waarden kunnen nu worden proxied zonder IPv6-ondersteuning, Socket6 is niet langer een absolute voorwaarde. 'Ipv6:' prefix is ​​nu optioneel en niet prepended in attribuutwaarden
  
• TACACS + authenticatie en autorisatie kan nu worden losgekoppeld
  
• Bind variabelen zijn nu beschikbaar voor AuthLog SQL en Log SQL.
  
• Status-Server verzoeken zonder juiste Message-Identifier worden genegeerd. Status-Server reacties zijn nu configureerbaar.
  
• LDAP-attributen kunnen nu worden opgehaald met basis scope na subtree zoeken scoped. Handig voor bijvoorbeeld tokenGroups AD attributen die anders niet beschikbaar zijn
  
• Nieuw toegevoegde cheque voor CVE-2014-0160, de kwetsbaarheid OpenSSL Heartbleed kan valse positieven te melden
  
• Nieuwe AuthBy voor de authenticatie tegen YubiKey validatie server toegevoegd
  
• Zie Radiator SIM pak revisiegeschiedenis voor ondersteunde SIM pak versies

Beperkingen

Maximale 1000 aanvragen. Beperkte tijd.