Radiator

Chladič RADIUS server je flexibilní, rozšiřitelný, a ověřuje z obrovské škály auth metod, včetně Wireless, TLS, TTLS, PEAP, LEAP, rychlý, SQL, proxy, PM, soubory, LDAP, NIS +, heslo, NT SAM , Emerald, ptakopysk, Freeside, TACACS +, PAM, vnější, OPPP, POP3, EAP, Active Directory a Apple Password Server. Spolupracuje s Vasco Digipass, RSA SecurID, Yubikey. To běží na Unix, Linux, Solaris, Windows 95/98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS, a další. Plný zdrojový dispozici. Plná obchodní podpora k dispozici

Co je nového v této verzi:.

Vybrané opravy chyb, poznámky kompatibility a vylepšení

• Opravuje chybu a velmi významnou chybu v ověřování EAP. OSC doporučuje
      všichni uživatelé přečíst OSC bezpečnostní poradní OSC-SEC-2014-01 aby zjistili, zda jsou postiženy.
• Client findAddress () byl změněn na vyhledávání klientů CIDR než výchozí Client.
      Ovlivňuje ServerTACACSPLUS av některých případech SessionDatabase modulů.
• Podpora pro non-blokování zásuvkám na Windows
• SessionDatabase SQL dotazy nyní podporu vázat proměnné

• Přidáno vendor přidělit 2603 a VSA přidělit-user-role do slovníku.
• Přidáno Průměr AVP vlajka rady ve slovníku Průměr Credit-Control aplikace.
• zabráněno pád při startu při konfiguraci pro podporu aplikace Průměr o
  který není slovník modul nebyl přítomen. Hlášeny Arthur.
  Lepší protokolování naložení slovníku modulů Průměr aplikace.
• Zlepšení AuthBy SIP2 přidat podporu pro SIP2Hook. SIP2Hook lze využít
  o povolení patrona a / nebo ověřování. Přidána příklad háček dobroty / sip2hook.pl.
  Přidán nový volitelný parametr UsePatronInformationRequest pro uspořádání, v němž
  Patron Status Request není dostačující.
• Opraven problém s SNMPAgent, které by mohly způsobit selhání, pokud je konfigurace neměla
  Klienti.
• Stream a StreamServer zdířky jsou nyní nastaveny na režim nonblocking na Windows taky. To umožňuje
  Například, RadSec použít nonblocking zásuvky na systému Windows.
• radpwtst nyní oceňuje možnost -message_authenticator pro všechny typy žádostí
  zadán parametrem Co de.
• Client.pm findAddress () byl změněn na vyhledat CIDR klienty před výchozí Client. To
  je stejné pořadí Klient vyhledávání pro příchozí požadavky RADIUS používá. To se týká především
  ServerTACACSPLUS. SessionDatabase DBM, vnitřní a SQL také použít findAddress ()
  a jsou ovlivněny při Klienti NasType nakonfigurován pro Současné užití on-line kontrolu.
  Klient vyhledávání byl zjednodušen v ServerTACACSPLUS.
• Přidáno VENDOR cambium 17713 a čtyři cambium-Canopy VSA do slovníku.
  "RADIUS Atributy pro IEEE 802 sítí" je nyní RFC 7268. Aktualizovaný některé ze svých typů atributů.
• AuthBy vysílání Multicast nyní kontroluje jako první, ne po, v případě, že hostitel další hop funguje před vytvořením
  Požadavek, aby předal. Tím se ušetří cyklů při příští hop nefunguje.
• Přidáno vendor Apcon 10830 a VSA Apcon-user-úrovni, aby slovníku. Přispěl Jason Griffith.
• Přidána podpora pro vlastní hesla hash a dalších kontrolních heslo metod uživatelem definované.
  Když je nový konfigurační parametr CheckPasswordHook definovanou pro AuthBy a
  Heslo získat z databáze uživatelů začíná s předními '{OSC-PW-hák}', žádost,
  předložený heslo a získat heslo jsou předány CheckPasswordHook.
  Hák se musí vrátit true, pokud předložený heslo je považováno za správné. TranslatePasswordHook
  běží před CheckPasswordHook a lze jej použít k přidání "{OSC-PW-hák} 'na získaných hesel.
• AuthLog SYSLOG a Log SYSLOG nyní zkontrolovat LogOpt při přihlášení nastavení fáze.
  Veškeré problémy jsou nyní zaznamenávány s identifikátorem loggery.
• Výchozí nastavení pro SessionDatabase SQL AddQuery a CountQuery nyní používají% 0 kde uživatelské jméno
  je potřeba. Aktualizováno dokumentaci objasnit hodnoty% 0 pro
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery a DeleteQuery: 0% je citován originál
  uživatelské jméno. Nicméně, pokud SessionDatabaseUseRewrittenName je nastaven pro Handler
  a kontrola se provádí Handler (MaxSessions) nebo AuthBy (DefaultSimultaneousUse), pak
  % 0 je přepsat uživatelské jméno. Pro jednotlivé uživatele relace databázových dotazů% 0 je vždy původní uživatelské jméno.
  Aktualizováno dokumentace pro CountQuery zahrnout% 0 a 1%. Pro CountQuery% 1 je hodnota
  od současného omezení použití.
• Vylepšené rozlišení názvů jednotlivých výrobců ID hodnoty pro SupportedVendorIds,
  VendorAuthApplicationIds a VendorAcctApplicationIds. Klíčové slovo DictVendors pro
  SupportedVendorIds nyní obsahuje dodavatelů ze všech slovníků, které jsou načteny.
  Název dodavatele v Prodejce * ApplicationIds může být v některé z načtených slovníků
  kromě toho, že budou uvedeny v DiaMsg modulu.
• Přidáno vendor Inmon 4300 a VSA Inmon-access-úrovni, aby slovníku.
  Přispěl Garry Shtern.
• Přidáno ReplyTimeoutHook na AuthBy RADIUS, volal-li žádná odpověď je slyšet z aktuálně pokusil vzdáleném serveru.
  Háček je spuštěna, jestliže žádná odpověď je slyšet na konkrétní požadavek po opakovaných vysílání opakovaných pokusů a
  požadavek se za to, že se nezdařilo pro které jsou hostiteli.
  Doporučené Davida Zych.
• Výchozí ConnectionAttemptFailedHook již zaznamenává skutečnou DBAuth hodnotu, ale "** zatemněný ** 'místo.
• Name střet s SqlDb metodou odpojení způsobila zbytečné odpojí Fidelio rozhraní a připojí
  v AuthBy FIDELIOHOTSPOT po chybách SQL. AuthBy FIDELIOHOTSPOT nyní dědí přímo z SqlDb.
• Přidáno VENDOR 4ipnet 31932 a a 14 4ipnet VSA do slovníku. Ty VSA jsou také používány zařízeními z 4ipnet partnerů,
  jako je například LevelOne. Přispěl Itzik Ben Itzhak.
• MaxTargetHosts se nyní vztahuje na AuthBy RADIUS a jeho sub-typů AuthBy RoundRobin, VOLUMEBALANCE, LOADBALANCE,
  HASHBALANCE a EAPBALANCE. MaxTargetHosts byl realizován dříve pouze pro AuthBy VOLUMEBALANCE.
  Doporučené Davida Zych.
• Přidáno VENDOR ZTE 3902 a více VSA do slovníku s pomocí laskavé Nguyen Song Huy.
  Aktualizováno Cisco VSA ve slovníku.
• Přidáno radiator.service vzorek systemd spouštěcí soubor pro Linux.
• AuthBy FIDELIO a jeho podtypy nyní přihlásit varování, pokud server posílá žádné záznamy v průběhu
  Databáze resync. To obvykle označuje problém konfigurace na straně serveru Fidelio,
  pokud tam opravdu nejsou žádné kontrolovány hosty. Přidána poznámka o tom v fidelio.txt v dobroty.
• Přidáno Průměr pravidla Základní Protocol AVP vlajku v DiaDict. Chladič už vysílá CEA s
  AVP Firmware, revize, která má M nastaven příznak.
• bogomips opět výchozí správně 1, když bogomips není nakonfigurován v klauzuli hostitele v AuthBy
  LOADBALANCE nebo VOLUMEBALANCE. Hlášeny Serge Andrejovi. Výchozí byl zlomen ve verzi 4.12.
  Aktualizováno příklad LOADBALANCE v proxyalgorithm.cfg v dobroty.
• zajistit, aby počítačů s bogomips nastaven na 0 v AuthBy VOLUMEBALANCE nebude kandidáty na proxy.
• Přidáno Průměr pravidla AVP vlajky v DiaDict pro následující Průměr použití: RFC 4005 a 7155 NASREQ,
  RFC 4004 Mobile IPv4 Application, RFC 4740 SIP aplikací a RFC 4072 EAP aplikací.
• přidané atributy z RFC 6929 do slovníku. Tyto atributy budou nyní zastupována ve výchozím nastavení, ale
  žádné specifické manipulace se provádí pro ně dosud.
• Přidáno VENDOR Covaro Networks 18.022 a více Covaro VSA do slovníku. Tito
  VSA se používají výrobky z ADVA Optical Networking.
  Vylepšení
• Významné výkon v ServerDIAMETER a zpracování požadavku průměr. Průměr
  požadavky jsou nyní formátovány pro ladění pouze tehdy, když je úroveň trasování nastavena na ladění nebo vyšší.
• AuthLog FILE a soubor protokolu nyní podporují LogFormatHook upravit zprávu záznamu.
  Hák se očekává návrat jedinou skalární hodnota, obsahující zprávu záznamu.
  To umožňuje formátování protokoly, například, v JSON nebo jiného formátu
  pro požadovanou postprocesingu. Návrh a pomoc Alexander Hartmaier.
• Aktualizace hodnot pro Acct-terminate-příčiny, NAS-Port-Type a bez chyb příčina v slovníku
  tak, aby odpovídaly nejnovější úkoly úřadu IANA.
• Aktualizováno vzorků certifikáty od SHA-1 a RSA 1024 SHA-256 a RSA 2048 algoritmů.
  Přidány nové adresáře certifikáty / SHA1-rsa1024 a certifikáty / sha256-secp256r1 s
  certifikáty využívající předchozí a ECC (Elliptic křivka kryptografické algoritmy). Vše
  Vzorové certifikáty používají stejný předmět a emitenta informací a rozšíření. To umožňuje
  testování jiný podpis a algoritmy veřejného klíče s minimálními změnami konfigurace.
  Aktualizováno mkcertificate.sh v dobroty vytvořit certifikáty s SHA-256 a RSA 2048 algoritmů.
• Přidány nové konfigurační parametry EAPTLS_ECDH_Curve pro TLS na bázi metod EAP a TLS_ECDH_Curve
  pro Stream klienty a servery, jako je RadSec a průměr. Tento parametr umožňuje eliptických křivek
  pomíjivá vyjednávání klíčování a jeho hodnota je v ES "krátký název" vrácené
  openssl ecparam -list_curves příkaz. Nové parametry vyžadují Net-SSLeay 1,56 nebo vyšší a odpovídající OpenSSL.
• Testováno Chladič s RSA2048 / sha256 a ECDSA (křivka secp256r1) / sha256 osvědčení o jiný
  platformy a s různými klienty. Podpora EAP klient byl široce dostupné jak mobilní,
  jako je Android, iOS a WP8 a jiných operačních systémech. Aktualizováno více EAP, RadSec, průměr
  a další konfigurační soubory v dobroty zařadit příklady nového EAPTLS_ECDH_Curve a
  Konfigurační parametry TLS_ECDH_Curve.
• Handler a AuthBy SQL, RADIUS, RADSEC a FREERADIUSSQL nyní podporují AcctLogFileFormatHook. Tento háček je
  k dispozici pro vlastní zprávy Účetní vyžádání zaznamenané AcctLogFileName nebo AcctFailedLogFileName.
  Hák se očekává návrat jedinou skalární hodnota, obsahující zprávu záznamu. To umožňuje formátování
  protokoly, například, v JSON nebo jiného formátu pro požadovanou postprocesingu.
• Konfigurační parametr Group nyní podporuje nastavení doplňkové skupiny identifikátory kromě
  efektivní ID skupiny. Skupina je nyní možné zadat jako čárkami oddělený seznam skupin, kde první
  skupina je žádoucí efektivní skupina id. Pokud jsou názvy, které nelze vyřešit, skupiny nejsou nastaveny.
  Doplňující skupiny mohou pomoci s, například, AuthBy NTLM přístup k winbindd zásuvku.
• přidáno více Alcatel, prodejce 6527, VSA do slovníku.
• Usnesení jméno pro klienty RADIUS a IdenticalClients je nyní testován při přihlášení nastavení fáze. Doporučené Garry Shtern.
  Nesprávně uvedené IPv4 a IPv6 CIDR bloky jsou nyní jasně zaznamenány. Kontroly vztahovat i na klienty zatížených ClientListLDAP a ClientListSQL.
• Speciální formátování nyní podporuje% {AuthBy: parmname}, který je nahrazen parametrem parmname
  Z klauzule AuthBy, který zpracovává aktuální paket. Doporučené Alexander Hartmaier.
• Přidáno VENDOR Tropic Networks 7483, nyní Alcatel-Lucent, a dva Tropic VSA do slovníku. Tito
  VSA se používají některé produkty Alcatel-Lucent, jako je například 1830 Photonic Service Switch.
  Opraven překlep v atributu RB-IPv6-Option.
• TLS 1.1 a TLS 1,2ar nyní povoleny pro metody EAP-li podporována OpenSSL a EAP prosebníků.
  Díky Nick Lowe z Lugatech.
• AuthBy FIDELIOHOTSPOT nyní podporuje předplacené služby, jako jsou plány s různou šířkou pásma.
  Tyto nákupy jsou vysláni do opery s fakturační záznamy. Konfigurační soubory Fidelio, hotspot.cfg a
  Fidelio-hotspot.sql v dobroty byly aktualizovány na příkladu Mikrotik integrace v zajetí portálu.
• AuthBy RADIUS a AuthBy RADSEC nyní používají méně než a rovné při porovnávání
  časová razítka pomocí MaxFailedGraceTime. Dříve přísné méně než byl použit
  což off o jednu vteřinu chyby při označování Next Hop počítačů dolů.
  Odladěn a hlásí David Zych.
• AuthBy SQLTOTP byl aktualizován na podporu HMAC-SHA-256 a HMAC-SHA-512 funkce. HMAC hash
  algoritmus je nyní možné parametrizovat pro každou tokenu, stejně jako časový krok a Unix time původu.
  Prázdné heslo nyní spustí Access-Challenge výzvu pro OTP. SQL a konfigurace
  příklady byly aktualizovány. Nový nástroj generate-totp.pl v dobrot / mohou být použity k vytvoření
  sdílené tajemství. Tajemství jsou vytvořeny v šestnáctkové soustavě a RFC 4648 Base32 textových formátů a jako
  QR kód obrazy, které mohou být dovážené autentizátorů, jako je Google Authenticator a FreeOTP
  Authenticator.
• přeformátovaného root.pem, cert-clt.pem a cert-srv.pem v osvědčeních / adresáře.
  Šifrované Soukromé klíče v těchto souborech jsou nyní formátovány v tradičním formátu SSLeay
  místo formátu PKCS # 8. Některé starší systémy, jako je RHEL 5 a CentOS 5, nechápu
  PKCS formátu a # 8 nezdaří s chybovou zprávou, jako je "TLS nemohl use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27197: 1 - error: 06074079: digitální obálky rutiny: EVP_PBE_CipherInit: neznámý ochranné dýchací vybavení algoritmus "
  Při pokusu o načtení klíče. Šifrované Soukromé klíče v SHA1-rsa1024 a sha256-secp256r1
  adresáře zůstávají ve formátu PKCS # 8. Poznámka o formátu soukromého klíče se přidá
  certifikáty / README.
• Přidán nový parametr pro všechny AuthBys: EAP_GTC_PAP_Convert vynutí všechny požadavky, EAP-GTC bude
  V přepočtu na běžných Radius PAP požadavků, které jsou redespatched, snad se serverem proxy
  do jiné non-EAP-GTC schopný Radius server nebo pro místní ověřování. Převeden
  Žádosti mohou být detekovány a manipulaci s nimi Handler ConvertedFromGTC = 1.
• SessionDatabase SQL dotazy nyní podporují vázat proměnné. Parametry dotazu následovat
  obvyklé pojmenování, kde se například AddQueryParam se používá pro vázat proměnné AddQuery.
  Aktualizované dotazy jsou: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery a CountNasSessionsQuery.
• AddressAllocator SQL nyní podporuje nový volitelný parametr UpdateQuery který bude spuštěn příkaz SQL
  prohlášení pro každé účetní zprávy s Acct-Status-Type startu nebo živý.
  Tento dotaz lze použít k aktualizaci vypršení platnosti časového razítka, která umožňuje kratší LeaseReclaimInterval.
  Přidáno příklad UpdateQuery v addressallocator.cfg v dobroty.
• Pevná špatně formátované zprávy protokolu v AuthBy RADIUS. Hlášeny Patrik Forsberg.
  Pevné zpráv Přihlásit EAP-PAX a EAP-PSK a aktualizuje řadu příkladů konfigurace v dobroty.
• Sestavené Win32-LSA Windows PPM balíčky pro Perl 5,18 a 5,20 pro oba x64 a x86 s 32bit celá čísla.
  Tyto PPMS byly sestaveny s Strawberry Perl 5.18.4.1 a 5.20.1.1. Součástí těchto a
  dříve kompilovaný Win32 LSA PPMS v distribuci radiátoru.
• Sestavené Authen-Digipass Windows PPM balíčky s Strawberry Perl 5.18.4.1 a 5.20.1.1 pro
  Perl 5.18 a 5.20 pro x86 s 32bitové celá čísla. Aktualizované digipass.pl používat Getopt :: Long místo
  zastaralé newgetopt.pl. Znovu zabalit Authen-Digipass PPM pro Perl 5,16 zahrnout aktualizované digipass.pl.
• Typ Průměr Address atributy s hodnotami IPv6 jsou nyní dekódovat do čitelného IPv6 adresy textu
  reprezentace. Dříve, dekódovat vrátil syrové hodnotu atributu. Hlášeny Arthur Konovalov.
• Lepší průměr EAP manipulaci jak AuthBy průměr a ServerDIAMETER. Oba moduly nyní inzerovat
  Průměr-EAP aplikace ve výchozím nastavení při první výměně schopnosti. AuthBy PRŮMĚR nyní podporuje
  AuthApplicationIds, AcctApplicationIds a SupportedVendorIds konfigurační parametry
• změnili typ není zahrnuto v ceně-user-identity slovníkem, do binární, aby se ujistil žádné koncové NUL
  znaky nejsou odstraněny.
• Další aktualizace na příklad konfiguračních souborů. Odebrat DupInterval 0 "a použití obslužných místo Realms
• Opravena EAP chybu, která by mohla umožnit obcházet EAP metody omezení. Kopíroval EAP rozšířené zkoušce typu
  modul dobroty a změnil zkušební modul vždy odpoví přístup odmítnout.
• Přidány portovat poznámky a backports pro starší verze topných těles, která mají řešit chybu EAP v
  OSC bezpečnostní poradenství.

Co je nového ve verzi 4.13:

• Neznámý atributy lze nyní zastupována místo pádu
  
• vylepšení Průměr mohou vyžadovat změny na zakázku Průměr modulů
  
• vylepšení Major IPv6 patří: Atributy s hodnotami IPv6 může být nyní zastupována bez podpory IPv6, Socket6 už není absolutní podmínkou. "Ipv6:" prefix je nyní dobrovolné a nikoli prepended v hodnotách atributů
  
• TACACS + autentizace a autorizace je nyní možné oddělit
  
• Vázané proměnné jsou nyní k dispozici pro AuthLog SQL a protokolu SQL.
  
• žádosti Status-server bez správné Message-identifikátorem jsou ignorovány. Odpovědi Status-Server jsou nyní konfigurovatelné.
  
• atributy LDAP lze nyní přitažené za vlasy se základním rozsahem po podstrom rozsahem vyhledávání. Užitečné například atributy tokenGroups AD, které nejsou jinak dostupné
  
• Nově přidané šek na CVE-2014-0160, OpenSSL Heartbleed zranitelnost může přihlásit falešných poplachů
  
• New AuthBy pro ověřování proti YubiKey ověření serveru přidán
  
• pack historie revizí See Radiátor SIM pro podporované verze SIM balení

Omezení :

Maximum 1000 žádostí. Omezenou dobu.