Радиатор RADIUS сървър е гъвкава, разширяема, и удостоверява от огромна гама от AUTH методи, включително Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, прокси, DBM, файлове, LDAP, NIS +, парола, NT SAM , Emerald, Platypus, Свободната станция, TACACS +, PAM, външна, Опи, POP3, EAP, Active Directory и Apple Password Server. Взаимодейства с Васко Digipass, RSA SecurID, Yubikey. Тя работи на Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007 г., MacOS 9, MacOS X, VMS, и повече. Пълен източник условие. Пълен търговска подкрепа достъпно
Какво ново в тази версия:.
<силни> Избрани корекции на грешки, съвместимост бележки и подобрения
- поправя уязвимост и много съществена грешка в EAP автентификация. OSC препоръчва
всички потребители да преразгледат консултативна сигурност OSC OSC-SEC-2014-01 за да се види дали те са засегнати. - Client findAddress () бе променен да се търси клиенти CIDR преди DEFAULT клиент.
Засяга ServerTACACSPLUS и в някои случаи SessionDatabase модули .
- Добавена е поддръжка за без блокиране на гнезда на Windows
- SessionDatabase SQL заявки вече поддържат променливи за обвързване
<Силни> Детайлни промени
- Добавена VENDOR разпредели 2603 и VSA разпредели-User-Role да речника.
- Добавена Диаметър AVP намеци флаг в речника диаметъра Credit-Control Application.
- предотвратено катастрофа по време на стартиране, когато е настроен да поддържа едно заявление Диаметър за
които няма речник модул не присъства. Съобщените от Артър.
Подобрена сеч на товарене на кандидатстване Диаметър речник модули. - Подобрения на AuthBy SIP2 да добавят поддръжка за SIP2Hook. SIP2Hook може да се използва
за разрешение покровител и / или удостоверяване. Добавен пример кука лакомства / sip2hook.pl.
Добавен нов незадължителен параметър UsePatronInformationRequest за конфигурации, в които
Патрон Статус искането не е достатъчно. - Фиксирана проблем с SNMPAgent което може да доведе до катастрофа, ако конфигурацията не е имал
Клиенти. - поток и StreamServer гнезда са вече в режим nonblocking на Windows също. Това позволява
например, RadSec да използвате nonblocking гнезда на Windows. - radpwtst сега почита -message_authenticator опция за всички видове заявки
определен с параметър -code. - Client.pm findAddress () е променено, за да търсите CIDR клиенти преди DEFAULT клиент. Това
е една и съща цел Client справка за входящи заявки RADIUS използва. Това засяга най-вече
ServerTACACSPLUS. SessionDatabase DBM, вътрешни и SQL използвате findAddress ()
и са засегнати, когато клиентите са NasType конфигуриран за едновременна употреба онлайн проверка.
Клиент за справка е опростена в ServerTACACSPLUS. - Добавена VENDOR сърцевината 17,713 и четири сърцевината-Canopy VSAs в речника.
"RADIUS атрибути за IEEE 802 Networks" сега RFC 7268. Updated някои от неговите видове атрибут се. - AuthBy мултикаст предприятието проверява първо, а не след това, ако следващия хоп приемащата работи преди създаването на
искане да предаде. Това ще спести на цикъла, когато следващия хоп не работи. - Добавена VENDOR Apcon 10,830 и VSA Apcon-ниво потребител в речника. Публикувано от Jason Грифит.
- Добавена е поддръжка за персонализирани хешове на пароли и други потребителски дефинирани методи за проверка на паролата.
Когато новия конфигурационен параметър CheckPasswordHook се определя за AuthBy и
възстановен от базата данни на потребителя парола започва с водещи '{OSC-PW-кука} ", искане,
представената парола и възстановен паролата се предава на CheckPasswordHook.
Куката трябва да се върне вярно, ако представеното Паролата се счита правилно. TranslatePasswordHook
писти преди CheckPasswordHook и могат да бъдат използвани, за да се добави "{OSC-PW-кука}" да изтеглените пароли. - AuthLog Syslog и Log Syslog сега провери LogOpt време на етапа на проверка на конфигурацията.
Всякакви проблеми сега са влизали с идентификатор дървосекачи. - по подразбиране за SessionDatabase SQL AddQuery и CountQuery сега използват% 0, където потребителско име
е необходимо. Updated документацията за изясняване на стойността на% 0 за
AddQuery, CountQuery, ReplaceQuery, UpdateQuery и DeleteQuery: 0% е цитиран оригинала
потребителско име. Въпреки това, ако SessionDatabaseUseRewrittenName е настроен за водача
и проверката се извършва от Handler (MaxSessions) или AuthBy (DefaultSimultaneousUse), след това
% 0 е пренаписана потребителското име. За всеки потребител сесия заявки на базата данни% 0 е винаги оригиналното име.
Updated документацията за CountQuery да включват% 0% и 1. За CountQuery% 1 е стойността
на срока на едновременна употреба. - Засилено преобразуване на имената на продавача Продавача-ID стойности за SupportedVendorIds,
VendorAuthApplicationIds и VendorAcctApplicationIds. Ключова дума DictVendors за
SupportedVendorIds сега включва търговци от всички речници, които са заредени.
Име Vendor в Предложител * ApplicationIds може да е в някоя от заредени речници
в допълнение да бъде вписана в DiaMsg модул. - Добавена VENDOR InMon 4300 и VSA InMon-Access-Level да речника.
Публикувано от Гари Щерн. - Добавено ReplyTimeoutHook да AuthBy RADIUS, наречен ако няма отговор се чу от момента опитах отдалечения сървър.
Куката се подава, ако няма отговор се чу за конкретно искане, след ретрансмисиите повторения и
искането се счита за неуспешно за този хост.
Предложена от Дейвид Zych. - подразбиране ConnectionAttemptFailedHook The вече не влиза стойността недвижими DBAuth но "** затъмнено **", вместо.
- Name сблъсък с SqlDb метод прекъсване на връзката, причинени ненужни Fidelio интерфейс изключва и се свързва отново
в AuthBy FIDELIOHOTSPOT след SQL грешки. AuthBy FIDELIOHOTSPOT сега наследява директно от SqlDb. - Добавена VENDOR 4ipnet 31,932 и и 14 4ipnet VSAs в речника. Това VSA се използва и от устройства от 4ipnet партньори,
като LevelOne. Публикувано от Ицик Бен Ицхак. - MaxTargetHosts сега се прилага за AuthBy RADIUS и нейните подвидове AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
HASHBALANCE и EAPBALANCE. Преди MaxTargetHosts се изпълняват само за AuthBy VOLUMEBALANCE.
Предложена от Дейвид Zych. - Добавена VENDOR ZTE 3902 и множество VSAs речника с любезното съдействие на Nguyen Song Huy.
Updated Cisco VSAs в речника. - Добавена radiator.service, проба systemd стартиране на файлове за Linux.
- AuthBy FIDELIO и нейните подвидове Влез сега предупреждение, ако сървърът изпраща отсъствие на записи по време на
повторно синхронизиране на базата данни. Това обикновено означава проблем с конфигурацията на сървъра страна Fidelio,
освен ако там наистина са не проверява в гостите. Добавена бележка за това в fidelio.txt в лакомства. - Добавена Диаметър правила Base протокол AVP флаг във DiaDict. Радиатор вече не изпраща CEA с
Firmware-Revision AVP, че има M флаг. - BogoMips отново просрочията правилно, за да 1, когато BogoMips не е конфигурирано в клауза за домакин в AuthBy
LOADBALANCE или VOLUMEBALANCE. Съобщените от Serge АНДРЕЙ. По подразбиране беше съборен в пресата 4.12.
Updated например LOADBALANCE в proxyalgorithm.cfg в лакомства. - гарантира, че домакините със BogoMips стойност 0 в AuthBy VOLUMEBALANCE няма да бъде кандидати за Прокси.
- Добавена Диаметър правила AVP флаг във DiaDict за следните Диаметър заявления: RFC 4005 и 7155 NASREQ,
RFC 4004 Mobile Application IPv4, RFC 4740 SIP Application и RFC 4072 EAP Application. - Добавена атрибутите от RFC 6929 на речника. Атрибутите сега ще се заместват по подразбиране, но
Няма специфична обработка се прави за тях, все още. - Добавена VENDOR Covaro Networks 18022 и множествена Covaro VSAs в речника. Тези
VSAs се използва от продукти от ADVA Optical Networking.
Подобрения - Значително представяне в ServerDIAMETER и искане Диаметър обработка. Диаметър
искания сега са форматирани за отстраняване на грешки, само когато нивото на Трейс е настроен на отстраняване на грешки или по-висока. - AuthLog файл и лог файл сега подкрепят LogFormatHook да персонализирате дневник съобщение.
Куката се очаква да се върне един единствен скаларна стойност, съдържащ дневник съобщение.
Това позволява форматиране трупите, например, в JSON или друг формат, подходящ
за необходимия постпроцесиране. Предложения и помощ от Александър Hartmaier. - Updated стойностите за Acct-прекратява-Причина, NAS-Port-Type и Error-Причина в речника
да отговарят на най-новите IANA задачи. - Актуализирани сертификати проба от SHA-1 и RSA 1024 до SHA-256 и RSA 2048 алгоритми.
Добавени са нови директории сертификати / SHA1-rsa1024 и сертификати / SHA256-secp256r1 с
сертификати, като използва последните и ECC (елиптични криптографски крива) алгоритми. Всички
примерни сертификати използват един и същ предмет и емитент на информация и разширения. Това позволява
тестване на различни подпис и обществени ключови алгоритми с минимални промени в конфигурацията.
Updated mkcertificate.sh в лакомства да създадете сертификати с SHA-256 и RSA 2048 алгоритми. - Добавени са нови конфигурационни параметри EAPTLS_ECDH_Curve за TLS базирани методи на EAP и TLS_ECDH_Curve
за клиенти и сървъри поток като RadSec и диаметър. Този параметър позволява Elliptic Curve
ефимерно манипулация преговори и стойността му е "кратко име" на ЕК като се завърна от
команда OpenSSL ecparam -list_curves. Новите параметри изискват Net-SSLeay 1.56 или по-късно и съвпадение на OpenSSL. - Изпробван Радиатор с RSA2048 / SHA256 и ECDSA (крива secp256r1) / сертификати SHA256 на различни
платформи и с различни клиенти. Клиент подкрепа EAP е широко достъпно на двата мобилни,
като, Android, IOS и WP8, и други операционни системи. Updated множествена EAP, RadSec, Диаметър
и други конфигурационни файлове в лакомства да включват примери за новия EAPTLS_ECDH_Curve и
TLS_ECDH_Curve конфигурационни параметри. - Handler и AuthBy SQL, RADIUS, RADSEC и FREERADIUSSQL сега подкрепят AcctLogFileFormatHook. Тази кука е
разположение, за да персонализирате съобщенията счетоводните-Искане, записани от AcctLogFileName или AcctFailedLogFileName.
Куката се очаква да се върне един единствен скаларна стойност, съдържащ дневник съобщение. Това позволява форматиране
трупите, например, в JSON или друг формат, подходящ за необходимия постпроцесиране. - конфигурационен параметър The Group вече поддържа определяне на документи за самоличност на допълнителни групи, в допълнение към
ефективното група ID. Група вече могат да бъдат посочени като разделени със запетая списък с групи, за които първоначалният
група е най-желаната ефективна група ID. Ако има имена, които не могат да бъдат решени, групи не са установени.
Допълнителните групи могат да помогнат с, например, AuthBy NTLM достъп до winbindd гнездото. - Добавена множествена Alcatel, продавач на 6527, VSAs в речника.
- Name резолюция за показване на радиус Клиенти и IdenticalClients сега се изпитва по време на проверка на конфигурацията фаза. Предложена от Гари Щерн.
Неправилно зададени IPv4 и IPv6 CIDR блокове са вече ясно записано. Проверките обхващат също клиенти зареждат от ClientListLDAP и ClientListSQL. - Special форматиране вече поддържа% {AuthBy: parmname} който се заменя с параметъра parmname
от клаузата AuthBy, че е работа на текущия пакет. Предложена от Александър Hartmaier. - Добавена VENDOR Tropic Networks 7483, сега Alcatel-Lucent, и две Tropic VSAs в речника. Тези
VSAs се използва от някои Alcatel-Lucent продукти, като например 1830 Фотонен за смяна на услугата за.
Фиксирана правописна грешка в RB-IPv6-Option атрибут. - TLS 1.1 и TLS 1.2 са вече разрешени за методи на EAP, когато се поддържа от OpenSSL и EAP молители.
Благодарение на Ник Lowe на Lugatech. - AuthBy FIDELIOHOTSPOT вече поддържа предплатени услуги, като например планове с различна широчина на честотната лента.
Покупките са командировани в Opera с записи за фактуриране. Конфигурационни файлове Fidelio-hotspot.cfg и
Fidelio-hotspot.sql в лакомства бяха актуализирани с пример за Mikrotik интеграция портал за удостоверяване. - AuthBy RADIUS и AuthBy RADSEC сега използват по-щадящи от и равно, когато се сравняват
времеви печати, използващи MaxFailedGraceTime. Преди стриктно по-малко, отколкото се използва
причинявайки почти по един Втората грешка, когато маркировката следващия хоп домакин надолу.
Отстранени грешки и е докладвано от David Zych. - AuthBy SQLTOTP е актуализиран, за да подкрепи HMAC-SHA-256 и HMAC-SHA-512 функции. Хеш HMAC
алгоритъм вече може да бъде parametrised за всеки знак, както и времето стъпка и Unix време произход.
Празна парола сега ще започне Access-Challenge да подкани за ОТП. SQL и конфигурация
примери са актуализирани. Нова програма generate-totp.pl в лакомства / може да се използва за създаване на
споделени тайни. Тайните са създадени в шестнадесетичен и RFC 4648 Base32 текстови формати и като
QR Code изображения, които могат да бъдат внасяни от authenticators като Google Authenticator и FreeOTP
Удостоверител. - преформатиран root.pem, CERT-clt.pem и CERT-srv.pem в сертификати / директория.
Кодирани частните ключове в тези файлове вече са форматирани в традиционния SSLeay формат
вместо формат PKCS # 8. Някои по-стари системи, като RHEL 5 и CentOS 5, не разбират
формат PKCS # 8 и се провали със съобщение за грешка като "TLS не можех use_PrivateKey_file
./certificates/cert-srv.pem, 1: 27 197: 1 - грешка: 06074079: цифрови пликове съчетания: EVP_PBE_CipherInit: неизвестен алгоритъм PBE "
когато се опитва да зареди ключовете. Кодирани частните ключове в SHA1-rsa1024 и SHA256-secp256r1
директории остават във формат PKCS # 8. Забележка относно ключовата формат лично е добавен в
сертификати / README. - Добавена е нова параметър за всички AuthBys: EAP_GTC_PAP_Convert принуждава всички искания EAP-GTC да бъде
преизчислена в конвенционалните Radius PAP искания, които са redespatched, може би трябва да се заместват
в друга не-EAP-GTC способни сървъра Radius или за местно удостоверяване. Преобразуваната
искания могат да бъдат открити и борави с Handler ConvertedFromGTC = 1. - SessionDatabase SQL заявки вече поддържат променливи за обвързване. Параметрите на заявката следвайте
Обичайната именуване конвенция, когато, например, AddQueryParam се използва за AddQuery променливи за обвързване.
Актуализираните заявки са: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
ClearNasSessionQuery, CountQuery и CountNasSessionsQuery. - AddressAllocator SQL вече поддържа нов незадължителен параметър UpdateQuery които ще изпълнявате SQL
Декларация за всеки отчетен съобщение с Acct-Status-Type на Start или мъртъв.
Този въпрос може да се използва за актуализиране на годност време печат позволява кратък LeaseReclaimInterval.
Добавен пример за UpdateQuery в addressallocator.cfg в лакомства. - Фиксирана неправилно форматиран дневник съобщение в AuthBy RADIUS. Съобщените от Patrik Форсберг.
Фиксирана лог съобщения в EAP-PAX и EAP-PSK и актуализира няколко конфигурационни примери в лакомства. - Съставител Win32-Lsa Windows PPM пакети за Perl 5.18 и 5.20 за x64, така и x86 с 32bit числа.
На PPMS бяха събрани с Strawberry Perl 5.18.4.1 и 5.20.1.1. Включени тези и на
рано съставен Win32-LSA PPMS в разпределението Радиатор. - Съставител Authen-Digipass Windows PPM пакети с Strawberry Perl 5.18.4.1 и 5.20.1.1 за
Perl 5.18 и 5.20 за x86 с 32bit числа. Актуализирани digipass.pl да използват Getopt :: Long вместо
на отхвърлената newgetopt.pl. Преопаковани Authen-Digipass PPM за Perl 5.16 да включва актуализираната digipass.pl. - тип Диаметър Адрес атрибути със стойности IPv6 сега се декодират в човешка разбираема IPv6 адрес на текст
представителство. Преди това декодиране върна сурово стойността на атрибут. Съобщените от Arthur Коновалов. - Подобрена Диаметър EAP работа и за двете AuthBy диаметър и ServerDIAMETER. Двата модула сега рекламират
Диаметър-EAP кандидатстване по подразбиране при първата размяна на способности. AuthBy ДИАМЕТЪР вече поддържа
AuthApplicationIds, AcctApplicationIds и SupportedVendorIds конфигурационни параметри - Промяна на типа на Данъчно-User-Identity в речника на двоичен да се уверете, че всеки зад гърба NUL
знаци, които не са лишени. - Още новини за пример конфигурационни файлове. Махни "DupInterval 0" и използвайте манипулатори вместо Realms
- Фиксирана EAP бъг, който би могъл да позволи заобикаляне на ЕАП ограничения метод. Копирани теста за EAP разширен вид
модул за лакомства и да се промени модула тест, за да се отговори винаги с отхвърлят достъп. - Добавени backport бележки и backports за по-старите версии Радиатор за справяне бъг EAP в
OSC консултативна сигурност.
<силни> Какво ново във версия 4.13:
- Неизвестни атрибути вече могат да бъдат претеглени, вместо да се намалява
- Диаметър аксесоари може да изискват промени обичай Диаметър модули
- Подобрения Major IPv6 включват: атрибути със стойности IPv6 вече могат да се заместват без IPv6 поддръжка, Socket6 вече не е абсолютно необходимо условие. "IPv6:" префикс е сега по избор и не prepended в стойности на атрибути
- TACACS + аутентикация и оторизация вече могат да бъдат отделени
- променливи за обвързване вече са на разположение за AuthLog SQL и Log SQL.
- искания Status-сървър, без правилното ЛС-Identifier се игнорират. Status-сървър отговори сега могат да се конфигурират.
- LDAP атрибути вече могат да бъдат изведени с база обхват след поддърво с обхват търсене. Полезна например tokenGroups АД атрибути, които не са по друг начин
- новодобавените чек за CVE-2014-0160, уязвимостта на OpenSSL Heartbleed може да влезете неверни положителни резултати
- New AuthBy за автентичността срещу YubiKey сървъра валидиране на добавяне
- История See Радиатор SIM редакция пакет за поддържани версии SIM пакет
<силни> Ограничения :
Максимална 1000 молби. Ограничено време.
Коментари не е намерена