Radiator

server RADIUS radiatore è flessibile, estendibile, e autentica da una vasta gamma di metodi di autenticazione, tra cui wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, proxy, DBM, file, LDAP, NIS +, password, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, esterna, OPIE, POP3, EAP, Active Directory e Apple password Server. Interagisce con Vasco Digipass, RSA SecurID, Yubikey. Funziona su Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007 MacOS 9, MacOS X, VMS, e altro ancora. Sorgente completo fornito. Supporto commerciale completa disponibile

Cosa c'è di nuovo in questa versione:.

correzioni di bug, le note di compatibilità e miglioramenti

• corregge una vulnerabilità e molto significativo bug nell'autenticazione EAP. OSC consiglia
      tutti gli utenti di rivedere advisory di sicurezza OSC OSC-SEC-2014-01 per vedere se sono interessati.
• findAddress client () è stato modificato per ricercare clienti CIDR prima client predefinito.
      Influisce ServerTACACSPLUS e in alcuni casi i moduli SessionDatabase.
• Aggiunto il supporto per socket non bloccanti su Windows
• query SQL SessionDatabase ora supportano variabili bind

• Aggiunto VENDOR Allot 2603 e VSA Allot-User-Role a dizionario.
• Aggiunto Diametro AVP suggerimenti bandiera nel dizionario Diametro Credit-Application Control.
• incidente impedito durante l'avvio quando configurato per supportare un'applicazione diametro per
  che nessun modulo dizionario non era presente. Segnalato da Arthur.
  Migliorata la registrazione di caricamento dei moduli applicativi Dizionario diametro.
• Miglioramenti AuthBy SIP2 per aggiungere il supporto per SIP2Hook. SIP2Hook può essere usato
  di autorizzazione e / o l'autenticazione patrono. Aggiunta una goodies esempio gancio / sip2hook.pl.
  Aggiunto un nuovo parametro UsePatronInformationRequest facoltativo per le configurazioni in cui
  Patron Stato richiesta non è sufficiente.
• Risolto un problema con SNMPAgent che potrebbe causare un crash se la configurazione non ha avuto
  Clienti.
  Prese
• Stream e stream server sono ora impostati in modalità non bloccante su Windows troppo. Ciò consente
  per esempio, RadSec utilizzare socket nonblocking su Windows.
• radpwtst onora ora opzione -message_authenticator per tutti i tipi di richiesta
  specificato con il parametro -Codice.
• Client.pm findAddress () è stato modificato per cercare clienti CIDR prima client predefinito. Questo
  è la stessa ricerca del client per le richieste in arrivo RADIUS utilizza. Questo colpisce soprattutto
  ServerTACACSPLUS. SessionDatabase DBM, INTERNO e SQL utilizzano findAddress ()
  e sono colpiti quando i client sono configurati per NasType simultanea-Usa il controllo on-line.
  Ricerca cliente è stata semplificata in ServerTACACSPLUS.
• Aggiunto VENDOR Cambium 17713 e quattro Cambium-Canopy VSA dizionario.
  "Attributi RADIUS per IEEE 802 Networks" è ora RFC 7268. Aggiornato alcuni dei suoi tipi di attributi.
• AuthBy MULTICAST controlla ora prima, e non dopo, se l'host next hop sta lavorando prima di creare il
  richiesta di trasmettere. Ciò farà risparmiare cicli quando il salto successivo non funziona.
• Aggiunto VENDOR APCON 10830 e VSA APCON-User-Level a dizionario. Contributo di Jason Griffith.
• Aggiunto il supporto per gli hash delle password personalizzate e altri metodi di controllo password definita dall'utente.
  Quando il nuovo parametro di configurazione CheckPasswordHook è definito per un AuthBy e
  Password recuperato dal database utente inizia con i principali '{OSC-pw-hook}', la richiesta,
  la password presentate e la password recuperate vengono passati al CheckPasswordHook.
  Il gancio deve restituire true se la password presentata è ritenuta corretta. TranslatePasswordHook
  viene eseguito prima CheckPasswordHook e possono essere utilizzati per aggiungere '{OSC-pw-hook}' alle password recuperati.
• authlog SYSLOG e Log SYSLOG ora controllare logopt durante la fase di controllo della configurazione.
  Eventuali problemi sono ora registrati con il logger Identifier.
• Le impostazioni predefinite per SessionDatabase SQL AddQuery e CountQuery ora utilizzano% 0 dove username
  è necessario. Aggiornato documentazione di chiarire il valore di 0% per
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery e DeleteQuery:% 0 è l'originale citato
  nome utente. Tuttavia, se SessionDatabaseUseRewrittenName è impostato per la Handler
  e il controllo è fatto da Handler (MAXSESSIONS) o AuthBy (DefaultSimultaneousUse), poi
  0% è il nome utente riscritta. Per le query di database di sessione per utente% 0 è sempre il nome utente originale.
  Aggiornata la documentazione per CountQuery includere% 0% e 1. Per CountQuery% 1 è il valore
  del limite uso simultaneo.
• avanzata risoluzione dei nomi fornitore a fornitore-Id valori per SupportedVendorIds,
  VendorAuthApplicationIds e VendorAcctApplicationIds. DictVendors chiave per
  SupportedVendorIds ora include i fornitori di tutti i dizionari caricati.
  Nome fornitore in * ApplicationIds fornitore può essere in uno qualsiasi dei dizionari caricati
  inoltre di essere elencati nel modulo DiaMsg.
• Aggiunto VENDOR InMon 4300 e VSA InMon-Access-livello per dizionario.
  Contributo di Garry Shtern.
• Aggiunto ReplyTimeoutHook a AuthBy RADIUS, chiamata se nessuna risposta si sente dal server remoto attualmente provato.
  Il gancio è chiamato se nessuna risposta si sente per una richiesta specifica, dopo le ritrasmissioni tentativi e
  la richiesta si considera fallito per questo Host.
  Segnalato da David Zych.
• Il predefinito ConnectionAttemptFailedHook non registra il valore DBAuth reale ma '** ** oscurato' invece.
• Nome scontro con metodo Disconnect SQLdb causato inutili disconnette interfaccia Fidelio e riconnette
  in AuthBy FIDELIOHOTSPOT dopo errori SQL. AuthBy FIDELIOHOTSPOT ora eredita direttamente da SQLdb.
• Aggiunto VENDOR 4ipnet 31932 e e 14 4ipnet VSA dizionario. Questi VSA sono utilizzati anche dai dispositivi dei partner 4ipnet,
  quali LevelOne. Contributo di Itzik Ben Itzhak.
• MaxTargetHosts applica ora a AuthBy RADIUS e dei suoi sottotipi AuthBy RoundRobin, VOLUMEBALANCE, loadbalance,
  HASHBALANCE e EAPBALANCE. MaxTargetHosts è stato in precedenza applicato a AuthBy VOLUMEBALANCE.
  Segnalato da David Zych.
• Aggiunto VENDOR ZTE 3902 e più VSA dizionario con l'assistenza di tipo Nguyen Huy canzone.
  Aggiornato Cisco VSA in dizionario.
• Aggiunta radiator.service, file di avvio di un campione systemd per Linux.
• AuthBy FIDELIO ei suoi sottotipi ora log un avviso se il server invia nessun record durante la
  database di risincronizzazione. Questo di solito indica un problema di configurazione sul lato server Fidelio,
  a meno che non ci sono davvero non controllati in ospiti. Aggiunta una nota su questo in fidelio.txt in goodies.
• Aggiunto diametro di base protocollo AVP regole di bandiera in DiaDict. Radiator non invia più CEA con
  AVP Firmware-revisione che ha M bandiera set.
• BogoMips nuovo default correttamente a 1 quando BogoMips non è configurato in una clausola Host in AuthBy
  Loadbalance o VOLUMEBALANCE. Segnalato da Serge ANDREY. Il default è stato rotto in versione 4.12.
  Aggiornato loadbalance esempio in proxyalgorithm.cfg in goodies.
• garantire che Host con BogoMips impostate a 0 in AuthBy VOLUMEBALANCE non sarà un candidato per l'inoltro.
• Aggiunto Diametro regole AVP bandiera a DiaDict per le seguenti applicazioni: Diametro RFC 4005 e 7155 NASREQ,
  RFC 4004 Mobile IPv4 Application, RFC 4740 SIP Application e RFC 4072 EAP Application.
• aggiunta degli attributi dal RFC 6929 a dizionario. Gli attributi verranno inoltrate per impostazione predefinita, ma
  nessun trattamento specifico è fatto per loro ancora.
• Aggiunto VENDOR Covaro Networks 18022 e multiple Covaro VSA dizionario. Queste
  VSA sono utilizzati da prodotti di ADVA Optical Networking.
  Miglioramenti
• prestazioni significativi nel ServerDIAMETER e richiesta Diametro lavorazione. Diametro
  le richieste sono attualmente formattata per il debug solo quando il livello di traccia è impostato per eseguire il debug o superiore.
• authlog FILE e file di registro ora sostenere LogFormatHook per personalizzare il messaggio di log.
  Il gancio è tenuto a restituire un singolo valore scalare che contiene il messaggio di log.
  Questo permette formattazione dei registri, per esempio, in qualsiasi altro formato adatto JSON o
  per la post-elaborazione richiesta. Suggerimento e aiuto da Alexander Hartmaier.
• Aggiornamento dei valori per Acct-Terminate-Cause, NAS-Port-Type e Error-Causa in dizionario
  per abbinare le ultime assegnazioni IANA.
• certificati campione Aggiornato da SHA-1 e RSA 1024 per SHA-256 e RSA 2048 algoritmi.
  Aggiunte nuove directory certificati / sha1-rsa1024 e certificati / sha256-secp256r1 con
  certificati utilizzando gli algoritmi (Elliptic Curve Cryptography) precedenti ed ECC. Tutto
  certificati di esempio utilizzano lo stesso soggetto ed emittente le informazioni e le estensioni. Ciò consente
  testare la diversa firma e algoritmi a chiave pubblica con le modifiche di configurazione minimi.
  Mkcertificate.sh Aggiornato in goodies per creare certificati con SHA-256 e RSA 2048 algoritmi.
• aggiunti nuovi parametri di configurazione EAPTLS_ECDH_Curve per i metodi EAP basati TLS e TLS_ECDH_Curve
  per i clienti Stream e server quali RadSec e diametro. Questo parametro consente curva ellittica
  effimero negoziazione keying e il suo valore è 'nome corto' CE come restituito da
  comando openssl ecparam -list_curves. I nuovi parametri richiedono Net-SSLeay 1.56 o successiva e la congruenza OpenSSL.
• Testato Radiatore con RSA2048 / SHA256 e ECDSA (curva secp256r1) / certificati SHA256 su diversi
  piattaforme e con diversi clienti. Supporto client EAP è ampiamente disponibile sia mobili,
  quali, Android, IOS e WP8, e altri sistemi operativi. Aggiornato multiple EAP, RadSec, Diametro
  e altri file di configurazione di chicche per includere esempi del nuovo EAPTLS_ECDH_Curve e
  Parametri di configurazione TLS_ECDH_Curve.
• Handler e AuthBy SQL, RADIUS, RADSEC e FREERADIUSSQL ora supportano AcctLogFileFormatHook. Questo gancio è
  a disposizione per personalizzare i messaggi Accounting-Request registrati dal AcctLogFileName o AcctFailedLogFileName.
  Il gancio è tenuto a restituire un singolo valore scalare che contiene il messaggio di log. Questo permette la formattazione
  i registri, per esempio, in qualsiasi altro formato adatto per il postprocessing richiesta JSON o.
• Il parametro di configurazione Gruppo supporta ora l'impostazione delle identificativi di gruppo, aggiuntive rispetto alle
  l'id di gruppo efficace. Gruppo può essere specificato come elenco separato dei gruppi in cui il primo
  gruppo è l'effettiva id gruppo desiderato. Se ci sono nomi che non possono essere risolti, i gruppi non sono impostati.
  I gruppi supplementari possono aiutare con, per esempio, AuthBy NTLM accesso alla presa winbindd.
• aggiunta multipla Alcatel, vendor 6527, VSA dizionario.
• Risoluzione dei nomi per i client RADIUS e IdenticalClients è ormai collaudato durante la fase di verifica della configurazione. Segnalato da Garry Shtern.
  Non correttamente specificati blocchi IPv4 e IPv6 CIDR sono ora chiaramente registrati. I controlli riguardano anche i client caricati da ClientListLDAP e ClientListSQL.
• Formattazione speciale ora supporta% {AuthBy: parmname} che viene sostituito dal parametro parmname
  dalla clausola AuthBy che gestisce il pacchetto attuale. Segnalato da Alexander Hartmaier.
• Aggiunto VENDOR Tropic Networks 7483, ora Alcatel-Lucent, e due Tropic VSA dizionario. Queste
  VSA sono utilizzati da alcuni prodotti Alcatel-Lucent, come ad esempio il 1830 Photonic Servizio Switch.
  Corretto un errore di battitura in attributo di RB-IPv6-Option.
• TLS 1.1 e TLS 1.2 sono ora autorizzati per i metodi EAP quando supportati da OpenSSL e EAP supplicanti.
  Grazie a Nick Lowe di Lugatech.
• AuthBy FIDELIOHOTSPOT ora supporta i servizi prepagati, come i piani con larghezza di banda differenti.
  Gli acquisti sono iscritte Opera con i record di fatturazione. I file di configurazione Fidelio-hotspot.cfg e
  Fidelio-hotspot.sql in goodies sono stati aggiornati con un esempio di integrazione Mikrotik captive portal.
• AuthBy RADIUS e AuthBy RADSEC ora utilizzano meno-che e pari quando si confrontano
  timestamp con MaxFailedGraceTime. Precedentemente rigoroso meno-che è stato utilizzato
  causando un off di un secondo errore quando marcatura hop successivo Host giù.
  Debug e riportato da David Zych.
• AuthBy SQLTOTP è stato aggiornato per supportare HMAC-SHA-512 funzioni HMAC-SHA-256 e. L'hash HMAC
  algoritmo può essere parametrizzato per ogni gettone e passo il tempo e l'origine di tempo Unix.
  Una password vuota avvierà ora Access-Challenge per richiedere la OTP. SQL e configurazione
  esempi sono stati aggiornati. Un nuovo generate-totp.pl utility in goodies / può essere utilizzato per creare
  segreti condivisi. I segreti sono creati in esadecimale e RFC 4648 formati di testo Base32 e come
  Immagini del codice QR, che possono essere importati da autenticatori come Google Authenticator e FreeOTP
  Authenticator.
• root.pem riformattato, cert-clt.pem e cert-srv.pem nella directory / certificati.
  Le chiavi private cifrate in questi file vengono ora formattati nel formato tradizionale SSLeay
  invece di formato PKCS # 8. Alcuni sistemi meno recenti, come RHEL 5 e CentOS 5, non capiscono
  PKCS # 8 formato e fallire con un messaggio di errore come 'TLS non poteva use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - errore: 06.074.079: routine busta digitale: EVP_PBE_CipherInit: algoritmo PBE sconosciuta '
  quando si cerca di caricare i tasti. Le chiavi private cifrate in sha1-rsa1024 e sha256-secp256r1
  directory rimangono nel formato PKCS # 8. Una nota sul formato chiave privata è stata aggiunta a
  certificati / README.
• Aggiunto nuovo parametro per tutti AuthBys: EAP_GTC_PAP_Convert obbliga tutte le richieste EAP-GTC per essere
  convertito convenzionali richieste Radius PAP che sono redespatched, forse da proxy
  a un altro server Radius capace non-EAP-GTC o per l'autenticazione locale. Il convertito
  le richieste possono essere rilevati e trattati con Handler ConvertedFromGTC = 1.
• query SQL SessionDatabase supportano ora le variabili di bind. I parametri di query seguono la
  solita convenzione di denominazione in cui, per esempio, AddQueryParam viene utilizzato per le variabili di bind AddQuery.
  Le query aggiornati sono: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery e CountNasSessionsQuery.
• AddressAllocator SQL ora supporta un nuovo parametro UpdateQuery facoltativo che verrà eseguito un SQL
  dichiarazione per ogni messaggio di contabilità con Acct-Status-Type di Start o Alive.
  Questa query può essere utilizzato per aggiornare il timestamp di scadenza consentendo brevi LeaseReclaimInterval.
  Aggiunto un esempio di UpdateQuery in addressallocator.cfg in goodies.
• Risolto messaggio di registro male formattato in AuthBy RADIUS. Segnalato da Patrik Forsberg.
  Risolto messaggi di log in EAP-PAX e EAP-PSK e aggiornato una serie di esempi di configurazione in goodies.
• compilati pacchetti Win32-Lsa di Windows PPM per Perl 5.18 e 5.20 sia per x64 e x86 con numeri interi a 32 bit.
  I PPM sono stati compilati con Strawberry Perl 5.18.4.1 e 5.20.1.1. Incluso questi e la
  precedentemente compilato PPM Win32-LSA nella distribuzione radiatore.
• compilati pacchetti Authen-Digipass di Windows PPM con Strawberry Perl 5.18.4.1 e 5.20.1.1 per
  Perl 5.18 e 5.20 per x86 con numeri interi a 32 bit. Digipass.pl aggiornato per utilizzare Getopt :: Long invece
  di deprecato newgetopt.pl. Reimballato Authen-Digipass PPM per Perl 5.16 per includere la digipass.pl aggiornato.
• Tipo Diametro Indirizzo attributi con valori IPv6 sono ora decodificati al testo leggibile indirizzo IPv6 umana
  rappresentazione. In precedenza, decodificare restituito il valore dell'attributo grezzo. Segnalato da Arthur Konovalov.
• migliorata Diameter EAP gestione sia DIAMETRO AuthBy e ServerDIAMETER. Entrambi i moduli ora pubblicità
  Applicazione Diametro-EAP di default durante il primo scambio capacità. AuthBy DIAMETRO supporta ora
  AuthApplicationIds, AcctApplicationIds e SupportedVendorIds parametri di configurazione
• Cambiato il tipo di Chargeable-User-Identità in dizionario di binario per assicurarsi che qualsiasi NUL finale
  caratteri non vengono rimossi.
• Altri aggiornamenti dei file di configurazione di esempio. Rimuovere 'DupInterval 0' e utilizzare Handlers invece di Realms
• Corretto un bug che potrebbe consentire EAP EAP bypassando le restrizioni di metodo. Copiato il EAP prova di tipo espanso
  Modulo di goodies e ha cambiato il modulo di prova a rispondere sempre con accesso scarto.
• note backport Aggiunto e backport per le versioni più vecchie del radiatore per risolvere il bug in EAP
  Advisory di sicurezza OSC.

Cosa c'è di nuovo in versione 4.13:

• attributi sconosciuto ora può essere inoltrata, invece di essere caduto
  
• miglioramenti diametro può richiedere modifiche ai moduli Diametro personalizzato
  
• miglioramenti principali includono IPv6: Attributi con valori IPv6 possono ora essere inoltrate senza supporto IPv6, Socket6 non è più un prerequisito assoluto. 'Ipv6:' prefisso è ora facoltativo e non anteporre in valori degli attributi
  
• TACACS + autenticazione e l'autorizzazione può essere disaccoppiato
  
• variabili di bind sono ora disponibili per authlog SQL e SQL Log.
  
• le richieste di stato del server senza corretta Message-Identifier vengono ignorati. Risposte Status-server sono ora configurabili.
  
• attributi LDAP possono ora essere recuperati con portata base dopo sottostruttura ambito di ricerca. Utile per esempio, tokenGroups AD attributi che non sono altrimenti disponibili
  
• assegno appena aggiunta per CVE-2014-0160, la vulnerabilità OpenSSL Heartbleed può registrare falsi positivi
  
• New AuthBy per l'autenticazione contro server di convalida YubiKey aggiunto
  
• See Radiatore SIM pacchetto storia delle revisioni di versioni del pacchetto SIM supportate

Limitazioni :

Massimo 1000 richieste. Periodo di tempo limitato.