Radiator

servidor Radiator RADIUS é flexível, extensível e autentica a partir de uma grande variedade de métodos de autenticação, incluindo sem fios, TLS, TTLS, PEAP, LEAP, RÁPIDO, SQL, proxy, DBM, arquivos, LDAP, NIS +, senha NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, externo, OPIE, POP3, EAP, Active Directory e Apple senha Server. Interage com Vasco Digipass, RSA SecurID, Yubikey. Ele é executado em Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, o MacOS 9, MacOS X, VMS, e muito mais. Fonte completa fornecida. Suporte comercial completo disponível

O que é novo nesta versão:.

correções de bugs selecionado, as notas de compatibilidade e melhorias

• corrige uma vulnerabilidade e bug muito significativa na autenticação EAP. OSC recomenda
      todos os usuários a avaliar OSC comunicado de segurança OSC-SEC-2014-01 para ver se eles são afetados.
• findAddress Cliente () foi alterado para procurar clientes CIDR antes de cliente padrão.
      Afeta ServerTACACSPLUS e em módulos alguns casos SessionDatabase.
• Adicionado suporte para soquetes sem bloqueio no Windows

Variáveis ​​
• queries SQL SessionDatabase agora suportam vinculação

• Adicionado VENDEDOR Allot 2603 e VSA Allot-User-Role ao dicionário.
• Adicionado Diâmetro AVP dicas bandeira no dicionário Diâmetro Credit-Controle de Aplicativos.
• acidente impedido durante a inicialização quando configurado para suportar um aplicativo para Diâmetro
  que nenhum módulo dicionário não estava presente. Relatado por Arthur.
  Melhorou o registro de carregamento de aplicativos Diâmetro módulos de dicionário.
• Melhorias para AuthBy SIP2 para adicionar suporte para SIP2Hook. SIP2Hook pode ser utilizada
  de autorização e / ou autenticação patrono. Adicionado um exemplo guloseimas gancho / sip2hook.pl.
  Adicionado um novo UsePatronInformationRequest parâmetro opcional para configurações em que
  Patron Status da Solicitação não é suficiente.
• Corrigido um problema com SNMPAgent o que poderia causar um acidente se a configuração não tinha
  Clientes.
• Stream e StreamServer tomadas estão agora configurado para o modo de não bloqueio no Windows também. Isto permite
  por exemplo, RadSec usar soquetes sem bloqueio no Windows.
• radpwtst agora homenageia opção -message_authenticator para todos os tipos de solicitação
  especificado com o parâmetro -Code.
• Client.pm findAddress () foi alterado para procurar clientes CIDR antes de cliente padrão. Este
  é a mesma pesquisa ordem do Cliente para solicitações RADIUS de entrada usa. Isso afeta principalmente
  ServerTACACSPLUS. SessionDatabase DBM, interna e SQL também usam findAddress ()
  e são afetados quando os clientes têm NasType configurado para Simultaneous-Use verificação online.
  Lookup cliente foi simplificado em ServerTACACSPLUS.
• Adicionado VENDEDOR Cambium 17713 e quatro Cambium-Canopy VSAs ao dicionário.
  "RADIUS Atributos para IEEE 802 Networks" é agora RFC 7268. Atualizado alguns de seus tipos de atributos.
• AuthBy MULTICAST agora verifica em primeiro lugar, não depois, se o anfitrião do próximo salto está a trabalhar antes de criar o
  pedido de transmitir. Isto vai poupar ciclos quando o próximo hop não está funcionando.
• Adicionado VENDEDOR Apcon 10830 e VSA Apcon-em nível de usuário ao dicionário. Contribuição de Jason Griffith.
• Adicionado suporte para os hashes de senha personalizados e outros métodos de verificação de senha definidos pelo usuário.
  Quando o novo parâmetro de configuração CheckPasswordHook é definida por uma AuthBy eo
  password recuperado do banco de dados do usuário começa com os principais '{OSC-PW-hook}', o pedido,
  a senha apresentada e a senha recuperada são passados ​​para o CheckPasswordHook.
  O gancho deve retornar true se a senha enviada é considerada correta. TranslatePasswordHook
  runs antes CheckPasswordHook e pode ser usado para adicionar '{OSC-PW-hook}' para as senhas recuperadas.
• authlog SYSLOG e Log SYSLOG agora verificar LogOpt durante a fase de verificação de configuração.
  Quaisquer problemas agora são registrados com o loggers Identifier.
• Os padrões para SessionDatabase SQL AddQuery e CountQuery agora usar% 0 em que username
  é necessária. Atualizado a documentação para esclarecer o valor de% 0 para
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery e DeleteQuery: 0% é o original citado
  username. No entanto, se SessionDatabaseUseRewrittenName está definido para o Handler
  ea verificação é feita por Handler (MaxSessions) ou AuthBy (DefaultSimultaneousUse), então
  0% é o nome de usuário reescrito. Para consultas de banco de dados por usuário sessão% 0 é sempre o nome de usuário inicial.
  Atualizado a documentação para CountQuery para incluir% e 0% 1. Para CountQuery% 1 é o valor
  do limite de utilização simultânea.
• reforçada resolução de nomes de fornecedor para fornecedor-Id valores para SupportedVendorIds,
  VendorAuthApplicationIds e VendorAcctApplicationIds. DictVendors palavra-chave para
  SupportedVendorIds agora inclui fornecedores de todos os dicionários que são carregados.
  Nome do fornecedor em fornecedor * ApplicationIds pode estar em qualquer um dos dicionários carregados
  além de serem listados no módulo DiaMsg.
• Adicionado VENDEDOR Inmon 4300 e VSA Inmon-Access-Nível de dicionário.
  Contribuição de Garry Shtern.
• Adicionado ReplyTimeoutHook para AuthBy RADIUS, chamado se nenhuma resposta é ouvido a partir do servidor remoto atualmente tentado.
  O gancho é chamado, se nenhuma resposta é ouvida por um pedido específico após as retransmissões novas tentativas e
  o pedido é considerado como tendo falhado para que o Host.
  Sugerido por David Zych.
• O padrão ConnectionAttemptFailedHook já não registra o valor DBAuth real, mas '** ** obscurecida "em vez.
• Nome confronto com método de desconexão SQLDB causado desnecessários desconecta de interface Fidelio e reconecta
  em AuthBy FIDELIOHOTSPOT após erros de SQL. AuthBy FIDELIOHOTSPOT agora herda diretamente de SQLDB.
• Adicionado VENDEDOR 4ipnet 31932 e 14 e 4ipnet VSAs ao dicionário. Estes VSA também são usadas por dispositivos de parceiros 4ipnet,
  tais como LevelOne. Contribuição de Itzik Ben Itzhak.
• MaxTargetHosts agora se aplica a AuthBy RADIUS e seus sub-tipos AuthBy roundrobin, VOLUMEBALANCE, LoadBalance,
  HASHBALANCE e EAPBALANCE. MaxTargetHosts anteriormente foi implementado apenas para AuthBy VOLUMEBALANCE.
  Sugerido por David Zych.
• Adicionado VENDEDOR ZTE 3902 e vários VSAs ao dicionário com a assistência de Nguyen Huy Canção.
  Atualizado Cisco VSA no dicionário.
• radiator.service Adicionado, arquivo de inicialização de uma amostra systemd para Linux.
• AuthBy FIDELIO e seus sub-tipos login agora um aviso se o servidor envia nenhum registro durante o
  resync banco de dados. Isso geralmente indica um problema de configuração no lado do servidor Fidelio,
  a não ser que realmente não há o check-in os hóspedes. Adicionado uma nota sobre isso em fidelio.txt em guloseimas.
• Adicionado Diâmetro regras bandeira Base de Dados de Protocolo de AVP em DiaDict. Radiator não envia CEA com
  AVP Firmware-Revisão que tem bandeira conjunto M.
• BogoMips novamente defaults corretamente a 1 quando BogoMips não está configurado em uma cláusula Anfitrião em AuthBy
  LoadBalance ou VOLUMEBALANCE. Relatado por Serge ANDREY. O padrão foi quebrado na liberação 4,12.
  Exemplo LoadBalance Atualizado em proxyalgorithm.cfg em guloseimas.
• Assegurou que hospeda com BogoMips de 0 na AuthBy VOLUMEBALANCE não vai ser um candidato para o proxy.
• Adicionado Diâmetro regras bandeira AVP em DiaDict para os seguintes aplicativos Diâmetro: RFC 4005 e 7155 NASREQ,
  RFC 4004 de aplicativos Mobile IPv4, RFC 4740 Aplicativo SIP e RFC 4072 Aplicação EAP.
• Adicionado os atributos da RFC 6929 para dicionário. Os atributos será agora em proxy por padrão, mas
  nenhum tratamento específico é feito para eles ainda.
• Adicionado VENDEDOR Covaro Networks 18022 e múltipla Covaro VSAs ao dicionário. Estes
  VSA são usados ​​por produtos de ADVA Optical Networking.
  Melhorias
• significativo desempenho em ServerDIAMETER e processamento de pedido de diâmetro. Diâmetro
  pedidos agora são formatadas para depuração somente quando o nível de rastreio está definido para debug ou superior.
• authlog ARQUIVO e arquivo de log agora suportam LogFormatHook para personalizar a mensagem de log.
  O gancho é esperado para retornar um único valor escalar contendo a mensagem de log.
  Isto permite que a formatação dos toros, por exemplo, em JSON ou qualquer outro formato adequado
  para o pós-processamento exigido. Sugestão e ajuda por Alexander Hartmaier.
• Atualizado os valores para Acct-Finaliza-Causa, NAS-Port-Type e erro-Causa no dicionário
  para coincidir com as últimas IANA atribuições.
• certificados de amostra Atualizado de SHA-1 e RSA 1024 a SHA-256 e RSA 2048 algoritmos.
  Adicionado novos certificados diretórios / sha1-rsa1024 e certificados / sha256-secp256r1 com
  certificados usando os (criptografia de curva elíptica) algoritmos anteriores e ECC. Tudo
  certificados de amostra usam o mesmo assunto e emissor de informação e extensões. Isto permite
  testando o diferente assinatura e algoritmos de chave pública com mudanças mínimas de configuração.
  Mkcertificate.sh Atualizado em guloseimas para criar certificados com SHA-256 e RSA 2048 algoritmos.
• novos parâmetros de configuração Adicionado EAPTLS_ECDH_Curve para métodos EAP baseado TLS e TLS_ECDH_Curve
  para clientes e servidores do córrego como RadSec e diâmetro. Este parâmetro permite Curva Elíptica
  negociação keying efêmero e seu valor é "nome curto" a CE como retornado por
  comando openssl ecparam -list_curves. Os novos parâmetros requerem Net-SSLeay 1.56 ou posterior e OpenSSL correspondente.
• Testado Radiador com RSA2048 / SHA256 e ECDSA (curva secp256r1) / certificados SHA256 em diferentes
  plataformas e com diferentes clientes. Suporte ao cliente EAP foi amplamente disponíveis em ambos móvel,
  tais como, Android, IOS e WP8, e outros sistemas operacionais. Atualizado múltipla EAP, RadSec, Diâmetro
  e outros arquivos de configuração em guloseimas para incluir exemplos da nova EAPTLS_ECDH_Curve e
  Parâmetros de configuração TLS_ECDH_Curve.
• Handler e AuthBy SQL, RADIUS, RADSEC e FREERADIUSSQL agora suportam AcctLogFileFormatHook. Esse gancho é
  disponíveis para personalizar as mensagens de Contabilidade-Pedido registrados pelo AcctLogFileName ou AcctFailedLogFileName.
  O gancho é esperado para retornar um único valor escalar contendo a mensagem de log. Isto permite a formatação
  os logs, por exemplo, em JSON ou qualquer outro formato adequado para o pós-processamento exigido.
• O parâmetro de configuração Grupo suporta agora definir os ids complementares de grupo, além de
  a identidade do grupo eficaz. Grupo pode agora ser especificado como separados por vírgula lista de grupos em que o primeiro
  grupo é o grupo efetivo desejado. Se há nomes que não podem ser resolvidos, os grupos não estão definidos.
  Os grupos complementares podem ajudar com, por exemplo, AuthBy NTLM acessando o soquete winbindd.
• Adicionado múltipla Alcatel, vendedor 6527, VSAs ao dicionário.
• A resolução de nomes para clientes e IdenticalClients raio é agora testado durante a fase de verificação de configuração. Sugerido por Garry Shtern.
  Blocos IPv4 e IPv6 CIDR incorretamente especificados são agora claramente registrados. As verificações abrangem também os clientes carregados por ClientListLDAP e ClientListSQL.
• formatação especial agora suporta% {AuthBy: parmname} que é substituído pelo parâmetro parmname
  da cláusula AuthBy que está a lidar com o pacote atual. Sugerido por Alexander Hartmaier.
• Adicionado VENDEDOR Tropic Networks 7483, agora Alcatel-Lucent, e dois Tropic VSAs ao dicionário. Estes
  VSA são utilizados por alguns produtos da Alcatel-Lucent, como a 1830 Photonic Serviço Switch.
  Corrigido um erro de digitação no atributo RB-IPv6-Option.
• TLS 1.1 e TLS 1.2 estão agora autorizados para métodos EAP quando apoiada por OpenSSL e EAP suplicantes.
  Graças a Nick Lowe de Lugatech.
• AuthBy FIDELIOHOTSPOT agora suporta serviços pré-pagos, tais como planos com largura de banda diferente.
  As compras são postadas Opera com registros de faturamento. Os arquivos de configuração Fidelio-hotspot.cfg e
  Fidelio-hotspot.sql em guloseimas foram atualizadas com um exemplo de integração Mikrotik portal cativo.
• AuthBy RADIUS e AuthBy RADSEC agora usam menos do que e igual ao comparar
  carimbos de tempo usando MaxFailedGraceTime. Anteriormente estrito foi usada do que-less
  causando um off por um erro segundo quando marcação próxima hop Hosts para baixo.
  Depurado e relatado por David Zych.
• AuthBy SQLTOTP foi atualizado para suportar HMAC-SHA-256 e HMAC-SHA-512 funções. O hash HMAC
  algoritmo agora pode ser parametrizado para cada símbolo, bem como passo de tempo e de origem tempo Unix.
  Uma senha vazia vai agora lançar Access-Challenge para pedir o OTP. SQL e configuração
  exemplos foram actualizados. Um novo generate-totp.pl utilidade em guloseimas / pode ser usado para criar
  Segredos compartilhados. Os segredos são criados em hex e RFC 4648 formatos de texto Base32 e como
  QR imagens de código que podem ser importados por autenticadores como o Google Authenticator e FreeOTP
  Authenticator.
• root.pem reformatado, cert-clt.pem e cert-srv.pem no diretório / certificados.
  As chaves privadas criptografadas nesses arquivos agora são formatados no formato tradicional SSLeay
  em vez de formato PKCS # 8. Alguns sistemas mais antigos, como o RHEL 5 e CentOS 5, não entendo
  o formato PKCS # 8 e falhar com uma mensagem de erro como "TLS não podia use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - erro: 06074079: Rotinas envelope digital: EVP_PBE_CipherInit: algoritmo PBE desconhecido '
  ao tentar carregar as chaves. As chaves privadas criptografadas em sha1-rsa1024 e sha256-secp256r1
  diretórios permanecem no formato PKCS # 8. Uma nota sobre o formato de chave privada foi adicionado em
  certificados / README.
• Adicionado novo parâmetro para todos os AuthBys: EAP_GTC_PAP_Convert força todos os pedidos EAP-GTC para ser
  convertidos em pedidos convencionais Radius PAP que são redespatched, talvez para ser proxy
  para outro servidor RADIUS capaz não-EAP-GTC ou para autenticação local. O convertido
  pedidos pode ser detectada e tratada com Handler ConvertedFromGTC = 1.
• consultas SessionDatabase SQL agora suporta variáveis ​​de ligação. Os parâmetros de consulta seguir o
  convenção de nomenclatura de costume, onde, por exemplo, AddQueryParam é utilizado para variáveis ​​de vinculação AddQuery.
  As consultas atualizados são: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery e CountNasSessionsQuery.
• AddressAllocator SQL agora suporta uma nova UpdateQuery parâmetro opcional que irá executar um SQL
  declaração para cada mensagem de contabilidade com Acct-Status-Type de Iniciar or Alive.
  Esta consulta pode ser usado para atualizar o carimbo de tempo de validade mais curto permitindo LeaseReclaimInterval.
  Adicionado um exemplo de UpdateQuery em addressallocator.cfg em guloseimas.
• Fixo mensagem log mal formatado em AuthBy RADIUS. Relatado por Patrik Forsberg.
  Corrigido mensagens de log em EAP-PAX e EAP-PSK e atualizado uma série de exemplos de configuração em guloseimas.
• Compilado pacotes Win32-LSA do Windows ppm para Perl 5.18 e 5.20 para ambos x64 e x86 com inteiros de 32 bits.
  Os PPMs foram compiladas com morango Perl 5.18.4.1 e 5.20.1.1. Incluído estes e os
  compilada anteriormente PPMs Win32-LSA na distribuição do radiador.
• Compilado pacotes Authen-Digipass do Windows PPM com morango Perl 5.18.4.1 e 5.20.1.1 para
  Perl 5.18 e 5.20 para x86 com inteiros de 32 bits. Digipass.pl atualizado para usar Getopt :: Longo vez
  de preterido newgetopt.pl. Reembalados Authen-Digipass PPM para Perl 5.16 para incluir o digipass.pl atualizado.
• tipo Diâmetro Endereço atributos com valores IPv6 agora são decodificados para texto de endereço IPv6 leitura humana
  representação. Anteriormente, decodificar devolvido o valor do atributo cru. Relatado por Arthur Konovalov.
• Diâmetro Improved EAP controlando para DIÂMETRO AuthBy e ServerDIAMETER. Ambos os módulos agora anunciar
  Aplicação Diâmetro-EAP, por padrão, durante a troca de capacidades inicial. AuthBy diâmetro suporta agora
  AuthApplicationIds, AcctApplicationIds e SupportedVendorIds parâmetros de configuração
• Mudou o tipo de gerador-User-Identity no dicionário para binário para se certificar de qualquer NUL de fuga
  caracteres não são retirados.
• Mais atualizações dos arquivos de exemplo de configuração. Remover 'DupInterval 0' e usar manipuladores em vez de Realms
• Corrigido um bug que poderia permitir EAP EAP ignorando as restrições do método. Copiado do ensaio do tipo expandido EAP
  módulo de guloseimas e mudou o módulo de teste de responder sempre com rejeição de acesso.
• Notas Backport adicionado e backports para versões mais antigas do radiador para resolver o bug na EAP
  Alerta de segurança OSC.

O que é novo na versão 4.13:

• Os atributos desconhecidos agora podem ser proxy em vez de ser descartado
  
• melhorias diâmetro pode exigir alterações nos módulos de diâmetro personalizado
  
• melhorias major IPv6 incluem: Atributos com valores IPv6 agora pode ser proxy sem suporte IPv6, Socket6 já não é um pré-requisito absoluto. "Ipv6: 'prefixo agora é opcional e não prefixado em valores de atributos
  
• TACACS + autenticação e autorização pode agora ser dissociada
  
• variáveis ​​de ligação estão agora disponíveis para authlog SQL e SQL Log.
  
• pedidos Status-servidor sem correto Mensagem-Identifier são ignorados. Respostas Status-Servidor agora são configuráveis.
  
• atributos LDAP agora podem ser buscados com escopo base depois de sub escopo de pesquisa. Útil, por exemplo, tokenGroups AD atributos que não estão disponíveis de outra forma
  
• verificação recém-adicionada para CVE-2014-0160, a vulnerabilidade OpenSSL Heartbleed pode registrar falsos positivos
  
• New AuthBy para autenticar contra o servidor de validação Yubikey adicionado
  
• Veja Radiator SIM pacote histórico de revisão de versões suportadas do SIM pacote

Limitações :

Máxima 1.000 solicitações. Tempo limitado.