Serwer Chłodnica RADIUS jest elastyczne, rozciągliwe i uwierzytelnia z ogromnej gamy metod orga, w tym Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, serwer proxy, DBM, pliki, LDAP, NIS +, hasła NT SAM Emerald, Dziobak, Freeside, TACACS +, PAM, zewnętrzne, POIG, POP3, EAP, Active Directory i Apple Hasło Server. Współpracuje z Vasco Digipass, RSA SecurID, YubiKey. To działa na systemach Unix, Linux, Solaris, Windows 95/98 / NT / 2000 / XP / 2003/2007 MacOS 9, MacOS X, VMS, i więcej. Pełna źródła pod warunkiem. Pełna obsługa handlowa dostępna
Co nowego w tym wydaniu:.
Wybrane poprawki, notatki z kompatybilnością i ulepszenia
- Usunięto usterkę i bardzo istotny błąd w uwierzytelniania EAP. OSC zaleca
wszyscy użytkownicy recenzję doradczą bezpieczeństwa OSC OSC-SEC-2014-01, aby sprawdzić, czy nie są naruszone. - findAddress Klient () została zmieniona do wyszukiwania klientów CIDR przed domyślnego klienta.
Wpływa ServerTACACSPLUS aw niektórych przypadkach SessionDatabase modułów. - Dodano wsparcie dla non-blocking gniazd na Windows
- pytania SessionDatabase SQL obsługują obecnie zmienne wiążą
Szczegółowe zmiany
- Dodane VENDOR przeznaczyć 2603 i VSA przeznaczyć-User-rolę do słownika.
- Dodane Średnica AVP wskazówki flag w słowniku Średnica Credit Control Application.
- zapobiec awarii podczas uruchamiania, gdy skonfigurowany do obsługi aplikacji średnica
które nie ma modułu słownik nie był obecny. Zgłoszone przez Artura.
Ulepszone rejestrowanie załadunku modułów słownikowych aplikacji Średnica. - Poprawki do AuthBy SIP2 dodać obsługę SIP2Hook. SIP2Hook mogą być stosowane
o zezwolenie patrona i / lub uwierzytelniania. Dodano cukierki przykład hak / sip2hook.pl.
Dodano nowy opcjonalny parametr UsePatronInformationRequest w instalacjach, w których
Patron Żądanie statusu nie jest wystarczające. - Naprawiono problem z SNMPAgent co może spowodować awarię, jeśli konfiguracja nie miał
Klienci. - Stream i gniazda streamingowych teraz ustawiony na tryb nonblocking na Windows też. Pozwala to
na przykład RadSec używać gniazd nonblocking w systemie Windows. - radpwtst teraz honoruje opcji -message_authenticator dla wszystkich rodzajów zgłoszeń
określone parametrem -code. - Client.pm findAddress () został zmieniony, aby wyszukać klientów CIDR przed domyślnego klienta. To
to samo wyszukiwanie zamówienie klienta przychodzących żądań RADIUS korzysta. Wpływa to przede wszystkim
ServerTACACSPLUS. SessionDatabase DBM, WEWNĘTRZNA i SQL używać również findAddress ()
i są dotknięte, gdy klienci mają NasType skonfigurowany do korzystania kontroli symultaniczne-line.
Wyszukiwanie klient był uproszczone ServerTACACSPLUS. - Dodane SPRZEDAWCA Cambium 17713 i cztery Cambium-Zadaszenie VSA do słownika.
"RADIUS Atrybuty IEEE 802 Networks" jest już w dokumencie RFC 7268. Aktualizacja niektóre jego rodzaje atrybutów. - AuthBy MULTICAST sprawdza teraz pierwszy, nie po tym, gdy host następny skok pracuje przed utworzeniem
Wniosek do przekazania. Pozwoli to zaoszczędzić cykli, kiedy następny skok nie działa. - Dodane VENDOR Apcon 10830 i VSA Apcon-User-Level do słownika. Autor: Jason Griffith.
- Dodano wsparcie dla niestandardowych skrótów haseł i innych metod wyboru hasła zdefiniowane przez użytkownika.
Gdy nowy parametr konfiguracyjny CheckPasswordHook jest zdefiniowana dla AuthBy i
Hasło pobierane z bazy danych użytkownika zaczyna się wiodącym '{OSC-PW-hak}', żądanie,
złożone hasło i odzyskane hasła są przekazywane do CheckPasswordHook.
Hak musi zwrócić true, jeśli złożone hasło zostanie uznane za prawidłowe. TranslatePasswordHook
biegnie przed CheckPasswordHook i może być używany, aby dodać "{OSC-PW-hak} 'do wyszukiwanych haseł. - AuthLog syslog i teraz sprawdzić SYSLOG dziennika LogOpt na etapie wyboru konfiguracji.
Wszelkie problemy są teraz zalogowany z identyfikatorem rejestratorów. - Ustawienia domyślne SessionDatabase SQL AddQuery i CountQuery teraz używać% 0, gdzie nazwa użytkownika
jest to potrzebne. Zaktualizowano dokumentację w celu wyjaśnienia wartość% 0 dla
AddQuery, CountQuery, ReplaceQuery, UpdateQuery i DeleteQuery:% 0 jest cytowany oryginalne
nazwa użytkownika. Jednakże, jeśli SessionDatabaseUseRewrittenName jest ustawiona dla Handler
i kontrola odbywa się poprzez Handler (MaxSessions) lub AuthBy (DefaultSimultaneousUse), a następnie
% 0 jest przepisany nazwę użytkownika. W przypadku zapytań do baz danych poszczególnych użytkowników sesyjnych% 0 jest zawsze oryginalna nazwa użytkownika.
Zaktualizowano dokumentację CountQuery obejmować% 0 i% 1. Dla CountQuery% 1 jest wartością
równoczesnego limitu użytkowania. - Zwiększona rozdzielczość nazw dostawców do Vendor ID wartości SupportedVendorIds,
VendorAuthApplicationIds i VendorAcctApplicationIds. DictVendors słów kluczowych dla
SupportedVendorIds obejmuje obecnie dostawców ze wszystkich słowników, które są ładowane.
Nazwa producenta w Vendor * ApplicationIds może być w każdym z załadowanych słowników
w dodatku są wymienione w module DiaMsg. - Dodane VENDOR Inmon 4300 i VSA Inmon poziom z dostępem do słownika.
Autor: Garry Shtern. - Dodane ReplyTimeoutHook do AuthBy RADIUS, zwany jeśli odpowiedź nie jest słyszany z obecnie próbuje zdalnym serwerze.
Hak jest uruchamiane w przypadku braku odpowiedzi usłyszał zadaniu wniosek po tych retransmisji prób oraz
Wniosek uznaje się, że nie powiodło się dla tego hosta.
Sugerowana przez Davida Zych. - domyślne ConnectionAttemptFailedHook nie rejestruje rzeczywistą wartość DBAuth ale "** zasłonięte **" zamiast.
- Nazwa starcia z metodą odłączania SqlDb spowodowało niepotrzebne rozłącza i łączy się ponownie interfejsu Fidelio
w AuthBy FIDELIOHOTSPOT po błędów SQL. AuthBy FIDELIOHOTSPOT teraz dziedziczy bezpośrednio z SqlDb. - Dodane SPRZEDAWCA 4ipnet 31932 i i 14 4ipnet VSA do słownika. Te VSA są również wykorzystywane przez urządzenia z partnerami 4ipnet,
takich jak LevelOne. Itzik Ben przyczynił Itzhak. - MaxTargetHosts stosuje teraz AuthBy RADIUS i jej podtypów AuthBy roundrobin, VOLUMEBALANCE, LOADBALANCE,
HASHBALANCE i EAPBALANCE. MaxTargetHosts wcześniej realizowane tylko dla AuthBy VOLUMEBALANCE.
Sugerowana przez Davida Zych. - Dodane SPRZEDAWCA ZTE 3902 i wiele VSA do słownika z uprzejmości Nguyen Piosenki Huy.
Zaktualizowany Cisco VSA w słowniku. - Dodane radiator.service, plik startowy próbki Systemd dla Linuksa.
- AuthBy FIDELIO i jego podtypy teraz zalogować ostrzeżenie, jeśli serwer wysyła żadnych rekordów w czasie
resync bazy danych. Zazwyczaj oznacza to problem z konfiguracją po stronie serwera Fidelio,
chyba tak naprawdę nie są sprawdzane w gości. Dodano notatkę na ten temat w fidelio.txt w smakołyków. - Dodane średnicy podstawy Protokół AVP zasady flag w DiaDict. Grzejnik nie wysyła CEA z
AVP firmware-edycji, który ma ustawioną flagę M. - bogomips znowu domyślnie prawidłowo do 1, gdy bogomips nie jest skonfigurowany w punkcie przyjmującym w AuthBy
LOADBALANCE lub VOLUMEBALANCE. Zgłoszone przez Serge Andrey. Domyślna został złamany w wydaniu 4.12.
Zaktualizowany przykładem LOADBALANCE w proxyalgorithm.cfg w smakołyków. - Zapewniony, że gospodarze z bogomips ustawiony na 0 w AuthBy VOLUMEBALANCE nie będzie kandydatów do proxy.
- Dodane Średnica zasady AVP flag w DiaDict do następujących wniosków: RFC 4005 Średnica i 7155 NASREQ,
RFC 4004 Komórka IPv4 aplikacji, RFC 4740 i RFC aplikacji SIP 4072 EAP aplikacji. - Dodane atrybuty z RFC 6929 do słownika. Atrybuty będą teraz domyślnie, ale proxy
żaden konkretny obsługa odbywa się dla nich jeszcze. - Dodane SPRZEDAWCA Covaro Sieci 18022 i wielokrotnego Covaro VSA do słownika. Te
VSA są wykorzystywane przez produkty z ADVA Optical Networking.
Rozszerzenia - Znaczący wydajności w ServerDIAMETER i przetwarzania żądania Średnica. Średnica
wnioski są teraz sformatowane do debugowania tylko wtedy, gdy poziom śledzenia jest ustawiony na debug lub wyższa. - FILE AuthLog oraz plik teraz obsługuje LogFormatHook dostosować komunikat dziennika.
Oczekuje się, że hak do powrotu jedną wartość skalarną zawierającą wiadomość dziennika.
Pozwala to formatowania obwodowo, na przykład, w JSON lub innego odpowiedniego formatu
dla wymaganej postprocessingu. Sugestie i pomoc przez Aleksandra Hartmaier. - Aktualizacja wartości dla Acct-Terminate-Cause, NAS-Port-Type błędów i ich przyczyny w słowniku
dopasować najnowsze zadania Iana. - Zaktualizowane certyfikaty próbki z SHA-1 i RSA 1024 do SHA-256 i RSA 2048 algorytmów.
Dodano nowe certyfikaty katalogi / SHA1-rsa1024 i certyfikaty / sha256-secp256r1 z
certyfikaty wykorzystujące wcześniejsze i ECC (kryptografii krzywych eliptycznych) algorytmów. Wszystko
certyfikaty przykładowe korzystać z tego samego przedmiotu i związane z informacji i rozszerzeń. Pozwala to
testowanie inny podpis i kluczowych algorytmów publiczne z minimalnymi zmianami konfiguracji.
Zaktualizowany mkcertificate.sh w smakołyków stworzyć certyfikatów z SHA-256 i RSA 2048 algorytmów. - Dodano nowe parametry konfiguracyjne EAPTLS_ECDH_Curve dla opartych metod EAP TLS i TLS_ECDH_Curve
dla klientów Stream i serwerów takich jak RadSec i średnicy. Parametr ten pozwala na krzywej eliptycznej
efemeryczne negocjacji klucza i jego wartość jest WE "Nazwa skrócona" zwracane przez
Komenda OpenSSL ecparam -list_curves. Nowe parametry wymagają Net-SSLeay 1.56 lub nowszej i dopasowania OpenSSL. - Testowany Chłodnica z RSA2048 / SHA256 i ECDSA (krzywa secp256r1) / certyfikatów SHA256 na różne
z różnych platform i klientów. Wsparcie klienta EAP było powszechnie dostępne zarówno mobilnych,
takich jak Android, iOS i WP8 i innych systemów operacyjnych. Zaktualizowany wielokrotnego EAP, RadSec, Średnica
i inne pliki konfiguracyjne gadżety to przykłady nowych EAPTLS_ECDH_Curve i
Parametry konfiguracyjne TLS_ECDH_Curve. - Handler i AuthBy SQL, RADIUS, RADSEC i FREERADIUSSQL teraz obsługuje AcctLogFileFormatHook. Hak ten jest
dostępne dostosować wiadomości Rachunkowość Zapytaj zarejestrowane przez AcctLogFileName lub AcctFailedLogFileName.
Oczekuje się, że hak do powrotu jedną wartość skalarną zawierającą wiadomość dziennika. Umożliwia formatowanie
kłody, na przykład, w JSON lub innym formacie odpowiednim dla wymaganej przetwarzania końcowego. - Parametr konfiguracyjny Grupa obsługuje ustawiania dodatkowych identyfikatorów grupowych oprócz
efektywny ID grupy. Grupa może być teraz oddzielone przecinkami określono jako lista grup, w których pierwszy
Grupa jest pożądany efektywny ID grupy. Jeśli są nazwy, które nie mogą być rozwiązane, grupy nie są ustawione.
Uzupełniające grupy może pomóc, na przykład, AuthBy NTLM dostępu gniazdo winbindd. - Dodane wielokrotnego Alcatel, sprzedawca 6527, VSA do słownika.
- Rozdzielczość Nazwa dla klientów RADIUS i IdenticalClients jest aktualnie testowany w fazie wyboru konfiguracji. Sugerowana przez Garry'ego Shtern.
Błędnie określone bloki IPv4 i IPv6 CIDR są obecnie wyraźnie zalogowany. Kontrole obejmują również klientów załadowane przez ClientListLDAP i ClientListSQL. - formatowanie specjalne obsługuje% {AuthBy: parmname} które otrzymuje parametr parmname
z klauzuli AuthBy który obsługuje bieżące pakiet. Sugerowana przez Aleksandra Hartmaier. - Dodane SPRZEDAWCA Tropic Networks 7483, obecnie Alcatel-Lucent, a dwa Tropic VSA do słownika. Te
VSA są wykorzystywane przez niektórych produktów Alcatel-Lucent, takie jak 1830 Przełącz fotoniczne Serwisu.
Poprawiono literówkę w atrybucie RB-IPv6 opcji. - TLS 1.1 oraz TLS 1.2 są obecnie dopuszczone do metod EAP, gdy wspierane przez OpenSSL i EAP petentów.
Dzięki Nick Lowe z Lugatech. - AuthBy FIDELIOHOTSPOT obsługuje usług przedpłaconych, takich jak plany z innego pasma.
Zakupy są wysłana do Opery z ewidencji rozliczeń. Pliki konfiguracyjne i Fidelio-hotspot.cfg
Fidelio-hotspot.sql w smakołyków były aktualizowane na przykładzie Mikrotik integracji niewoli portalu. - AuthBy RADIUS i AuthBy RADSEC teraz używać mniej niż i równa przy porównywaniu
Znaczniki czasu wykorzystujące MaxFailedGraceTime. Wcześniej ścisłe mniej niż użyto
powodując start o jedną sekundę błędów przy zaznaczaniu następny skok Gospodarze dół.
Debugowania i zgłoszone przez Davida Zych. - AuthBy SQLTOTP został zaktualizowany do wsparcia HMAC-SHA-256 i SHA-HMAC-512 funkcji. HMAC Hash
Algorytm może być teraz dla każdego tokena sparametryzowana oraz taktu i pochodzenia czasu Unix.
Puste hasło będzie teraz uruchomić Access-Challenge skłonić do OTP. SQL i konfiguracja
przykłady zostały zaktualizowane. Nowy generate-totp.pl narzędzie w dodatkami / mogą być stosowane do tworzenia
wspólne tajemnice. Tajemnice są tworzone w hex i RFC 4648 formatów tekstowych Base32 i jako
Zdjęcie Kod QR, które mogą być importowane przez uwierzytelniających, takich jak Google Authenticator i FreeOTP
Authenticator. - sformatowany root.pem, cert-clt.pem CERT-srv.pem oraz w świadectwach / katalogu.
Zaszyfrowane klucze prywatne w tych plikach są teraz sformatowane w tradycyjnym formacie SSLeay
zamiast formacie PKCS # 8. Niektóre starsze systemy, takie jak RHEL 5 i CentOS 5, nie rozumiem
Format PKCS # 8, a nie z komunikatem o błędzie, jak "TLS nie mógł use_PrivateKey_file
./certificates/cert-srv.pem, 1: 27197: 1 - błąd: 06074079: cyfrowe koperta: EVP_PBE_CipherInit procedury: nieznany algorytm PBE "
podczas ładowania kluczy. Zaszyfrowane klucze prywatne w SHA1-rsa1024 i sha256-secp256r1
katalogi pozostają w formacie PKCS # 8. Uwaga na temat formatu klucza prywatnego dodano
certyfikaty / README. - Dodano nowy parametr dla wszystkich AuthBys: EAP_GTC_PAP_Convert zmusza wszystkie żądania EAP-GTC będzie
konwertowane do konwencjonalnych wniosków Promień PAP, że są redespatched, może być typu proxy
innej niż EAP-GTC zdolnego serwera Radius lub do uwierzytelniania lokalnego. Przeliczone
wnioski mogą być wykrywane i obsługiwane z Handler ConvertedFromGTC = 1. - zapytań SQL obsługuje teraz SessionDatabase zmienne powiązań. Parametry zapytania wykonaj
standardowej konwencji nazewnictwa, w których na przykład AddQueryParam stosuje AddQuery zmiennych wiązania.
Zaktualizowane zapytania są: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
ClearNasSessionQuery, CountQuery i CountNasSessionsQuery. - AddressAllocator SQL obsługuje teraz nowy parametr opcjonalny UpdateQuery który będzie uruchomić SQL
Ochrona dla każdej wiadomości rachunkowości z Acct-Status-Typ Start lub Alive.
To zapytanie może być używany do aktualizacji ważności datownik pozwalającą krótszy LeaseReclaimInterval.
Dodano przykład UpdateQuery w addressallocator.cfg w smakołyków. - Naprawiono źle sformatowane wiadomości dziennika w AuthBy RADIUS. Patrik Forsberg zgłoszone.
Poprawiono komunikaty dziennika w EAP-PAX i EAP-PSK i aktualizowane kilka przykładów konfiguracji w smakołyków. - skompilowane pakiety Win32-LSA PPM dla systemu Windows 5.18 i 5.20 Perl dla obu x64 i x86 z liczb 32-bitowych.
W PPMS zostały skompilowane z Strawberry Perl 5.18.4.1 i 5.20.1.1. Zawarte te i
wcześniej skompilowany PPMS Win32-LSA w dystrybucji grzejników. - skompilowane pakiety Authen-Digipass Okna PPM z Strawberry Perl 5.18.4.1 i 5.20.1.1 dla
Perl 5.18, 5.20 x86 32bit z liczb całkowitych. Zaktualizowane digipass.pl używać getopt :: Długi zamiast
z przestarzałe newgetopt.pl. Przepakowane Authen-Digipass PPM dla Perl 5.16 obejmują zaktualizowaną digipass.pl. - Typ Średnica Adres IPv6 atrybutów, których wartości są dekodowane do ludzi teraz czytelnego tekstu adresu IPv6
reprezentacja. Wcześniej dekodowania wrócił surowego wartość atrybutu. Zgłoszone przez Arthura Konowałow. - Zwiększona średnica EAP obsługi zarówno ŚREDNICY AuthBy i ServerDIAMETER. Oba moduły tabor
Aplikacja Średnica-EAP domyślnie podczas wymiany początkowej zdolności. AuthBy ŚREDNICA obsługuje teraz
AuthApplicationIds, AcctApplicationIds i SupportedVendorIds parametry konfiguracyjne - Zmieniono rodzaj wymagalny-User-Identity w słowniku na binarny, aby upewnić się, że wszelkie końcowe NUL
znaki nie są usuwane. - Więcej aktualizacji do plików przykładów konfiguracji. Usuń "DupInterval 0 ', a zamiast tego użyć procedur obsługi z Krain
- Naprawiono błąd, EAP, który może pozwolić na ominięcie ograniczeń metody EAP. Skopiowane badanie typu rozszerzoną EAP
Moduł do smakołyków i zmienił moduł testowy zawsze reaguje z dostępem do odrzucenia. - Dodane notatki backportu i backporty dla starszych wersji Radiator na celu rozwiązanie błąd EAP w
OSC poradnik zabezpieczeń.
Co jest nowa w wersji 4.13:
- nieznany atrybuty mogą być przekierowywane a nie spadła
- Rozszerzenia Średnica mogą wymagać zmian w modułach niestandardowych Średnica
- Rozszerzenia Główne IPv6 to: Atrybuty o wartości IPv6 może być teraz proxy bez wsparcia IPv6, Socket6 nie jest absolutnie konieczne. "IPv6:" prefix jest teraz opcjonalna i nie poprzedzany w wartości atrybutów
- TACACS + uwierzytelnianie i autoryzacja może obecnie zostać oddzielona od
- Zmienne Bind są teraz dostępne dla AuthLog SQL i Log SQL.
- Stan-Server wnioski poprawne Message-bez identyfikatora są ignorowane. Odpowiedzi status-Server są teraz konfigurowalne.
- atrybuty LDAP mogą być pobrane z zakresu podstawowej po Poddrzewo scoped wyszukiwanie. Przydatne na przykład, tokenGroups AD atrybutów, które nie są dostępne w inny sposób
- Nowo dodane czek na CVE-2014-0160, luka OpenSSL Heartbleed może zalogować fałszywych alarmów
- Nowy AuthBy uwierzytelniania przed YubiKey serwera walidacji dodany
- Historia wersji pakietu Zobacz Chłodnica SIM obsługiwanych wersjach opakowań SIM
Ograniczenia :
Maksymalna 1000 wnioski. Ograniczony czas.
Komentarze nie znaleziono