Radiator

Kühler RADIUS-Server ist flexibel, erweiterbar und authentifiziert aus einer riesigen Palette von Authentifizierungsmethoden, einschließlich Wireless, TLS, TTLS, PEAP, LEAP, FAST, SQL, Proxy, DBM, Dateien, LDAP, NIS +, Passwort, NT SAM , Smaragd, Platypus, Freeside, TACACS +, PAM, extern, OPIE, POP3, EAP, Active Directory und Apple Kennwortserver. Arbeitet mit Vasco Digipass, RSA SecurID Yubikey. Es läuft auf Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007, MacOS 9, MacOS X, VMS und mehr. Full Source zur Verfügung gestellt. Voll kommerziellen Support verfügbar

Was ist neu in dieser Pressemitteilung:.

Ausgewählter Bugfixes, Kompatibilitätshinweise und Erweiterungen

• beseitigt eine Schwachstelle und sehr signifikante Fehler in der EAP-Authentifizierung. OSC empfiehlt
      alle Benutzer OSC Security Advisory OSC-SEC-2014 bis 01 zu überprüfen, ob sie betroffen sind.
• Client Findaddress () wurde geändert, um CIDR Mandanten vor Standard-Client-Lookup.
      Beeinflusst ServerTACACSPLUS und in einigen Fällen SessionDatabase Module.
• Unterstützung für nicht-blockierende Sockets unter Windows
• SessionDatabase SQL-Abfragen unterstützen nun Bindevariablen

• Hinzugefügt VENDOR Allot 2603 und VSA Allot-Benutzer-Rollen zu Wörterbuch.
• Hinzugefügt Durchmesser AVP Flagge Hinweise im Durchmesser Kredit-Control-Applikation Wörterbuch.
• Verhindert Absturz beim Start, wenn konfiguriert, um einen Durchmesser Antrag unterstützen
  die kein Wörterbuch Modul war nicht anwesend. Von Arthur wiesen.
  Verbesserte Protokollierung der Belastung des Durchmesser Anwendung Wörterbuch-Module.
• Improvements to AuthBy SIP2 um Unterstützung für SIP2Hook hinzuzufügen. SIP2Hook verwendet werden
  Schirmherr für Genehmigung und / oder Authentifizierung. Hinzugefügt ein Beispiel Haken goodies / sip2hook.pl.
  Es wurde eine neue optionale Parameter UsePatronInformationRequest für Konfigurationen, in denen
  Patron Status Request ist nicht ausreichend.
• ein Problem mit SNMPAgent, die zu einem Absturz führen konnte, wenn die Konfiguration hatte keine Fest
  Clients.
• Stream und Stream Steckdosen werden jetzt nicht blockierenden Modus unter Windows zu setzen. Dies ermöglicht
  zB RADSEC zu nonblocking Buchsen an Windows verwenden.
• radpwtst -message_authenticator Option für alle Anforderungstypen ehrt jetzt
  mit dem -Code-Parameter angegeben.
• Client.pm Findaddress () wurde geändert, um CIDR Kunden nachschlagen, bevor Standard-Client. Diese
  ist die gleiche, um Client-Lookup für eingehende RADIUS-Anfragen verwendet. Betroffen sind vor allem
  ServerTACACSPLUS. SessionDatabase DBM, INTERNAL und SQL auch Findaddress ()
  und sind davon betroffen, wenn Kunden haben NasType für Simultaneous-Nutzung Online-Prüfung konfiguriert.
  Client-Suche wurde in ServerTACACSPLUS vereinfacht.
• Hinzugefügt VENDOR Cambium 17.713 und vier Cambium-Canopy VSAs Zum Wörterbuch.
  "RADIUS-Attribute für IEEE 802-Netzwerke" ist jetzt RFC 7268. Aktualisiert einige seiner Attributtypen.
• AuthBy MULTICAST prüft nun zunächst, nicht nach dem, ob der nächste Hop-Host ist, bevor Sie die Arbeits
  Anfrage zu übermitteln. Dies wird Zyklen zu sparen, wenn der nächste Hop nicht funktioniert.
• Hinzugefügt VENDOR Apcon 10.830 und VSA Apcon-Benutzerebene zu Wörterbuch. Von Jason Griffith beigetragen.
• Unterstützung für benutzerdefinierte Passwort-Hashes und anderen benutzerdefinierten Passwortüberprüfung Methoden.
  Wenn die neue Konfigurationsparameter CheckPasswordHook für eine AuthBy und definiert die
  Passwort aus der Benutzerdatenbank abgerufen beginnt mit führenden '{OSC-pw-Haken}', die Anforderung,
  das eingegebene Passwort und das Passwort abgefragt werden dem CheckPasswordHook übergeben.
  Der Haken muss wahr zurück, wenn das eingegebene Passwort wird als richtig. TranslatePasswordHook
  läuft vor CheckPasswordHook und kann verwendet werden, um den abgerufenen Passwörter hinzufügen '{OSC-pw-Haken}'.
• authlog SYSLOG und Log SYSLOG jetzt LogOpt während der Konfigurationsprüfung Phase zu überprüfen.
  Alle Probleme werden nun mit dem Logger Identifier angemeldet.
• Die Standardeinstellungen für SessionDatabase SQL AddQuery und CountQuery verwenden nun 0% wobei Benutzername
  benötigt wird. Aktualisiert die Dokumentation, um den Wert 0% für Klärung
  AddQuery, CountQuery, ReplaceQuery, UpdateQuery und DeleteQuery:% 0 ist der zitierten Original
  Benutzernamen ein. Allerdings, wenn SessionDatabaseUseRewrittenName für den Handler gesetzt
  und die Überprüfung von Handler (MaxSessions) oder AuthBy (DefaultSimultaneousUse) getan, dann
  % 0 ist der neu geschrieben Benutzernamen ein. Für pro-Benutzer-Session-Datenbankabfragen% 0 ist immer die ursprüngliche Benutzernamen ein.
  Aktualisiert in der Dokumentation zu den CountQuery% 0 und% 1 gehören. Für CountQuery% 1 ist der Wert,
  der gleichzeitigen Nutzung Grenze.
• Verbesserte Auflösung von Herstellernamen, um Werte für SupportedVendorIds-Id-Verkauf,
  VendorAuthApplicationIds und VendorAcctApplicationIds. Wörter DictVendors für
  SupportedVendorIds umfasst nun Anbieter von allen Wörterbüchern, die geladen werden.
  Hersteller Name in Vendor * ApplicationIds kann in einer der geladenen Wörterbücher sein
  neben der in DiaMsg Modul aufgelistet.
• Hinzugefügt VENDOR InMon 4300 und VSA InMon-Zugriffsebene auf Wörterbuch.
  Garry Shtern beigetragen.
• hinzugekommen ReplyTimeoutHook zu AuthBy RADIUS, nannte aber keine Antwort von der derzeit versucht, Remote-Server gehört.
  Der Haken wird aufgerufen, wenn keine Antwort für eine spezielle Anfrage nach den Wiederholungen Verbreitung und hören
  gilt der Antrag als für diesen Gastgeber gescheitert.
  Von David Zych vorgeschlagen.
• Der Standard ConnectionAttemptFailedHook nicht mehr protokolliert die Echt DBAuth Wert, sondern "** ** verdeckt 'statt.
• Name Zusammenstoß mit sqldb Trennverfahren verursacht unnötige Fidelio Schnittstelle trennt und verbindet
  in AuthBy FIDELIOHOTSPOT nach SQL-Fehler. AuthBy FIDELIOHOTSPOT erbt nun direkt aus sqldb.
• Hinzugefügt VENDOR 4ipnet 31.932 und und 14 4ipnet VSAs Zum Wörterbuch. Diese VSA werden auch von Geräten 4ipnet Partner verwendet,
  wie LevelOne. Von Itzik Ben Itzhak beigetragen.
• MaxTargetHosts gilt nun für AuthBy RADIUS und seine Unterarten AuthBy ROUNDROBIN, VOLUMEBALANCE, Loadbalance,
  HASHBALANCE und EAPBALANCE. MaxTargetHosts wurde zuvor nur für AuthBy VOLUMEBALANCE implementiert.
  Von David Zych vorgeschlagen.
• Hinzugefügt VENDOR ZTE 3902 und mehrfache VSAs, mit freundlicher Unterstützung der Nguyen Huy-Lied-Wörterbuch.
  Aktualisiert Cisco VSAs im Wörterbuch.
• Hinzugefügt radiator.service eine Probe systemd Startdatei für Linux.
• AuthBy FIDELIO und seine Unterarten nun einloggen eine Warnung, wenn der Server keine Datensätze während der sendet
  Datenbank resync. Dies weist normalerweise auf ein Konfigurationsproblem auf dem Fidelio Server-Seite,
  es sei denn, es gibt wirklich keine in Gäste überprüft. In Sachen wurde ein Hinweis darüber in fidelio.txt.
• Hinzugefügt Diameter Basisprotokoll AVP Flagge Regeln DiaDict. Heizkörper nicht mehr sendet CEA mit
  Firmware-Revision AVP, die M-Flag gesetzt hat.
• BogoMips wieder Standardwerte richtig auf 1, wenn BogoMips nicht in einer Host-Klausel in AuthBy konfiguriert
  Loadbalance oder VOLUMEBALANCE. Von Serge ANDREY wiesen. Der Standard wurde in Release 4.12 gebrochen.
  Aktualisiert Loadbalance Beispiel in proxyalgorithm.cfg in Leckereien.
• dafür gesorgt, dass mit BogoMips auf 0 in AuthBy VOLUMEBALANCE gesetzt wird nicht ein Anwärter für Proxy-Hosts sein.
• Hinzugefügt Durchmesser AVP Flagge Regeln DiaDict für folgende Anwendungen Durchmesser: RFC 4005 und 7155 NASREQ,
  RFC 4004 Mobile IPv4 Anwendung, RFC 4740 SIP-Anwendung und RFC 4072 EAP Anwendung.
• von RFC 6929 zu Wörterbuch Hinzugefügt Attribute. Die Attribute werden nun standardmäßig Proxy, aber
  keine spezifische Behandlung für sie noch nicht fertig.
• Hinzugefügt VENDOR Covaro Networks 18.022 und mehreren Covaro VSAs Zum Wörterbuch. Diese
  VSAs werden durch Produkte von ADVA Optical Networking eingesetzt.
• Deutliche Leistungsverbesserungen in ServerDIAMETER und Durchmesser Anforderungsverarbeitung. Durchmesser
  Anfragen werden nun für das Debugging nur, wenn die Trace-Ebene zu debuggen oder höher eingestellt wird formatiert.
• authlog und Protokolldatei jetzt unterstützt LogFormatHook, um die Log-Nachricht anpassen.
  Der Haken wird erwartet, dass eine einzige skalare Größe, die die Log-Nachricht zurückzukehren.
  Dies ermöglicht die Formatierung der Protokolle, beispielsweise in JSON oder einem anderen geeigneten Format
  für die erforderliche Nachbearbeitung. Anregung und Unterstützung von Alexander Hartmaier.
• Aktualisiert die Werte für Acct-Terminate-Cause, NAS-Port-Type und Fehlerursache im Wörterbuch
  um die neuesten IANA Zuweisungen entsprechen.
• Aktualisiert Probe-Zertifikate von SHA-1 und RSA 1024 zu SHA-256 und RSA 2048-Algorithmen.
  Hinzugefügt neue Verzeichnisse Zertifikate / SHA1-RSA1024 und Zertifikate / sha256-secp256r1 mit
  Zertifikate mit den vorherigen und ECC (Elliptic Curve Cryptography) Algorithmen. Alle
  Probe-Zertifikate mit dem gleichen Thema und emittenten Informationen und Erweiterungen. Dies ermöglicht
  Prüfung der verschiedenen Signatur und Public-Key-Algorithmen mit minimalem Konfigurationsänderungen.
  Aktualisiert mkcertificate.sh in Goodies von Zertifikaten mit SHA-256 und RSA 2048-Algorithmen erstellen.
• Es wurden neue Konfigurationsparameter EAPTLS_ECDH_Curve für TLS-basierte EAP-Methoden und TLS_ECDH_Curve
  für Stream-Clients und -Server, wie RADSEC und Durchmesser. Dieser Parameter ermöglicht die Elliptic Curve
  ephemere Keying Verhandlungen und sein Wert ist der EG "Kurznamen" durch zurück
  openssl ecparam -list_curves Befehl. Die neuen Parameter erfordern Net-SSLeay 1.56 oder höher und passenden OpenSSL.
• Getestet Kühler mit RSA2048 / SHA256 und ECDSA (Kurve secp256r1) / SHA256-Zertifikate auf verschiedene
  Plattformen und mit verschiedenen Kunden. EAP-Client-Unterstützung war weithin sowohl mobil zur Verfügung,
  wie Android, iOS und WP8 und andere Betriebssysteme. Aktualisiert mehrere EAP, RADSEC, Durchmesser
  und andere Konfigurationsdateien in Goodies Beispiele der neuen EAPTLS_ECDH_Curve umfassen und
  TLS_ECDH_Curve Konfigurationsparameter.
• Handler und AuthBy SQL, RADIUS, RADSEC und FREERADIUSSQL unterstützen jetzt AcctLogFileFormatHook. Dieser Haken ist
  zur Verfügung, um die Accounting-Request-Nachrichten AcctLogFileName oder AcctFailedLogFileName angemeldet anpassen.
  Der Haken wird erwartet, dass eine einzige skalare Größe, die die Log-Nachricht zurückzukehren. Dies ermöglicht Formatierungs
  die Protokolle, beispielsweise in JSON oder irgendeinem anderen geeigneten für die erforderliche Nachbearbeitungs Format.
• Der Konfigurationsparameter Gruppe unterstützt nun die Einstellung der zusätzlichen Gruppen-IDs neben
  die effektive Gruppen-ID. Gruppe kann nun als kommagetrennte Liste von Gruppen, in denen die erste angegeben werden
  Gruppe ist die gewünschte effektive Gruppen-ID. Wenn es Namen, die nicht aufgelöst werden können, werden Gruppen nicht eingestellt.
  Die zusätzlichen Gruppen können mit Hilfe beispielsweise AuthBy NTLM per winbindd Steckdose.
• Hinzugefügt mehreren Alcatel, Anbieter 6527, VSAs Zum Wörterbuch.
• Die Namensauflösung für RADIUS-Clients und IdenticalClients wird nun während Konfigurationsprüfung Phase getestet. Garry Shtern vorgeschlagen.
  Falsch angegeben IPv4- und IPv6-CIDR-Blöcke sind nun klar angemeldet. Die Kontrollen umfassen auch Kunden von ClientListLDAP und ClientListSQL geladen.
• Sonderformatierung unterstützt nun% {AuthBy: parmname}, welche durch die parmname Parameter ersetzt wird
  vom AuthBy Klausel, die Handhabung wird das aktuelle Paket. Von Alexander Hartmaier vorgeschlagen.
• Hinzugefügt VENDOR Tropic Networks 7483, jetzt Alcatel-Lucent und zwei Tropic VSAs Zum Wörterbuch. Diese
  VSAs werden von einigen Alcatel-Lucent-Produkte verwendet werden, wie der 1830 Photonic Service Switch.
  Ein Tippfehler in der RB-IPv6-Option Attribut.
• TLS 1.1 und TLS 1.2 sind jetzt EAP-Methoden erlaubt, wenn sie von OpenSSL und EAP Bittsteller unterstützt.
  Dank Nick Lowe von Lugatech.
• AuthBy FIDELIOHOTSPOT unterstützt jetzt Prepaid-Dienste, wie zB Pläne mit unterschiedlichen Bandbreiten.
  Die Käufe sind Opera mit Billing-Records veröffentlicht. Konfigurationsdateien fidelio-hotspot.cfg und
  fidelio-hotspot.sql in Sachen wurden mit einem Beispiel Mikrotik Captive Portal-Integration aktualisiert.
• AuthBy RADIUS und AuthBy RADSEC nun weniger-als und gleich beim Vergleich
  Zeitstempel mit MaxFailedGraceTime. Zuvor strenge weniger-als verwendet wurde
  was zu einem aus um eine zweite Fehler beim Markieren nächsten Hop Gastgeber nach unten.
  Testet und von David Zych wiesen.
• AuthBy SQLTOTP wurde aktualisiert, um die HMAC-SHA-256 und HMAC-SHA-512-Funktionen unterstützen. Der HMAC-Hash
  Algorithmus können nun für jeden Token sowie Zeitschritt und Unix-Zeitursprung parametriert werden.
  Ein leeres Kennwort wird nun Access-Challenge zu starten, um für die OTP aufgefordert. SQL und Konfiguration
  Beispiele wurden aktualisiert. Ein neues Dienstprogramm generate-totp.pl in goodies / kann verwendet werden, um zu schaffen
  Shared Secrets. Die Geheimnisse sind in hex und RFC 4648 Base32 Textformate und wie geschaffen
  QR code Bilder, die von Authentifizierungskomponenten wie Google Authenticator und FreeOTP importiert werden können
  Authenticator.
• Neu forma root.pem, cert-clt.pem und cert-srv.pem im Zertifikate / Verzeichnis.
  Der verschlüsselte private Schlüssel in diesen Dateien werden nun im herkömmlichen SSleay formatiert
  anstelle von PKCS # 8-Format. Einige ältere Systeme wie RHEL 5 und CentOS 5, nicht verstehen,
  die PKCS # 8-Format und nicht mit einer Fehlermeldung wie "TLS konnte nicht use_PrivateKey_file
  ./certificates/cert-srv.pem, 1: 27.197: 1 - Fehler: 06.074.079: digitale Umschlag Routinen: EVP_PBE_CipherInit: unbekannt PBE-Algorithmus '
  wenn man versucht, die Schlüssel zu laden. Die verschlüsselten privaten Schlüssel in SHA1-RSA1024 und sha256-secp256r1
  Verzeichnisse bleiben im PKCS # 8-Format. Ein Hinweis zu den privaten Schlüssel Format wurde hinzugefügt
  Zertifikate / README.
• Es wurden neue Parameter für alle AuthBys: EAP_GTC_PAP_Convert zwingt alle EAP-GTC-Anfragen zu sein
  umgerechnet auf konventionellen Radius PAP Anfragen, redespatched werden, vielleicht an weitergeleitete werden
  an einen anderen nicht-EAP-GTC Lage Radius-Server oder für die lokale Authentifizierung. Die umge
  Anfragen können erkannt und mit Handler ConvertedFromGTC = 1 behandelt.
• SessionDatabase SQL-Abfragen unterstützen nun Bindevariablen. Die Abfrageparameter folgen der
  üblichen Namenskonvention, wo zum Beispiel wird AddQueryParam für AddQuery Bind-Variablen verwendet.
  Die aktualisierten Abfragen sind: AddQuery, DeleteQuery, ReplaceQuery, UpdateQuery, ClearNasQuery,
  ClearNasSessionQuery, CountQuery und CountNasSessionsQuery.
• AddressAllocator SQL unterstützt nun einen neuen optionalen Parameter UpdateQuery die eine SQL ausgeführt wird
  und Verlustrechnung für jedes Geschäfts Nachricht mit Acct-Status-Type von Anfang or Alive.
  Diese Abfrage kann verwendet werden, um das Ablaufzeitstempel ermöglicht kürzere LeaseReclaimInterval aktualisieren.
  Hinzugefügt ein Beispiel UpdateQuery in addressallocator.cfg in Leckereien.
• Feste schlecht formatierten Protokollmeldung in AuthBy RADIUS. Von Patrik Forsberg wiesen.
  Fest Log-Meldungen in EAP-PAX und EAP-PSK und aktualisiert eine Reihe von Konfigurationsbeispiele in Sachen.
• Zusammengestellt Win32-Lsa Windows-PPM-Pakete für Perl 5.18 und 5.20 sowohl für x64- und x86 mit 32-Bit-Ganzzahlen.
  Die PPMs wurden mit Strawberry Perl 5.18.4.1 und 5.20.1.1 zusammengestellt. Inklusive dieser und der
  zuvor kompilierten Win32-Lsa PPMs in der Kühlerverteilung.
• Zusammengestellt Authen-Digipass Windows-PPM-Pakete mit Strawberry Perl 5.18.4.1 und 5.20.1.1 zu
  Perl 5.18 und 5.20 für x86 mit 32-Bit-Ganzzahlen. Aktualisiert digipass.pl zu verwenden Getopt :: Long statt
  der veraltet newgetopt.pl. Umgepackt Authen-Digipass PPM für Perl 5.16, um die aktualisierte digipass.pl gehören.
• Durchmesser Adresstyp-Attribute mit IPv6-Werte werden jetzt allgemein lesbare IPv6-Adresse Text decodiert
  Darstellung. Zuvor kehrte decode die rohe Attributwert. Von Arthur Konovalov wiesen.
• Verbesserte Durchmesser EAP Handhabung sowohl für AuthBy Durchmesser und ServerDIAMETER. Beide Module jetzt bewerben
  Durchmesser-EAP-Anwendung standardmäßig in der ersten Austauschfähigkeit. AuthBy DURCHMESSER unterstützt jetzt
  AuthApplicationIds, AcctApplicationIds und SupportedVendorIds Konfigurationsparameter
• Changed die Art der Kostenpflichtige-User-Identität im Wörterbuch in binäre um sicherzustellen, dass keine Hinter NUL machen
  Zeichen werden nicht abgezogen.
• Mehr Aktuelles zu Beispiel-Konfigurationsdateien. Entfernen 'DupInterval 0' und verwenden Sie Handler statt Realms
• Es wurde ein Fehler behoben, EAP ermöglichen könnte Umgehung EAP-Methode Einschränkungen. Kopiert die EAP erweitert Typprüfung
  Modul an Leckereien und änderte den Testmodul immer reagieren mit Zugang abzulehnen.
• Hinzugefügt Backport Notizen und Backports für ältere Versionen Kühler, um die EAP Fehler in ehen
  OSC Security Advisory.

Was ist neu in Version 4.13:

• Unbekannte Attribute können nun anstatt gesunken Proxy werden
  
• Diameter Zubehör können Änderungen an benutzerdefinierten Durchmesser Module benötigen
  
• Wichtige IPv6 Erweiterungen gehören: Attribute mit IPv6-Werte können nun ohne IPv6-Unterstützung Proxy werden, ist Socket6 nicht mehr eine unbedingte Voraussetzung. "IPv6: 'Präfix ist jetzt optional und nicht im Attributwerten vorangestellt
  
• TACACS + Authentifizierung und Autorisierung können jetzt entkoppelt werden
  
• Bind Variablen sind jetzt authlog SQL und SQL-Log verfügbar.
  
• Status-Server-Anfragen ohne korrekte Nachricht-Identifier werden ignoriert. Status-Server-Antworten sind jetzt konfigurierbar.
  
• LDAP-Attributen können nun mit Basisumfang abgeholt werden nach dem Teilbaum scoped Suche. Nützlich zum Beispiel Attribute tokengroups AD, welche sonst nicht verfügbar sind
  
• Neu hinzugefügte Prüfung für CVE-2014-0160, die OpenSSL Heartbleed Sicherheitslücke kann zu Fehlalarmen log
  
• New AuthBy für die Authentifizierung gegen YubiKey Validierungsserver hinzugefügt
  
• Siehe Heizkörper SIM Pack Revisionsverlauf für unterstützte SIM-Pack-Versionen

Grenzen :

Die maximale 1000 Anfragen. Nur für kurze Zeit.