Radiator RADIUS bediener is buigsaam, extensible en verifieert van 'n groot verskeidenheid van auth metodes, insluitende Wireless, TLS, TTLS, PEAP, spring, vinnig, SQL, proxy, DBM, lêers, LDAP, NIS +, wagwoord, NT SAM , Emerald, Platypus, Freeside, TACACS +, PAM, eksterne, Opie, POP3, EAP, Active Directory en Apple Wagwoord Server. Interoperates met Vasco DigiCity Pass, RSA SecurID, Yubikey. Dit loop op Unix, Linux, Solaris, Win95 / 98 / NT / XP / 2000/2003/2007 MacOS 9, MacOS X, VMS, en nog baie meer. Volle bron voorsien. Volle kommersiële ondersteuning beskikbaar
Wat is nuut in hierdie release:.
geselekteerde foutherstellings, verenigbaarheid notas en verbeterings
- Repareert kwesbaarheid en baie belangrike fout in OBP verifikasie. OSC beveel
alle gebruikers OSC sekuriteit adviserende OSC-SEC-2014-01 te hersien om te kyk of hulle geraak word. - kliënt findAddress () is verander CIDR kliënte te soek voordat DEFAULT kliënt.
Raak ServerTACACSPLUS en in sommige gevalle SessionDatabase modules. - Bygevoeg ondersteuning vir nie-blokkeer voetstukke op Windows
- SessionDatabase SQL navrae ondersteun nou bind veranderlikes
Gedetailleerde veranderinge
- Bygevoeg VERKOPER Toeken 2603 en VSA Toeken-gebruiker-rol te woordeboek.
- Bygevoeg Diameter AVP vlag wenke in die deursnee Credit-Control Aansoek woordeboek.
- voorkom word crash tydens startup wanneer ingestel 'n Diameter aansoek te ondersteun
wat geen woordeboek module was nie teenwoordig nie. Gerapporteer deur Arthur.
Verbeterde meld van die laai van Diameter aansoek woordeboek modules. - Verbeterings aan AuthBy SIP2 ondersteuning te voeg vir SIP2Hook. SIP2Hook kan gebruik word
vir beskermheer magtiging en / of verifikasie. Bygevoeg 'n voorbeeld haak goodies / sip2hook.pl.
Bygevoeg 'n nuwe opsionele parameter UsePatronInformationRequest vir konfigurasies waarin
Beskermheer Status Versoek is nie voldoende nie. - Vaste 'n probleem met SNMPAgent wat kan 'n ongeluk veroorsaak as die opset gehad het nie
Kliënte. - Stroom en StreamServer voetstukke is nou gestel om nonblocking af op Windows ook. Dit laat
byvoorbeeld, RadSec nonblocking voetstukke te gebruik op Windows. - radpwtst eer nou -message_authenticator opsie vir alle vorme versoek
gespesifiseerde met die -kode parameter. - Client.pm findAddress () is verander om te kyk CIDR kliënte voordat DEFAULT kliënt. Dit
is dieselfde orde kliënt lookup vir inkomende RADIUS versoeke gebruik. Dit affekteer meestal
ServerTACACSPLUS. SessionDatabase DBM, interne en SQL gebruik ook findAddress ()
en beïnvloed word wanneer kliënte het NasType ingestel vir Gelyktydige-Gebruik aanlyn nagaan.
Kliënt lookup vereenvoudig in ServerTACACSPLUS. - Bygevoeg VERKOPER kambium 17.713 en vier kambium-Canopy VSAs te woordeboek.
"RADIUS eienskappe om IEEE 802 Netwerke" is nou RFC 7268. Opdateer sommige van sy kenmerk tik. - AuthBy multicast tjeks nou eers, nie na, as die volgende hop gasheer werk voor die skep van die
versoek te stuur. Dit sal red siklusse wanneer die volgende hop is nie werk nie. - Bygevoeg VERKOPER Apcon 10830 en VSA Apcon-gebruiker-Vlak woordeboek. Bygedra deur Jason Griffith.
- Bygevoeg ondersteuning vir persoonlike wagwoord hashes en ander gebruiker gedefinieerde wagwoord tjek metodes.
Wanneer die nuwe opset parameter CheckPasswordHook is vir 'n AuthBy en gedefinieer die
wagwoord opgespoor van die gebruiker databasis begin met die voorste '{OSC-pw-haak}', die versoek,
die voorgelê wagwoord en die opgespoor wagwoord geslaag om die CheckPasswordHook.
Die haak moet terugkeer waar as die voorgelê wagwoord korrek geag word. TranslatePasswordHook
lopies voor CheckPasswordHook en kan gebruik word om by te voeg '{OSC-pw-haak} aan die opgespoor wagwoorde. - AuthLog SYSLOG en Meld SYSLOG nou gaan LogOpt tydens die opset tjek fase.
Enige probleme is nou uitgeteken met die loggers Identifier. - Die standaard vir SessionDatabase SQL AddQuery en CountQuery nou gebruik% 0 waar gebruikersnaam
is nodig. Opgedateer die dokumentasie van die waarde van% 0 vir om te verduidelik
AddQuery, CountQuery, ReplaceQuery, opdateerNavraag en DeleteQuery:% 0 is die gekwoteerde oorspronklike
gebruikersnaam. Maar, as SessionDatabaseUseRewrittenName is ingestel vir die hanteerder
en die tjek is gedoen deur Handler (MaxSessions) of AuthBy (DefaultSimultaneousUse), dan
% 0 is die herskryf gebruikersnaam. Vir per gebruiker sessie databasis navrae% 0 is altyd die oorspronklike gebruikersnaam.
Opgedateer die dokumentasie vir CountQuery% 0 en% 1 in te sluit. Vir CountQuery% 1 is die waarde
van die gelyktydige gebruik limiet. - Verbeterde resolusie van die verkoper name waardes-id verkoper vir SupportedVendorIds,
VendorAuthApplicationIds en VendorAcctApplicationIds. Sleutelwoord DictVendors vir
SupportedVendorIds sluit nou verkopers van alle woordeboeke wat gelaai is.
Verkoper naam in Vendor * ApplicationIds kan in enige van die gelaaide woordeboeke wees
benewens om gelys in DiaMsg module. - Bygevoeg VERKOPER InMon 4300 en VSA InMon-Access-Vlak woordeboek.
Bygedra deur Garry Shtern. - Added ReplyTimeoutHook te AuthBy radius, genoem indien geen antwoord uit die oomblik probeer afgeleë bediener gehoor.
Die haak word genoem indien geen antwoord hoor vir 'n spesifieke versoek na die Pogingen retransmissions en
versoek word geag te versuim het om vir daardie Host.
Voorgestel deur David Zych. - Die standaard ConnectionAttemptFailedHook logs nie meer die ware DBAuth waarde, maar '** verduister ** "in plaas.
- Naam botsing met SqlDb ontkoppel metode veroorsaak onnodige Fidelio koppelvlak koppel en weer koppel
in AuthBy FIDELIOHOTSPOT na SQL foute. AuthBy FIDELIOHOTSPOT erf nou direk van SqlDb. - Bygevoeg VERKOPER 4ipnet 31.932 en en 14 4ipnet VSAs te woordeboek. Hierdie VSA word ook deur toestelle uit 4ipnet vennote,
soos LevelOne. Bygedra deur Itzik Ben Itzhak. - MaxTargetHosts geld nou vir AuthBy radius en sy sub-tipes AuthBy ROUNDROBIN, VOLUMEBALANCE, LOADBALANCE,
HASHBALANCE en EAPBALANCE. MaxTargetHosts voorheen geïmplementeer net vir AuthBy VOLUMEBALANCE.
Voorgestel deur David Zych. - Bygevoeg VERKOPER ZTE 3902 en verskeie VSAs te woordeboek met die vriendelike hulp van Nguyen Song Huy.
Opgedateer Cisco VSAs in woordeboek. - Bygevoeg radiator.service, 'n monster systemd opstart lêer vir Linux.
- AuthBy Fidelio en sy sub-tipes nou aanteken 'n waarskuwing as die bediener stuur geen rekords tydens die
databasis resync. Dit dui gewoonlik 'n opset probleem op die Fidelio bediener kant,
tensy daar werklik geen nagegaan gaste. Bygevoeg 'n opmerking oor hierdie in fidelio.txt in goodies. - Bygevoeg Diameter Base protokol AVP vlag reëls in DiaDict. Verkoeler nie meer stuur CEA met
Firmware-Hersiening AVP wat M vlag stel. - BogoMips weer standaard korrek tot 1 wanneer BogoMips is nie in 'n Host klousule in AuthBy ingestel
LOADBALANCE of VOLUMEBALANCE. Gerapporteer deur Serge Andrey. Die standaard is gebreek in release 4.12.
Opgedateer LOADBALANCE byvoorbeeld in proxyalgorithm.cfg in goodies. - verseker dat gashere met BogoMips ingestel op 0 in AuthBy VOLUMEBALANCE sal nie 'n kandidaat vir proxying.
- Bygevoeg Diameter AVP vlag reëls in DiaDict vir die volgende Diameter aansoeke: RFC 4005 en 7155 NASREQ,
RFC 4004 Mobile IPv4 Aansoek, RFC 4740 SIP Aansoek en RFC 4072 EAP Aansoek. - Bygevoeg die eienskappe van RFC 6929 te woordeboek. Die eienskappe sal nou proxy word by verstek, maar
geen spesifieke hantering vir hulle gedoen het nie. - Bygevoeg VERKOPER Covaro netwerke 18.022 en verskeie Covaro VSAs te woordeboek. Hierdie
VSAs word deur produkte van Adva optiese netwerke. - Beduidende prestasie verbeterings in ServerDIAMETER en deursnee versoek verwerking. Deursnee
versoeke is nou geformateer vir ontfouting slegs wanneer die spoor vlak is stel na debug of hoër. - AuthLog lêer en log lêer ondersteun nou LogFormatHook die log boodskap aan te pas.
Die haak is verwag om 'n enkele skalaar waarde wat die log boodskap om terug te keer.
Dit laat opmaak die logs, byvoorbeeld, in into of enige ander formaat wat geskik
vir die vereiste naprosessering. Voorstel en hulp deur Alexander Hartmaier. - Opdateer die waardes vir rekeningnummer-Beëindig-saak, NAS-Port-tipe en Fout-Oorsaak in woordeboek
die nuutste IANA opdragte aan te pas. - opgedateer voorbeeld van sertifikate van SHA-1 en RSA 1024 tot SHA-256 en RSA 2048 algoritmes.
Bygevoeg nuwe dopgehou sertifikate / SHA1-rsa1024 en sertifikate / sha256-secp256r1 met
sertifikate met behulp van die vorige en ECC (Elliptiese kurwe kriptografie) algoritmes. Alle
monster sertifikate gebruik dieselfde vak en emittent inligting en uitbreidings. Dit laat
die toets van die verskillende handtekening en publieke sleutel algoritmes met 'n minimale opset veranderinge.
Opgedateer mkcertificate.sh in goodies sertifikate met SHA-256 en RSA 2048 algoritmes te skep. - Bygevoeg nuwe opset parameters EAPTLS_ECDH_Curve vir TLS gebaseer EAP metodes en TLS_ECDH_Curve
vir Stroom kliënte en bedieners soos RadSec en deursnee. Hierdie parameter laat Elliptiese Curve
efemere insleutel onderhandeling en die waarde daarvan is die EG 'n kort naam soos teruggekeer deur
OpenSSL ecparam -list_curves opdrag. Die nuwe parameters benodig Net-SSLeay 1.56 of later en bypassende OpenSSL. - Getoets Radiator met RSA2048 / SHA256 en ECDSA (kurwe secp256r1) / SHA256 sertifikate op verskillende
platforms en met verskillende kliënte. OBP kliënt ondersteuning was wyd beskikbaar op beide selfoon,
soos Android, IOS en WP8, en ander bedryfstelsels. Opgedateer verskeie EAP, RadSec, Diameter
en ander opset lêers in goodies voorbeelde van die nuwe EAPTLS_ECDH_Curve te sluit en
TLS_ECDH_Curve opset parameters. - hanteerder en AuthBy SQL, radius, RADSEC en FREERADIUSSQL ondersteun nou AcctLogFileFormatHook. Dit haak is
beskikbaar is om die Rekeningkunde-Request boodskappe gelog deur AcctLogFileName of AcctFailedLogFileName aan te pas.
Die haak is verwag om 'n enkele skalaar waarde wat die log boodskap om terug te keer. Dit laat opmaak
die logs, byvoorbeeld, in into of enige ander formaat wat geskik is vir die vereiste naprosessering. - Die Groep opset parameter ondersteun nou die opstel van die bykomende groep ids in bykomend tot
die doeltreffende groep id. Groep kan nou bepaal word as komma geskei lys van groepe waar die eerste
groep is die gewenste doeltreffende groep id. As daar is name wat nie opgelos kan word nie, word groepe nie ingestel.
Die aanvullende groepe kan help met, byvoorbeeld, AuthBy NTLM toegang tot die winbindd socket. - Bygevoeg verskeie Alcatel, verskaffer 6527, VSAs te woordeboek.
- Naam resolusie vir Radius Clients en IdenticalClients is nou getoets gedurende opstelling tjek fase. Voorgestel deur Garry Shtern.
Verkeerd gespesifiseerde IPv4 en IPv6 CIDR blokke word nou duidelik aangeteken. Die tjeks dek ook kliënte gelaai deur ClientListLDAP en ClientListSQL. - Spesiale formatering ondersteun nou% {AuthBy: parmname} wat vervang is deur die parmname parameter
uit die AuthBy klousule wat die hantering van die huidige pakkie. Voorgestel deur Alexander Hartmaier. - Bygevoeg VERKOPER Tropic netwerke 7483, nou Alcatel-Lucent, en twee Tropic VSAs te woordeboek. Hierdie
VSAs word gebruik deur sommige Alcatel-Lucent produkte, soos die 1830 Fotoniese Service Switch.
Vaste 'n tikfout in RB-IPv6-Opsie kenmerk. - TLS 1.1 en TLS 1.2 is nou toegelaat om vir EAP metodes toe deur OpenSSL en OBP bidders.
Danksy Nick Lowe van Lugatech. - AuthBy FIDELIOHOTSPOT ondersteun nou voorafbetaalde dienste, soos planne met verskillende bandwydte.
Die aankope te Opera gepos met 'n faktuur rekords. Konfigurasielêers fidelio-hotspot.cfg en
fidelio-hotspot.sql in goodies is opgedateer met 'n voorbeeld van Mikrotik gevange portaal integrasie. - AuthBy radius en AuthBy RADSEC gebruik nou minder-as en gelyk wanneer vergelyk
tyd seëls met behulp MaxFailedGraceTime. Voorheen streng minder-as is gebruik
veroorsaak 'n off deur een sekonde fout met die nasien volgende hop draers af.
Ontfout en gerapporteer deur David Zych. - AuthBy SQLTOTP is opgedateer HMAC-SHA-256 en HMAC-SHA-512 funksies te ondersteun. Die HMAC hash
algoritme kan nou parametrised word vir elke teken, asook die tyd stap en Unix tyd oorsprong.
'N leë wagwoord sal nou begin Access-Challenge te vinnig vir die OTP. SQL en opset
voorbeelde is opgedateer. 'N Nuwe nut generate-totp.pl in goodies / kan gebruik word om te skep
gedeel geheime. Die geheime geskep in hex en RFC 4648 Base32 teks formate en as
QR code beelde wat ingevoer kan word deur authenticators soos Google Authenticator en FreeOTP
Authenticator-. - microverfilmde root.pem, sert-clt.pem en sert-srv.pem in die / directory sertifikate.
Die vercijferde private sleutels in hierdie lêers is nou geformateer in die tradisionele SSLeay formaat
in plaas van PKCS # 8 formaat. Sommige ouer stelsels, soos RHEL 5 en CentOS 5, verstaan nie
die PKCS # 8 formaat en misluk met fout boodskap soos "TLS kon nie use_PrivateKey_file
./certificates/cert-srv.pem, 1: 27.197: 1 - fout: 06074079: digitale koevert roetines: EVP_PBE_CipherInit: onbekend PBE algoritme '
wanneer ek probeer om die sleutels te laai. Die vercijferde private sleutels in sha1-rsa1024 en sha256-secp256r1
dopgehou bly in die PKCS # 8 formaat. 'N nota oor die private sleutel formaat is in bygevoeg
sertifikate / README. - Bygevoeg nuwe parameter vir alle AuthBys: EAP_GTC_PAP_Convert dwing al EAP-GTC versoeke te wees
omgeskakel na konvensionele Radius PAP versoeke wat redespatched is, miskien te proxy word
na 'n ander nie-OBP-GTC staat Radius bediener of vir plaaslike verifikasie. Die omgeskakel
versoeke kan opgespoor word en behandel word met Handler ConvertedFromGTC = 1. - SessionDatabase SQL navrae ondersteun nou bind veranderlikes. Die navraag parameters volg die
gewone naamkonvensie waar, byvoorbeeld, is AddQueryParam gebruik vir AddQuery bind veranderlikes.
Die opgedateer navrae is: AddQuery, DeleteQuery, ReplaceQuery, opdateerNavraag, ClearNasQuery,
ClearNasSessionQuery, CountQuery en CountNasSessionsQuery. - AddressAllocator SQL ondersteun nou 'n nuwe opsionele parameter opdateerNavraag wat 'n SQL hardloop
verklaring vir elke rekeningkundige boodskap met rekeningnummer-Status-Tipe Begin of lewendig.
Hierdie navraag kan gebruik word om die verstryking tyd stempel sodat korter LeaseReclaimInterval te werk.
Bygevoeg 'n voorbeeld van opdateerNavraag in addressallocator.cfg in goodies. - Vaste sleg geformatteer log boodskap in AuthBy RADIUS. Gerapporteer deur Patrik Forsberg.
Vaste log boodskappe in OBP-PAX en OBP-PSK en bygewerk 'n aantal opset voorbeelde in goodies. - Saamgestel Win32-Lsa Windows PPM pakkette vir Perl 5.18 en 5.20 vir beide x64 en x86 met 32bit heelgetalle.
Die PPMs is saamgestel met Strawberry Perl 5.18.4.1 en 5.20.1.1. Ingesluit hierdie en die
voorheen Win32-Lsa PPMs saamgestel in die verkoeler verspreiding. - Saamgestel Authen-DigiCity Pass Windows PPM pakkette met Strawberry Perl 5.18.4.1 en 5.20.1.1 vir
Perl 5.18 en 5.20 vir x86 met 32bit heelgetalle. Opgedateer digipass.pl Getopt te gebruik :: Lang plaas
van afgekeur newgetopt.pl. Herverpak Authen-DigiCity Pass PPM vir Perl 5.16 die opgedateer digipass.pl te sluit. - Diameter Adres tipe eienskappe met IPv6 waardes nou gedekodeer leesbare IPv6 adres teks
verteenwoordiging. Voorheen, dekodeer teruggekeer om die rou kenmerk waarde. Gerapporteer deur Arthur Konovalov. - Verbeterde Diameter EAP hantering vir beide AuthBy deursnee en ServerDIAMETER. Beide modules nou adverteer
Deursnee-OBP aansoek by verstek tydens die aanvanklike vermoëns ruil. AuthBy DEURSNEDE nou ondersteun
AuthApplicationIds, AcctApplicationIds en SupportedVendorIds opset parameters - Verander die tipe Fakturabele-gebruiker identiteit in woordeboek binêre om seker te maak enige sleep NUL
karakters word nie gestroop. - Meer updates te byvoorbeeld konfigurasielêers. Verwyder 'DupInterval 0' en Hanteerders gebruik in plaas van Realms
- Vaste 'n OBP fout wat kan toelaat dat omleiding EAP metode beperkings. Gekopieer die OBP uitgebrei tipe toets
module te goodies en verander die toets module om altyd reageer met toegang verwerp. - Bygevoeg backport notas en back ports vir ouer Radiator weergawes die OBP fout in aan te spreek
OSC sekuriteit adviserende.
Wat is die nuwe in die weergawe 4.13:
- Unknown eienskappe kan nou proxy word in plaas van val
- Diameter verbeterings vereis veranderinge aan persoonlike Diameter modules
- Groot IPv6 verbeterings sluit in: Eienskappe met IPv6 waardes kan nou proxy word sonder IPv6 ondersteuning, Socket6 is nie meer 'n absolute voorvereiste. 'IPv6: "voorvoegsel is nou opsioneel en nie prepended in kenmerk waardes
- TACACS + verifikasie en magtiging kan nou ontdaan
- Bind veranderlikes is nou beskikbaar vir AuthLog SQL en Meld SQL.
- Status-bediener versoeke sonder korrekte boodskap-Identifier word geïgnoreer. Status-bediener antwoorde is nou instel.
- LDAP eienskappe kan nou met basis omvang gehaal word na substructuur scoped soek. Nuttige byvoorbeeld tokenGroups AD eienskappe wat nie anders beskikbaar
- Nuut bygevoeg tjek vir CVE-2014-0160, die OpenSSL Heartbleed kwesbaarheid moontlik false positiewe teken
- New AuthBy vir waarmerking teen YubiKey validering bediener bygevoeg
- Sien Radiator SIM pak hersiening geskiedenis vir ondersteun SIM pak weergawes
Beperkings :
Maksimum 1000 versoeke. Beperkte tyd.
Kommentaar nie gevind