Radiator

ラジエーターRADIUSサーバーは、拡張可能な柔軟性があり、ワイヤレス、TLS、TTLS、PEAP、LEAP、FAST、SQL、プロキシ、DBM、ファイル、LDAP、NIS +、パスワード、NT SAMを含む認証方法の巨大な範囲から認証し、エメラルド、カモノハシ、Freeside、TACACS +、PAM、外部、OPIE、POP3、EAP、Active Directoryとアップルのパスワードサーバ。バスコデジパス、RSA SecurIDの、Yubikeyと相互運用できます。これは、UnixやLinux、Solaris版、Win95の上で動作します/ 98 / NT / XP / / 2007 2000/2003、MacOSの9、MacOS Xの、VMS、その他。完全なソースを提供。利用可能な完全な商用サポート

の何が新しいの今回のリリースで：ます。

の選択バグ修正、互換性ノートと機能強化の

• は、EAP認証の脆弱性と、非常に重要なバグを修正しました。 OSCは推奨してい
      彼らが影響を受けているかどうかを確認するために、OSCセキュリティ勧告OSC-SEC-2014から01を検討するすべてのユーザーにします。
• クライアントfindAddress（）はデフォルトのクライアントの前にCIDRクライアントをルックアップするために変更されました。
      ServerTACACSPLUSに影響を与え、場合によってはモジュールをSessionDatabaseます。
• Windows上の非ブロッキングソケットのサポートが追加されました。
• SessionDatabase SQLクエリは、現在サポートしてバインド変数ます。

• VENDORアロット2603とVSAアロット·ユーザー役割辞書に追加されました。
• は直径クレジット制御アプリケーション辞書の直径AVPフラグのヒントを追加しました。
  のためのDiameterアプリケーションをサポートするように構成され、起動時に<李>防止クラッシュ
  これ何辞書モジュールが存在していなかったん。アーサーによって報告。
  Diameterアプリケーション辞書モジュールの読み込みの改善されたログ記録。
  AuthBy SIP2に
• は改善SIP2Hookのサポートを追加する。 SIP2Hookを使用することができる
  守護許可および/または認証のため。例フックグッズ/ sip2hook.plを追加しました。
  で構成するための新しいオプションのパラメータUsePatronInformationRequestを追加しました
  パトロンのステータス要求は十分ではありません。
• の構成が持っていた場合、クラッシュを引き起こす可能性がありSNMPAGENTに問題が修正されていない
  クライアント。
• ストリームとStreamServerソケットは今あまりにもWindows上で非ブロックモードに設定されている。これが可能に
  例えば、RadSecは、Windows上で非ブロッキングソケットを使用します。
• radpwtstは現在、すべての要求タイプの-message_authenticatorオプションを表彰
  -codeパラメータで指定。
• Client.pm findAddress（）はデフォルトのクライアントの前にCIDRクライアントをルックアップするために変更されました。この
  着信RADIUS要求に同じ順序クライアントのルックアップが使用される。これは主に影響します
  ServerTACACSPLUS。 SessionDatabase DBM、内部およびSQLは、（findAddressを使用します）
  クライアントはNasTypeは同時使用オンライン·チェック用に設定した場合と影響を受けている。
  クライアントのルックアップはServerTACACSPLUSに簡素化されました。
• は辞書にVENDOR形成層17713と4形成層キャノピーVSAを追加しました。
  「RADIUSはIEEE 802ネットワークの属性「今RFC 7268.が属性タイプの一部に更新されます。
  次のホップのホストが作成する前に動作しているか
• AuthByマルチキャストが今、しないの後、最初にチェックします
  転送するように要求。ネクストホップが動作していないときにサイクルを節約します。
• VENDOR APCON 10830とVSA APCON-ユーザーレベルの辞書に追加されました。ジェイソングリフィス寄稿。
• カスタムパスワードハッシュと他のユーザ定義のパスワードチェック方法のサポートが追加されました。
  新しい設定パラメータCheckPasswordHookはAuthByと定義されている場合
  ユーザデータベースから取得したパスワードは、先頭に '{OSC-PW-フック}'で要求を開始し、
  提出されたパスワードと検索されたパスワードがCheckPasswordHookに渡されます。
  提出されたパスワードが正しいと判断される場合にはフックはtrueを返す必要があります。 TranslatePasswordHook
  CheckPasswordHook前実行され、検索されたパスワードに '{OSC-PW-hookを}'を追加することができます。
• AuthLog SYSLOGとログSYSLOGは現在、構成チェックフェーズ中のlogoptをご確認ください。
  すべての問題は、現在のロガー識別子に記録されます。
• SessionDatabase SQL AddQueryとCountQueryのデフォルトは現在、％0ユーザー名を使用
  必要とされる。のための％0の値を明確にするのドキュメントを更新しました
  AddQuery、CountQuery、ReplaceQuery、UpdateQueryとDeleteQuery：％0は、引用符で囲まれたオリジナルです
  ユーザ名。しかし、SessionDatabaseUseRewrittenNameはハンドラに設定されている場合
  チェックは、その後ハンドラ（MaxSessionsの）またはAuthBy（DefaultSimultaneousUse）によって行われ
  ％0が書き換えユーザー名です。ユーザごとのセッションデータベースクエリの場合％0は、常にオリジナルのユーザー名です。
  ％0と％1が含まれるようにCountQueryのマニュアルを更新しました。 CountQuery％1の値です
  同時使用制限の。
  SupportedVendorIdsの値-Idのベンダーにベンダー名の
• の強化解像度、
  VendorAuthApplicationIdsとVendorAcctApplicationIds。のキーワードDictVendors
  SupportedVendorIdsは現在ロードされているすべての辞書からベンダーが含まれています。
  ベンダーでベンダー名* ApplicationIdsは、ロードされた辞書のいずれかであることができる
  DiaMsgモジュールにリストされているのに加えて。
• 辞書ベンダー米国InMon 4300とVSA米国InMon·アクセス·レベルを追加しました。
  ギャリーShtern寄稿。
  応答が現在しようとしたリモートサーバから聞かれない場合に呼び出さ
• AuthBy RADIUSに追加さReplyTimeoutHook、。
  返信が再試行、再送信した後に特定の要求のために聞かれていない場合はフックが呼び出され、
  要求は、そのホストの障害が発生したと思われている。
  デビッドZychさんが提案。
  代わりに
• デフォルトConnectionAttemptFailedHookは、もはや現実のDBAUTH値を記録しますが、「**隠さ** '。
  SQLDB切断法に
• 名前の衝突は、不必要なフィデリオインターフェイスが切断と再接続を引き起こした
  AuthBy FIDELIOHOTSPOTでSQLエラーの後。 AuthBy FIDELIOHOTSPOTは今SQLDBから直接継承します。
• は辞書にVENDORの4ipnet 31932とし、14 4ipnet VSAを追加しました。これらのVSAも4ipnetパートナーか​​らのデバイスで使用される、
  LevelOneなど。 Itzikベンイツァーク寄稿。
• MaxTargetHostsは今AuthBy RADIUSとそのサブタイプのAuthBy ROUNDROBINに適用され、VOLUMEBALANCE、LOADBALANCE、
  HASHBALANCEとEAPBALANCE。 MaxTargetHostsは、以前のみAuthBy VOLUMEBALANCEのために実装されました。
  デビッドZychさんが提案。
• はグエンソングユイの親切な支援を受けて辞書にVENDOR ZTE 3902と、複数のVSAを追加しました。
  辞書には、Cisco VSAを更新しました。
• はradiator.service、Linux用のサンプルにsystemd起動ファイルを追加しました。
• AuthBy FIDELIOとそのサブタイプのサーバーが中にレコードを送信しない場合は、今警告をログに記録
  データベースの再同期。これは通常、フィデリオサーバー側の構成に問題があることを示し、
  実際にはゲストでありチェックされませんしない限り。グッズにfidelio.txtでこれに関するメモを追加しました。
• はDiaDictにDiameter基本プロトコルAVPフラグルールを追加しました。ラジエーターはもはやでCEAを送信しない
  Mフラグが設定されているファームウェア·リビジョンAVP。
• BogoMips値正しく再びデフォルトに1にBogoMips値がAuthByでホスト句で構成されていないとき
  LOADBALANCEまたはVOLUMEBALANCE。セルジュ·アンドレイによって報告。デフォルトは、リリース4.12で壊れていた。
  グッズにproxyalgorithm.cfgでLOADBALANCE例を更新しました。
• AuthBy VOLUMEBALANCE 0に設定BogoMips値を持つホストはプロキシの候補ではないことを確実にした。
• には、次のDiameterアプリケーションのためDiaDictの直径AVPフラグルールを追加しました：RFC 4005と7155 NASREQを、
  RFC 4740 SIPアプリケーションおよびRFC 4072 EAPアプリケーションRFC 4004モバイルIPv4アプリケーション、。
• は、RFC 6929から辞書に属性を追加しました。属性は、デフォルトでプロキシされますが、
  具体的な取り扱いはまだ彼らのために行われません。
• は辞書にVENDOR Covaroネットワーク18022と複数のCovaro VSAを追加しました。これらの
  VSAがADVA社の製品で使用されます。
  ServerDIAMETERとDiameter要求処理中に
• 大幅なパフォーマンスの向上。直径
  要求は、今トレースレベルがデバッグ以上に設定されている場合にのみ、デバッグ用にフォーマットされている。
• AuthLogファイルおよびログメッセージをカスタマイズするLogFormatHookをサポートするようになりましログファイル。
  フックは、ログメッセージを含む単一のスカラー値を返すことが期待される。
  これは、JSON、または任意の他の適切な形式で、例えば、ログをフォーマットすることができ
  必要な後処理のために。アレキサンダーHartmaierの提案およびヘルプ。
• 辞書内ACCT-終了原因、NASポート型とエラー原因の値を更新しました
  最新のIANAの割り当てを一致させます。
• はSHA-256とRSA 2048アルゴリズムにSHA-1およびRSA 1024からのサンプル証明書を更新しました。
  新しいディレクトリ証明書/ SHA1-RSA1024と証明書を追加しました/とSHA256-secp256r1
  以前とECC（楕円曲線暗号）アルゴリズムを使用して証明。すべて
  サンプル証明書は、同一の対象と発行者情報と拡張機能を使用しています。これが可能に
  最小限の構成変更と異なる署名と公開鍵アルゴリズムをテストする。
  SHA-256とRSA 2048のアルゴリズムで証明書を作成するためのグッズで更新mkcertificate.sh。
• TLSベースのEAPメソッドとTLS_ECDH_Curveのための新しい設定パラメータEAPTLS_ECDH_Curveを追加しました
  そのようなRadSecとDiameterとしてストリームのクライアントとサーバのため。このパラメータは、楕円曲線を可能にする
  で返される一時的なキーイング交渉し、その値は、EC「短い名前」です
  のopenssl ecparam -list_curvesコマンド。新しいパラメータはネットSSLeayを1.56以降とのマッチングOpenSSLを必要とする。
• RSA2048 / SHA256でラジエーターをテストし、異なる上ECDSA（曲線secp256r1）/ SHA256証明書
  プラットフォームと異なるクライアントと。 EAPクライアントのサポートは、両方の携帯電話で広く利用可能であった
  そのようなアンドロイド、IOSとWP8、および他のオペレーティングシステム、など。更新された複数のEAP、RadSec、直径
  とグッズの他の設定ファイルは、新しいEAPTLS_ECDH_Curveの例を含むようにし、
  TLS_ECDH_Curve構成パラメータ。
• ハンドラとAuthBy SQL、RADIUS、RADSECとFREERADIUSSQL今AcctLogFileFormatHookをサポートしています。このフックは、
  AcctLogFileNameまたはAcctFailedLogFileNameによって記録されたアカウンティング要求メッセージをカスタマイズするために利用できる。
  フックは、ログメッセージを含む単一のスカラー値を返すことが期待される。これは書式設定ができます
  例えば、JSON、または必要な後処理に適した任意の他の形式のログ。
• グループ設定パラメータは現在の他に、補助グループIDの設定をサポート
  実効グループID。グループは現在第一グループのコンマ区切りのリストとして指定することができます
  グループは、所望の有効グループIDです。解決できない名前がある場合、グループが設定されていない。
  補助グループは、例えば、AuthBy NTLMがwinbinddのソケットへのアクセスに役立つことがあります。
• 辞書に複数のアルカテル、ベンダー6527、VSAを追加しました。
• のRADIUSクライアントとIdenticalClientsの名前解決は、現在のコンフィギュレーションチェックフェーズ中にテストされている。ギャリーShternさんが提案。
  誤って指定IPv4とIPv6 CIDRブロックは、今はっきりと記録されます。チェックもClientListLDAPとClientListSQLによってロードされたクライアントをカバーしています。
  parmnameパラメータで置き換えられます。{parmname AuthBy}
• 特別書式が今％をサポートしています
  現在のパケットを処理しているAuthBy句から。アレクサンダーHartmaierさんが提案。
• は辞書にVENDORトロピック·ネットワーク7483、今アルカテル·ルーセント、および2トロピックVSAを追加しました。これらの
  VSAがそのような1830フォトニックサービススイ​​ッチとして、いくつかのアルカテル·ルーセント製品で使用されている。
  RB-IPv6にオプション属性の誤字を修正しました。
  OpenSSLおよびEAPサプリカントでサポートされているとき、
• TLS 1.1およびTLS 1.2は、現在のEAP方式のために許可されています。
  Lugatechのニック·ロウのおかげ。
• AuthBy FIDELIOHOTSPOTは現在、そのような異なる帯域幅を持つ計画としてプリペイドサービスをサポートしています。
  購入は課金記録とオペラに掲載されている。フィデリオ-hotspot.cfg設定ファイルと
  グッズでフィデリオ-hotspot.sqlはMikrotikのキャプティブポータル統合の例で更新されました。
• AuthBy RADIUSとAuthBy RADSEC比較するときに今より少なくよりと同等を使用
  MaxFailedGraceTimeを使用してタイムスタンプ。以前は厳格な小なり使用された
  次のホップのホストのマークダウン時に1秒の誤差ではオフの原因となる。
  デバッグさとDavid Zychによって報告。
• はAuthBy SQLTOTPはHMAC-SHA-256とHMAC-SHA-512の機能をサポートするように更新されました。 HMACハッシュ
  このアルゴリズムは現在の時間ステップとUnixの時間原点としてだけでなく、各トークンのためにパラメータ化することができます。
  空のパスワードは現在、OTPの入力を求めるようにアクセスチャレンジを開始します。 SQLおよび設定
  例が更新されました。グッズの新しいユーティリティgenerate-totp.plは/作成するために使用することができます
  共有秘密。秘密は、六角とRFC 4648ベース32テキスト形式でととして作成されます
  そのようなGoogle認証とFreeOTPなどのオーセンティケータによってインポートすることができますQRコード画像
  オーセンティケータ。
  証明書/ディレクトリにある
• 再フォーマットroot.pemを、CERT-clt.pemとCERT-srv.pem。
  これらのファイルの暗号化された秘密鍵は今、伝統的なSSLeayの形式でフォーマットされている
  代わりにPKCS＃8形式の。そのようなRHEL 5およびCentOS 5などの一部の古いシステムでは、理解していない
  PKCS＃8形式とTLSはuse_PrivateKey_fileことができませんでした」のようなエラーメッセージで失敗する
  ./certificates/cert-srv.pem、1：27197：1 - エラー：06074079：デジタルエンベロープ·ルーチン：EVP_PBE_CipherInit：不明PBEアルゴリズム」
  キーをロードしようとしたとき。 SHA1-RSA1024とSHA256-secp256r1で暗号化された秘密鍵を
  ディレクトリは、PKCS＃8形式のままです。プライベートキーの形式についてのノートが追加されました
  証明書/ README。
• はすべてAuthBysのための新しいパラメータが追加されました：EAP_GTC_PAP_ConvertがするすべてのEAP-GTC要求を強制的に
  おそらくプロキシされるように、redespatchedされる従来の半径PAP要求に変換
  別の非EAP-GTCが可能なRADIUSサーバーに、またはローカル認証のために。変換された
  要求が検出され、ハンドラConvertedFromGTC = 1で扱うことができる。
• SessionDatabase SQLクエリは現在、バインド変数をサポートしています。クエリパラメータが続く
  例えば、AddQueryParamがAddQueryバインド変数に使用され、通常の命名規則。
  更新されたクエリは、次のとおりです。AddQuery、DeleteQuery、ReplaceQuery、UpdateQuery、ClearNasQuery、
  ClearNasSessionQuery、CountQueryとCountNasSessionsQuery。
• AddressAllocator SQLは現在、SQLを実行する新しいオプションのパラメータUpdateQueryをサポ​​ートしています
  スタートオアアライブのACCT-Status-Typeの各会計メッセージの声明。
  このクエリは、短いLeaseReclaimInterval可能満了タイムスタンプを更新するために使用することができる。
  グッズでaddressallocator.cfgにUpdateQueryの例を追加しました。
  AuthBy RADIUSでの
• 固定ひどくフォーマットされたログメッセージ。パトリック·フォーシュベリによって報告。
  EAP-PAXとEAP-PSKでログメッセージを修正し、グッズの構成例の数を更新しました。
• は32ビットの整数とx64およびx86の両方のためのPerl 5.18と5.20のためのWin32-LSAのWindows PPMパッケージをコンパイル。
  PPMをはストロベリーのPerl 5.18.4.1と5.20.1.1でコンパイルされた。これらおよび付属
  以前にラジエターの配布にWin32ベースのLSAのPPMをコンパイルした。
  ストロベリーのPerl 5.18.4.1と5.20.1.1のために
• コンパイルのAuthen-デジパスWindowsのPPMパッケージ
  Perlの5.18と32ビットの整数とx86用の5.20。 Getoptのを使用するために::ロング代わりに更新しましたdigipass.pl
  非推奨newgetopt.plの。更新されたdigipass.plが含まれるようにPerlの5.16用のAuthen-デジパスPPMを再パック。
• 直径アドレスのタイプは、IPv6の値を持つ属性は、現在人間が読めるIPv6アドレスのテキストにデコードされている
  表現。以前は、デコードは、生の属性値を返す。アーサーKonovalovによって報告。
  AuthBy径とServerDIAMETER両方のハンドリング
• の改善直径EAP。両方のモジュールは現在、広告を出す
  最初の機能交換時にデフォルトで直径-EAPアプリケーション。 AuthBy直径がサポートするようになりました
  AuthApplicationIds、AcctApplicationIdsとSupportedVendorIds設定パラメータ
• 必ず末尾のNUL作るためにバイナリに辞書で請求可能 - ユーザ識別の種類を変更しました
  文字は削除されません。
  サンプルの設定ファイルに
• ほかのアップデート。 「DupInterval 0」を削除し、レルムの代わりにハンドラを使用する
• EAP方式の制限をバイパスする可能性がEAPのバグを修正しました。 EAP拡張したタイプのテストをコピーし
  グッズにモジュールを常に拒否するアクセスで応答するテストモジュールを変更しました。
• でEAPのバグに対処するために、古いラジエーターのバージョンを追加しましたバックポートノートとバックポート
  OSCセキュリティアドバイザリ。
  不明な属性が今プロキシでき代わりに廃棄される。

  のバージョン4.13にの新機能である
  

• この直径の機能強化は、カスタム直径モジュールへの変更が必要な場合があります
  
• このメジャーのIPv6の機能強化が含まれます：IPv6の値が今のIPv6サポートなしでプロキシでき持つ属性、Socket6を、もはや絶対的な必要条件である。 「IPv6は： '接頭辞は今オプションで、属性値で先頭に付加しない
  
• このTACACS +認証と承認は今切り離すことができる
  
• このバインド変数は、今AuthLog SQLおよびログSQLで使用できます。
  
• は正しいメッセージ識別子なしのステータス-Serverリクエストは無視されます。ステータス - サーバーの応答が設定できるようになりました。
  サブツリーは、検索スコープの後に
• このLDAP属性は現在、基本スコープでフェッチすることができます。例えば有用な、のtokenGroups ADはそうでなければ入手できない属性
  CVE-2014-0160のための
• この新しく追加されたチェック、OpenSSLのハートブリードの脆弱性は偽陽性を記録することがあります
  追加されたYubiKey検証サーバに対​​して認証するための
• この新AuthBy
  
• このサポートされているSIMパックのバージョンがします。

の制限事項のためのラジエターSIMパック改訂履歴を参照してください：

最大1000年の要求。期間限定ます。

4 May 20 で セキュリティーソフトウェア, 企業のセキュリティソフトウェア