FreeRADIUS

FreeRADIUS是一個開放源碼的命令行應用程序，為用戶提供了一個獨特的全功能遠程認證撥號用戶服務（RADIUS）服務器，適用於Linux，BSD，Microsoft Windows和Mac OS X平台。

盒子裡有什麼東西？

該項目由實際的RADIUS服務器，客戶端庫，Apache Web服務器的模塊以及PAM（可插拔認證模塊）庫組成。它可以作為源文件下載，使用戶能夠在任何Linux發行版上配置，編譯和安裝程序。

快速，靈活和完全可配置的RADIUS服務器

它是一種快速，靈活和完全可配置的RADIUS服務器，支持比任何其他商業或免費產品更多的身份驗證協議。它支持LDAP，MySQL，PostgreSQL和Oracle數據庫。

支持多種認證方式
支持的認證方法包括PAP，MS-CHAP，MS-CHAPv2，CHAP和SIP Digest。此外，它支持EAP，EAP-SIM，EAP-MD5，EAP-TTLS，EAP-TLS，EAP-PEAP以及Cisco LEAP子類型。

具有模塊化設計

它具有模塊化設計，允許有經驗的用戶將其部署在嵌入式系統上。所有請求都可以被代理，通過簡單配置支持標準的RADIUS領域和虛擬服務器。此外，它已經過測試，可以與大量的802.1x請求者，服務器和客戶端一起使用。

您可以分配VLAN
另一個有趣的功能是通過VMPS（VLAN管理策略服務器）協議分配VLAN（虛擬局域網）。它還具有用於IP地址分配的內置DHCP實現。

符合許多規格

默認情況下，應用程序支持所有RADIUS RFC和屬性定義，並且符合許多規範，包括RFC1157，RFC2868，RFC1448，RFC3748，RFC5080，RFC2865，RFC2289，RFC4372，RFC2882，RFC2866，RFC4675，RFC4679，和RFC2621。

底線
總的來說，FreeRADIUS被證明是基於Linux操作系統的最快和可擴展的RADIUS服務器之一。它也是運行在Cygwin，Mac OS X，DragonFlyBSD，FreeBSD，NetBSD，OpenBSD，Solaris和Windows平台上的非常穩定和可靠的產品。

此版本中的新功能：

• 功能改進：
• 在會話恢復和會話超時時強制執行TLS客戶端證書到期。請參閱CVE-2017-9148。
• 更新dictionary.cisco.vpn3000，dictionary.patton
• 添加dictionary.dellemc
• 降低失敗的PEAP會話的日誌輸出。
• 在rlm_date中輸入utc。來自Peter Lambrechtsen的補丁。
• 內部OpenSSL會話緩存已禁用。請參閱mods-available / eap
• 更新詳細閱讀器文檔。從馬修·牛頓補丁修復＃1973。
• 使傳出的RadSec連接無阻塞。
• 將SQL支持添加到Moonshot - * - TargetedId生成。來自Stefan Paetow的補丁。
• 錯誤修正：
• radtest對EAP使用Cleartext-Password，而不是User-Password。
• 更新支持mods的鏈接文檔。
• 加強對月光鹽的檢查。修復＃1933。
• 允許RadSec連接的會話恢復。修復＃1936。
• 更新“huntgroups”文件以注意不支持端口範圍。

修正默認密鑰文件上的OpenSSL權限問題。修正＃1941。
• 使用PSK時，不需要證書。
• 允許SubjectAltName作為證書中的第一個擴展名。修復＃1946。
• 修復了使用TLS會話恢復的talloc問題。修正＃1980。
• “＆amp; Attr-26：= 0x01”現在產生有用的錯誤消息。
• 處理rlm_ldap_cacheable_groupobj中的連接錯誤。修復＃1951。
• 修復DHCP中的端點問題。
• 為Coverity投訴提供了多項小修改。

處理意外的正則表達式。修正＃1959。
• 修正字典中的小問題。

修正錯字和語法。來自Alan Buxey的補丁。
• 在rlm_preproces中修正錯誤的VP創建。
• 修復MIB。來自Jeff Gehlbach的補丁。
• 信任來自Alejandro Perez的路由器更新。
• 允許使用LibreSSL進行構建。修正＃1989
• 使用正確的數據包進行通道綁定。修正＃1990。
• PVS-Studio發現的許多修復。感謝PVS-Studio給我們測試許可證。有關詳細信息，請參閱git提交歷史記錄。

修正EAP-PWD中不正確的長度檢查。這可能是可以利用的。

3.0.9版中的新功能：

• 功能改進：
• 使“池”配置更一致，並為其更新文檔。
• 將連接池邏輯移動到“最近啟動”，而不是MRU。這應該有助於池的穩定性。
• 更多針對3GPP2的VSA
• 將多值屬性的示例添加到rlm_perl。
• 現在動態分配LDAP-Group和SQL-Group屬性。
• 只有“sql”模塊註冊SQL-Group。其他實例註冊“instance-name-SQL-Group”，與“ldap”類似。
• 在unlang語句中使用時，未知的屬性現在更多地被抱怨。例如if（Foo-Bar == 3）曾經是一個字符串來進行字符串比較。現在是一個解析錯誤。
• 將代碼中的RLM_COMPONENT_ *重命名為MOD_ *。這使得許多事情變得更容易。
• 移動到模塊的C99初始化器。
• 加載模塊，以raddb / mods啟用。這樣可以在“文件”模塊中使用“LDAP-Group”等屬性，而不需要在“實例化”中進行明確的排序或列表。
• 向模塊添加“引導”部分。第三方模塊需要更新。
• 從DB添加客戶端時，如果該虛擬服務器具有“listen”部分，則將其添加到虛擬服務器。否則，將客戶端添加到全局列表。
• 從文件讀取動態客戶端時，如果底層文件不變，請不要過期。
• 允許服務器從後驗證階段發起CoA請求
• 服務器在守護進程模式下創建$ {run_dir}和$ {logdir}（如果它們不存在）。
• 為Wi-Fi Alliance Hotspot 2.0添加字典。服務器現在支持此規範的所有強制和可選屬性。
• 只有當文件發生更改時，HUP才會重新加載配置。如果所有文件都不變，HUP將重新打開日誌文件，不做任何其他操作。

更好地調試EAP-TLS的調試消息，包括哪些屬性被緩存，何時被檢索。
• 將默認max_requests增加到16384.內存現在很便宜。
• 將“stats memory”命令添加到radmin。調試版本。
• Aptilo控制器字典更新。
• SQL模塊現在使用Acct-Unique-Session-Id。
• redis模塊現在穩定。
• LDAP模塊現在支持SASL“交互式綁定”方式。這允許基於Kerberos的管理員和用戶綁定。
• DHCP代碼現在位於libfreeradius-dhcp。
• 更多DHCP編碼/解碼單元測試。
• rlm_replicate現在可以在“會計”部分列出。
• 更好的sqlite調試輸出。
• 從許多sql_ippool指令中刪除“必需”選項。
• 將默認CA“基本約束”設置為“關鍵”。修復＃1073
• 更新來自Jorge Pereira的幫助/手冊頁。
• 添加了更多測試。
• 錯誤修正：
• 使用-Xx時，請注意未使用的配置項警告。

將更多的定義移動為自動生成
• 允許虛擬服務器進行代理備份。
• 允許％{module：}正常工作。

不要在RadSec中崩潰。關閉＃980。
• 在找不到unix組/用戶時返回更好的錯誤
• 重新啟用詳細信息模塊“鎖定”參數。
• 在從狀態服務器數據包記錄回复時不要崩潰。
• couchbase模塊現在使用“更新”而不是“映射”，與服務器的其餘部分保持一致。請參閱raddb / mods-available / couchbase
• 不需要NT-Password更改MS-CHAP密碼。
• 在解密MS-CHAP-MPPE-Key屬性時要更加小心。關閉＃1013。沒有完美的解決方法
• 解決了EAP-PWD的安全問題。請參閱http://freeradius.org/security.html#eap-pwd-2015
• 在非調試模式下修復從SQL讀取的動態客戶端
• 當密碼過期時，MS-CHAP現在允許重試（即密碼更改）。
• 當服務器已經是用戶“radiusd”
時，允許“user = radiusd”
• suid up / down在非Linux系統上工作。這意味著控制套接字應該具有正確的所有權。
• 修復了當家庭服務器被標記為殭屍時導致服務器有時出現問題的問題。
• 修復format.pl，因為Perl現在比較挑剔。

將代理修復到Packet-Dst-IP-Address，以便它使用正確的目標端口。
• 用光標功能和刪除來修正角箱。
• OpenDirectory修復和文檔。
• 修復rlm_redis中的洩漏。
• RFC 6929“evs”屬性現在被正確編碼/解碼。
• 在收到格式錯誤或重新發送的會計/ CoA請求時修復talloc池洩漏。
• 打印屬性再次使用雙引號而不是單引號。
• 設置X509_V_FLAG_CRL_CHECK_ALL，並將“check_all_crl”添加到eap.conf中。修復oCert CVE-2015-4680。
• rlm_expr現在對錯誤的屬性引用錯誤正確，而不是觸發斷言。
• 在“foreach”循環中使“break”工作
• 允許動態展開在“提示”文件中再次工作。
• 在Alan Buxy的評論和示例中更正錯誤的錯誤。
• 將ldapi：// urls的路徑部分重新urcode編碼，然後再將其傳遞給ldap_initialise。

3.0.7版中的新功能：

• 功能改進：
• 如果提供coa_server部分，則允許從客戶端派生coa home_servers。
• 如果沒有為家庭服務器提供端口，則自動確定正確的端口。
• 允許foreach操作列表。
• 將編譯時功能添加到$ {feature。*}和核心庫版本為$ {version。*}。功能和版本名稱匹配radiud -xv的輸出。 ％v現已棄用。
• 在rlm_rest中添加對PATCH方法的支持。
• 在啟動時驗證更多的模塊xlats，並在雙引號的配置項中找到一個不會擴展的xlat擴展的警告。
• 在rlm_rest中添加對次秒超時的支持。
• 在rlm_rest中添加對連接超時的支持。
• 添加％{jsonquo​​te：} xlat以轉義字符串以插入到json文檔中。
• 添加％{ldapquote：} xlat以轉義字符串以插入到ldap DN中。
• 添加％{explode：＆amp; ref}，拆分＆amp; ref的值，並使用片段創建新的＆amp; ref類型屬性。
• 允許rlm_ldap使用base_dn和過濾器配置項的屬性引用。不轉義屬性引用，允許動態創建DN和過濾器。
• 添加％{nexttime：[] h | d | w | y}來計算下個小時，天，週或年份之前的秒數。 LI>
• 允許更新部分的左側為xlat擴展。然後使用擴展的結果來引用要修改的屬性。
• 添加了％{lpad：＆amp; Attribute-Name 7 x}和rpad。這些產生固定寬度的輸出字符串，填充到左邊（lpad）或右邊（rpad）。
• 對於一些SQL驅動程序（MySQL，sqlite），區分約束違規（插入），無效查詢和服務器錯誤，並分別返回noop，invalid和error。

如果libmysqlclient指示服務器上有可用的警告，則在MySQL驅動程序中調用SHOW WARNINGS並將其寫入請求日誌。
• 禁止為非標準VSA創建供應商特定。使用Attr-26 = 0x ...代替。
• 讓dhcpclient使用原始套接字和各種其他改進 - 由nchaigne提供
• 添加對SSHA2的支持 - 由PDD提供。
• 添加perle字典 - 由Hachmer提供
• 現代化RHEL，SUSE和Debian的init腳本。
• radmin現在跟踪命令的返回碼，如果任何命令執行失敗，則退出狀態為“1”。
• radmin現在將錯誤消息從服務器發送到stderr，而不是stdout。
• radmin現在查找與其UID和GID匹配的套接字，而不是僅使用它找到的第一個。
• radmin可以刪除與偵聽器綁定的客戶端。
• 將RADIUS屬性定義移動到src / include / rfc * .h
• 移動到talloc池進行請求。對於內存測試（默認配置，“用戶”文件），性能提高30％。
• 在rlm_ldap中，允許為管理員和用戶綁定指定sasl_mech。目前僅支持非交互式機械手（如EXTERNAL）。
• 刪除對短暫RSA密鑰的支持。他們是“僅出口”，不應該被任何人使用。
• “users”文件中的語法錯誤現在會產生更好的錯誤消息。
• 錯誤修正：

解決使用非標準端口解析LDAP主機名的問題。
• 修復包含正則表達式的領域的問題。
• 在rlm_expr中允許在parantheses之前進行一次否定。

修正kevent事件循環代碼中的無限循環。問題僅在FreeBSD上提供。
• 在加載模塊之前，請務必定義Auth-Types。
• 將libfreeradius-radius與OpenSSL鏈接起來，以避免SSL庫中的多版本符號。
• 當rlm_ldap重新綁定連接時，應該使用創建連接池的模塊中的綁定憑據，而不是引用該模塊的憑據。
• 應該允許在引用另一個模塊的連接池的rlm_ldap實例中使用空的服務器配置對。
• 將rlm_always標記為huppable，因此可以通過radmin更改其rcode（允許策略切換）。
• 忽略用戶配置的池值時發出警告。
• 修復可能導致radclient間歇性地抱怨過濾器和請求數量不同的問題。
• 修復連接池日誌記錄中的化妝品問題，這樣就好像多次打開同一個連接。
• 修復SQL驅動程序中的線程安全問題，其中使用靜態緩衝區來存儲錯誤消息。
• 如果未啟用請求記錄，則將RERROR，RWARN，RINFO記錄到全局日誌。

鏈接到libldap而不是libldap_r。 libldap_r不支持OpenLDAP以外的項目使用。
• 在rlm_sql_mysql中正確設置連接超時。
• 使用較早版本的libcurl構建，並使用curl-config中的CFLAGS。
• 在radclient中保留Packet-Src-Port和Packet-Src-IP地址。
• 初始化ldapai_info_version字段，所以libldap將報告其供應商和版本。
• 使用copyrotate選項修復日誌循環腳本。
• 如果設置了用戶或組，則修復導致打開控制套接字在非Linux系統上始終失敗的問題。
• 代理後保存會話狀態。
• 從詳細文件讀取CoA / DM請求的其他修復程序。
• 如果動態客戶端虛擬服務器返回ok *或*更新，則創建動態客戶端。為其他代碼發出有用的消息。
• 編譯“授權”語句，並發出錯誤說使用它們不是一個好主意。

版本3.0.4中的新功能：

• 功能改進：
• 家庭服務器“response_window”現在可以花費幾分之一秒。請參閱proxy.conf。
• radmin現在支持“顯示模塊狀態”，作為“設置模塊狀態”的對應

添加字典ericsson.packet.ccore.networks，bluecoat，citrix，compatible，riverbed，ruckus和RFC 7268。
• 添加％{tag：}展開以獲取屬性的標籤值。

在與PostgreSQL服務器的連接中報告“application_name”。 FreeRADIUS連接現在將在pg_stat_activity中顯示為“FreeRADIUS”。
• 現在，在編譯時，所有配置項目字段都會被檢查，以防止再次發生與＃634類似的問題。
• 更改pairparsevalue以更好地處理嵌入式NULL，並在rlm_ldap中使用屬性值的二進製版本。

如果沒有v4地址，則“ipaddr”現在將使用v6。您應該使用“ipv4addr”或“ipv6addr”強制v4 / v6地址。
• 以上內容適用於“listen”，“home_server”和“client”部分。
• “客戶端”部分將允許“ipaddr = 192.192.0 / 24”。舊的“網絡掩碼”仍然被接受，但新的格式是首選的。
• 允許使用控件為rlm_rest請求設置自定義HTTP標頭：REST-HTTP-Header（使用後消耗的屬性）。
• 擴展％{rest：}擴展的格式，以允許HTTP方法和POST數據被指定。 ％{rest：POST http://example.org/api foo = bar＆amp; baz = boink}。
• 添加用於在請求中籤名數據的％{hmacsha1：＆amp; data＆amp; key}和％{hmacmd5：＆amp; data＆amp; key}擴展。
• rlm_cache現在消耗其控制屬性，使運行時配置更容易。
• 添加控件：Cache-Read-Only當設置為“yes”時，緩存模塊將合併現有緩存數據，但不會創建新條目。
• 添加％{unescape：}和％{urlunquote：}擴展來反轉轉義和urlquoting。
• 在rlm_ldap中添加對別名的支持。
• 將連接池共享的支持添加到使用連接池（pool =）的所有模塊。
• “tls”部分現在有一個“psk_query”配置項，用於動態查詢以從PSK身份中發現密鑰。
• 初步支持EAP通道綁定。

動態家庭服務器的基礎工作。他們還沒有工作，但現在只是在將來的版本中更新“領域”模塊的問題。
• 支持＆attr [*]語法在更新部分中與+ =運算符一起使用時復制屬性的所有實例。可以使用標籤。
• 現在可以在後驗證部分列出logintime和過期模塊。這使得一些配置更簡單。
• 允許比較不同大小的整數屬性，而不需要轉換。
• rlm_sqlippool現在具有IPV6功能。設置“ipv6 = yes”可以返回Framed-IPv6-Prefix。 SQL查詢尚未更新。請提交補丁。
• debian構建現在會檢查OpenSSL包，並且如果找到，則設置：allow_vulnerable_openssl ='CVE-2014-0160'
• 允許從sqlite驅動程序中的多個文件引導。
• 錯誤修正：
• 使不區分大小寫的正則表達式再次工作，並為它們添加測試。
• 還有一些talloc育兒問題
• 修復延遲代理回复處理。關閉＃637
• 使用RADIUS / TLS修復OpenSSL初始化順序。修復＃646
• 不要在調試消息中雙引號字符串

修理foreach / break。修復＃639
• 收費用戶標識符，ADSL-Agent-Circuit-Id和ADSL-Agent-Remote-Id應該是默認字典中的“八位字節”類型。

修正在mainconfig中的打字錯誤。修復＃634
• 更多rlm_perl修復。修復＃635
• 在乾淨的退出時自由OpenSSL內存。
• 修復[0]！*任何 - 刪除所有
實例
• 修復從映射的RHS返回多個屬性的情況，與rlm_ldap一樣。修復＃652


• 如果與數據庫服務器的所有連接都消失，則不要使用SEGV。修復＃651。
• 修復問題，其中 - =不刪除等於（僅標記）的標記實例。
• 修復在使用unlang / ldap更新塊創建的屬性上未設置標籤值的問題。
• 創建rlm_sqlcounter屬性為integer64類型而不是整數類型，因此可以指定大的計數器值。
• 修復使用FreeRADIUS-Client-IPv6-Prefix或FreeRADIUS-Client-IP-Prefix指定動態客戶端IP地址可能導致驗證錯誤的問題。
• 不要打印兩個“＆amp;”有關調試輸出中的屬性或列表引用的消息。
• 修復urlquote並轉義為正確編碼Unicode字符。
• 修復冗餘負載平衡塊，以嘗試組中的其他模塊失敗。
• 修正rlm_pap密碼規範化的問題，其中存在八位字節類型屬性的“已知好”密碼字符串有時會被錯誤地標準化為base64。
• 如果找到0x00填充選項，請不要停止處理DHCP選項。
• 修正了使用文字值從模板創建的屬性的值進行修改的問題，可能導致模板文字被釋放。
• 在tls代碼中修正可能導致內存損壞和崩潰的父母問題。
• 在radesniff中修復問題，在寫入PCAP文件和使用-R響應過濾器的情況下，仍然會將請求寫入PCAP以進行非匹配響應。
• 定義__APPLE_USE_RFC_2292，以便服務器在OSX上構建IPv6支持。
• 修復名為rlm_ldap實例的LDAP組查找。請注意，檢查LDAP-Group屬性時應使用屬性引用。例如if（＆amp; LDAP-Group =='foo'）。
• 延遲的屬性引用現在可以在unlang存在檢查中使用。即如果（＆amp; Attribute-Name）{...}
• 修復EAP-PWD中的問題。 CVE-2014-4731，CVE-2014-4732和CVE-2014-4733。沒有外部認證旁路。
• 修正了talloc parent / child引用的一些用法。
• 發布用於讀取rlm_ldap中批量客戶端的連接。
• 如果在沒有任何配置的情況下使用rlm_rest，那麼現在就會出現故障安全

從端口拉入FreeBSD的構建修復程序。
• 在sqlite postauth查詢中修正錯誤
• 將參數評估為“switch”語句一次，而不是針對每個“case”語句。
• 在沒有它的系統上定義sig_t。關閉＃765。

使用rlm_rest修復邊界問題。關閉＃768
• 僅在字典類型匹配時才優化“％{Attribute-Name}”比較。
• 如果目錄已經存在，請不要在rad_mkdir（）中執行chmod（）。我們可能沒有權限更改它。
• 在支持它的系統上使用getpwnam_r（）和getgrnam_r（）。關閉＃775。
• 從SQL加載的客戶端現在與虛擬服務器的“listen”部分相關，而不是全局。
• 檢查-lpcre。系統可能沒有-lpcre的pcre.h。
• 代理虛擬服務器時，請使用proxy_reply而不是忽略它。
• 修復DHCP SQL IPPool中的錯字。
• 在將多個參數傳遞給Perl xlat時修復崩潰