← Back to branch summary

~ubuntu-branches/ubuntu/natty/freeradius/natty-updates

« back to all changes in this revision

Viewing changes to raddb/certs/README

  • Committer: Bazaar Package Importer
  • Author(s): Josip Rodin
  • Date: 2009-11-23 03:57:37 UTC
  • mfrom: (1.2.1 upstream)
  • mto: This revision was merged to the branch mainline in revision 28.
  • Revision ID: james.westby@ubuntu.com-20091123035737-zsgtzhfych8hir68
Tags: 2.1.7+dfsg-1
http://bugs.debian.org/536623
http://bugs.debian.org/513484
http://bugs.debian.org/526175
http://bugs.debian.org/533396
http://bugs.debian.org/550143
* Adopting the package, closes: #536623.
* New upstream version, closes: #513484.
  + Fixes the blooper in unlang evaluation logic, closes: #526175.
* Used quilt (and added README.source), and moved upstream file patching
  into debian/patches/. The source is no longer in collab-maint git
  (to make it simpler for me to finally get this out the door), but
  kept the .gitignore should we need that again.
* Dropped the dialup_admin/bin/backup_radacct patch (integrated upstream).
* Dropped the raddb/Makefile patch (problem no longer exists upstream).
* Dropped the lib/packet.c lib/radius.c main/listen.c patches (was from
  upstream 2.0.5 anyway).
* Dropped references to otp.conf, it no longer exists upstream.
  Keep removing the conffile statoverride in prerm.
* Dropped references to snmp.conf, it no longer exists upstream.
  Keep removing the conffile statoverride in prerm.
* Ship /etc/freeradius/modules/* in the freeradius package.
* Stop shipping sites-enabled symlinks in the package and instead create
  them only on initial install, thanks to Matej Vela, closes: #533396.
* Add export PATH="${PATH:+$PATH:}/usr/sbin:/sbin" to the init script
  at the request of John Morrissey, closes: #550143.
* Stop installing /var/run/freeradius in the package to silence Lintian.
  The init script already recreates it at will.
* Remove executable bit from example.pl to silence Lintian.

Show diffs side-by-side

added added

removed removed

Lines of Context:
raddb/certs/README
157
157
  A 1GHz system will likely do 30 calculations/s.  A 2Ghz system may
158
158
  do 50 calculations/s, or more.  That number is also the number of
159
159
  authentications/s that can be done for EAP-TLS (or TTLS, or PEAP).
 
160
 
 
161
 
 
162
                COMPATIBILITY
 
163
 
 
164
The certificates created using this method are known to be compatible
 
165
with ALL operating systems.  Some common issues are:
 
166
 
 
167
  - Windows requires certain OID's in the certificates.  If it doesn't
 
168
    see them, it will stop doing EAP.  The most visibile effect is
 
169
    that the client starts EAP, gets a few Access-Challenge packets,
 
170
    and then a little while later re-starts EAP.  If this happens, see
 
171
    the FAQ, and the comments in raddb/eap.conf for how to fix it.
 
172
 
 
173
  - Windows requires the root certificates to be on the client PC.
 
174
    If it doesn't have them, you will see the same issue as above.
 
175
 
 
176
  - Windows XP post SP2 has a bug where it has problems with
 
177
    certificate chains.  i.e. if the server certificate is an
 
178
    intermediate one, and not a root one, then authentication will
 
179
    silently fail, as above.
 
180
 
 
181
  - Some versions of Windows CE cannot handle 4K RSA certificates.
 
182
    They will (again) silently fail, as above.
 
183
 
 
184
  - In none of these cases will Windows give the end user any
 
185
    reasonable error message describing what went wrong.  This leads
 
186
    people to blame the RADIUS server.  That blame is misplaced.
 
187
 
 
188
  - Certificate chains of more than 64K bytes are known to not work.
 
189
    This is a problem in FreeRADIUS.  However, most clients cannot
 
190
    handle 64K certificate chains.  Most Access Points will shut down
 
191
    the EAP session after about 50 round trips, while 64K certificate
 
192
    chains will take about 60 round trips.  So don't use large
 
193
    certificate chains.  They will only work after everyone upgrade
 
194
    everything in the network.
 
195
 
 
196
  - All other operating systems are known to work with EAP and
 
197
    FreeRADIUS.  This includes Linux, *BSD, Mac OS X, Solaris,
 
198
    Symbian, along with all known embedded systems, phones, WiFi
 
199
    devices, etc.
 
200
 
 
201
  - Someone needs to ask Microsoft to please stop making life hard for
 
202
    their customers.
 
203
 
 
204
 
 
205
                SECURITY CONSIDERATIONS
 
206
 
 
207
The default certificate configuration files uses MD5 for message
 
208
digests, to maintain compatibility with network equipment that
 
209
supports only this algorithm.
 
210
 
 
211
MD5 has known weaknesses and is discouraged in favor of SHA1 (see
 
212
http://www.kb.cert.org/vuls/id/836068 for details). If your network
 
213
equipment supports the SHA1 signature algorithm, we recommend that you
 
214
change the "ca.cnf", "server.cnf", and "client.cnf" files to specify
 
215
the use of SHA1 for the certificates. To do this, change the
 
216
'default_md' entry in those files from 'md5' to 'sha1'.