Make "use_tunneled_reply" work properly for PEAP, where the
Access-Accept from the home server results in the local server
sending more Access-Challenges.  The VP's from the Access-Accept
have to be stored somewhere until the local server sends an
Access-Accept

Make "use_tunneled_reply" work for MS-CHAPv2

As found on the net, with edits to make it work with FreeRADIUS

Added xlat support for Packet-Authentication-Vector

Use /dev/urandom, if it exists.

After getting a random vector, stir the pool again.

Add Suggests for php4-mysql | php4-pgsql to DialUpAdmin package

radeapclient is built using libtool, so it should be installed
with libtool.

Bug found by Christophe Boyanique.

Added future note

Instead of a 'SELECT *' for the nas table support which requires specific row
order, just use 'SELECT id,nasname,shortname,type,secret FROM %{nas-table}'
and get the rows we need.

Support  (FreeRADIUS Style) Quintum VSAs

Add radiusReplyMessage as Reply-Message reply item. This closes BUG #152

Add NAS-IP-Address LDAP attribute. This closes BUG#143

s/T_INVALID/T_OP_INVALID/g

In lib/sql/group_info.php3 only unset variables if we need to. In lib/sql/defaults.php3 don't run for groups
only for users

In the show groups page, note that we only show groups with members

On group creation, if member list is empty report that, not that the group was created.

* Add lib/sql/group_change.php3 to add and delete a user from groups
* Add a new directive sql_show_all_groups. If set to true then in user edit page we show all available
  groups with the ones the user is a member of highlighted. The administrator can then directly
  change user group membership by changing membership in this group list.

In config.php3 remove whitespaces from $login. Don't remove '-'

Added selectable database support

Removed unnecessary if statement

spelling mistake

Don't mark a request finished until the post-proxy-fail stuff
has handled it.

include parsing for new proxy fail directive, which isn't used
anywhere yet

Include request_process into radiusd

Move yet more code around.

It turns out util.c is included in radrelay and radwho, so putting
server-specific stuff in there is dumb.  We now have a new file,
request_process.c, which has rad_respond (freshly moved out of
radiusd.c to threads.c, to here), and some other functions here.

move rad_respond() to threads.c.  It's not the perfect location,
but it's better than radiusd.c.  This should help reduce the churn
in radiusd.c, and make it easier to implement a more state machine
approach to handling requests.

If we've rejected a request because it's taken too long to process,
then stop calling any modules to process the request.  Instead,
bail out of all sections && module calls.

More debug messages in request_reject

Better messages on timeout, when a module is "locked", and doesn't
respond.

When we're rejecting a request, include the reason why.

This permits us to be able to do something different, based on
the source of the problem.

Updated debugging messages

Allow modules in "authorize", etc. to have subsections, too

Small type in login_time_create, close bug #141

s/T_INVALID/T_OP_INVALID/

This should make bug #91 easier to fix.

Support Quintum VSA's in the same manner as Cisco VSA's (They are compatible)

Removed extraneous bracket

Use mutexes only if we have pthread.h

Don't set "Auth-Type = LDAP" if the packet doesn't contain a
User-Password attribute.  That screws up too many people.

Use new samba scheme, in addition to old one

Build pton/ntop if the functions exist, AND AF_INET6 exists

Update all mentions of h323confid to callid to match previous schema changes

If we're told to log passwords, and there's no User-Password,
print the Auth-Type in the log message, so as not to confuse
people who expect to see a password

May have failed to read a VP.

Bug & patch by Kevin Bonner

In sql_set_user in the radius_xlat don't call the escape function. The
resulting string will be escaped in the queries xlat so we don't need
to escape it twice (it will make things wrong if we have an escape candidate
character in the username).
Patch from Oliver Graf

Remember that we initialized the pool

Declaring zero-sized arrays is bad

Add a small documentation file about expiration

Added a few more "magic" server-side expansions:

%{<packet>:Packet-Src-IP-Address}, Dst-IP-address, Src-Port, Dst-Port

Include the new VALUEs

Moved label to a point where it made sense

Moved the X-Ascend attributes to the bottom of the file, and
added a number of VALUE's for them, based on the VSA VALUES.

Also included a script to re-generate the X-Ascend-Foo VALUEs,
so that they don't be edited by hand.

Removed duplicate VALUE names

Include code to make udpfromto work.

This closes bug #137

    strlen doesn't return 'char', so don't put it into a 'char'
        variable.

        Bug found by Jouni Malinen

Bring the sample VIEWs and FUNCTIONs inline with the current table structure

Rearranged the code to do:

split into argv, expand argv

rather than

expand strings, split into argv

This removes an "argv insertion" vulnerability, where someone
could log in with a username like "foo bar", and get "foo" and "bar"
passed to the executed program as two separate argv's, rather
than one as "foo bar'.

Also, handling of double & single quotes has been added.
This should fix bug #89.

Also, don't call pipe() until after we've verified the arguments to
the function, etc.  This means that we won't leak file descriptors.

! fixed: MS-CHAP MPPE key is not generated if authenticated with ntlm_auth

Fix bug #136, bugs found by Pawel Foremski

Experimental file to replace rlm_radutmp.c, if it works.

It uses trees & multiple data structures to avoid reading radutmp,
if at all possible.  This means that the server uses more memory,
but can run faster with large radutmps.

Tested in simple scenarios, but not in complicated ones.

Fix a small typo in the userinfo mysql schema. Found by Evert Meulie

Use T_INVALID since T_OP_INVALID isn't defined.  Also, gettoken returns to
operator, not token.

Document optional operator.

Allow ldap.attrmap to have an extra field, which defines the
operator to use.  If the ldap entry doesn't contain an operator,
then the default here will be used.

It's not perfect, but it allows ":=" and "+=" for attributes
with multiple values.

Deleted log in the comments, "cvs log" may be used instead.

Whitespace changes, to format the module more like the rest
of the server

One last fix for the fix.

Comment out the access_attr configuration directive by default. That will
make configuring AD server a bit easier.

Perform the duplicate check BEFORE adding the attribute to
the list of base attributes.

Updated the duplicate check, to allow duplicate names & numbers,
but different flags/types, while still disallowing duplicate names
with different numbers.

Define a macro for max regex matches, so we don't have typos.

Bug found by "Mitchell, Michael"

Removed DOS characters

Added rbtree_deletebydata()

Added context to user callback for rbtree_walk()

Fix a small bug in user_admin.php3 found by Joerg Staedele

Silently drop packets with a bad Message-Authenticator, as per RFC3579

Add a Message-Authenticator to the sample, so that a bad secret will cause
rejection, not acceptance.

Updates from Guy

Added debug message to explain what people are doing wrong
in more descriptive terms...

Make 'Add NAS' function in the nas admin page more easily accessible

Store the LDAP-UserDN attribute in the check item list not in the incoming request

Make pagesize 'all' work again. Bug found by apellido jr., wilfredo p.

Put in a Debian upstream version that is actually created than
anything that'll appear out of the release_1_0 branch.
This is a temporary measure until we have '~' support in dpkg.
(ie Sarge goes stable)

Call openlog on the first syslog()'d message to set the syslog facility.

New SQL methodology:  SELECT the grouplist, then iterate over the list
grabbing each group's attributes individually and doing a paircmp on each
group instead of shoving them all together and doing a single paircmp
on the entire list of group attributes.

New MySQL schema for use with new rlm_sql methodology.

New options and queries for MySQL and the new rlm_sql methodology

New docs for the new rlm_sql way of doing things.

If we're not done with the handshake, don't return an EAPTLS_SUCCESS.

Updated with changes from 1.0.0, and new changes since then

Put the eap sessions into a tree, so that looking them up is
very fast, and no longer O(n) in the number of sessions.

Removed extraneous -shared

Corrected typo, as found by Kostas Zorbadelos.

nasty bug that causes new files created by logrotate to have the wrong permissions if radiusd runs as anything by the root user

When returning after failed to decrypt attributes, free the pair
we just allocated.

This fixes a memory leak.

After running valgrind to get errors, clean up the source, and
discover problems with the dictionaries (sigh)

dict.c now allows duplicate VALUE definitions, so long as both the
name and value are the same.  If they differ, it complains.

Given the new complaints, we've also updated the dictionaries.

Cleanup request list, if asked

Include commented-out code which can be used to debug memory usage
and allocation

xlat_free() function, for memory debugging

Export dict_free()

When creating the tree of values by name, tell the tree code
that we call "free", to get rid of the entries in it, so we don't
have leaks when calling dict_free()

Removed unnecessary xfree, and all references to it

Fix compiler warnings.

Don't permit retards to enter strange values in the dictionaries

USR style attributes have to have at least 8 octets of
vendor data.

Once again, a bug found by a retard.

Fix remote crash, as given in a report by a retard who didn't bother
contacting us before publishing vulnerabilities.

He shall remain nameless.

The short summary is that Ascend-Send-Secret, like Tunnel-Password,
requires an "original" packet to decode the attribute.  The check
was added for Tunnel-Password, but not Ascend-Send-Secret

Add 'test'