Tried to get python detection working properly.  It may be close, but the
test for whether libpython${whatever} has Py_Initialize() is UGLY.  I hope
someone cleans that up.

When updating the head of a list, update the *real* head, and
not the local pointer to the head, which is thrown away when
the function returns.

Patch from Lutz Donnerhacke <lutz@iks-jena.de>

Make authentication reject messages more consistent.

Don't return bad IP address if we're doing '1.2.3.4+', and the
request doesn't have a NAS port to add.

Updated schema with more restrictions on field values, from
Thomas Huehn <huehn@eozaen.net>

Don't use a hard-coded '32' for the select over the auth, acct,
and proxy FD's.  The modules are configured *before* these FD's
are opened, so there may be more than 32 FD's in use.

Instead, we have to dynamically figure out what the maximum FD
is from the set we're selecting over, and use that value.

Bug found by Cvetan Ivanov <zezo@spnet.net>

Added tests to detect the style of gethostbyaddr_r() function, and use it.
It knows of GNU and SYSV, atm.

Aptis (Nortel CVX 1800?) dictionary, found on the net, and edited
for FreeRADIUS.

Changed attribute type, so says "ju bin" <binju@online.sz.js.cn>

Removed SQL from authenticate section.  They're no longer needed.

Removed checks for gethostbyFOO_r(), until such time as we can
do intelligent checks.

Added attributes from RFC 3162.

Some are of type 'octets', when they should really be of type 'IPv6',
but that isn't a serious problem for now.

o Add support for Autz-Type attribute. We can now create autztype sections in
  radiusd.conf.
o Add sql_xlat. Only SELECTS are supported right now
o Move sql_release socket in a few places were it wasn't needed
o Remove sql_authenticate function. We still use the authenticate_query directive
  to extract the user password. The work should now be done by the pap/chap modules.
o Do a pairfree of check_tmp and reply_tmp if paircmp fails
  in sql_authorize

Update the print_abinary function to show 'est' when the established bit is set.

Prevent nas_name functions from calling client_name.
Add nas_name3 function that can return a dotted quad when
NAS name is not known.
Update radwho to use nas_name3 function

This patch changes the return code within the CISCO_ACCOUNTING_HACK from FAIL to NOOP.
If a FAIL is returned, freeradius does not sent an ACK to the NAS that sent the stop
packet, so it just keeps resending.  NOOP is more appropriate.

Remove GPL text; sha1.c is in the public domain.

reload now just sends -HUP

TLS_Message_Length is made configurable

Minor fixups

from bj@zuto.de (Rainer Clasen)

If both 'authhost' and 'accthost' in a realm are LOCAL, then we
don't need a shared secret.

Bug noted by "Vector" <cistron@itpsg.com>

If fgetspnam() returns NULL, then it means that the shadow password
entry does NOT exist.

This probably fixes the bug where non-cached passwords don't work...

More debugging statements

Made Length field configurable.
Now Total length can be included in every packet or
only in the first fragment of the message.
Initial patch provided by  Adam <adam@cfar.umd.edu>.

Check for gethostbyFOO_r(), and use them, if they exist.

Use gmtime_r by default, so that we're thread-safe.

<grumble> work around variations in gdbm from version to version.

For gdbm pre version 1.8, we can't use NOLOCK, as it doesn't exist.
This means that the DB file is *always* locked, and NO ONE ELSE can
get access to it ANYTIME.

Check if gdbm has gdbm_fdesc

Removed use of internal autoconf variable which is set to patently
absurd value.

Added new file describing the variables as defined by the server.

Added some more text in the configuration file, describing the
difference between ${foo} and %{foo}

Removed text describing variables and variable substitution

Added %{proxy-reply:Attribute-Name} for xlat

Updated comments on sql_user_name

Corrected typo in function name

Open the DB unlocked, and do file locking ourselves using the
new functions.

Call new rad_lockfd() function, instead of having ifdef in the
code for lockf/flock.

Remove *horrid* cast of a 'FILE*' to 'int', to "convert" a FILE*
into an integer file descriptor.  This just won't work.  fileno()
is what we want.

Use new library file lock/unlock functions

removed copies of file locking code.

Use new rad_lockfd() and rad_unlockfd() functions.

New functions: rad_lockfd() and rad_unlockfd(), to get rid of
duplication of file locking code.

Don't use a global 'acctfd'

As a result, update 'session_zap' to take an fd as an argument.

Update radutmp to use 'request->packet->fd', instead of the global
acctfd

Enable passwd caching by default.

Add a note that turning caching off may cause problems.

If we match a huntgroup, then add an attribute saying that
to the request.  This is so it can be used && examined later.

Based on a patch from Simon Allard <simon.allard@staff.ihug.co.nz>

Patch to PostgreSQL schema for operators.

From Igor Chen <cron@office.lintec.com.ua>

Update documentation

Remove the auth_type directive. Change the ldap caching default to no (ldap_cache_timeout = 0)

Clear more fields of the request when deleting it, and if
debugging, mark up the secret so that it's easier to tell that
the request has been deleted.

Added patch for heimdal code, from
"Kevin C. Miller" <kevinm@andrew.cmu.edu>

Added note that this is NOT configurable, as the patch deletes
existing functionality, and replaces it with different code.

This kind of non-configurable code which removes existing, tested,
and working code is not very polite.

postgresql's 'PQcmdTuples' used in function 'affected_rows'
doesn't returns number of affected rows for SELECT statement, but
returns empty string.  Use PQntuples(), instead.

Patch from Andrew Kukhta <andy@wubn.net>

If the tag is invalid,  rad_send() should ignore it, and set tag
to 0x00.

rad_decode(), if the type of attribute is string and has an invalid
tag, it should recognize the first octet as being part of the string.

If the attribute is "Tunnel-Password", and has invalid tag, then
the tag should be ignored.

Patch from Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

Added URL's for tips on configuring MySQL.

This doesn't really belong here, but there isn't a better place for
it right now.

use dir name macros in all configure options
libtool is required only when building the package
misc clean ups (reorder "header" to follow general RPM style)
make sure /var/log/radius and /var/log/radius/radacct are owned by
root and only readable by root.

Patch from Marko Myllynen

use condrestart instead of reload, so radiusd is not started by
logrotate if it was not already running

Added keyword "missingok" so logrotate execution won't stop if
some FreeRADIUS files are not found (e.g., FreeRADIUS hasn't
started after install and thus some files are not yet created).

Added rotating of radutmp

rotate detail files using "radacct/*/detail" so all detail files
are automatically rotated, no need to add NAS names to the path.
missingok parameter ensures that this works whether * matches
to anything or not.

Patch from Marko Myllynen

do not use radwatch (it's deprecated)
test that config file exists
return proper return value, not 0 always
added condrestart support, used by logrotate (see next patch)
misc clean ups

Patch from Marko Myllynen

In proxy_send(), if there is no realm to proxy the request to,
then return an error.

In rad_respond(), check if proxy_send() returns an error, and
reject the request if so.

Also, fix up a possible race condition in refresh_request(), where
we were marking the request finished, and THEN still accessing it.

Don't call fopen on syslog, if the logging destination is syslog

Corrected logic in delay request code.

Bug noted by Eddie Stassen <eddie@saix.net>

Added define for librad_max_attributes

There are cases where IF all of the matching realms are marked
dead, that we do NOT want to fall through to the default realm.

Based on a patch from bj@zuto.de (Rainer Clasen)

Added note that the pid file is written only in daemon mode.

Added log message when marking a realm dead.

Sanity checks and more cleanups for new "reject_delay"

Added configuration section "security", with "max_attributes" and
"reject_delay"

New security configuration items: max_attributes && reject_delay.

roland.haenel@qsc.de says that a delaying the reject helps slow
down a DoS attack.  This probably only helps for well-behaved NAS
boxes, but slowing down authentication rejects is probably a good
idea in any case.

Avoid compiler warning

TLS-Length contains Total Length as expected by MS

TLS-Length contains total length as expected by MS

Minor cleanups.

Patch from Marko Myllynen

A *much* better method for finding Python.

Patch from Gordon Messmer <yinyang@eburg.com>

Don't clobber the password if we're using SNMP

Patch from "scott.list" <scott.list@mlec.net>

Added a note on building statically, for people who don't have
some shared libraries.

Added comments on how to use && set 'libdir'

Added sample python module config, from migs paraz <mparaz@yahoo.com>

Whoops... corrected a typo

Preliminary Python module from migs paraz <mparaz@yahoo.com>

To get it to build, go to the rlm_python directory, and do:

LIBS="-lpthread -ldl -lutil" ./configure --with-rlm-python-lib-dir=/usr/lib/python2.0/config/  --with-rlm-python-include-dir=/usr/include/python2.0/ --with-rlm-python-version=2.0

... at least on my system, with python 2.0.  The 'configure' scripts
should be fixed in the future to do this automagically, but that's
for the future.

Use sed on input library names, to make them safe for the shell,
to create variable names.

Whoops... this should have been committed with the other code.

From Dmitri Ageev <d_ageev@ortcc.ru>

* Fix a small bug in log_badlogins. The nas domain should be a variable not hard coded.

Updated with summaries of changes since 0.4

Added note about unixODBC

add unixODBC support

Patch from Dmitri Ageev <d_ageev@ortcc.ru>

Added 'reconfig' target, to re-build the SQL driver configure scripts

Re-set result on failed match.

Patch from Thomas Jalsovsky <admin@postel.sk>

* Add support for the rest of the operators. Created the lib/operators.php3 file containing helper functions

EAPTLS ACK packet length is 6 and not 5

* Added operator support in sql. The eq(=),set(:=) and add(+=) operators are supported. Added an
  sql_use_operators configuration directive. Hope everything works.
* Fixed a bug in sql/change_attrs which did not allow multi valued attributes in sql.
* unset item_vals before adding info in ldap and sql user_info files.

Add ordering in user_accounting.php3. The results can be either ordered ascending (older first)
or descending (recent first). Added a corresponding configuration directive.

Usage() function, for help.

Added '-r server_ip' option, to allow sending packets to different
servers.

Patch from Randy Moore <ramoore@axion-it.net>

Removed dependency on hard-code size of the session ID.

Based on a patch from Randy Moore <ramoore@axion-it.net>

While doing paircmp(), if one attribute doesn't match, then go
look for another instance of the same attribute, which may result
in a match.

Since most attributes only show up once, this won't significantly
affect the behaviour of the server.

EAP-TLS, Added new variable to avoid confusion with certificate file names

Name changes to reflect proper names & elegant fragmentation handling

Only double-check the counter value against the reset date, IF
the count attribute is of type DATE.

Integers get counted as-is.

All other attributes get counted not by their value, but by
how many times they've been seen.

Fix for adding ascend binary filters, using +=

Added -D_POSIX_PTHREAD_SEMANTICS to use the two argument version
of ctime_r on Solaris, as that OS is too stupid to do anything
useful or intelligent on it's own.

Bug noted by Eddie Stassen <eddie@saix.net>

Moved the server to using ctime_r, instead of ctime, to help
with threading issues.

Bug noted by Eddie Stassen <eddie@saix.net>

Replaced calls to localtime() with calls to localtime_r(), which
is thread safe.

Bug noted by Eddie Stassen <eddie@saix.net>

Include header file for time.

renamed 'clock' variable to quiet compiler warnings.

Look for, and define localtime_r.

For systems NOT having it, the "implementation" just calls localtime,
and copies the data to the user-supplied buffer.

On systems with per-thread buffers for localtime() (like glibc),
this doesn't make any difference.

On systems without per-thread buffers, it will at least lower the
possibility of race conditions.

This hack is just a temporary one, until we need a *real* thread-safe
version of localtime_r.

Changed Simultaneous-Use check behavior to trust content of
radutmp file if NAS is not in 'naslist'. Also prevents unnecessary
'fork'ing if NAS is listed as type 'other' in 'naslist'.

Patch from Randy Moore <ramoore@axion-it.net>

Remvoed references to bugs.freeradius.org, as it doesn't exist
any more.

Try s slightly different way of closing stdin, stdout, and stderr
when running in daemon mode.

The previous code had 2-3 sections which looked like they tried
to do the same thing...