Formatting

Can't define an unknown attribute with TMPL_TYPE_DATA...

Fixup docs for tmpl_afrom_attr_substr

Need to set new rhs->name len

Use the same reverse goto on error as everywhere else...

Call map_cast_from_hex only for unknown attrs.  Addresses #952

whitespace

Fail if there's no Cleartext-Password

Fix for gcc

bstrndup and bstrncpy are probably better names

TALLOC_CTX not always available

Fixup a bunch of bad calls to talloc_memdup

The bulk of these either copied len + 1 (which is wrong, as we can't guarantee the next byte is \0 or is a valid address) or were used in places, where the duped buffer may have been expected to be \0 terminated.

Fix for last few commits

The TLS attrs are strings, so we don't need VALUEs

Define named value.  We probably want to define more later..

Mash name spaces to dashes, too

Fix error message

Remove extraneous "+ 16"

make client certs available for TLS application data packets

i.e. PEAP and TTLS.  But only when there's a client certificate,
AND EAP-TLS-Require-Client-Certificate = 1

Note TLS issues

On TLS success, add the certs to the request

So that they can be used in post-auth processing.

The cert attributes are NOT added to the request.

They're added to the TLS session data.  Don't confuse the user.

Apparently older versions of doxygen don't appreciate attributes before the function definition

Doxygen fixups

Typo in comment

Escape log filenames correctly in vradlog_request

Doxygen

Install doxygen

note recent changes

Better name for variable

Fix for redundant-load-balance.  Closes #945

In normal operations, modcall_child / modcall_recurse processes
the current node, and all of its children.  For redundant-load-balance,
we want to loop BACK from the end of the list to the start, AND
stop when we reach the first one we found again.

This means we have to tell the functions "process ONE node only",
and do all "next" operations ourselves.

Remove redundant open brace

Revert "Loop over COUNT entries.  Maybe addresses #945"

Nope.

This reverts commit e774cb6ff53032a632957e57c06a5939bb26e5f5.

More checks on identity

Limit identity length

Allow EAP-MSCHAPv2 to have configurable server identity.  Fixes #932.

We don't allow this to be dynamically expanded.  It's just easier.

added VALUEs

Added from RFC which has numbers assigned

Warning for old config

Fix cppcheck complaint

Update proxy docs for TLS

Remove bad free

Loop over COUNT entries.  Maybe addresses #945

Revert "Unlock file while waiting for the DB"

This reverts commit a91017d3c391093493757cd4651a455770c4c8c1.

it's better for the server to do this in exfile.c

Try 3 times to lock it.  If it fails, return an error

Create correctly formatted session cache entries

Complain if stupid people disable all TLS versions

Merge pull request #946 from mcnewton/pr2

Small elasticsearch fixups

Small elasticsearch fixups

Merge pull request #944 from mcnewton/pr

logstash/elasticsearch config for detail file analysis

Add example elasticsearch/logstash config for detail files

Tidy documentation formatting/whitespace

Servers are freed individually on server exit, so can't be parented off of the client

note recent changes

Warn on use of expanded EAP types

Convert expanded EAP to normal EAP

First stab at supporting Expanded Type EAP packets

Only for vendor 0 (IETF).  And only for known EAP types.

Untested, so it's ifdef'd out.  Once it's tested, we can enable
it.

Only call tr_init if trust router is configured

And only call "get realm" on the same conditions

Fail safely if there's no trust router

Be a bit more careful about locking files

We try to lock it non-blocking.  If fail, close the file,
re-open it, and try to lock it again.

This lets us catch the corner case of the reader re-naming the
file after we opened it, locking it, and trying again.

Unlock file while waiting for the DB

Otherwise the server might block forever waiting for our lock
to be released

Remove unnecessary comment

Add version strings for TLS 1.1, 1.2 and 1.3

Update ChangeLog

Re-enable TLS 1.2 by default

Typos

Use SSL_export_keying_material if available. This generates keys using the correct PRF with TLS 1.2

note recent changes

Allow disabling of tlsv1

Stop on no next entry

Fix compilation errors

Update for 3.0.8

Comments

Don't use 2 names for the same thing

Merge pull request #931 from nchaigne/3.0.x-fb4-rc

radeapclient - eap context struct

New travis apt plugin config structure

Disable TLS 1.2 by default. Causes MPPE key mismatches with eapol_test.

Print the attributes EAP-TLS extension attribute we're not going to add

Note recent changes

Remove references to ${certdir}/random, and replace with /dev/urandom

Another analyzer error

Build doxygen docs

Clang scan analyzer errors

Fail on scan errors

Doxygen

Attempt to move to travis container infrastructure

Seeing as the linux build farm is currently maxed out at 320 concurrent builds

Initialize raddb_dir, too

note recent changes

Set "nodup" for DHCP sockets

Simplify cleanup logic.

Debug the packet prior to sending it.  Do cleanup_delay on
RADIUS Access-Requests and CoA packets.  Everything else gets
cleaned up immediately.

Cleanup DHCP packets immediately

No comment in comment issues

Set dict_dir

Better fix for previous commit

Improve errors on winbind authentication failure

This is very nice, as Samba gives us useful messages like

  Wrong Password [0xC000006A]
  Account expired [0xC0000193]
  Must change password [0xC0000224]
  Account locked out [0xC0000234]

when the authentication fails, which are then pushed into
Module-Failure-Message so the admin knows exactly what happened.

This also now handles password expiry so mschap returns the
"change password" trigger.

note recent changes

Add -D to radwho and radzap

Minor formatting in tls.c

Don't crash when using the NULL driver in select queries

Merge pull request #940 from nchaigne/3.0.x-fb5-fqdn

DHCP-Client-FQDN is not a string

DHCP-Client-FQDN is not a string

See RFC 4702.
DHCP-Client-FQDN (DHCP option 81) is actually a record composed of:
- first octet: "Flags"
- second octet: "RCODE1"
- third octet: "RCODE2"
- and then "Domain Name" (which is a string)

But I don't think that FreeRADIUS dictionaries support encoding /
decoding such a format, so octets is the best option we have.