Include sample module for the ABFAb trust router keys database

Fixups from what we're actulaly submitting to FreeRADIUS

Back merge our to_be_reviewed branch.

Update to ukerna (JANET/moonshot) dictionary

Avoid use of moonshot in attribute names

Fixes for abfab-idp policy

abfab virtual server

set gss-acceptor-realm-name

Add gss-acceptor-realm-name check to abfab-tr

fixup abfab-tr typos

use client config for pre-proxy check and coi setting

Add trustrout psk and pre-proxy policies; move channel bindings guts here also

clean up another merge hunk

Merge branch 'v3.0.x' into tr-upgrade

Conflicts:
src/main/realms.c
src/modules/rlm_eap/libeap/eap_chbind.c

Merge branch 'v3.0.x' into tr-upgrade

Merge pull request #742 from qnet-herwin/rlm_perl_v3.0.x

Fix error in attribute copying to rlm_perl

Fix error in attribute copying to rlm_perl

Introduced in commit c225c615760d4c907640ebd249f860d5ab3258dd. It copied the RAD_REPLY hash twice, which had the side effects that some keys dropped out.

parent can be null.

Updates to trustrouter integration

Do not add home_servers and home_pools to the main trees.  This makes dynamic updates and rekeys based on ssl failures much more difficult.
Instead, simply maintain our own auth pool and replace on each tr query.

Reference home servers so they stay around when active in a request or socket.

Update to trustrouter 1.3 API

Update trust router integration code to the 1.3 API.
Rewrite much of the code to be more modular.

This is an intermediate commit.  This version will reuse home_servers
between realms.  Discussing this wil Alan, that's not necessary and we
can simplify the code by avoiding that.

Debian: Ensure some directories exist

This prevents some warnings when installing the package.

Other perl formatting

Fix multivalues attributes in rlm_perl. Addresses #731, Addresses #722

Add the gigawords calculation for MSSQL in accounting stop SQL clause

Added a NULL check to rlm_perl

Otherwise, trying to start rlm_perl with an invalid file parameter would cause a segfault.

Add Moonshot-COI and Moonshot-APC attributes

Retrieve tls psk identity from SSL and add to request vps

Delay tls identity copy until packet decode

One more attempt to copy psk identity into processed request vp list

Grab identity from ssn, if available

fixup typos in attr copy

Merge pull request #732 from nchaigne/v3.0.x

dhcpclient - timeout and decline, release, inform

Merge pull request #734 from spbnick/switch_cnf_to_sha256

Switch .cnf files to sha256 message digest

Merge pull request #736 from spbnick/add_rlm_krb5_doc

Add minimal rlm_krb5 documentation file

Merge pull request #735 from spbnick/add_P_option_to_man_pages

Add description of -P option to man pages

Merge pull request #733 from spbnick/clarify_snmp_trap_conditions

Clarify conditions of limit hit SNMP notifications

Copy tls-psk-identity from sock request when setting up new request

Add description of -P option to man pages

Add description of -P option to radtest and radclient man pages.

Clarify conditions of limit hit SNMP notifications

Use "hit" instead of "reach" in the descriptions of serverMaxRequest and
serverMaxThreads SNMP notifications to make it clearer that they trigger
upon attempt to exceed the limit, not upon reaching the maximum allowed
value.

Switch .cnf files to sha256 message digest

Use sha256 as default_md (message digest) in all .cnf files as it is
more secure than the previous, now considered weak, sha1.

Add minimal rlm_krb5 documentation file

Add doc/modules/rlm_krb5 - a minimal rlm_krb5 module documentation file,
based on the wiki page. Update raddb/mods-available/krb5 comments to
point to the actual and proper location.

dhcpclient - timeout and decline, release, inform

Added receive timeout on socket according to -t option (retries are
still not handled).
Added commands for "decline", "release" and "inform" messages.
Updated usage.

More changes

Note recent changes

Check BN_rand_range return value

CVE-2014-4733.

In practice, the function should never fail.

Constant time memory comparison.

CVE-2014-4731.

Non-constant time comparisons usually require millions of packets
in order to get enough statistics.  This is VERY hard to do with
WiFi or wired 802.1X.  The delays on switch port open / close
are on the order of seconds.

Use *_clear_free instead of *_free.

CVE-2014-4732

Reject on any channel bindings attribute mismatch

Update ChangeLog

Add module type sanity check

Add support for connection pool reuse

Convert another argument to bool

Merge pull request #730 from nchaigne/v3.0.x

dhcpclient - store xid when encoding request

dhcpclient - store xid when encoding request

Fixes the incorrect debug message "Encoding DHCP-Discover of id
ffffffff".
And this will allow to correlate xid from response (should be done by
the client, but not yet).

Typo

Formatting and documentation

find_client: min prefix of 0 needs to work

Use signed loop counter to permit 0-1 to be <= min_prefix

fr_inaddr_mask fix 0 prefix

Don't depend on the behavior of shifting by 32-bits on a 32-bit type.

tr_integ: set home server response window

Clean up changes no longer needed.

we had several hunks left over from merges with upstream that are no longer needed.
Clean up the upstream diff.

fr_inaddr_mask fix 0 prefix

Don't depend on the behavior of shifting by 32-bits on a 32-bit type.

find_client: min prefix of 0 needs to work

Use signed loop counter to permit 0-1 to be <= min_prefix

Allow User-Name in CUI reply

Use loop index to get description.  Closes #729

A parent config section might not exist

when dynamically adding a home server.

Remove useless extern declarations

Cleanup EAP-SIM macros

Debug condition is now a fr_cond_t

Limit which operators can be used with LDAP group comparison

and other minor cleanups

Allow null parent in add_home_server

When dynamically adding a home server it is likely that no config
section will be available thus no parent section.

Formatting

Fixup Sqlite schema

Update cui

Updated comments to clarify the dual purpose of the unlang fragment.

Try and make dlopen library search messages clearer

Remove reply:User-Name only if there's a reply:CUI

Changed integer type for rlm_eap_{ttls,peap} tunnel types to bool where applicable

Use enums instead of define lists in rlm_eap_peap

But only for the values that are only used internally.

Formatting

As posted to the list

Merge pull request #725 from nchaigne/v3.0.x

radeapclient - fix send_packet

radeapclient - fix send_packet

I spotted two errors in radeapclient.c, introduced in the following
previous commits.
With this fix, radeapclient is now useable again.

1)
Commit: c8a062a112f17a5810d311dc0e0acfe963b2d440
(2014/06/13)

- send_packet(rep, &req);
-
- if (!req) return -1;
+ send_packet(req, &rep);
+ if (!rep) {

Arguments got reversed. Hence segmentation fault later when doing:

for (vp = req->vps; vp != NULL; vp = vpnext) {

Bit of caution on the wording used in radeapclient:
"req" is the request coming FROM the server. (because this is not a
"request" in RADIUS sense, but an EAP-Request within the EAP-SIM
transaction.)
"rep" is the response from the client TO the server (EAP-Response).

2)
Commit: bc3676835c3dcc220ab518d4c3c35962bc0f8be2
(2014/05/02)

In "send_packet":

+ if (!req || !rep || !*rep) return -1;

*rep == NULL is the expected behaviour...

In redhat spec file, update dependency on json-c to version 0.10 as 0.11 only exists for fedora and 0.10 builds ok

Update redhat spec file to reflect the fact rlm_host is no longer experimental.

Use correct type for length

No need for casting in talloc_array_length()

rad_vp2attr() returns -1 on error, 0 on "not enough room"

Channel bindings fixes

-fix size calculation
-skip unwanted attrs when copying
-add safety check to copy code in case size is wrong
-add cast to get correct result from talloc_array_length()

Don't call free on talloc'ed channel bindings packet

Fix cursor initialization bugs in eap_chbind_vp2packet

Fixed adding attributes with multiple values to rlm_perl

Without this fix, the array in Perl would start with the value of the
first attribute in the packet, combined with the actual values of the
attribute.

The debug log would look like this:

$RAD_REPLY{'User-Name'}[0] = &reply:User-Name -> 'anonymous'
$RAD_REPLY{'h323-credit-amount'}[1] = &reply:h323-credit-amount -> '100'
$RAD_REPLY{'h323-credit-amount'}[2] = &reply:h323-credit-amount -> '101'

The actual value of $RAD_REPLY{'h323-credit-amount'} is
['anonymous','100','101']

Channel bindings fixes

-fix size calculation
-skip unwanted attrs when copying
-add safety check to copy code in case size is wrong
-add cast to get correct result from talloc_array_length()

Merge pull request #719 from nchaigne/v3.0.x

3.0.x - Make EAP-SIM work again - proper encoding of EAP-SIM attributes ...

3.0.x - Make EAP-SIM work again - proper encoding of EAP-SIM attributes within EAP-Message

This fix follows the issue I logged (on the mailing list, not on GitHub)
on June 11th.

As a reminder, the problem happened after a commit which (among other
things) modified the EAP-SIM attributes.
Since this commit, EAP-SIM authentication do not work because
EAP-Message is not properly encoded anymore by FreeRADIUS.

I believe the commit is the following:

https://github.com/FreeRADIUS/freeradius-server/commit/39df09e42d80a96363be0bddee2ff0ba97fdb035

So, here is a fix.

I also fixed the attributes issue in radeapclient, but at the moment the
binary is unusable: it crashes, and I don't have time to look into this.
(I tested the fix with another EAP client)

Inline breaks linking?

Fix capitalisation in UKERNA dictionary Fixes #718

Other things still reference dict_attr_allowed_chars

Fixed reference to config file

Readability fixes in mods-available/perl

Alignment is now stable with any tab width.

Fixed typo in rlm_sql.c

s/afftected/affected/

Fixed some tabs/spaces in default virtual server

Use RFC language in eap.c messages