Show number of failed logins in the last 7 days in the user admin page

Don't delete existing generic attributes in ldap_pairget when adding new ones. Since generic attributes
have operators we don't need to try to be cleaver.

Implement 'ewindow2', an "extended ewindow" which allows users
to override the delay-mode imposed by the 'softfail' option if
the user enters two correct consecutive passcodes.  This helps
in a big way with users going out of sync: we cannot safely make
{ewindow,softfail} too large or it becomes easy to guess passcodes,
but we can safely make ewindow2 reasonably "big".

RISK: It may not hold up to cryptanalysis.  TMI for a changelog.

Some other minor changes along the way.

Comment out the U, P, S, and C prefix hints by default.  They
confuse way too many people.

Edited description of how the server works, as posted to the list
by 3APA3A <3APA3A@SECURITY.NNOV.RU>

Renamed the file to be more consistent

Moved the MIB file to a more intelligent place.

Merged two documents into one.

Belated update, to make it more in line with the changes over
the past year.

Preliminary docs, from ram@princess1.net

hopefully make rad_check_ts work in rlm_sql_checksimul

Remove simul_zap_query and replace it with a call to session_zap.
Fix a typo in the dialup_admin Changelog

If we don't add the attribute to the list, delete it.

Patch from Kevin Bonner <keb@pa.net>

One more bug fix, to make it work with 'users' file entry:

bob Auth-Type := Local, User-Password == "bob", Login-Service =~ "Telnet|LAT"
Tunnel-Client-Auth-Id:0 += `(uid=%{Stripped-User-Name:-%{User-Name:-none}})`,
Tunnel-Client-Auth-Id:0 += `%{User-Name}`,
Tunnel-Client-Auth-Id:0 += `UPDATE ${acct_table1} SET FramedIPAddress = '%{Framed-IP-Address}', NASIPAddress='%{NAS-IP-Address}'`

and test packet:

User-Name = "bob", User-Password = "bob", Calling-Station-Id = "555", Login-Serv
ice = Telnet,  Framed-IP-Address = 1.2.3.4, NAS-IP-Address = 5.6.7.8

and receiving reply:

rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=206, length=101
        Tunnel-Client-Auth-Id:0 = "(uid=bob)"
        Tunnel-Client-Auth-Id:0 = "bob"
        Tunnel-Client-Auth-Id:0 = "UPDATE  SET FramedIPAddress = '1.2.3.4', NASIPAddress='5.6.7.8'"

As a note, the 'xlat' implementation appears to be overly complicated.
Using 'for (...p++)' in the loop, instead of 'while (*p)', means
that 'p' is incremented ALWAYS, instead of only when it's needed.

The previous code was easy when we only had xlat'd strings of %U,
but for more complicated ones, it caused a lot of problems.

Also, updated the error message for unknown xlat functions/attributes,
to print out only if there is no xlat function of that name, AND
there is no dictionary attribute of that name.

This helps to minimize the errors which were confusing people,
when xlat was previously complaining about unknown attributes, when
the named attribute was in the dictionary, but no in the incoming
request.

If we don't parse a VP when looking for an XLAT'd string, return
an error, instead of de-referencing a NULL pointer.

Corrected typo in name.

Patch from ram@princess1.net

If there are more than one attributes of the same name in the VALUE_PAIR list
do an attribute rewrite on all of them not just the first one we find.

Add handlers for preproxy,postproxy and postauth

Add more NULL's to module data structures, in preparation for
adding pre/post proxy, and post-auth stages.

Patch from Franck Springinsfeld

add a '.' at end of sentence

reformat for 80 cols

In pairmake(), if we're creating an integer type VP with a
regular expression operator, then do NOT look at it's string value.

Instead, save it for later, so that we can do the regular expression
comparison on the names of the integers.

Fix a weird bug where we were doing 'ip_ntoa' on date/integer
attributes, but not on IP addresses, when parsing attributes
from a packet to a VALUE_PAIR.

When parsing an integer attribute to a VALUE_PAIR, also look up
the name for it's value in the dictionary, and put the name into
the strvalue field.  This allows us to do regular expression
comparisons on integers (sort of...)

- Statement that FreeRADIUS can't proxy MS-CHAPv1 removed
+ Added description of realms problem with MS-CHAPv2

! MS-CHAP-MPPE-Keys changed to be encrypted with User-Password style

- removed radpwencode - Attributes will be marked as encoded, all encoding/
  decoding will be done automatically by libradius.

update for 0.7/0.8

Make radwho and radzap read 'radiusd.conf', to get the locations
of the radutmp files.

Patch from Andrea Gabellini

These files should really be moved to 'src/modules/rlm_radutmp',
and cleaned up.

Minor reformatting, and adding more debugging messages, to see
what the authenticate code is doing, and why it fails.

Updated, as we hope to be approaching another release soon.

Make realm comparisons case insensitive

Corrected name, and made VSA a Cisco VSA

Patch from Thomas Jalsovsky

Small html fix in password.php3

When doing group checks, call fgetgrnam on the *group* file, not
on the *passwd* file.

Patch from Maxim Konovalov

Small html fix in user_edit.php3

Print a message when ippool_authorize can't find the Pool-Name attribute

Remove the entry about a multi column index on the radacct table. It is not needed.

Add support for the user ldap regular profile attribute

Copied the MIBS over from GNU radius (which originally copied them
from the RFC's, which allow unlimited redistribution)

Add support for the max results setting in the user find page

Add find pages

 Add a user find page. User can be searched based on the full name, department or RADIUS attribute.
  The radius attribute should be included in the _user_ profile, not in a group/regular/default profile.

Add a help page for the Expiration attribute

* Add support for the Expiration attribute. Add it in the sql attribute map, in user_edit.attrs and
  check for it in user_admin
* Add a few more keys in the userinfo and badusers tables.
* Fix a problem with lib/sql/defaults.php3 where the first character in the default value when using
  operators was set to the opeator

Fix a few typos

Update the FAQ about missing attributes from the user/group edit pages and add a few comments
in the configuration files

If the received data is larger than the packet length field,
then do the 'memset' on the internal buffer, not on an uninitialized
pointer.

Patch from Vaughn Skinner

Also, enforce minimum/maximum packet lengths, based on the
contents of the 'length' field.  Previously, we only did the checks
based on the number of bytes that were received.

This check adds one more restriction on input...

Patch to simplify looking for snmp, and to make it work on
FreeBSD.

Hmm... maybe we should just include ucd-snmp, like Gnu-radius does...

Patch from Harrie Hazewinkel

Make 'radiusd' depend on the module libs, so that when a module
it needs changes, then radiusd will be re-built.

Based on a patch from rrie Hazewinkel

Update Changelog

Add attributes for the sql group tables in admin.conf. Now SQL group support should really work!

Add an sql_groupcmp and a corresponding attribute Sql-Group. Remove the
authenticate_query from rlm_sql. The authorize_query should be enough.

Comment out Reply-Message in conf/user_edit.attrs since in sql it maps to the same attribute as
the lock message

Added "Ascend-Max-Shared-Users", which goes along with
"Ascend-Shared-Profile", or so says JJ Foote <dopefish@zerg.com>

Added spaces to make it easier to read.

File from Calum <calum.aug02@umtstrial.co.uk>

Add two entries in the counter database:
DEFAULT1 and DEFAULT2.
DEFAULT1 holds the time of the next database reset while
DEFAULT2 the time of the last database reset.
Every time the database is reset these entries are updated. When rlm_counter starts it
checks the next database reset time. If it is lower than the current time then rlm_counter
was not runing at the time the database should have been reset. So we reset it now.

OK, make it work with test packet:

User-Name = "bob", User-Password = "bob", Framed-IP-Address = 1.2.3.4, NAS-IP-Address = 5.6.7.8

and 'users' file entry:

bob Auth-Type := Local, User-Password == "bob"
Tunnel-Client-Auth-Id:0 = `UPDATE ${acct_table1} SET FramedIPAddress = '%{Framed-IP-Address}', NASIPAddress='%{NAS-IP-Address}'`

and receiving reply:

Tunnel-Client-Auth-Id:0 = "UPDATE  SET FramedIPAddress = '1.2.3.4', NASIPAddress='5.6.7.8'"

The only problem now, is that the not-found xlat's don't cause
errors.

Test for authenticate_query having a value, rather than its existence.
Problem noted by Justin Schoeman <justin@expertron.co.za>.

If we do not find the named xlat, or the attribute, and there's
nothing else to do (no :-${other} ), then skip the trailing closing
'}' in the input string.

Also, allow bare { and } in input strings, by using \ as an escape
character.

Added new function: 'pairxlatmove', which works like pairmove(),
but does xlat, too.

Made rlm_files use it for the replies, so that the reply attributes
can be dynamically translated.

Add a new configuration directive, new_attribute. If it is set then searchfor
will be ignored and a new attribute will be created with the value contained
in replacewith and it will be added to searchin (packet,reply or config)

Re-set the 'octets' length to 0, only if we actually have octets.

Complain if we receive non-octet characters.

Bug found by Francois Dessart

Add support for the Rewrite-Rule attribute in rlm_attr_rewrite

When updating ldap user information don't do an update if the new attribute value
is '-' (default value)

Call sql_finish_select_query and sql_release_socket in the correct when we
run the authenticate query

Add a few more things about the xlat function.

Also use da_sql_error when reporting errors

Call da_sql_error with correct arguments

Comment out the Reply-Message entry in user_edit.attrs.

More documentation.

Die with error (instead of segv) if no detail file is given.

Patch from Simon <lists@routemeister.net>

When reporting sql errors also print the output of da_sql_error

html fixes in show_groups.php3

Add a show_groups.php3 to show all active user groups

* Allow the administrator to specify a group in the New User page. Update lib/sql/create_user.php3 to add
  the user to the specified group
* Call user_info.php3 and defaults.php3 in user_new.php3 after creating a user
* Only run if $login is not NULL in lib/sql/defaults.php3
* In group admin add a button to administer the selected user which will redirect the administrator to the
  corresponding user_admin page

Add Reply-Message in conf/user_edit.attrs so that it appears in the user/group edit pages

* Only call user_info.php3 in user_new.php3 when we are creating a user
* Fix a bug with personal information attributes in user_new.php3

* Have adddress and home address in user personal info
* Set $user_info in lib/{ldap,sql}/user_info.php3 and only if the user exists and has personal info
* Show language attributes only if general_prefered_lang is not 'en'

Set personal information attributes to defaults in lib/ldap/user_info.php3

Fix a typo for department

Set a few more personal information attributes to defaults in lib/sql/user_info.php3

* Now that ldap_groupcmp is complete we really don't need access_group. Removed it.
* Remember to free groupmemb_attribute in ldap_detach
* Update documentation and radiusd.conf

Added better filter for LDAP uid, as posted to the list by Kostas.

%{Stripped-User-Name:-%{User-Name}} is better than %u

Use a textarea for new members in group_admin.php3 and group_new.php3. Update lib/sql/create_group.php3 and
lib/sql/group_admin.php3

* Fix a small bug in lib/sql/create_user.php3 where work and home phone were stored in the wrong fields.
* Set personal information attributes in lib/sql/user_info.php3 to default values.
* Add a page to change the user's personal information. Changed the user toolbar and added htdocs/user_info.php3
  along with lib/{sql,ldap}/change_info.php3
* Print a message if we can't connect to the ldap server in lib/ldap/user_info.php3

Move sql_get_socket deeper inside rlm_sql_checksimul

Add a few missing sql_release_socket. Patch from Kevin Bonner <keb@pa.net>

* Add support for group membership attribute inside the user entry in ldap_groupcmp. The attribute
  can either contain the name or the DN of the group. Added the groupmembership_attribute
  configuration directive
* Move the ldap_{get,release}_conn in ldap_groupcmp so that we hold a connection for the minimum time.
* Update documentation and radiusd.conf

Do an xlat on the search and replace strings

Update Changelog

The new group page should only be available if the general library type is sql

* Add support for groups in SQL. Added several new files and modified a few more.
* Default values in SQL are now extracted from the group membership. Added a lib/sql/defaults.php3 file.
  As a result the default operator is not '=' anymore but whatever we find in the group check and reply tables.
* In lib/sql/user_info.php3 set user_exists in more than one places.
* Add support for the '=*' and '!*' operators
* Added a HELP_WANTED file describing what are the major things missing which people could contribute.
* Updated TODO

XSUB.h

Don't do "ptr++" when skipping over a tag for string tunnel attributes.
That screws up the count of attrlen and length.

Instead, remember that there's an offset to skip the tag, and
don't play games with ptr.

Change '!=' to '==', so Cisco garbage like:

foo-bar-baz = "boo-bar-baz = 5"

Will work.

A big sweep of changes to use 'configure' to discover which header
files exist, and when to include them.

This code is *really* bad.  It uses inet_aton, and gethostby..,
and has a lot of compiler warnings.  Someone should really go
through it, and clean it up.

Run autoheader, too, when re-building module configure scripts

Added note about Exec-Program, with samples.

Added note about 'printenv'

Updated so gdbm-ndbm.h isn't found to be the same as gdbm/ndbm.h

Bug found by Eric Reischer