Moved EAP section to its own configuration file, as it was
getting large

Added two realm module configure options.  Ignore_default and
ignore_null.  Boolean values that can be set to yes to cause the
specific module instance to not return a match on DEFAULT or NULL
realms respectively.  This allows mutliple realm modules to coexist
with DEFAULT and NULL entries in 'raddb/proxy.conf' much nicer.

Updated man page, and radiusd.conf with examples.

More man pages for commonly used modules.

A little better way of dealing with DICT_VALUEs that are defined
out of order

Get rid of "long" types.  They're not needed.

Don't bother fixing these things up incorrectly

Look for post-proxy for tunneled session, and do it, if configured

Added instance, so that we can control with_ntdomain_hack,
for proxying EAP-MS-CHAP-V2 as MSCHAP-V2.

The wonderful Windows clients send User-Name = "DOMAIN\\user",
but calculate the MS-CHAP response based on "user", so they lie
to us.  WTF were those people thinking?

After we've called MS-CHAP for authentication, delete the MPPE
keys from the response.

Handle proxying of EAP-MS-CHAP-V2 as MS-CHAP-V2

If the tunneled EAP session returned early because the server
is acting as a protocol translator for proxying (EAP-FOO to FOO),
then remember what's going on for later.

Minor formatting

A little prettier printing for -Xx

Padding is "NOT unaligned data", not "aligned data"

Add a force directive in log_badlogins. If uncommented it will force inserts even if there are
sql errors. That can help in case there is one sql query which stops the whole failed logins
logging system from working

Added attributes as posted to the list today

Export rad_postauth()

Added submodule tunnel callback

Expose rad_postauth

-X means debug_flag +=2.

This lets "-xX" set it to 3, rather than 2

Added 'const', for paranoia

More updates

If this VP isn't a LEAP thing, go to the next one.

This prevents an infinite loop.

Catch people who type 1 character hex strings

eapttls_process() was sometimes returning PW_FOO, and sometimes
returning RLM_MODULE_FOO.  That's bad.

The code has now been fixed to be consistent.

If we've found openssl/ssl.h, then set -I$OPENSSL_INCLUDE

Patch from Rok Papez

Added docs for cisco_accounting_username_bug

Nope... Panther doesn't like this, either.

Explicitly link to -lradius, to get functions defined there, for
platforms like Mac OSX, which can't figure out that since radiusd
is linked to -lradius, and radiusd is also linked to rlm_mschap,
then it shouldn't be rocket science to have rlm_mschap use
the symbols from -lradius.

Instead, it forces you to link rlm_mschap against -lradius.  Weird.

The encryption of the MPPE keys is done by tunnel_pwencode,
so we don't do it here, and we don't need to pass "secret" or
"request" to the gen keys function

added gtc{} to eap{}

Added another debug message about which section it's processing

Added cisco_accouting_username_bug to the rlm_eap_t.

Must have a semicolon at the end of the line.

Make 'radiusd -s' not daemonize like the man page says it won't.

Print out a warning message for groups which are empty.

Re-arrange send_one_packet, based on comments from Nicolas Baradakis

Got rid of radsend_walk function, and moved the code to the
main-line

Be less annoying about messages.

If a block is empty, and we didn't pick a particular type to call,
then don't complain.

Cisco AP1230B firmware 12.2(13)JA1 has a bug.  When given a
User-Name attribute in an Access-Accept, it copies one more byte
than it should.

So we work around it by configurably adding an extra zero byte.

Based on a patch from rok.papez

When proxying synchronously, if retry_delay * retry_count
is exceeded, then mark the realm dead, even if we didn't send
that many retries.

Patch from Chris Brotsos

Clean up the code a little more.

Print out more error messages.

In diameter2vp, check for data_len == length BEFORE padding length,
just like in diamater_verify.  This will fix problems with broken
clients which don't pad.

In log_badlogins add a newline after every sql query so that the resulting file can be editable

If we are passed an empty password log a module failure message not an error message

Also be able to use Crypt-Password attribute.
If we are passed an empty password create a module failure message and fail
not just log an error message

Also update radiusd.conf

Add a timestamp and a timeout attribute in ippool_info. When we assign an ip we set timestamp
to request->timestamp and timeout to %{Session-Timeout:-0}. When we search for a free entry
we check if timeout has expired. If it has then we free the entry. We also add a maximum
timeout configuration directive. If it is non zero then we also use that one to free entries.

Replace user with username in postauth table. Patch by Guy Fraser

* Add a patch from Neil McCalden to not put spaces in the -p argument to the mysql binary.
* Fix a bug in conf/config.php3. Patch from Neil McCalden

Clean up the "done request" logic.

If no -f is specified, we're reading from stdin.

Bug noted by Nicolas Baradakis

print out an error for people who specify an Auth-Type which
doesn't exist.

Now that EAP-GTC works with Meetinghouse, include it

perl -i -npe "s/[ \t]+$//g" `find src -name "*.[ch]" -print`

Whitespace changes only, from a fresh checkout.

For bug # 13

Better deal with netmasks of 0.

Bug found & patch by Chris Brotsos

Fix a HUGE bug in ltdl, which would give the wrong f*cking
error message when it couldn't link to a library.

The bug is fixed in newer versions of libltdl, but we haven't
upgraded because of other issues.

Bug found by Paul Stewart, and verified to be fixed in newer
versions of the software.

Added LOCAL realm to the standard configuration

Add EAP-Type to the request packet pairs, even if the request
was configured to be proxied.  This lets the local server cancel
the proxying, based on EAP-Type.

Multiple packets from a file are sent in series.  Once all
the retries (or multiple copies) of packet 1 have been sent, then
packet 2 is tried.

Packets from multiple files are sent in parallel.

Read multiple packets from one file.

Restore old functionality: reading multiple packets from a file.

Patch from Nicolas Baradakis

Move the packets to send into a list, rather than a tree.

The list of sent packets are still in a tree, though.

This allows a file to contain multiple packets

NIL != NULL

Fix a boundary condition.  When the pair to replace is the last
one, the loop exits early, as it stop when "i->next == NULL",
not when "i == NULL".

The loop now continues until "i == NULL", and uses the "prev"
pointer to know where and how to link the attribute into the list.

Bug found by geoffroy.arnoud

When using the tunneled reply, don't include Proxy-State

Some fairly serious changes to radclient.  It still doesn't read
multiple packets from one file, but that will be fixed later.

It now accepts multiple '-f' options on the command line.

It now keeps a RB tree of outstanding packets its sent, and
another for responses.

It walks through the packets to send, and sends them, doing
retries, and repeats of the same packet.

Asynchronously (but not in another thread), it looks for responses
to any packet, and processes those.

This allows multiple requests to be outstanding, and allows
responses to be processed out of order.

If users set Proxy-To-Realm, and the realm is LOCAL, then
don't try to proxy it.  Instead, print warning messages telling
them what they've done wrong.

Added serv-side attribute Packet-Dst-Port, to set the destination
port of the packet.

More calls to free

Updated debug messages

Pull changelog from 0.9.3, for historical archiving

Use the trapeze networks dictionary, too

With the updated "hints" file handling, we shouldn't get
excited about Strip-User-Name, either

Hmm... these things should probably be handled by attributes
in the dictionary files.

Debian: Correct build-dependancy on debhelper.
Debian: Include overlooked iodbc postinst script.

Updates from Trapeze Networks

Move code from main() to function send_request()

Patch from Nicolas Baradakis

Continue processing requests, even if the server doesn't respond
to one.

Patch from Nicolas Baradakis

Re-iterate the fact that they are Trapeze-specific VSA's

As posted to the list by Guy Davies

After finding a request in the proxy tree, remove it from the
tree.  This will cause complaints if we get duplicate replies,
but it means that we can re-use the ID sooner.

Added node2data function.

Call cleanup handler in the appropriate place in rbtree_delete

If the host isn't found, die.

If nothing is in the buffer, deal with it.

Patch from Martin Seine

It's string, not integer.

Patch from Martin Seine

* Fix a couple of typos

Set Message-Authenticator to a known value.

Delete FreeRADIUS-Proxied-To attribute when proxying tunneled
sessions, as it tells others what's up.

Add "proxy_tunneled_request_as_eap" configuration entry, which tells
(for now) the rlm_eap_mschap module to decode EAP-MSCHAP-V2 into
plain MS-CHAPv2, so that it may be proxied to systems which don't
understand EAP-MSCHAP-V2

Clear RAD_REQUEST_OPTION_PROXY_EAP if we're not done initializing
the EAP session.

When we are done, use that option to decide when to proxy the
tunneled request.

Define RAD_REQUEST_OPTION_PROXY_EAP, and don't get excited
if we have an EAP response without Success/Fail when that
option is set, as the request will be proxied.

Added comment to explain that failover is not possible when
synchronous is set to yes.

Added rl_add_proxy() to request_list.c, and made radiusd.c use it.

If WITH_RBTREE isn't defined in request_list.c, it does nothing.

If it is defined, then we use a new (and mutex-protected) tree
to keep track of proxied packets, and to find responses to those
packets.  This should be HUGELY faster than the previous method.

Hmm... we don't check for packet codes in proxy replies.  This
is probably a bad idea.

Added "number of elements" function, maily for debugging.

Added commented-out Red-black tree lookups for the request list
handling.  It still needs the linked list for incremental walking
& cleanup, but the tree is used for finding requests, which is MUCH
faster.

i.e. We have two ways of storing requests:
a) linked list: O(1) insert and deletion, O(N) searching
   We REQUIRE this for incremental walking & cleanup.

b) red-black tree: O(log(N)) insert, deletion, and searching.

Doing both isn't much of a problem.

Updates before 1.0

include propel dictionary

Found on the net

Whitespace changes

in DICT_VENDOR, name is "name", not "vendorname"

dict_vendorname is a bad name.  Use dict_vendorbyname for compatibility
with other dictionary functions.

Add dict_vendorbyvalue

When printing names for unknown attributes, use vendor name, if
it exists.  Cisco-Attr-1 is easier to read than Vendor-9-Attr-1

When creating attributes, parse things like Cisco-Attr-15,
which is a little easier to read than Vendor-9-Attr-15

after malloc'ing "inst", return it in initiate.

Set EAP_SUCCESS or EAP_FAILURE in authenticate.

Use data.length, not eap.length - 4 (which should have been 5)

New configuration option "auth_type", to determine what to do
with the response.  For now, we assume it's a clear-text password,
and create a User-Password attribute.  This lets PAP work...

We may want to look for a *second* Auth-Type in the request,
and use that.  This means we'll need Auth-Type = EAP, to do the
EAP portion, and Auth-Type = Foo, for the decoded stuff.

But EAP-Generic-Token-Card now works with PEAP, and the Aegis client.

argc++ should have been argc--

Bug found by Chris Chapman