As found on the net

Include files used to build the server are now <freeradius-devel/*.h>
If this is bad, we can easily change it in the future to something
like <freeradius/*.h>.

Also, updated rlm_sqlippool to build with the recent cleanups.

The work was done via a Perl script, and the server rebuilt &
tested to be sure it works.

s/otp_get_challenge/otp_async_challenge/ to avoid confusion with
sync challenge

combine another FR and PAM debug option (missed earlier)

fix logging:
- add __func__ to otp_log(), where missing
- don't prepend MODULE_NAME in otp_log(), instead make it part of
  log_prefix (as appropriate)

fix signed/unsigned comparison

combine FR and PAM debug options

Change user_state 'challenge' field from string to uchar, which
makes more sense for crypto and other manipulation.  Unfortunately,
it is a huge change for such a small gain (basically avoiding
sprintf() and sscanf() conversions.)

Notable changes:
- otp.h: add 'clen' field to user_state; update it wherever the
  'challenge' field is set
- otp_cardops.h: add printchallenge() method, OTP_CF_C8 and OTP_CF_C4
  Card Feature macros
- cardops keystring2keyblock() method and otp_keystring2keyblock()
  now return keylen (instead of 0) on success
- otp_keyblock2keystring() now takes a length arg and returns char *
  for easy printing
- remove [unused] 'card_info' and 'log_prefix' args to cardops
  updatecsd() method
- otp_gen_challenge() noted as cryptocard-specific with quirky behavior
- otp_challenge_transform() explicitly returns new challenge length
        - cryptocard.c:cryptocard_challenge(): Remove hardcoded challenge
  length of 8.  Yes, *sync* challenge length must be 8 but challenge
  might be a different size due to resync with an async challenge.
  This worked before but became a bug when we changed the user_state
  'challenge' field to be the previous (instead of the next) challenge.

add sratch3 back to user_state, to hold csd offset

On deleting the request list, kill any live threads that are
processing the request, and mark the request has having no
child pid.

We should fix up the thread pool, too, to catch the case of
"disappeared" child threads

s/user_info/card_info/

    remove extra scratch field from user_state

- otp.h: add scratch data fields to otp_user_state_t, for tmp use
  by cardops methods
- change 'user_state' arg to cardops challenge() method to non-const,
  so that state can be updated with scratch data for later methods
        - remove [unused] 'challenge' arg to cardops updatecsd() method, and
  reorder 'when' arg to be consistent with challenge() method
- remove 'twin' arg to cardops isconsecutive() method; time data now
  stored as scratch data (twin data is meaningless, it must be
  converted to a time counter which is already done in challenge(),
  so don't do it again)

remove csd arg to cardops response() method

remove cardops isearly() method, instead the challenge() method now
returns multiple error codes, eliminating some duplicate code and
saving a function call

remove 'now' arg from cardops maxtwin() method

Description:
update cardops challenge() method: change order of 'challenge' and
'when' args, change 'twin' and 'ewin' args to type int

Use closefrom

Spelling.

Allow tabs

Catch NULL ptr

On HUP, move proxy sockets, too

Updated check program for 'sockaddr_storage' to include <sys/socket.h>
and detect it's existance on Solaris 8 systems ( and presumably other
Solaris variants ).

- Remove duplicate work in cardops twin2cardtime() method by removing
  the method altogether.  Now we call challenge() before isearly(),
  and pass the challenge in, instead of cardtime.
- mincardtime is now saved in the updatecsd() method instead of in
  otp_cardops.c
- remove minewin state field (still version 5)

change state fields failcount and minewin from int to uint32,
for portability (really this time)

- change state field minauthtime to mincardtime
- change state fields failcount and minewin from int to uint32

More cleanups & leak fixes

Abstract code some more.

Actually free stuff on errors

- add back time restriction to rwindow override, mistakenly removed
  in previous change
- add logging when a window position is skipped for being too early

Make isconsecutive() a cardops method instead of trying to account
for all cases in otp_cardops.c:
- remove nexttwin() method
- save rwindow data as card-specific 'rd' field, instead of generic
  authewin and authtwin fields
- updatecsd() method now has to update rd as well
- bump state to version 5

cardops updatecsd() method twin arg is int, not unsigned

- change csd and challenge args to cardops response() method to
  char[] instead of char*, to document expected array length
- change csd arg to cardops response() method to const
- remove now superfluous (since cl 421) local copy of user_state.csd

Removed duplicate function.  Patch from Phillipe Sultan

isearly() should take int, not unsigned, for ewin arg

simplify "too early" logic by adding a cardops method isearly(),
rather than trying to account for the different cases in otp_cardops.c

update csd comment: prev, not next, sync challenge, due to state v4

Added hex printing of the packets if command-line options are -xxx

Catch case where the user hasn't updated the dictionaries with
the new format strings, and force them to be the default values

Pass option "--config-cache" to configure, it's *a lot* faster.

Regenerate from configure.in 1.222

Ugly hack to make "./configure --config-cache" work.

change order of twin and ewin params to cardops challenge() method,
to be consistent with inner and outer loop vars and logging order

Add "format=" option to VENDOR statements in the dictionaries.

This lets us support any vendor with wonky formats, rather than
hard-coding vendor names into the source.

It also allows us to support read multiple Lucent & Starent
attributes in one Vendor-Specific, which is nice.

The code is a *lot* larger than before, but I hope it's clearer,
and it does support a lot more weird situations than before.

Set more lengths on paircreate()

Allow values for pairmake() to be 253*2 characters long, for hex
data.

Removed bogus code

Always use a "switch" statement after calling the modules, so it's
easier to figure out what's going on with the many return codes.

isconsecutive(): test for persistent softfail to avoid broken math

persistent softfail (forced by nullstate) fixes

Don't leak memory in rad_authenticate() when we receive an
Access-Challenge from the home server. Also re-arrange the
code which check the proxy reply, and update the comments.

Print a debug message with the name of the stanza which is used
to run the modules.

right shift OTP_CF_FRW and OTP_CF_TW mask bits to get value

don't redefine _GNU_SOURCE if already defined

Move table of PID's to wait for into a hash table, which makes it
easier to manage.

Correct typo in closefrom

Don't fclose() a file stream more than once.

Bug found by Svein Hansen <svein.hansen@hive.no>

add trid-beta-2 support

Suppress sending attributes of zero length.

Bug #273

Correct length bug in make_tunnel_passwd

use "data" ptr, not "vp->vp_octets" in rad_vp2attr(), during
encryption.

update rad_attr2vp() to handle encrypted IP's and integers.
(and anything else, for that matter).

Update rad_decode() to handle Starent attributes.

This code is a lot cleaner than what was there before...

Now that we have rad_vp2attr, and it's clean, adding support for
Starent VSA's is trivial.

We still have to make rad_attr2vp() support Starent VSA's, and
the Juniper encrypted integers & IP's

New attributes, from bug #284.

As a result of recent updates to src/lib/radius.c, we now get
"tunnel password" encrypted IP addresses and integers for free.

rad_vp2attr now takes "const VALUE_PAIR *", so it isn't modified.

Moved make_secret() to just before rad_vp2attr.

Added new make_passwd (User-Password) and make_tunnel_passwd
(Tunnel-Password) that take input & output ptrs, so they don't
modify a VALUE_PAIR*.  The resulting code also looks a lot cleaner,
and makes more sense.

Fixed rad_attr2vp() to ALWAYS return the attribute, even if it's
format is wrong (i.e. can't decrypt it, etc).  In those cases,
the attribute name is left alone, but the flags are all set to
zero (no tag or encryption stuff), AND the data from the packet
is copied verbatim into vp->vp_octets.

This makes the server a little more forgiving of bad requests.

run all known cardops constructors if they didn't run
(workaround for Cyclades ACS runtime linker deficiency)

Update minauthtime handling for event-only cards to fix a bug in
the sync_response loop where authtime always equals minauthtime,
and so the 0th event (or, all events earlier than minewin, usu. 0)
is not considered.
otp_cardops.c:otp_pw_valid(): always set minauthtime to 0
cryptocard.c:cryptocard_twin2authtime(): return current time, not 0

Clean up rad_vp2attr.  This version is a LOT more readable than
the previous code.

Check the return value of accounting modules and don't proxy
invalid requests. Now the actions are:

Return value            Proxy   Drop
--------------------------------------
RLM_MODULE_REJECT                 X
RLM_MODULE_FAIL           X
RLM_MODULE_OK             X
RLM_MODULE_HANDLED        X
RLM_MODULE_INVALID                X
RLM_MODULE_USERLOCK               X
RLM_MODULE_NOTFOUND               X
RLM_MODULE_NOOP           X
RLM_MODULE_UPDATED        X

More code cleanups

Moved code from rad_encode() to rad_vp2attr(), to modularize the
code a little more, and make it easier to re-use elsewhere

H(A1) == MD5-Password.

Based on a patch from Philippe Sultan, bug #287

Corrected typo, as noted in bug #287

Ensure we stop...

Stop earlier if something went wrong

Substantially re-written, to have a common function for handling
the filtering.

This enables us to easily add filtering for authorize & postauth.

We MAY want to have separate filter files for each stage...

Use new paircmp() routine in src/lib/valuepair.c, which looks to
do the same thing as the previous code.

New paircmp() function, which compares two pairs, and nothing
else.

    big update

Allow comparisons on IPv6 stuff, too

Renamed paircmp to paircompare, as we should probably have a
low-level comparison function, in the lib directory

Patches from Joe Maimon to fix some edge conditions

Be a little more forgiving about the number of domain components in a
User-Name in the form of host/f.q.d.n.

Catch even more corner cases.

This code is *bad*

Queue the request, THEN look for more threads

Catch the time when we're supposed to send delayed rejects.

This appears to prevent the loop of "Waiting for 0 seconds"

When stealing the fd, steal the rl, too

Increment head *after* deleting it from the queue

Allow mschap_xlat to return the correctly formatted username when given
a User-Name in the format of host/fully.qualified.name.  A Windows domain
expects a machine name in the format of shortname$, ie the SAM version of
the account name.  mschap_xlat will also pull the first domain component
following the hostname a host/ formatted username and return that as the
NT-Domain xlat.  With these changes, the ntlm_auth command can be assured
to always have the correct formatting of the username for either user
authentication and machine authentication by simply passing the xlats of
%{mschap:User-Name} and %{mschap:NT-Domain}

Added htonl wrapper around mask when ANDing in client_sane.  This was
some hard to track down issues.  The same may need to be done for the
IPv6 code in that function.

Type fixes

Moved code out of rad_decode() into rad_attr2vp, so we don't have
huge functions, and so that others can call rad_attr2vp

Changed size of start pool to fit one on experimental.conf

Don't free the check items in proxy_receive(): simultaneous
use, ip pool and post-auth type variables are still needed.

Foundational work for building C++ modules.

The header files need to be fixed, however.

Added EAP-PSK from:

http://perso.rd.francetelecom.fr/bersani/EAP_PSK/EAP-PSKWindowsimplementations.html

It's GPL licensed.

Changes from that library:
  - removed HORRID #include ....../rlm_ldap/rlm_ldap.c
      WTF?

  - minor updates for vp_strvalue

  - move Makefile to Makefile.in, because without other changes
    to the server to make headers build with C++, this won't
    build.

Untested... use at your own risk!

Don't set things twice

    fix unsigned vs signed comparison

spelling fix

spelling fixes

Handle regex comparisons.  Patch from Joe Maimon

spelling fixes

add maxtwin() cardops method to allow dynamic twin setting

pass 'when' and 'twin' to updatecsd(), so that time sync cards
can calculate drift

Delete #include "autoconf.h" from other header files. It's
annoying for the people who want to use the libradius in an
external program.