* Fix a couple of typos

Set Message-Authenticator to a known value.

Delete FreeRADIUS-Proxied-To attribute when proxying tunneled
sessions, as it tells others what's up.

Add "proxy_tunneled_request_as_eap" configuration entry, which tells
(for now) the rlm_eap_mschap module to decode EAP-MSCHAP-V2 into
plain MS-CHAPv2, so that it may be proxied to systems which don't
understand EAP-MSCHAP-V2

Clear RAD_REQUEST_OPTION_PROXY_EAP if we're not done initializing
the EAP session.

When we are done, use that option to decide when to proxy the
tunneled request.

Define RAD_REQUEST_OPTION_PROXY_EAP, and don't get excited
if we have an EAP response without Success/Fail when that
option is set, as the request will be proxied.

Added comment to explain that failover is not possible when
synchronous is set to yes.

Added rl_add_proxy() to request_list.c, and made radiusd.c use it.

If WITH_RBTREE isn't defined in request_list.c, it does nothing.

If it is defined, then we use a new (and mutex-protected) tree
to keep track of proxied packets, and to find responses to those
packets.  This should be HUGELY faster than the previous method.

Hmm... we don't check for packet codes in proxy replies.  This
is probably a bad idea.

Added "number of elements" function, maily for debugging.

Added commented-out Red-black tree lookups for the request list
handling.  It still needs the linked list for incremental walking
& cleanup, but the tree is used for finding requests, which is MUCH
faster.

i.e. We have two ways of storing requests:
a) linked list: O(1) insert and deletion, O(N) searching
   We REQUIRE this for incremental walking & cleanup.

b) red-black tree: O(log(N)) insert, deletion, and searching.

Doing both isn't much of a problem.

Updates before 1.0

include propel dictionary

Found on the net

Whitespace changes

in DICT_VENDOR, name is "name", not "vendorname"

dict_vendorname is a bad name.  Use dict_vendorbyname for compatibility
with other dictionary functions.

Add dict_vendorbyvalue

When printing names for unknown attributes, use vendor name, if
it exists.  Cisco-Attr-1 is easier to read than Vendor-9-Attr-1

When creating attributes, parse things like Cisco-Attr-15,
which is a little easier to read than Vendor-9-Attr-15

after malloc'ing "inst", return it in initiate.

Set EAP_SUCCESS or EAP_FAILURE in authenticate.

Use data.length, not eap.length - 4 (which should have been 5)

New configuration option "auth_type", to determine what to do
with the response.  For now, we assume it's a clear-text password,
and create a User-Password attribute.  This lets PAP work...

We may want to look for a *second* Auth-Type in the request,
and use that.  This means we'll need Auth-Type = EAP, to do the
EAP portion, and Auth-Type = Foo, for the decoded stuff.

But EAP-Generic-Token-Card now works with PEAP, and the Aegis client.

argc++ should have been argc--

Bug found by Chris Chapman

Build rbtree.c, too

Clean up minor stuff

Values are now looked up via RB-trees, too.

Prefer the "-" attribute names over "_"

Deleted duplicates

Don't free things twice

Made the red-black tree code "live" in dictionary attribute
lookups.  This means that we can delete the "next" entry
from DICT_ATTR, as it's no longer necessary.  The tree now holds
all of that information.

Minor comment updates

Updates to use red-black trees in the dictionaries.  Should make
them a little faster...

Not yet included by default, but tested a bit.

A simple API for red-black trees.  Tested somewhat with the
dictionaries.

Removed/updated attributes with duplicate names

Include types for FreeBSD.

Apparently it's a good idea to have system header files which
implicitely depend on other headers.  Why it's so difficult to
include them is something I don't understand.

Patch from Florian Lohoff

Build when SNMP is enabled.

Patch to correct windows MSCHAP issue, by adding 'ntdomain_hack'
to remove domain portion of username so that MSCHAP authentication
works.  Patch submitted by: Michael Griego <mgriego@utdallas.edu>

Small changes to fix compiler warnings

Committing more man pages for modules.

missing Makefile added.

Additional man pages for modules.

Update after changes to configure.in for openSSL detection.

Allow EAP-SIM, EAP-TLS and EAP-TTLS to find the default OpenSSL installation
without needed parameters, like EAP-PEAP already does.
Pointed out by Lars Boegild Thomsen

Added additional config explanation.

Adding additional docs

Adding needed docs to prepare for 1.0 release.

inet_aton is more portable than inet_pton

Patch from Manuel Ricca

Whoops... that's a typo

Don't include libradius.h, radiusd.h includes it.

Include netinet/in.h BEFORE radiusd.h, as radiusd.h includes
missing.h, which tries to define INADDR_*

Don't reference pthread functions if we're not building in threaded
mode

updated documentation slightly - to reflect that attributes may
safely change now.

capture the RAND/SRES/Kc when we initialize the SIM
rather than later, when they may have changed.

turn off extra debugging.

added rcsid.

documentation for rlm_sim_triplets.

new test case for simtriplets.dat based example.

describe this test case.

new module to read triplets out of a file for EAP-SIM.

added some debugging of why EAP-sim might not want to
handle the request - lacking RAND1 attribute.

fixed minor typo in comment.

added new option -X to turn on sha1_data_problems.

to further aid in debugging, dump the resulting key as well

Use ==, not =

Generate proper dh.  From Michael Brown

the problem arises from the the krb5_data packet struct which
is not initialized. If the check with krb5_kt_read_service_key fails,
a "goto cleanup" occurs, which attempts to free the memory
contained in "packet" if its data pointer is non-NULL.

In our case, the uninitialized packet contained garbage pointing into
kernel space, resulting in a seg fault on the subsequent free().

The fix is simply to memset the struct to zero at the beginning of the
function.

Patch from Jon Moore

Update with new comments

Deleted lots of special-purpose code to do prefix/suffix matching
in the "hints" file.

We now call the "paircmp" function, which does more, and is less
work for us.

The old "hints" file did prefix & suffix matching, and not much
else.  The new "hints" file does all that, and lots more

Reserver room for the trailing NUL byte, too

Corrected typo

Having eap_type2name return a "static" buffer is a very bad idea.

It now gets passed a buffer, and returns either that, or a
'static const char *' pointer to the array of pre-defined names.

A slightly different way to build radeapclient, which makes
sure the "make clean" works, too

If we get unexpected tunneled data, print it out when doing -Xx

Minor cleanups to messages

Fix return value of 1 from cp'ing certificates into installation due to trying
to cp a directory.
Thanks to Toni Mueller

Fix missing make dependancy on radeapclient when installling.
Thanks to Toni Mueller

Install certs, too...

More and better text

More and better documentation in the comments

For laziness, add a test certificate directory, which is NOT
installed by default!

Use User-Name, not stripped-user-name.

The MS-CHAP response depends on the user name, as sent by the NAS,
so we would do well to use it as-is

Clean up instructions for latest snapshot

Properly initialize a variable

Some systems need -lcrypt for the client...

Don't use strncpy

Update cheesy strNcpy to NOT call strncpy, which zero-fills the
memory...

Enable rlm_exec by default

It's NAS-Port, not NAS-Port-Id

Added EXE extensions.  This may help for Windows, which needs
(and adds) extensions when building executable programs

More examples of using inter-variable references in the
configuration file.

Define HAVE_OPENSSL_SSL_H, too

Point to new scripts for certificate creation, and to suggested
location for certificate directory

Add scripts to automatically generate test certificates.

corrected typo

More attempts to get MySQL working

Added big warnings about old & untested features

Fix typos

Update sample password

Install radeapclient, too

${module.submodule.item} now works properly

Enhanced configuration file variable expansion, hopefully
without breaking anything.

OLD: ${foo} means "foo in current section, OR foo in main section}
e.g. ${logdir}

NEW: ${foo} means the same as before
     ${.foo} means "foo in current section ONLY", just in case
             there are name conflicts.
     ${..foo} means "foo in the section enclosing this section"
     ${main.module.submodule.foo} should be obvious...

For now, we need "main" in there, but a commit in the next few
days should remove that restriction...

fixed "ChalX" to "RandX".
added Autz-Type:=, which is really needed for basic testing.

Look for stripped user name, then user name, in group cmp.

Use a better name for the SQL stuff.

Bug noted by Keith Yoder

Don't return "OK" until the TLV success packet was sent back.

Bug & patch noted by Mike Saywell

Imported changes from downstream Debian packaging.

* Add a message when adding a user in the badusers table
* Close sql connections in add_badusers.php3

* Add the ability to erase rows from the badusers table
* In log_badlogins for multiple logins if it is a mppp attempt, log it