eap.h support for tunneled callbacks
rlm_eap.c update request->proxy in authenticate
call tunneled callbacks in postproxy

types/rlm_eap_ttls/eap_ttls.h
types/rlm_eap_tls/eap_tls.h
move prototype for eapttls_process

types/rlm_eap_peap/eap_peap.h
include rlm_eap.h

types/rlm_eap_peap/rlm_eap_peap.c
types/rlm_eap_ttls/rlm_eap_ttls.c
handle "updated" return code from tunnel handler

types/rlm_eap_peap/peap.c
types/rlm_eap_ttls/ttls.c
hoist reply processing into it's own routine.
handle proxy replies

Cosmetic changes in debugging messages

De-coupled the input requests from the thread management.

We now have a queue of input requests, which the new requests
get dropped into.  Asynchronously from that, the threads wait
on a thread-global semaphore, and then pick up requests from
the queue.

The queue is protected by a mutex, both for adding & deleting
requests.

The threads in the pool no longer have per-thread semaphores.

Semaphores are required here because the main handler thread
has to be able to signal the semaphore, and have that signal
remembered, even if there are no threads currently waiting on
the semaphore.  Further, the main handler has to be able to
signal the semaphore multiple times, when there are multiple
requests waiting, and all of the threads are busy.

If a thread wakes up and there is no request for it to process,
it simply goes back to waiting on the sempahore.  This makes
the process a little more fail-safe, in that we can ensure that
requests are never left forever in the queue, by signalling the
semaphores more than required.

Re-arranged the rad_check_list & proxy_check_list code to make
a little more sense.  The main request handling loop which does
select() is now a little smaller.

We now have a packet_ok() function, to see if the incoming packet
is acceptable.

We now have a request_ok() function, which sees if the request
(as a whole) is acceptable.

The old code mixed up a lot of the packet/request checking into
multiple functions which each did packet/request checking.  The
new code is a little more straightforward.

The idea is to fix the race condition in the proxy code (bug #7),
and to apply the pending multi-cpu patches, by adding a queue of
requests we're sitting on, but which haven't yet been given to a
thread.

The new code makes it a little clearer as to what changes have
to be made, and where, in order to add those features.

container is a ptr, not a ptr to a ptr

Update casts to be prettier

Add the code to eaptls_ack_handler which was removed in the previous commit.
Add an entry initialized in tls_info_t which is set to 1 by eaptls_msg.
In eaptls_ack_handler check the info elements only if initialized is not set to zero.
If it is set to zero then just return EAPTLS_REQUEST and wait for more data.

Replace u_int8_t with uint8_t which is the correct one

Call pam_end with proper return value, to let the pam libraries
clean up after themselves..

Patch from max liccardo

Never mind.  Editing the configuration files is simpler.

A few simple configuration changes to make iPass support easier

As posted to the list by Walter Perris

When a REQUEST is proxied, set the option that it's proxied,
instead of keying off of the existence of request->proxy

Add the ability to associate arbitrary data with a REQUEST structure.
This should make a number of things much easier...

Remove a trailing space after the '\\'.  It MUST be the last
character in the line!

Add a patch from Jon Miner <miner@doit.wisc.edu> to add the ability to configure
various LDAP TLS options

Updates.

It's a start

In eaptls_ack_handler delete all relevant code about checking ssl parameters
We are handling an EAP-TLS ACK packet which by definition does not contain
any data. So there's no possibility of these values existing in the first place.

Karlnet (makes point-to-multipoint software for Lucent APs, and own APs now).
Its VSAs are used for setting operation mode APs and bandwidth parameters of clients

Added Navini thanks to "Paul Shields" <pshields@navini.com>

attr_vp->strvalue can sometimes not exist. Use replace_STR instead

new accounting_update_query for oracle

Re-arrange the proxy code, to group the "massage the packet"
code into one area.

Update AcctSessionTime also on accounting_update packets

Update some extra fields on accounting_update packets

Reformat accounting_update_query

update the acctinputoctets and acctoutputoctets on accounting_update

When creating attributes from strings Attr-%, or Vendor-%d-Attr-%d,
look the parsed attributes up in the dictionary, and use the name
and type from there (after parsing the octets)

This "normalizes" the names and values for the attributes...

Parse Attr-%d and Vendor-%d-Attr-%d into VALUE_PAIR's, as the
named attribute isn't in the dictionary.

We should probably fix the function to double-check the dictionary
for the attribute, and use that correct name, if it exists...

This fixes bugzilla #8

A little bit of future-proofing, for other vendors who have
4-octet VSA's.  The code isn't done yet, but it's a little more
obvious as to what has to be done to support it, and why.

Fail authentication if the User-Name attribute changes value
in the middle of the authentication process, or if the User-Name
attribute doesn't match the EAP-Identity

Patch from Michael Griego

Handle vendor codes larger than 16 bits.

The 'indictors' array should be long-lived, and not allocated on
the stack.

Patch from Michael Wins

Use paircreate(), rather than our own malloc(), to create VP's.
This avoids a lot of the problems with respect to doing our own
dictionary lookups...

Removed all references to 'attr->' from rad_decode().  It's no longer
necessary, and was being used without checking if attr was NULL
(which it could be, but not in the code de-referencing it)

Yuck.  Smaller, simpler code is better.

Patch to better use include/lib directories, and keep track of -lz

rad_decode() now checks the VSA the first time it runs into
Vendor-Specific.  If it looks like an RFC-compatible VSA, then
it uses that.

If it looks like a USR style VSA, then it uses that.

If it doesn't look like anything intelligent (i.e. certain vendors
who shall remain nameless), then it leaves the attribute as
Vendor-Specific, of type 'octets'.

This makes the server a little more flexible...

Moved trailing 'Ascend' on each attribute to BEGIN/END-VENDOR
blocks.  This makes the dictionary a little prettier, and also
allows the 'encrypt=3' stuff to work.

Added 'encrypt=3' to the dictionaries, to avoid having the code
in radius.c add the flags manually

VSA's of length 6 are disallowed.

VSA's with vendor ID of zero are disallowed.

Removed code in rad_recv() which tried to verify the correct
format of VSA's.  Too many vendors have too many stupid VSA formats
to make this check worth-while.

Unlock the list AFTER we've finished mucking with it, not before.

Patch from Michael Griego

Updated return codes & error checks.

Finalized change from last commit: n -> n2 inside of the loop, too

Allow sql module to be disabled at configure time.

Assert that the expected schema is returned

RADIUS attributes can be up to ~256 bytes long.

This is the pam_smb vulnerability from a while ago...

send the encryption keys to the AccessPoint.

the version list attribute's length of versions is in bytes,
not entries.

the version list attribute's length of versions is in bytes,
not entries.

add a second #ifdef in case we need to dump keys in production.

rename "SIM-Chal" to "SIM-Rand" to sync with names in official
documentation.

updates to test for new RAND attribute packing.

pack the RAND attribute properly - should have 2 bytes
reserved.

make sure that we are using the right sizes for the SHA1 key.

verify that the RAND that was sent matches the one we were
told about - this found a bug in attribute packing.

always turn on SHA1 debugging, but have a run-time flag.

rename "SIM-Chal" to "SIM-Rand" to sync with names in official
documentation.

update documentation on EAP-SIM to .12.

use HOSTINFO and RADIUS_VERSION variables
use OPENSSL_LIBS and OPENSSL_INCLUDES variables

regenerated configure scripts.

added abs_top_builddir to be 2.13/2.57 compatible.
added OPENSSL_LIBS/OPENSSL_INCLUDES variable
added HOSTINFO variable
removed explicit append to src/include/autoconf.h.

this seems to be a duplicate prototype.

some more UNUSED markings.

fix some signed/unsigned warnings.

cast to unsigned.

use unsigned counter for second loop.

use size_t for lengths.

match prototype to definition.

fixes for EAP key length.

added EAP-Type values.

#if and #ifdef are different, and this situation requires #ifdef.

mark arguments as UNUSED.

introduce temporary variable so that "builtin" htonl()
definitions do not get complaints about _v shadowing global.

change prototype to use "size_t" since it is a buffer size,
and should never be negative.

added defines for gcc extensions, so they can be used,
particularly "UNUSED" for arg lists.

added "TAGS" target.

Simplified rad_send()

Don't loop forever

Any Access-Request which contains a Tunnel-Password attribute
would cause the server to crash.  It now causes the packet
to be rejected.

Re-wrote rad_tunnel_pwdecode() to be a bit more robust on its
input, and to make a little more sense to me...

Check for tags only if the 'length' field says there's sufficient
room for one.

Remove the 'AND AcctStopTime = 0' from the corresponding sql queries. This check
can lead to duplicate entries in the database. We prefer to just update the same
row a few times than have duplicate data

Check the sub-sections of authorize{}, authenticate{}, etc.
They SHOULD be Autz-Type, Auth-Type, etc.

Complain if they're not

Updated to add conditional inclusion of <stdint.h> for systems that define
uint8_t there, such as Mac OS X.

Include autoconf.h, so we can get types defined...

Clean up printing of debug information, so it doesn't screw things
up when it's not supposed to be printed.

Check for clients which don't pad AVP's to a 4 octet boundary

rlm_eap depends on libeap...

u_int -> uint

Added libtool --finish, which is apparently needed...

Patch from Nicolas Baradakis

If we see trailing '%', '$', or '\\' at the end of a string
during xlat, then copy that character to the output

Add a new configuration directive, do_xlat (default: yes). If set we use pairxlatmove
on the radius attributes, else we fall back to the plain old pairadd. That way people
can fall back on the 0.8.1 behaviour without making changes to their ldap database or
gain a little performance by not using pairxlatmove

Doco: A timestamp that is preceded by an asterisk (*) or a dot (.) may not be accurate. An asterisk (*) means that after a gateway reboot, the gateway clock was not manually set and the gateway has not synchronized with an NTP server yet. A dot (.) means the gateway NTP has lost synchronization with an NTP server.

Add a note about also using the AcctUniqueId in the accounting_stop which
can result in less candidate rows for the sql server to search for when
executing the query

include pointer to openssl include directory so that the
right openssl headers are used.

Support for configurable keytab locations and service principal names
Remove superfluous debugging statement

Corrected typo, and increased max eap types

If the user sends a NAK with an EAP type, and their configuration
says "EAP-Type := FOO', then reject them if they didn't ask for FOO.

This makes EAP work like PAP/CHAP/etc.  The server usually figures
out on its own how to authenticate a user, but if a user is
required to use authentication method FOO, then any attempt to
use a method other than FOO gets rejected

Add some debug statements when we do a bind operation

Don't check for 'unsigned int' to be > 0, it's always true.

u_int -> uint

Update includes to work a little better