Clean up the examples

More description of the dictionaries & how they work.

Minor updates to the text.

Don't talk about disabling it.  We don't want the users to do that.

When we have a stop record, don't compare it to unused entries.

This means that if we get two duplicate stops, the second one will
cause the server to complain.  Previously, the server *may* have
complained, but not necessarily...

Use NAS-Port, not NAS-Port-Id in acct_unique.

The module should really be fixed to use xlat's...

Removed text saying there is a restriction on the number of
load-balancing realms

Removed restriction that there be no more than 32 load-balancing
realms, by implementing a new algorithm, which walks the list once,
and picks 1 of N.  (See the Camel Book)

Updated "readvp2" (only used by radclient) to be a little more
tolerant of its input, and to NOT leak memory if there was an
error reading the VP's

Add UDPFROMTO stuff.

Print source port when signature is invalid

Now that we handle things a little better, don't do such strict
checking for # of entries returned

Include PEAP & MSCHAPv2 EAP sub-types, too.

Updates from RFC 2822 and RFC 3576

Added 'accounting' and 'pre-proxy' method calls.

Build it only if WITH_UDPFROMTO is defined

added test-SIM case.

if the un-marshalling fails, then fail the packet.

As posted to the list by Keith Yoder

Small fix in user_finger.php3

Misplaced arguments in strncpy

Patch from Tiago Pierezan Camargo

Be a little more forgiving about string attributes in Cisco
AV-Pair's.

Potential patch

Allow integer timestamps, too.

Patch from James Nedila

Removed last vestiges of NAS-Port-Id meaning the integer attribute

Patch to change ctime_r to CTIME_R, which is now a macro, which
works properly on different platforms.  (Hello, Solaris... who
needs to follow Posix?)

Patch from Oliver Graf

Minor cleanups

Added SQL to a number of sections, commented-out

small amount of documentation on using EAP-SIM authentication.

what to put into /etc/raddb/users for eapsim-XX tests.

test cases for EAP-SIM.

Set src IP & port for reply, based on the dst IP & port
that the request came from.

Include udpfromto.c

Part 2.

Include header & C implementation, from Jan Berkel and
Miquel van Smoorenburg

Part 1 of patch from Jan Berkel, based on Miquel's patch.

./configure --with-udpfromto=yes

now sets options saying to use 'recvmsg' and 'sendmsg' for sending
RADIUS packets, which allows the destination address to be
discovered during receive, and to be set during send.

This should solve a number of the IP Alias problems that people
have had.

* Huge PostgreSQL compatibility patch by Guy Fraser <guy@incentre.net>
* Also support the Crypt-Password attribute in lib/sql/password_check.php3. Patch by Guy Fraser <guy@incentre.net>

A minor patch to return if pairmake() fails by James Nedila

Don't bother waiting for child threads if there are none.

Corrected typo.

Note by Robert Fitzsimons

Moved request list walking functions from radiusd to request_list

radiusd.c was way too big.  It's more managable now.

A slightly better way of incrementing SNMP counters, which doesn't
clutter the code so much.

Keep more SNMP statistics about packets dropped, sent, etc.

Minor re-arrangement

When checking new request or proxy reply, don't bother checking
request->child_pid, as it may not be set.  However, request->finished
will always be 0 if the request is "active", so we rely on that,
instead.

In proxy_ok() look for request->proxy_reply, to catch duplicate
replies from the home server.  It's odd that we didn't do that before.

In the thread code, now check if child_pid is non-empty.  If so,
busy-wait for 100 milliseconds, to wait for the other thread to
finish.  If so, continue.  If not, kill the entire server, as
it's too busy to process requests.

postauth functionality thanks to Guy Fraser <guy@incentre.net> with modifications by me.

Use the User-Password attribute instead of Password in user_test.php3

Bugger, date_sub has a slightly different syntax than standard SQL, update call to match

Add copyright to date_sub function

Create DATE_SUB function which is used by the default alt_accounting_stop query

Do not set RadAcctId to empty string, this is not allowed and postgres will pick a number anyway since we use a serial type. Also fix the alt accounting stop query to it is valid SQL instead of a syntax error

Only call pairfree if we are using pairxlatmove not for pairadd

Also be able to search in the proxy and proxy_reply structures in rlm_attr_rewrite

eap.h support for tunneled callbacks
rlm_eap.c update request->proxy in authenticate
call tunneled callbacks in postproxy

types/rlm_eap_ttls/eap_ttls.h
types/rlm_eap_tls/eap_tls.h
move prototype for eapttls_process

types/rlm_eap_peap/eap_peap.h
include rlm_eap.h

types/rlm_eap_peap/rlm_eap_peap.c
types/rlm_eap_ttls/rlm_eap_ttls.c
handle "updated" return code from tunnel handler

types/rlm_eap_peap/peap.c
types/rlm_eap_ttls/ttls.c
hoist reply processing into it's own routine.
handle proxy replies

Cosmetic changes in debugging messages

De-coupled the input requests from the thread management.

We now have a queue of input requests, which the new requests
get dropped into.  Asynchronously from that, the threads wait
on a thread-global semaphore, and then pick up requests from
the queue.

The queue is protected by a mutex, both for adding & deleting
requests.

The threads in the pool no longer have per-thread semaphores.

Semaphores are required here because the main handler thread
has to be able to signal the semaphore, and have that signal
remembered, even if there are no threads currently waiting on
the semaphore.  Further, the main handler has to be able to
signal the semaphore multiple times, when there are multiple
requests waiting, and all of the threads are busy.

If a thread wakes up and there is no request for it to process,
it simply goes back to waiting on the sempahore.  This makes
the process a little more fail-safe, in that we can ensure that
requests are never left forever in the queue, by signalling the
semaphores more than required.

Re-arranged the rad_check_list & proxy_check_list code to make
a little more sense.  The main request handling loop which does
select() is now a little smaller.

We now have a packet_ok() function, to see if the incoming packet
is acceptable.

We now have a request_ok() function, which sees if the request
(as a whole) is acceptable.

The old code mixed up a lot of the packet/request checking into
multiple functions which each did packet/request checking.  The
new code is a little more straightforward.

The idea is to fix the race condition in the proxy code (bug #7),
and to apply the pending multi-cpu patches, by adding a queue of
requests we're sitting on, but which haven't yet been given to a
thread.

The new code makes it a little clearer as to what changes have
to be made, and where, in order to add those features.

container is a ptr, not a ptr to a ptr

Update casts to be prettier

Add the code to eaptls_ack_handler which was removed in the previous commit.
Add an entry initialized in tls_info_t which is set to 1 by eaptls_msg.
In eaptls_ack_handler check the info elements only if initialized is not set to zero.
If it is set to zero then just return EAPTLS_REQUEST and wait for more data.

Replace u_int8_t with uint8_t which is the correct one

Call pam_end with proper return value, to let the pam libraries
clean up after themselves..

Patch from max liccardo

Never mind.  Editing the configuration files is simpler.

A few simple configuration changes to make iPass support easier

As posted to the list by Walter Perris

When a REQUEST is proxied, set the option that it's proxied,
instead of keying off of the existence of request->proxy

Add the ability to associate arbitrary data with a REQUEST structure.
This should make a number of things much easier...

Remove a trailing space after the '\\'.  It MUST be the last
character in the line!

Add a patch from Jon Miner <miner@doit.wisc.edu> to add the ability to configure
various LDAP TLS options

Updates.

It's a start

In eaptls_ack_handler delete all relevant code about checking ssl parameters
We are handling an EAP-TLS ACK packet which by definition does not contain
any data. So there's no possibility of these values existing in the first place.

Karlnet (makes point-to-multipoint software for Lucent APs, and own APs now).
Its VSAs are used for setting operation mode APs and bandwidth parameters of clients

Added Navini thanks to "Paul Shields" <pshields@navini.com>

attr_vp->strvalue can sometimes not exist. Use replace_STR instead

new accounting_update_query for oracle

Re-arrange the proxy code, to group the "massage the packet"
code into one area.

Update AcctSessionTime also on accounting_update packets

Update some extra fields on accounting_update packets

Reformat accounting_update_query

update the acctinputoctets and acctoutputoctets on accounting_update

When creating attributes from strings Attr-%, or Vendor-%d-Attr-%d,
look the parsed attributes up in the dictionary, and use the name
and type from there (after parsing the octets)

This "normalizes" the names and values for the attributes...

Parse Attr-%d and Vendor-%d-Attr-%d into VALUE_PAIR's, as the
named attribute isn't in the dictionary.

We should probably fix the function to double-check the dictionary
for the attribute, and use that correct name, if it exists...

This fixes bugzilla #8

A little bit of future-proofing, for other vendors who have
4-octet VSA's.  The code isn't done yet, but it's a little more
obvious as to what has to be done to support it, and why.

Fail authentication if the User-Name attribute changes value
in the middle of the authentication process, or if the User-Name
attribute doesn't match the EAP-Identity

Patch from Michael Griego

Handle vendor codes larger than 16 bits.

The 'indictors' array should be long-lived, and not allocated on
the stack.

Patch from Michael Wins

Use paircreate(), rather than our own malloc(), to create VP's.
This avoids a lot of the problems with respect to doing our own
dictionary lookups...

Removed all references to 'attr->' from rad_decode().  It's no longer
necessary, and was being used without checking if attr was NULL
(which it could be, but not in the code de-referencing it)

Yuck.  Smaller, simpler code is better.

Patch to better use include/lib directories, and keep track of -lz

rad_decode() now checks the VSA the first time it runs into
Vendor-Specific.  If it looks like an RFC-compatible VSA, then
it uses that.

If it looks like a USR style VSA, then it uses that.

If it doesn't look like anything intelligent (i.e. certain vendors
who shall remain nameless), then it leaves the attribute as
Vendor-Specific, of type 'octets'.

This makes the server a little more flexible...

Moved trailing 'Ascend' on each attribute to BEGIN/END-VENDOR
blocks.  This makes the dictionary a little prettier, and also
allows the 'encrypt=3' stuff to work.

Added 'encrypt=3' to the dictionaries, to avoid having the code
in radius.c add the flags manually

VSA's of length 6 are disallowed.

VSA's with vendor ID of zero are disallowed.

Removed code in rad_recv() which tried to verify the correct
format of VSA's.  Too many vendors have too many stupid VSA formats
to make this check worth-while.

Unlock the list AFTER we've finished mucking with it, not before.

Patch from Michael Griego

Updated return codes & error checks.

Finalized change from last commit: n -> n2 inside of the loop, too

Allow sql module to be disabled at configure time.

Assert that the expected schema is returned

RADIUS attributes can be up to ~256 bytes long.

This is the pam_smb vulnerability from a while ago...

send the encryption keys to the AccessPoint.

the version list attribute's length of versions is in bytes,
not entries.

the version list attribute's length of versions is in bytes,
not entries.

add a second #ifdef in case we need to dump keys in production.

rename "SIM-Chal" to "SIM-Rand" to sync with names in official
documentation.