Add changelog for recent changes in rlm_ldap.c
Add documentation for ldap_xlat in rlm_ldap

Add ldap caching. Make rlm_ldap thread safe. Fix a memory leak in ldap_xlat.
Remove a few dict_attrbyname in ldap_pairget which where unneeded.
Move two radius_xlat's in ldap_authenticate to the right place.

When decoding an attribute, break, and do NOT fall through to
copying extra characters.

Bug found and patch posted by radius@palosanto.com

Add user definable counter reset values. Something like:
reset = 10h were h means hours

Don't do anything if Auth-Type already set and == Reject

Add support for 'never' counter expiration.
Patch by Aleksandr Kuzminsky <ingoth@nbi.com.ua>

protect against missing dictionary entries when setting up known password types

MS-MPPE-Encryption-Types, not MS-MPPE-Encryption-Type (per RFC 2548).

remove #ifdef for vendor_dict hack.

correct usage hint for challenge_req.

Use attribute settings for 0.4+.  My local tree is a butchered 0.3 which
is why this setting is even #ifdef'd.

Add flexible password support -- now supports pap/chap/mschap/mschapv2 and mppe.

forgot this earlier

Use MD5_DIGEST_LENGTH instead of '16'.

misc updates

If we have an SQL query error, then the request is NOT invalid.
Instead, return NOOP, as we're unable to do anything.

Additional minor cosmetic changes

removed no longer needed define for WITH_THREAD_POOL

define major and minor revisions seperately, so that we can
use them seperately (later) for version controlling the modules

finish a dangling sentence

debian: updated to 0.4

use the proper target for in-src-tree library testing

deleted yet another copy of rules.mak

updated lower-level make file to use upper-level rules.mak

Add include cflag for libltdl

removed unnecessary head files.

re-arranged so as to not conflict

cleaned up to remove include of /usr/include (should be done
on all sane C compilers), and link to -lc

Additional minor fixes

Retagged tree with 0.5 version, as 0.4 is released.

EAP module with supported EAP types

EAP authentication type -- MD5

All supported EAP authentication types

EAP module for all EAP based authentications

As posted to the list by Jeremy McNamara <jj@indie.org>

This is apparently mostly a copy of the Cisco dictionary.

Removed extraneous 'vp_printlist', which was causing confusion.

Problem found by radius@palosanto.com

! Vendor-Specific attribute check added to rad_receive to avoid memory
  corruption in case of invalid attribute length inside Vendor-Specific
  attribute
! dict_vendorcode() call removed from rad_decode(). We do not need it any
  more.

Add xlat_register and xlat_unregister functions. Now modules can register their
own xlat functions. That way we can have ldap URLs or SQL selects in xlat
strings. These strings will be of the form:
%{module:string}
For example for ldap it will be something like this:
%{ldap:ldap:///dc=company,dc=com?uid?sub?uid=%u}

Also added ldap_xlat in rlm_ldap.c as defined above. It allows for LDAP URLs
in xlat strings.

debian: export DH_COMPAT variable, so /etc/raddb/* are listed as conffiles.

Correct a comment

fix mem leak from sync_mode: free an instance var on destruction.

debian: remove empty directory /var/log/freeradius
debian: changed logfile-rolling to use logrotate instead of cron and 'savelog'
debian: improved initscript.

Include check for gdbm-ndbm.h file, for GDBM versions near 1.7.3 .

Close STD{IN,OUT,ERR} if not running in debug mode.  (Debian Bug#11678)

Added "standard" (non /usr/local/) paths for postgresql headers and libs.

+ support for MS-CHAPv2. SHA1 digest support was added (sha1.c, sha2.c)
  MS-CHAPv2 was not tested in real life. Please feedback if you
  will get any result.
! module is configurable via radiusd.conf and supports instances
! module supports both authorization and authentication. Authorization
  sets authentication to MS-CHAP if any NTLM-related things found.
  It will allow dynamically choose between PAP, CHAP, MS-CHAP, etc
  based on attributes given by NAS.
  During authorization new attributes added to config_items:
         LM-Password - LM-encoded password
         NT-Password - NT-encoded password
         SMB-Account-CTRL - account control flags in SAMBA format
  During  authentication  these  attributes  are  checked  against  data
  provided by NAS.
- RFC 2433 text with MS-CHAPv1 description removed. Microsoft attributes
  are covered by RFC 2458, MS-CHAPv2 - RFC 2759. You can obtain them
  all from www.rfceditor.org or www.freeradius.org/rfc/

Added NT/LM password attributes. They will be created during MS-CHAP
authorization or you can store them in raddb/users
mschap module sample configuration added

Do an xlat on the access_group attribute.
Patch by Gordon Tetlow <gordont@gnf.org>
Also, use groupmembership_filter attribute as filter for user membership
in the access group.

Added function ldap_groupcmp(). Now we can do checks on user ldap group membership.

This patch eliminates Oracle's complain in rare cases when:

- retrieved field is NULL (eg., SQL operators) - ORA-01405 fetched
column value is NULL

- field has as maximum character as it was declared
(40 char field has 40 characters) - ORA-01406 fetched column
value was truncated.

Patch from Mitry Matyushkov <mitry@todes.org.by>

Add config hint for pam_radius

Support fast_sync mode, which allows responses without an explicit challenge.

Change paircmp,paircompare,simplapaircmp and RAD_COMPARE_FUNC to allow for
the use of radius_xlat() in paircompare functions

Added dictionary entries to support RFC-2867 Tunnel Accounting.

No authhost in proxy means LOCAL
No accthost in proxy means LOCAL

Corrected bug where acct_port for proxy was set to auth_port

Added function prototypes for RFC2868 encryption/decryption to
support Tunnel-Password attrbutes.

Removed #ifdef for printing tunnel attribute tags in the Merit
format, because we don't want to do that.  Ever.  :)

Dictionary changes to include 'dictionary.tunnel' by default
and tag/ecryption options set correctly in 'dictionary.tunnel'

Added final support to encrypt/decrypt RFC-2868 Tunnel-Password
attributes when sending and receiving.

If we're not caching the password, use fgetpwent() to walk
through the specified password file.

Yes, fgetpwent() isn't portable.  A fix for that requires
another patch...

Patch from Daniel Carroll <freeradius@defiant.mesastate.edu>

Print out the proper verified message.

Bug noted by Simon Oakley <soakley@nextone.com>

If the thread is already at the tail, don't move it.

Hmm... pid may be unsigned apparently.  So checking if it's smaller
than zero is NOT a good thing.  So we cast it to 'int' to get around
the problem.

Use "long names" for config vars, rather than abbreviated names.

Remove ActivCard-related TODO's, will add a doc note about this later.

Threads don't block SIGCHLD.

Do waitpid() even when using threads, to clean up Exec-Program
child processes.

Bug noted by "louzhigang"<cddxj@21cn.com>

Added empty FreeRADIUS Vendor-Specific dictionary.

Any on-the-wire attributes which are specific to the server MUST
go into this dictionary.

Fixed bug where having remote authhost and LOCAL accthost caused
requests not to be proxied or replied to.

Parse 'accthost' from the realm confgiruation, and use it in
the various logic decisions.

 - Added authorize() function to set Auth-Type = CHAP if Chap-Password exists
 - Added module messages when rejecting user

Change default password_attribute to NULL

Change to propper operator in assigning Auth-Type to LDAP
bug noted by Kostas Kalevras <kkalev@noc.ntua.gr>

Add:
o Module Messages in rlm_ldap when we reject a user
o Add password to config_items stripping off any headers.
  password_header and password_attribute directives are defined

Update documentation and configuration file

Update to use new definition of dict_addattr()

Missed case where tag was not set for PW_TYPE_INTEGER correctly.
This is now handled properly when writing vp's into the packet
data.

Added TAG_ANY attribute tag definition to allow tags to be
wildcarded in Check-Items and in modules like attr_filter.

Corrected tunnel attribute names to match the RFC.

Updated 'pairmake()' to allow parsing of Tags for attributes.
Supports both native ( Attribute:Tag = Value ) and merit's
syntax ( Attribute = :Tag:Value ).

After reading the configuratio files, IF we're not debugging,
then trap a number of fatal signals.

If we're debugging, then don't trap fatal signals, so that the OS
can dump core.

Updated dictionary.tunnel to support new method for specifying
tagged attributes.  Added additional attributes specified in
RFC 2868.

Initial patch to allow support for RFC 2868 Tagged Attributes.
This patch adds to the ATTR_FLAGS struct for attributes, and
will read tag and vendor options properly from the dictionary.
It also parses tags into the FLAGS struct on received packets.
'dict_addattr' has an additional option to pass the ATTR_FLAGS
struct when reading the dictionary.

In pairmove2, if given Vendor-Specific, then move ALL vendor
specific attributes.

Updated rfc_clean() to move VSA's over, so that they can appear
in authentication reject packets, too.

Small bugfix by "Nikolay P. Romanyuk" <mag@vtelecom.ru>

Change '=' in if to '=='

Allow operators in the SQL table.  This patch (so far) doesn't
include changes to the SQL queries, which still have to be
updated.

Patch from Mitry Matyushkov <mitry@todes.org.by>

Added 'radlog_dest' variable, so we can set the destination of
the log messages to files, syslog, stdout, or stderr, without
over-loading the normal logging directory.

This can NOT be set from the configuration file yet.  That patch
is next.

Updated MPP and simultaneous-use checking

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Added ATTR_FLAGS data structure from Cistron, and updated
references to 'addport'.

Removed mapping of vendor Private Enterprise Code to internal code.
We now use the vendor PEC directly, which means that we error out
if the vendor PEC is larger than 65535.

Fixing that problem requires major changes to the source, which
can wait until later.

Added note on broken Bay software

Make CHAP authentication a module, instead of having it in
the server core.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Support PAP, MS-CHAP, and use /etc/smbpasswd file, if so configured

Patch from 3APA3A <3APA3A@SECURITY.NNOV.RU>

When rejecting the user, add a Module-Message saying why.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

If we have a Module-Message, then print it out when rejecting
or denying the request.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Added defines for Module-Message, to allow modules to pass messages
around.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

removed old sql defines

Added more text on using PAM, as posted to the list by
"Bruce Ritchie" <bruce.ritchie@maclaren.com>

Allow ldap module use a start tls command with ldap server.

Patch from Andrew Kukhta <andy@wubn.net>, with added 'configure'
checks

Build the utilities on static && dynamic targets, instead of 'all'

create the binary directory before installing the binaries

Preliminary support for displaying Tunnel attributes as defined in
RFC 2868.  Tag is properly printed for both string and integer
attributes when server or radclient displays A/V debugging pairs.

raddb/dictionary.tunnel is not changed yet.  Type will need to updated
for the tunnel attributes to t_string or t_integer for these changes
to be displayed.

If we're using threads, block SIGINT, SIGQUIT, too.  And use
pthread_sigmask(), instead of sigprocmask().

This may fix CPU loading problems when there's a problem...

Corrected typo in last commit

Add a 'Realm' attribute for local realms.