Merge pull request #26 from philmayers/fix-sess-cache

use the OpenSSL ex_data functions to allocate an index w/ free function t

use the OpenSSL ex_data functions to allocate an index w/ free function to hold the cached VPs

Tell OpenSSL that the data is gone

Quiet compiler warning

Initialize the structure

Initialize all of the structure

Free memory on error

Free memory on instantiation error

Free memory on error

Close fp on error

Call closedir() on error

Catch case where User-Name may be > 250 octets

Only "string" can have "encrypt=2"

Add FALL-THROUGH for 'case' without 'break'

Unlink file only if it exists

Check auth_pool_name

Add port if it's available

Check passed parameter

Error if there is no detail file listener

Fix sizeof() checks found by coverity

Clean up error message so it makes more sense

Move "free cached VPs" to the correct location

They're freed when SSL says that the session is free'd.
Not when we think we're closing the session.
SSL might cache it.

Re-alphabetise one char expansions

Merge pull request #11 from amne/master

new var in xlat: %G request minute

Switch to SHA1 for message digest

MD5 has been attacked.  We shouldn't use it

Update dependencies so that it works in more situations

Release the mutex lock when trying to make a new connection

The DB might be down, and it could take a LONG time to open
a new connection.  Instead of holding the mutex lock for long
periods of time, we set a flag saying "spawning", and release
the lock.  This lets other threads access the connection pool,
to get open && active connections.

The result is that there are fewer situations where the server
blocks

Add undocumented "lazy init" configuration.

This allows the connection pool to return on init,
even if it's unable to make any new connections.  The result
is that the server can start even when the back-end DB is down.

That's nearly always a bad idea, but it's easy enough to do
with the new connection pool code.

Clean up spare connections on release

This mirrors the "spawn new connections on get" functionality.

Also, remember when we last failed to connect.  When that happens,
we continue to use existing connections, but we don't open new
connections for one second.  This behavior ensures that incoming
requests will still be processed quickly, even when the back-end
database is down.

Remove unused configuration parameters

Alive isn't used.  Don't require it

Document new "pool" subsection

Removed knowledge of sqlsocket->id

The drivers have no business using it

Make Class value more unique

Add one char expansion for RADIUS request ID

Added F5 dictionary, as posted to the list

Tie radrelay && detail writer together

So that people can read the documentation and examples
and have it work

Hack to work around race condition

We may give up on a proxied packet (and set proxy_listener = NULL)
just as we're receiving a duplicate packet from the NAS.  In that
case, we catch it, and do nothing

Make vp_print_name return size_t

which makes more sense

Fix weird issue where it wouldn't update Stripped-User-Name

suffix
update request {
       Stripped-User-Name := "%{Stripped-User-Name}@bar.com"
}

would result in Stripped-User-Name being unchanged.
The code was the same as 2.1.x, which worked.

The new code has the benefit of working, and has one less pass
over the input list

Use new connection pool API

Correct logic in reconnect

Only complain once per second.

Return correct handle

Whitespace && formatting

Assert should be false

Add even more logging, and use unambigous tense for existing messages

Only attempt to closed connections which are unused

Should return connection, not connection struct

Add log messages on connection reservation and release

Ignore libltdl makefile

Merge pull request #22 from arr2036/connection_api

Add additional logging to connection pool api

Add additional logging to connection pool api

Set last_used on spawn, else all connections are closed on the first get_connection call

Add counter, and give each connection a unique connection id

Need to check if the max_uses/lifetime/idle_timeout values > 0 (enabled) before enforcing them...

Fixes to make FR use the local libltld

This helps to avoid stupid libtool issues

More information in debug messages

Use parent rather than cs if cs doesn't exist

TLS private key password isn't required

Clean up build to be less verbose

Rather than printing out 10+ lines of text for every C file that
is compiled, it now prints out one: "CC foo.c"

While this can hide some key information from the developer, it
also highlights compiler warnings.

We can later go through and add a developer-specific option
to turn on the old behavior.  Probably by suppressing the "--quiet"
option to libtool

Fix typo

compare type to RAD_LISTEN_DETAIL

Add a Message-Authenticator attribute to the response, if we added EAP-Message

Added simple module to "clean" the request of non-UTF-8 data

Merge pull request #21 from alagoutte/master

Update RADIUS Dictionary Aruba

Update RADIUS Dictionary Aruba

Drop dead link

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Now it's possible to include Zyxel's dictionary by default

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Another one attribute

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Proper VENDOR value for Zyxel

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

ECONNRESET and EWOULDBLOCK aren't portable

Wrap them in ifdef's

Load "server {...}" sections properly

Be more graceful if caller passes us a NULL ptr

Distinguish virtual servers from physical ones

Updated debug message

Add EAP-Failure if EAP is called in Post-Auth REJECT and no EAP-Message has been inserted

Fix typo (arg)

More checks for -C, to not open sockets

Don't really open sockets if we're doing -C

Acct-Session-Id from Cisco exceeds 64 bytes.  Extend it.

Add radpostauth/radhuntgroup tables to the oracle schema

Added missing post-auth configuration

Always send Message-Authenticator in radtest

Originally Message-Authenticator was introduced to provide message
integrity for EAP messages and originally the Message-Authenticator
attribute was only required for EAP messages.

But then RFC 5080 came along and suggested Message-Authenticator
always be sent as best practice.

   Any Access-Request packet that performs authorization checks,
   including Call Check, SHOULD contain a Message-Authenticator
   attribute.

RFC 5080 then goes on to say:

   ... server implementations may be configured to require the
   presence of a Message-Authenticator attribute in Access-Request
   packets.  Requests not containing a Message-Authenticator attribute
   MAY then be silently discarded.

The raddb/clients.conf has this configuration option to satisfy the
above suggestion in RFC 5080:

   require_message_authenticator = no|yes

If require_message_authenticator == yes then non-EAP auth-requests
generated by radtest will fail because currently radtest only supplies
the Message-Authenticator if EAP is being performed. With modern
Radius servers (e.g. FreeRADIUS) there is no harm in providing the
Message-Authenticator attribute for non-EAP packets, in fact it's
actually recommended in RFC 5080.

Therefore radtest should ALWAYS send the Message-Authenticator
attribute. If it's EAP or if the server is configured with
require_message_authenticator it must be present. If those conditions
do not hold it's benign. However if require_message_authenticator is
configured radtest will fail for non-EAP.

As posted to the list

Ensure src_ipaddr is initialized when finding a home server

Fix left over from 12d87590f7b03f315f14d9b905ed550ddceccf7c

Fixed typo

Add missing "man" files

Merge pull request #18 from bmork/radsniff-decode

radsniff: decoding encrypted attributes

Fix rlm_sql noop for accounting start

When 6ed9727 was merged, else{} in the START case got placed against the
wrong if(). Unlike STOP and ALIVE cases, in START insert comes first,
and we only care if that affects 0 rows. If insert fails and we have to
go for an update, we don't have to check for NOOP because we can assume
the insert failed due to a conflicting row already in the database.

Revert "Remove values for Auth-Type, these values were only defined for legacy reasons"

This reverts commit 296fcf9576394de5bf943e257a8d64751feaf636.

Removing Auth-Type = {Accept, Reject, MS-CHAP} breaks the server

Document all command line args & add missing man pages

Go through every installed command and verify:
  * There exists a man page for the command, if not create one
  * For every command line arg in each command:
    - Assure the arg appears in the synopis section of the man page
    - Assure the arg is documented in the options section of the man page
    - Assure the arg is documented in the "usage" emitted by the command

In addition to the above this patch also does:

* Clean up captitalization & the use of terminating periods.
* Removed superfluous unused l option from the getopt format string
  of radwho
* Remove rlm_ippool_tool.pod, superseded by rlm_ippool_tool.8 man page

The follow new man pages were added:

man/man1/smbencrypt.1
man/man5/checkrad.5
man/man8/radconf2xml.8
man/man8/radcrypt.8
man/man8/radsniff.8
src/modules/rlm_dbm/rlm_dbm_cat.8
src/modules/rlm_dbm//rlm_dbm_parse.8
src/modules/rlm_ippool/rlm_ippool_tool.8

Use our instead of the old vars pragma, and turn on warnings

radsniff: decoding encrypted attributes

Save authentication requests and use them to properly decode
entrypted attributes in matching replies.

Also decode encrypted attributes in CoA requests. Some VSAs
can be encrypted in CoA requests using a null vector.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Note which Auth-Type we're creating

Made more coherent

Make warning message more coherent

WARNING on potential proxy loop

Fixed long-standing typos

I guess no one ever used this...

Remove values for Auth-Type, these values were only defined for legacy reasons

Fixed typo in huntgroup name addition

Document max_queue_size

Twigged blocked messages && logic

No one uses this

Fixed typo