Added empty FreeRADIUS Vendor-Specific dictionary.

Any on-the-wire attributes which are specific to the server MUST
go into this dictionary.

Fixed bug where having remote authhost and LOCAL accthost caused
requests not to be proxied or replied to.

Parse 'accthost' from the realm confgiruation, and use it in
the various logic decisions.

 - Added authorize() function to set Auth-Type = CHAP if Chap-Password exists
 - Added module messages when rejecting user

Change default password_attribute to NULL

Change to propper operator in assigning Auth-Type to LDAP
bug noted by Kostas Kalevras <kkalev@noc.ntua.gr>

Add:
o Module Messages in rlm_ldap when we reject a user
o Add password to config_items stripping off any headers.
  password_header and password_attribute directives are defined

Update documentation and configuration file

Update to use new definition of dict_addattr()

Missed case where tag was not set for PW_TYPE_INTEGER correctly.
This is now handled properly when writing vp's into the packet
data.

Added TAG_ANY attribute tag definition to allow tags to be
wildcarded in Check-Items and in modules like attr_filter.

Corrected tunnel attribute names to match the RFC.

Updated 'pairmake()' to allow parsing of Tags for attributes.
Supports both native ( Attribute:Tag = Value ) and merit's
syntax ( Attribute = :Tag:Value ).

After reading the configuratio files, IF we're not debugging,
then trap a number of fatal signals.

If we're debugging, then don't trap fatal signals, so that the OS
can dump core.

Updated dictionary.tunnel to support new method for specifying
tagged attributes.  Added additional attributes specified in
RFC 2868.

Initial patch to allow support for RFC 2868 Tagged Attributes.
This patch adds to the ATTR_FLAGS struct for attributes, and
will read tag and vendor options properly from the dictionary.
It also parses tags into the FLAGS struct on received packets.
'dict_addattr' has an additional option to pass the ATTR_FLAGS
struct when reading the dictionary.

In pairmove2, if given Vendor-Specific, then move ALL vendor
specific attributes.

Updated rfc_clean() to move VSA's over, so that they can appear
in authentication reject packets, too.

Small bugfix by "Nikolay P. Romanyuk" <mag@vtelecom.ru>

Change '=' in if to '=='

Allow operators in the SQL table.  This patch (so far) doesn't
include changes to the SQL queries, which still have to be
updated.

Patch from Mitry Matyushkov <mitry@todes.org.by>

Added 'radlog_dest' variable, so we can set the destination of
the log messages to files, syslog, stdout, or stderr, without
over-loading the normal logging directory.

This can NOT be set from the configuration file yet.  That patch
is next.

Updated MPP and simultaneous-use checking

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Added ATTR_FLAGS data structure from Cistron, and updated
references to 'addport'.

Removed mapping of vendor Private Enterprise Code to internal code.
We now use the vendor PEC directly, which means that we error out
if the vendor PEC is larger than 65535.

Fixing that problem requires major changes to the source, which
can wait until later.

Added note on broken Bay software

Make CHAP authentication a module, instead of having it in
the server core.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Support PAP, MS-CHAP, and use /etc/smbpasswd file, if so configured

Patch from 3APA3A <3APA3A@SECURITY.NNOV.RU>

When rejecting the user, add a Module-Message saying why.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

If we have a Module-Message, then print it out when rejecting
or denying the request.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Added defines for Module-Message, to allow modules to pass messages
around.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

removed old sql defines

Added more text on using PAM, as posted to the list by
"Bruce Ritchie" <bruce.ritchie@maclaren.com>

Allow ldap module use a start tls command with ldap server.

Patch from Andrew Kukhta <andy@wubn.net>, with added 'configure'
checks

Build the utilities on static && dynamic targets, instead of 'all'

create the binary directory before installing the binaries

Preliminary support for displaying Tunnel attributes as defined in
RFC 2868.  Tag is properly printed for both string and integer
attributes when server or radclient displays A/V debugging pairs.

raddb/dictionary.tunnel is not changed yet.  Type will need to updated
for the tunnel attributes to t_string or t_integer for these changes
to be displayed.

If we're using threads, block SIGINT, SIGQUIT, too.  And use
pthread_sigmask(), instead of sigprocmask().

This may fix CPU loading problems when there's a problem...

Corrected typo in last commit

Add a 'Realm' attribute for local realms.

Corrected typo in last commit

Added more documentation and configuration examples for Ascend NAS

If targetname is not set, then don't output the utils.

Noted by "jason" <rohwedde@codegrinder.com>

write log message about invalid shells and invalid password

Patch from Bill Campbell <bill@celestial.com>

If we've received a reply from the home server after we've given
up, and already sent a reply to the NAS, then delete the packet
from the home server, and don't process it.  It's too late.

Bug found and patch by Vesselin Atanasov <vesselin@bgnet.bg>

FIxes and updates for the configure script

Patches from "Nikolay P. Romanyuk" <mag@vtelecom.ru>

Add a configure script which automatically roots through
configuring the sub-directories

Added /usr/local/pgsql/lib and /usr/local/pgsql/include for the
libs/includes, so that we find postgres in it's standard install
location.

Remove postgres checks from the top-level configure, and put
them in the sql/drivers/... directory, where they belong.

Patch from "Nikolay P. Romanyuk" <mag@vtelecom.ru>

When doing 'distclean', do 'clean', too.

Patch from "Nikolay P. Romanyuk" <mag@vtelecom.ru>

Changes to allow postgres to be found on './configure'

Patch from "Nikolay P. Romanyuk" <mag@vtelecom.ru>

A better patch for decode attribute.

Patch from Raghu <raghud@hereuare.com>

Updated 'malformed packet' messages to include prefix of 'WARNING'
to make it clear what's going on.

Removed 'memset 0' buffer overflow.

Added the ability to configure the maximum number of attributes
which may be in a packet.  If there are more attributes than this,
then the packet is dropped.

This helps prevent DoS attacks, as noted today on the devel list
by 3APA3A <3APA3A@SECURITY.NNOV.RU>

When sending or receiving a radius packet, use an area on the local
stack to get the packet, or to build the new one.  If everything
checks out, then we allocate memory for it, and copy the contents
over.

While the extra 'memcpy' takes time, the benefit is that we only
allocate the minimum amount of memory required for the packet.

Auto-reload for rlm_fastusers and rlm_unix

Patch from Philippe Levan <levan@epix.net>

If call xlat with template of attribute which does not exists in
request then function decode_attribute falls in endless cycle.

Patch to fix it, from Andrei Koulik <agk@sci-nnov.ru>

If we don't have ndbm, maybe the functions we need are in gdbm?

If we don't find nbdm, then don't build the utils or install, either.

If we don't find the header files, then fail.

Add more includes, to quiet compiler warnings.

Remove buffer overflow caused by copying the secret to the tail
end of the packet buffer.  This would normally work for small
packets, as the buffer is large.  However, for large buffers,
it's a security problem.

Bug noted by 3APA3A <3APA3A@SECURITY.NNOV.RU>

Drastically increased the size of the buffer used to read in
value-pair strings.  This allows it to read LOTS of value-pairs.

Loop over the number of fields, not the pointer to a function...

Bug found by "deshou"<mods_radius@21cn.com>

Added utility programs, and update the make file to build and
install them.

Based on source from Andrei Koulik <agk@sci-nnov.ru>

Added RLM_UTILS to the list of targets to make and clean,
so that we can have utility programs in a module.

Initial commit of DBM module, from Andrei Koulik <agk@sci-nnov.ru>

Changes from his version:
- renamed from 'rlm_dbmmod' to 'rlm_dbm'
- added 'configure' support, with checks for gdbm compatibility

The various other support files will be added later.

Use the proper variable when setting ac_safe in smart check include.

Corrected SEGV, as found by Santiago Romero <sromero@servicom2000.com>

Added change which was missed in the last commit

call 'xlat' for basedn, too.  This allows the base DN to be
dynamically generated for each request.

Bug noted by "Fernando Costa de Almeida" <falmeida@overnet.com.br>

fix x99_gen_state() to support > 8 digit challenges

Fix a minor bug where $password should be $pass and also add the
capability to find isdn users in cisco 5300.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Also use Calling-Station-ID to find multilink users.  If they've
sent a calling station id, and they're doing multilink, and the
cid is the same as the previous entry, then it's a multilink attempt.

Patch from Kostas Kalevras <kkalev@noc.ntua.gr>

Patch to checkrad.pl.in to support USR Hiper-ARC 5.1.99.
Added functions for detecting other versions of Hiper-ARC

"Daniel W. Halverson" <danh@TBCNET.COM>

Support sync-only modes.

Add Secure Computing friendly conversion.

install as radiusd, not radiusd.init (fix comment)

Use the Password from the list of configuration items, not from
the packet.

Bug found by Frank Cusack <fcusack@fcusack.com>

Improve comments, remove SNK test/transform.

doc improvements

Add info about state file.

Add info about log messages, change some of the vendor specific text.

Notes on radwatch from "Andrew Melnikov" <nimnul@un.com.ua>

If log_stripped_names is set to *No* in radiusd.conf,
it now logs the complete User-Name as received. (i.e. unstripped)

Patch from Raghu <raghud@hereuare.com>

Make %{Stripped-User-Name:-User-Name} work again

Patch from Raghu <raghud@hereuare.com>

removed erroneous printfs

If the thread has handled more than the configured maximum number
of requests, then make it exit.

Patch from someone on the list...

Update version to 0.4, and add '-g' to developer flags for gcc,
so we get more debugging information

Added text on latest set of changes

Only check for User-Password or CHAP-Password if we're doing
Local authentication.  If we're not doing local authentication,
then there may NOT be a password in the request.  The server
shouldn't care, as the authentication modules should take care
of checking that.

Patch from Raghu <raghud@hereuare.com>

ensure we do htonl() where necessary

Treat NAS-Port-Id as an unsigned int, instead of signed.  This
allows large values to be used.

Patch from John Morrissey <jwm@horde.net>

removed paragraph discussing patches to conffile.c, which have
just been comitted.

Expand variables until the end of string, not until CR/LF.
This allows \t, \r, and \n to be inside of a configuration string.

Bug noted by Frank Cusack <fcusack@fcusack.com>

Added x9.9 support.
Patch from Frank Cusack <fcusack@fcusack.com>

Support for X9.9 tokens (e.g. CRYPTOCard, etc), from
Frank Cusack <fcusack@fcusack.com>

debian: incremented changelog version number.  ready for release.

Added note about which RFC it implements, and where that RFC
may be found.

* Remove some test code that was causing log files to grow large

Set the log directory to NULL initially, so we don't attempt to
free() it later.

Patch from Eddie Stassen <eddies@saix.net>

Fixed leak / core dump.

Bug found by "victor" <victor@fadata.bg>

Patch from Kostas Kalevras <kkalev@noc.ntua.gr> to free memory,
instead of leaking it.