Drop dead link

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Now it's possible to include Zyxel's dictionary by default

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Another one attribute

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Proper VENDOR value for Zyxel

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

ECONNRESET and EWOULDBLOCK aren't portable

Wrap them in ifdef's

Load "server {...}" sections properly

Be more graceful if caller passes us a NULL ptr

Distinguish virtual servers from physical ones

Updated debug message

Add EAP-Failure if EAP is called in Post-Auth REJECT and no EAP-Message has been inserted

Fix typo (arg)

More checks for -C, to not open sockets

Don't really open sockets if we're doing -C

Acct-Session-Id from Cisco exceeds 64 bytes.  Extend it.

Add radpostauth/radhuntgroup tables to the oracle schema

Added missing post-auth configuration

Always send Message-Authenticator in radtest

Originally Message-Authenticator was introduced to provide message
integrity for EAP messages and originally the Message-Authenticator
attribute was only required for EAP messages.

But then RFC 5080 came along and suggested Message-Authenticator
always be sent as best practice.

   Any Access-Request packet that performs authorization checks,
   including Call Check, SHOULD contain a Message-Authenticator
   attribute.

RFC 5080 then goes on to say:

   ... server implementations may be configured to require the
   presence of a Message-Authenticator attribute in Access-Request
   packets.  Requests not containing a Message-Authenticator attribute
   MAY then be silently discarded.

The raddb/clients.conf has this configuration option to satisfy the
above suggestion in RFC 5080:

   require_message_authenticator = no|yes

If require_message_authenticator == yes then non-EAP auth-requests
generated by radtest will fail because currently radtest only supplies
the Message-Authenticator if EAP is being performed. With modern
Radius servers (e.g. FreeRADIUS) there is no harm in providing the
Message-Authenticator attribute for non-EAP packets, in fact it's
actually recommended in RFC 5080.

Therefore radtest should ALWAYS send the Message-Authenticator
attribute. If it's EAP or if the server is configured with
require_message_authenticator it must be present. If those conditions
do not hold it's benign. However if require_message_authenticator is
configured radtest will fail for non-EAP.

As posted to the list

Ensure src_ipaddr is initialized when finding a home server

Fix left over from 12d87590f7b03f315f14d9b905ed550ddceccf7c

Fixed typo

Add missing "man" files

Merge pull request #18 from bmork/radsniff-decode

radsniff: decoding encrypted attributes

Fix rlm_sql noop for accounting start

When 6ed9727 was merged, else{} in the START case got placed against the
wrong if(). Unlike STOP and ALIVE cases, in START insert comes first,
and we only care if that affects 0 rows. If insert fails and we have to
go for an update, we don't have to check for NOOP because we can assume
the insert failed due to a conflicting row already in the database.

Revert "Remove values for Auth-Type, these values were only defined for legacy reasons"

This reverts commit 296fcf9576394de5bf943e257a8d64751feaf636.

Removing Auth-Type = {Accept, Reject, MS-CHAP} breaks the server

Document all command line args & add missing man pages

Go through every installed command and verify:
  * There exists a man page for the command, if not create one
  * For every command line arg in each command:
    - Assure the arg appears in the synopis section of the man page
    - Assure the arg is documented in the options section of the man page
    - Assure the arg is documented in the "usage" emitted by the command

In addition to the above this patch also does:

* Clean up captitalization & the use of terminating periods.
* Removed superfluous unused l option from the getopt format string
  of radwho
* Remove rlm_ippool_tool.pod, superseded by rlm_ippool_tool.8 man page

The follow new man pages were added:

man/man1/smbencrypt.1
man/man5/checkrad.5
man/man8/radconf2xml.8
man/man8/radcrypt.8
man/man8/radsniff.8
src/modules/rlm_dbm/rlm_dbm_cat.8
src/modules/rlm_dbm//rlm_dbm_parse.8
src/modules/rlm_ippool/rlm_ippool_tool.8

Use our instead of the old vars pragma, and turn on warnings

radsniff: decoding encrypted attributes

Save authentication requests and use them to properly decode
entrypted attributes in matching replies.

Also decode encrypted attributes in CoA requests. Some VSAs
can be encrypted in CoA requests using a null vector.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Note which Auth-Type we're creating

Made more coherent

Make warning message more coherent

WARNING on potential proxy loop

Fixed long-standing typos

I guess no one ever used this...

Remove values for Auth-Type, these values were only defined for legacy reasons

Fixed typo in huntgroup name addition

Document max_queue_size

Twigged blocked messages && logic

No one uses this

Fixed typo

Document keepalive

Updated copyright year

NULL out fields after they've been free'd

Complain if password is !UTF-8

for the "shared secret is incorrect" check.  The old code
checked for "printable" characters.  Changing it to a check for
!UTF-8 is more general, and likely more robust with fewer false
positives

Ignore more files

Allow entry if UID or GID match

Added %{rand:...} to generate uniformly distributed random numbers

Added "integer64" for 64-bit integer VSAs

Fix strict aliasing complaint

Add support for NAS implementing standard IEEE802.1X mib (Tested against ProCurve 3500)

Fix regular expressions to work with recent versions of snmp_get (should still be backwards compatible)

Pings don't have request->packet, and are never CoA or Disconnect

Note policy for filtering user names

Enable possibility for ecdh by default

Enable elliptical curve cryptography

Manual commit of 1bca962

More/better documentation

Ignore more files

Spelling corrections

Fix for libfreeradius3

Use 3.0 API

Status-Server isn't enabled for TLS yet

Merge pull request #17 from bmork/del-client-fix2

radmin: fixup error message when attemting to delete non-dynamic client

radmin: fixup error message when attemting to delete non-dynamic client

commit b9e5dd2c changed the command syntax in line with docs, but failed
to update the error message accordingly.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Merge pull request #16 from bmork/del-client-fix

radmin: make "del client ipaddr" command behave as documented

radmin: make "del client ipaddr" command behave as documented

Fixes this error:

 radmin> del client ipaddr 192.168.168.111
 ERROR: Must specify <ipaddr>

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Use confdir instead of raddbdir

Add mkdir, based on patch from Oliver Schroder

This lets the module put logs into automagically created subdirs

Add support for "signed", just like integer64

Should use 8th capture group for Called-Station-ID rewrite

More log message clenups

Use more radlog_request() for proxy messages

Fix compiler warnings

Catch sub-realms && example.net, too

Clean up debug message

Pull integer64 fixes over from dictionary.starent

Allow empty strings to mean NULL

this lets us specify the default (i.e. NULL) virtual server

3.0 supports "integer64" data types

Add conflicting starent dictionary from bug #159

Updated with edits from bug #159

Added siemens dictionary

Note integer64 data type

Add support for encoding/decode 64-bit integers inside of TTLS

Allow integer64 in filtering "update" lists

Add integer64 to xlat

Allow comparisons for integer64 data type

Initial support for integer64 data type

Can print/parse encode/decode them, and read them from dictionaries

The rest of the code (unlang, eval, etc) needs to be audited to
support the new data type

Added FreeDHCP dictionary

Removed DOS line endings

Merge pull request #13 from bmork/dictionary-updates

Adding new attributes to the ERX dictionary

Adding new attributes to the ERX dictionary

This should make it compatible with JUNOSe version 12.1.1
and JUNOS version 11.2.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Do record_minus to reset buffer, instead of just memcpy

Manual merge of f74583d2483d0a5f764c452788dcfc33de2bbb4b

Check cert validity

In the process of checking the OCSP response there are only checks for the
correct signed OCSP answer in the function ocsp_check()
(src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c:349).

The problem is that the current code does not check the status of the certificate.
For example if a certificate is revoked. Thus, a user with a revoked certificate
is able to bypass the verification.

Added HUP on log rotate

Note URL on how to create various passwords

support for PCRE

More fixes for DHCP relaying

Allow it to send offers

When in debugging mode, print out VPs from header

Configurable file permissions in rlm_linelog

Add connection pool API

Currently unused, but it should be nice...

Replace stale version of oracle configure script with one generated from current version of configure.in (now supports library versions 9, 10, 11 instead of just 10

Add NAI policy for use in post-proxy

Remove the last of the spaces, re-align query column lists, Change post-auth query to use SQL-User-Name

Use config value expansion instead of xlat expansion