rlm_otp import from HEAD
data structures (module_t and vp) still need to be modified for 1.1

Pull from CVS head:
Back-port the -n and -p options, as well as a few bugfixes, too.

Pull from CVS head:
Add hash table functions into the branch 1.1.

Update for 1.1.x

Updated for 1.1.x

Pull rbtree.c from the CVS head, to get fixes for writing to "static"
memory locations that should really be "const".

Pull changes from the (now-2.0) head

Made it 2.0.0, and removed the changes that are in 1.1.x, as
we don't need to mention them twice

Remember the proxying IP address.

This makes udpfromto work again

Updated for 1.1.0

Don't need this any more in the 1.1.x branch

Document the new dictionary format

First pass at adding work on the 1.1.x branch.

Copied share/* from the CVS head to this branch.

Updated src/lib/dict.c && src/lib/radius.c to handle (encode and
decode) VSA's with weird formats, with code copied from the CVS
head.

Updated "configure.in" to look for sys/stat.h, which is now needed
by src/lib/dict.c.

Updated "configure.in" with the new version number (1.1.0-pre0),
but did NOT re-run "configure"

Re-implemented Exec-Program && Exec-Program-Wait in rlm_exec,
in the post-auth section.

We may want to add this in the "accounting" section, too

Clean up time passed calculation (again)

Pull a few downstream fixes:
- don't rerun configure during the build.
- don't install CVS files.
- add phony targets.

Don't trust "mysql_config" output and test the libmysqlclient
anyway. Broken MySQL packages from Redhat provide the script
"mysql_config" without the libmysqlclient headers. (closes: #297)

More definitions for systems that don't have them

If no digest algorithm, default to MD5.

Patch from Philippe Sultan

Sanity check lengths of hex string

Patch from Philippe Sultan

A little more generic way of truncating tunnel-password-encrypted
attributes.

Hmm... much of these checks should also be added to pairmake()
and friends, so that the admin can find limits earlier in the
process

Motorola Canopy stuff

Allow tunnel passwords to be longer than 16 characters.  Oops..

- allocate all responses, not just the ones we fill in; the prior
  behavior would probably segfault if >1 prompt
- fill in responses in the same order as prompts
- correctly free memory on error (we were leaking reply[*].resp)
- zero out response memory on error (pointless, but considered SOP)

Moved TLS code from rlm_eap_tls to libeap.  Updated Make files
to use the new defs.

It appears to work.

Remove stupid CVS log statement

Cleaned up the code so it has one code base for all functions.

Added authenticate, postproxy, and postauth sections, too

Have the thread queue handler use fifos, rather than the hash
table.

This makes it easier to add more logic around request handling,
i.e. prefer ongoing conversations over new ones.

Be a little more careful when creating bad attributes

Look at the correct variable

'exec.c' has been deleted.

Compile again the file 'exec.c'

Move back the file 'exec.c' from src/modules/rlm_exec to src/main

As found on the net

file rlm_sqlippool.c was added on branch branch_1_1 on 2006-04-07 15:49:48 +0000

Include files used to build the server are now <freeradius-devel/*.h>
If this is bad, we can easily change it in the future to something
like <freeradius/*.h>.

Also, updated rlm_sqlippool to build with the recent cleanups.

The work was done via a Perl script, and the server rebuilt &
tested to be sure it works.

s/otp_get_challenge/otp_async_challenge/ to avoid confusion with
sync challenge

combine another FR and PAM debug option (missed earlier)

fix logging:
- add __func__ to otp_log(), where missing
- don't prepend MODULE_NAME in otp_log(), instead make it part of
  log_prefix (as appropriate)

fix signed/unsigned comparison

combine FR and PAM debug options

Change user_state 'challenge' field from string to uchar, which
makes more sense for crypto and other manipulation.  Unfortunately,
it is a huge change for such a small gain (basically avoiding
sprintf() and sscanf() conversions.)

Notable changes:
- otp.h: add 'clen' field to user_state; update it wherever the
  'challenge' field is set
- otp_cardops.h: add printchallenge() method, OTP_CF_C8 and OTP_CF_C4
  Card Feature macros
- cardops keystring2keyblock() method and otp_keystring2keyblock()
  now return keylen (instead of 0) on success
- otp_keyblock2keystring() now takes a length arg and returns char *
  for easy printing
- remove [unused] 'card_info' and 'log_prefix' args to cardops
  updatecsd() method
- otp_gen_challenge() noted as cryptocard-specific with quirky behavior
- otp_challenge_transform() explicitly returns new challenge length
        - cryptocard.c:cryptocard_challenge(): Remove hardcoded challenge
  length of 8.  Yes, *sync* challenge length must be 8 but challenge
  might be a different size due to resync with an async challenge.
  This worked before but became a bug when we changed the user_state
  'challenge' field to be the previous (instead of the next) challenge.

add sratch3 back to user_state, to hold csd offset

On deleting the request list, kill any live threads that are
processing the request, and mark the request has having no
child pid.

We should fix up the thread pool, too, to catch the case of
"disappeared" child threads

s/user_info/card_info/

    remove extra scratch field from user_state

- otp.h: add scratch data fields to otp_user_state_t, for tmp use
  by cardops methods
- change 'user_state' arg to cardops challenge() method to non-const,
  so that state can be updated with scratch data for later methods
        - remove [unused] 'challenge' arg to cardops updatecsd() method, and
  reorder 'when' arg to be consistent with challenge() method
- remove 'twin' arg to cardops isconsecutive() method; time data now
  stored as scratch data (twin data is meaningless, it must be
  converted to a time counter which is already done in challenge(),
  so don't do it again)

remove csd arg to cardops response() method

remove cardops isearly() method, instead the challenge() method now
returns multiple error codes, eliminating some duplicate code and
saving a function call

remove 'now' arg from cardops maxtwin() method

Description:
update cardops challenge() method: change order of 'challenge' and
'when' args, change 'twin' and 'ewin' args to type int

Use closefrom

Spelling.

Allow tabs

Catch NULL ptr

On HUP, move proxy sockets, too

Updated check program for 'sockaddr_storage' to include <sys/socket.h>
and detect it's existance on Solaris 8 systems ( and presumably other
Solaris variants ).

- Remove duplicate work in cardops twin2cardtime() method by removing
  the method altogether.  Now we call challenge() before isearly(),
  and pass the challenge in, instead of cardtime.
- mincardtime is now saved in the updatecsd() method instead of in
  otp_cardops.c
- remove minewin state field (still version 5)

change state fields failcount and minewin from int to uint32,
for portability (really this time)

- change state field minauthtime to mincardtime
- change state fields failcount and minewin from int to uint32

More cleanups & leak fixes

Abstract code some more.

Actually free stuff on errors

- add back time restriction to rwindow override, mistakenly removed
  in previous change
- add logging when a window position is skipped for being too early

Make isconsecutive() a cardops method instead of trying to account
for all cases in otp_cardops.c:
- remove nexttwin() method
- save rwindow data as card-specific 'rd' field, instead of generic
  authewin and authtwin fields
- updatecsd() method now has to update rd as well
- bump state to version 5

cardops updatecsd() method twin arg is int, not unsigned

- change csd and challenge args to cardops response() method to
  char[] instead of char*, to document expected array length
- change csd arg to cardops response() method to const
- remove now superfluous (since cl 421) local copy of user_state.csd

Removed duplicate function.  Patch from Phillipe Sultan

isearly() should take int, not unsigned, for ewin arg

simplify "too early" logic by adding a cardops method isearly(),
rather than trying to account for the different cases in otp_cardops.c

update csd comment: prev, not next, sync challenge, due to state v4

Added hex printing of the packets if command-line options are -xxx

Catch case where the user hasn't updated the dictionaries with
the new format strings, and force them to be the default values

Pass option "--config-cache" to configure, it's *a lot* faster.

Regenerate from configure.in 1.222

Ugly hack to make "./configure --config-cache" work.

change order of twin and ewin params to cardops challenge() method,
to be consistent with inner and outer loop vars and logging order

Add "format=" option to VENDOR statements in the dictionaries.

This lets us support any vendor with wonky formats, rather than
hard-coding vendor names into the source.

It also allows us to support read multiple Lucent & Starent
attributes in one Vendor-Specific, which is nice.

The code is a *lot* larger than before, but I hope it's clearer,
and it does support a lot more weird situations than before.

Set more lengths on paircreate()

Allow values for pairmake() to be 253*2 characters long, for hex
data.

Removed bogus code

Always use a "switch" statement after calling the modules, so it's
easier to figure out what's going on with the many return codes.

isconsecutive(): test for persistent softfail to avoid broken math

persistent softfail (forced by nullstate) fixes

Don't leak memory in rad_authenticate() when we receive an
Access-Challenge from the home server. Also re-arrange the
code which check the proxy reply, and update the comments.

Print a debug message with the name of the stanza which is used
to run the modules.

right shift OTP_CF_FRW and OTP_CF_TW mask bits to get value

don't redefine _GNU_SOURCE if already defined

Move table of PID's to wait for into a hash table, which makes it
easier to manage.

Correct typo in closefrom

Don't fclose() a file stream more than once.

Bug found by Svein Hansen <svein.hansen@hive.no>

add trid-beta-2 support

Suppress sending attributes of zero length.

Bug #273

Correct length bug in make_tunnel_passwd

use "data" ptr, not "vp->vp_octets" in rad_vp2attr(), during
encryption.

update rad_attr2vp() to handle encrypted IP's and integers.
(and anything else, for that matter).

Update rad_decode() to handle Starent attributes.

This code is a lot cleaner than what was there before...

Now that we have rad_vp2attr, and it's clean, adding support for
Starent VSA's is trivial.

We still have to make rad_attr2vp() support Starent VSA's, and
the Juniper encrypted integers & IP's

New attributes, from bug #284.

As a result of recent updates to src/lib/radius.c, we now get
"tunnel password" encrypted IP addresses and integers for free.

rad_vp2attr now takes "const VALUE_PAIR *", so it isn't modified.

Moved make_secret() to just before rad_vp2attr.

Added new make_passwd (User-Password) and make_tunnel_passwd
(Tunnel-Password) that take input & output ptrs, so they don't
modify a VALUE_PAIR*.  The resulting code also looks a lot cleaner,
and makes more sense.

Fixed rad_attr2vp() to ALWAYS return the attribute, even if it's
format is wrong (i.e. can't decrypt it, etc).  In those cases,
the attribute name is left alone, but the flags are all set to
zero (no tag or encryption stuff), AND the data from the packet
is copied verbatim into vp->vp_octets.

This makes the server a little more forgiving of bad requests.

run all known cardops constructors if they didn't run
(workaround for Cyclades ACS runtime linker deficiency)

Update minauthtime handling for event-only cards to fix a bug in
the sync_response loop where authtime always equals minauthtime,
and so the 0th event (or, all events earlier than minewin, usu. 0)
is not considered.
otp_cardops.c:otp_pw_valid(): always set minauthtime to 0
cryptocard.c:cryptocard_twin2authtime(): return current time, not 0

Clean up rad_vp2attr.  This version is a LOT more readable than
the previous code.

Check the return value of accounting modules and don't proxy
invalid requests. Now the actions are:

Return value            Proxy   Drop
--------------------------------------
RLM_MODULE_REJECT                 X
RLM_MODULE_FAIL           X
RLM_MODULE_OK             X
RLM_MODULE_HANDLED        X
RLM_MODULE_INVALID                X
RLM_MODULE_USERLOCK               X
RLM_MODULE_NOTFOUND               X
RLM_MODULE_NOOP           X
RLM_MODULE_UPDATED        X

More code cleanups