Added additional config explanation.

Adding additional docs

Adding needed docs to prepare for 1.0 release.

inet_aton is more portable than inet_pton

Patch from Manuel Ricca

Whoops... that's a typo

Don't include libradius.h, radiusd.h includes it.

Include netinet/in.h BEFORE radiusd.h, as radiusd.h includes
missing.h, which tries to define INADDR_*

Don't reference pthread functions if we're not building in threaded
mode

updated documentation slightly - to reflect that attributes may
safely change now.

capture the RAND/SRES/Kc when we initialize the SIM
rather than later, when they may have changed.

turn off extra debugging.

added rcsid.

documentation for rlm_sim_triplets.

new test case for simtriplets.dat based example.

describe this test case.

new module to read triplets out of a file for EAP-SIM.

added some debugging of why EAP-sim might not want to
handle the request - lacking RAND1 attribute.

fixed minor typo in comment.

added new option -X to turn on sha1_data_problems.

to further aid in debugging, dump the resulting key as well

Use ==, not =

Generate proper dh.  From Michael Brown

the problem arises from the the krb5_data packet struct which
is not initialized. If the check with krb5_kt_read_service_key fails,
a "goto cleanup" occurs, which attempts to free the memory
contained in "packet" if its data pointer is non-NULL.

In our case, the uninitialized packet contained garbage pointing into
kernel space, resulting in a seg fault on the subsequent free().

The fix is simply to memset the struct to zero at the beginning of the
function.

Patch from Jon Moore

Update with new comments

Deleted lots of special-purpose code to do prefix/suffix matching
in the "hints" file.

We now call the "paircmp" function, which does more, and is less
work for us.

The old "hints" file did prefix & suffix matching, and not much
else.  The new "hints" file does all that, and lots more

Reserver room for the trailing NUL byte, too

Corrected typo

Having eap_type2name return a "static" buffer is a very bad idea.

It now gets passed a buffer, and returns either that, or a
'static const char *' pointer to the array of pre-defined names.

A slightly different way to build radeapclient, which makes
sure the "make clean" works, too

If we get unexpected tunneled data, print it out when doing -Xx

Minor cleanups to messages

Fix return value of 1 from cp'ing certificates into installation due to trying
to cp a directory.
Thanks to Toni Mueller

Fix missing make dependancy on radeapclient when installling.
Thanks to Toni Mueller

Install certs, too...

More and better text

More and better documentation in the comments

For laziness, add a test certificate directory, which is NOT
installed by default!

Use User-Name, not stripped-user-name.

The MS-CHAP response depends on the user name, as sent by the NAS,
so we would do well to use it as-is

Clean up instructions for latest snapshot

Properly initialize a variable

Some systems need -lcrypt for the client...

Don't use strncpy

Update cheesy strNcpy to NOT call strncpy, which zero-fills the
memory...

Enable rlm_exec by default

It's NAS-Port, not NAS-Port-Id

Added EXE extensions.  This may help for Windows, which needs
(and adds) extensions when building executable programs

More examples of using inter-variable references in the
configuration file.

Define HAVE_OPENSSL_SSL_H, too

Point to new scripts for certificate creation, and to suggested
location for certificate directory

Add scripts to automatically generate test certificates.

corrected typo

More attempts to get MySQL working

Added big warnings about old & untested features

Fix typos

Update sample password

Install radeapclient, too

${module.submodule.item} now works properly

Enhanced configuration file variable expansion, hopefully
without breaking anything.

OLD: ${foo} means "foo in current section, OR foo in main section}
e.g. ${logdir}

NEW: ${foo} means the same as before
     ${.foo} means "foo in current section ONLY", just in case
             there are name conflicts.
     ${..foo} means "foo in the section enclosing this section"
     ${main.module.submodule.foo} should be obvious...

For now, we need "main" in there, but a commit in the next few
days should remove that restriction...

fixed "ChalX" to "RandX".
added Autz-Type:=, which is really needed for basic testing.

Look for stripped user name, then user name, in group cmp.

Use a better name for the SQL stuff.

Bug noted by Keith Yoder

Don't return "OK" until the TLV success packet was sent back.

Bug & patch noted by Mike Saywell

Imported changes from downstream Debian packaging.

* Add a message when adding a user in the badusers table
* Close sql connections in add_badusers.php3

* Add the ability to erase rows from the badusers table
* In log_badlogins for multiple logins if it is a mppp attempt, log it

res should be int not unsigned

Updated text about how to use authentication

Look for mysql_config, and believe it, if it exists.

We *could* use mysql_config to set cflags & libs in this script,
and double-check that they work, but when I tried that, it always
failed, even though trying the same tests by hand worked.  <sigh>

Move the "waitpid" code to after the check for error in select,
which means that we don't clobber errno.

Bug found by Robby Griffin

Stupid RedHat stuff.  Their OpenSSL uses kerberos by default,
so packages which *don't* want to use Kerberos have to set
RedHat-specific magic, so that OpenSSL will work.

Make !* work.

patch from oe Maimon

Correct type of PID used in signal handler.

Patch from Andrew Belashov

Print timestamp as an unsigned long, which works a little better
on 64-bit systems.

Patch from Andrew Belashov

When printing 'size_t' numbers, we *really* should be using %zu.

The 'z' says "the following thing is a size_t"
The 'u' says "unsigned", as ssize_t exists

The problem is that we don't know how prevalent 'z' is.  It's
in Linux, NetBSD, FreeBSD, and Solaris, so using it *should* be OK.

In the short term, it's easier to cast the functions returning
size_t to (int), SOLELY for purposes of printing.  If the value
doesn't fit into an int, then only the debugging messages will
be wrong, as this change doesn't affect the code logic at all.

Patch from Andrew Belashov, tested on 64-bit sparc systems

Minor additional documentation

Cleaned up request handling logic.  I'm not sure what I was
thinking before, but this makes sense.

Added a large amount of text, which walks through the configurable
fail-over in steps.  I finally understand what it does...

Allow "redundant", "group", and "append" as section names,
even if they're not modules.

They're used by the configurable fail-over code (which has
apparently been broken in the CVS head for a while, due to the
lack of this patch)

Reserve priority zero for future use

Minor formatting to be pretty

Pass *all* VP's to the exec'd program, instead of leaving the
last one

FCNTL locks work across processes.  For threads, we need an
additional mutex

Added comments about LD_LIBRARY_PATH, and pre-loading libraries,
so that local craziness with OpenSSL and MySQL may be worked around

Make unlimited login-time work.

patch from Dmitry Lebkov

From Dustin Doris

For Mikrotik routers

Added dictionary for 3gpp2

If there are no OpenSSL libraries, don't include them.

Look for openssl/rand.h, too.

Hoist OpenSSL checks from a number of different places into
the top-level configuration file.  This now exports OPENSSL_INCLUDES
and OPENSSL_LIBS *only* if it decides that it likes what it finds.

This also adds Michael Griego's patch to check for OpenSSL version
greater than or equal to 0.9.7.

The various EAP types now have stupidly simply configuration scripts,
which just look for OPENSSL_INCLUDES and OPENSSL_LIBS, rather than
re-doing all of the header/lib checking themselves.

We've got to apply the same patch to LDAP & X99_Token, but they
still work..

A little cleaner check for identity & username.

Patch from Michael Griego.

Hmm... the new code looks fairly duplicate.  We could factor
it into a function for less code...

Updated the debugging message to make a little more sense.

Add script which sets LD_LIBRARY_PATH, etc, so that OpenSSL
weirdness can be taken care of.

It should also work for MySQL...

When finding MS-CHAP attributes, do "Auth-Type = MSCHAP", rather
than ":=".  This means it won't over-ride any previous setting
of auth-type "accept" or "reject"

Clean up the examples

More description of the dictionaries & how they work.

Minor updates to the text.

Don't talk about disabling it.  We don't want the users to do that.

When we have a stop record, don't compare it to unused entries.

This means that if we get two duplicate stops, the second one will
cause the server to complain.  Previously, the server *may* have
complained, but not necessarily...

Use NAS-Port, not NAS-Port-Id in acct_unique.

The module should really be fixed to use xlat's...

Removed text saying there is a restriction on the number of
load-balancing realms

Removed restriction that there be no more than 32 load-balancing
realms, by implementing a new algorithm, which walks the list once,
and picks 1 of N.  (See the Camel Book)

Updated "readvp2" (only used by radclient) to be a little more
tolerant of its input, and to NOT leak memory if there was an
error reading the VP's