New files which are used by libtool from REAL cross-platform
building.

Contributed by Alex Kiernan <alexk@demon.net>, and gradually
being introduced into the mainstream.

updated for what's done, and what still needs doing.

corrected typo, as pointed out by Greg Dickson <witchy@netserv.net.au>

added more template entries.  They're commented out so they don't
confuse people, but they're included in the standard 'users' file
so that there will be fewer FAQ questions to the list.

cleaned up, and added "Realm" attribute to the request->packet->vps

updates for proxy retries

added functionality for Proxy-To-Realm and Replicate-To-Realm,
as posted to the list by ALan Curry.

'install' rules now creates directories, too.

added necessary defines for the 'pre-accounting' entry in the
'module_t' structure.  Modified the modules to include an entry
for these structures.  Added other defines, as necessary.

It currently builds, but it does NOT actually do any Proxy-To
or Replicate-To, or pre-accounting.  That will come in the
next CVS commit.

new files for Proxy-To and Replicate-To support, by Alan Curry.

add explicit cf_pair_add() function.

don't allow the USER to have sections or pair names beginning
with '_', but allow the *server* to do so.  This allows the server
to keep track of configuration items which it doesn't want to
tell the user about.

corrected typo

updated for new username && password in REQUEST structure

only print out host names if UT_HOSTSIZE is defined.

removed gcc-specific compiler flags.

don't use BASH extensions in a /bin/sh script.

added NSLLIB and SOCKETLIB for Solaris, as suggested by
Alex Kiernan <alexk@demon.net>

removed non-ANSI trailing commas from 'enum' declarations.
Pointed out by Alex Kiernan <alexk@demon.net>

removed bogus check, as pointed out by Alan Curry.

change 'cd $dir;foo' to 'cd $dir && foo', as suggested by
"Alan Curry" <pacman-radius@cqc.com>.  The second version stops
on errors, while the first version doesn't.

regularized configuration names to:

cf_*
cf_section_*
cf_pair_*

Re-ordered function parameters so the the CONF_SECTION structure
is placed *first* in the list of parameters.

Added lots of 'const' everywhere to ensure we don't smash
input string pointers.

minor updates so name && password aren't passed explicitely.

updates for new request->username

updated for new request->username

include/radiusd.h
removed char username[], and rename VP *name to VP*username

include/modules.h
removed explicit references to username && password from
function prototypes & structure definitions.

main/radiusd.c
removed unused variable.

main/auth.c
clean ups.

modules/rlm_preprocess
modules/rlm_pam
modules/rlm_unix
Use request->username && request->password, instead of being
passed char* pointers.

Ensure that the modules get re-built if the server header files
change.

look for the canonical User-Name in the User-Name attribute,
not in request->username.

include/radiusd.h
removed prototype for rad_mangle()

main/radiusd.c
removed call to rad_mangle()
log error if there is no User-Name in the request.

main/auth.c
removed rad_mangle() entirely.

modules/rlm_preprocess/rlm_preprocess.c
moved rad_mangle() here.
fixed bug in accounting

Added basic ldap module config

Changed rlm_ldap to use conffile instead of raddb/ldapserver file

*** empty log message ***

conffile.c was written by Jesper Nielsen <jln@wol.dk>

Added radius.conf to raddb/

This is the first step at getting rid of passing a 'const char *name'
around to all of the modules.  The theory is that from now on,
the 'request->name->strvalue' will be the canonical name, as changed
by an authorization module (e.g.  hint bob.slip -> bob).

So a later authorization module can use the stripped user-name
of a previous authorization module.  This makes life easier...

This means that the 'User-Name' attribute in the request is
ALWAYS the attribute as sent over by the user.  The servers internal
idea of the value of the user name is really the Stripped-User-Name.

We will later get rid of the 'char username[]' element in the
REQUEST structure, too.

modules/rlm_preprocess:
Don't smash User-Name when stripping, but create a
Stripped-User-Name attribute instead, and add it to the request.

main/auth.c:
Prefer a Stripped-User-Name attribute for the name to
the User-Name.

include/radiusd.h:
added 'VALUE_PAIR *name' element to REQUEST structure, as interim
measure in getting rid of 'username[]'

modules/rlm_files:
ignore whatever is passed into 'char *name' for authorization,
and use request->name->strvalue, which MAY have gotten smashed
to a Stripped-User-Name attribute by a previous authorization
module.

removed PAM handling, and added operator initialization in paircreate()

i        do NOT smash the operators to '=' in paircmp().  Instead, leave
        them as they are, and let rlm_files take care of smashing them,
        AFTER the VALUE_PAIR list has been copied from the original.

        We need to smash the '==' and ':=' operators to '+=', so that
        when rlm_files calls pairmove(), then pairmove() WILL move the VP
items to the check_pairs list, no matter what the check operator
has been set to.

changes to make it build on OpenBSD, as suggested by
Mike Wiacek <mike@allvirtual.com>

did 'strdup(valstr)' in filterBinary function, so the strtok()
function wouldn't over-write the valstr in place.

This code REALLY needs to be re-written.  It's horrible.

Added Acct-Session-Start-Time attribute.  This will hopefully
give us a better method of generating a unique
Acct-Unique-Session-Id attribute, which should be better &
more unique than the undependable Acct-Session-Id that most NAS
vendors generate.

added 'prev' entry to REQUEST structure, so that we can delete
entries in the middle of the list and continue processing it.

added check before calling rad_recv(): if the packet code is too
high, then drop it immediately without parsing it.  This is another
paranoid attempt to minimize denial of service attacks.

re-wrote rad_check_list() to process ALL of the requests, even if
the current one is a duplicate, and has been deleted.

This change will make it easier to add checks later for re-sending
proxy requests, and handling proxy replies.

actually get the data on MSG_PEEK, as some stupid kernels
don't fill in the sockaddr structure if we peek 0 bytes.

pointed out by Dean Anderson <dean@av8.com>

Actually working on the module again! :)

the server now peeks at the request to see if it knows
the client.  If not, it complains, and tosses the request
without doing any work.

yet another typo in usage()

corrected typo (whoops!)

yes, let's add '-h', too.

added -X option for users who INSIST on not reading any bloody
documentation.

Added actual help text to be printed out for 'usage' documentation.

Moved a number of variables to using TRUE/FALSE, instead of 0/1

use the ':=' operator for Auth-Type, if it wasn't already
defined.  DON'T use '=', as that's deprecated.

updated with web page

fixed bug, as pointed out by kota <kota@at.com.ua>

added option '--with-threads' to allow people to NOT specify
threading.

* Acend channels per line default should be 23, not 1

* Updated checkrad.pl.in
* Added SNMPWALK to configure.in

configure.in pthread.h and libpthread
configure
Make.inc.in define PTHREADLIB

src/:
include/autoconf.h.in define HAVE_PTHREAD_H
include/radiusd.h define child_pid_t for forking/threading

main/Makefile use PTHREADLIB for linking.
main/radiusd.c place-holders for using new threading code.
It doesn't actually do threading yet, but
some of the skeleton is there.

removed the accounting process entirely (yay!)

updated for function/library ordering, as suggested by
Steve Ames <steve@virtual-voodoo.com>

fixed possible problem with Ascend configuration, as
suggested by Steve Ames <steve@virtual-voodoo.com>

add '-n' option to the server, which REQUIRES all IP addresses
to be given numerically, and NOT by host name.

Added support in library to NOT call any 'gethostbyFOO' functions
if we have DNS turned off.

Added complaints in 'files.c' to error out if we fail to look
up a host name.

renamed radrespond() to rad_process, and created new rad_respond().

auth.c and acct.c now do NOT reply to the request themselves,
but instead simply call build_reply(), and exit.

Then in the main server, the NEW rad_respond() checks
the element request->reply, and does the reply itself.

The idea is that this change will make the server even more
configurable, by having one central point of control for replies,
proxies, and replication.

corrected access bug which would deny access if there were
no huntgroups

more nonsense code to shut up the compiler

we don't need the username hack functions any more
(not that they were ever used by anything)

defined Proxy-To-Realm and Replicate-To-Realm attributes.

fixed bugs, as pointed out by kota <kota@at.com.ua>

updated operators in check-item lines for new '==' and ':='
definitions

do NOT close proxyfd in the accounting child, as it still
needs to send proxied accounting requests.

However, we ONLY need to listen to proxy replies in the main
server.  The accounting server SHOULD NOT look for proxy replies,
or we'll have two processes doing a recv() on the same FD.

fixed bug as pointed out by Alan Curry

defined Packet-Type, added values for it, and made a #define.

include/radiusd.h new global variables proxy_port and proxyfd
main/auth.c removed unused variables
main/radiusd.c added proxyfd handling
more error messages on packets to wrong ports
main/proxy.c proxy messages get sent out the proxy fd.

removed many explicit 'case PW_FOO' in paircmp(), and replaced
them with a check for the ':=' operator in check items.

Added support for '==' in check items, and made it complain
about '=', to force people to convert their users files.

define '==' as a token

moved auth.c to use new rad_chap_encode function

miscellaneous moves of #define's, and additional comments.

wrote rad_chap_encode() function in lib/radius.c, and put
a prototype into libradius.h

Also made outgoing packets automagically encode the CHAP password,
under the assumption that it's given in clear text.

added additional logging in main/auth.c, so that when logging,
it will print the string "CHAP-Password" as the users password,
and not a NULL string.

auth.c currently does NOT call rad_chap_encode to authenticate
the user.  That can be added later...

preliminary support for logging to syslog via '-l syslog'.

It's not perfect, as you can't specify the logging facility, but
it does seem to work.

implemented No-Such-Attribute: magic server configuration
attribute which matches if there is NO such attribute in
the request.  The attribute which is looked up is in
the string value of the No-Such-Attribute attribute.

define the request->password element, and have it get initialized
in auth.c.  Nothing currently uses it, but they can....

added more 'static's

Alan,

I have commited the changes I made on checkrad.pl of Cistron package into
freeradius tree. I have defined a variable @SNMWALK@ in checkrad.pl.in
but I didn't dare to mess with the 'configure' script. Too many lines
with 'configure: ####' to renum and I don't know how to do it
automagically.

Antonio Dias

merge of alpha code from Alan Curry.  It doesn't build as part of
the system, but at least the code is in CVS, so the diff's are
smaller.

Removed some useless debugging in proxy.c

Added trusted tag to proxy_receive

Added check for trusted attribute in raddb/realms

Added trusted int to struct realm.

Fixed a misplaced quote and path to LDAP stuff.

Many updates from Adrian Pavlykevych <pam@polynet.lviv.ua>
Changes rlm_ldap_pass to rlm_ldap_authenticate
Added rlm_ldap_authorize function
Added experimental (?) ldap caching

updates for FreeBSD, based on suggestions by
Adrian Pavlykevych <pam@polynet.lviv.ua>

renamed to PAM_AUTH_ATTR

when doing a pair copy, ignore operators =~ > >= < <=.

Hmm... this is really a hack, because the main/valuepair.c
paircmp() function doesn't smash the operator to '=' once it's
finished with the comparison.

Should it smash?  I think so... rlm_files makes a copy of the
check item list before passing it to paircmp(), so it can be
smashed.

if there's no range for NAS-Port-Id, then just do a normal
comparison.

use on-stack 'pam_conv' data structure, and define our own
structure for use with 'appdata_ptr', so that we don't have nasty
STATIC variables hanging around.  (Which wasn't safe for threading)

Add in support for a Pam-Auth attribute, now that the REQUEST
structure has a config_items VALUE_PAIR list.

it still could use some more fixes... Auth-Type = Pam and
Auth-Type = PAM are different... Pam-Auth should be defined at
initialization time, even if it isn't in the dictionary, etc.

minor changes to stop compiler warnings.

in authenticate function, changed all references from user_check
to request->config_items.  This allows the server config items
to be carried along with the REQUEST structure.

We'll make some changes later to removed the explicit passing
of the config items to the authorization functions.

check the time against when we received the reply, NOT now
(which may me milliseconds or seconds later, depending on system load)

various minor hacks to shut up compiler warnings

include/radiusd.h added 'config_items' to the REQUEST structure.
main/util.c   request_free updates to free config_items
main/radiusd.c    initialize config_items to NULL.

Fix small 'oops'...#include <errno.h>

more text in examples

Changed return values to RLM_AUTH_*

Added an additional checkconfig to possibly detect ldap libs that don't need -lber

   * Checkrad update for USR

*** empty log message ***

Added support for detecting the mozilla sdk and lber