Log somewhat more verbose error messages when the sql_command binary is not found in the bin scripts

Info about FreeRADIUS on SUSE

You can integrate Novell® eDirectoryTM 8.7.1 or later with FreeRADIUS 1.0.2 onwards to allow wireless authentication for eDirectory users.

new PAM config in upcomming SUSE 9.3Pro

Major cleanups to bring in sync with SUSE 9.2 Professional and to run as user radiusd instead of root

More/better error messages.

Don't allow quoted strings as conf-section names.

When $INCLUDE'ing files, cf_item_add may be called with a list
of items.  If so, add all children to the parent trees.

We don't have to touch the child trees, because they aren't changed.

When reading files in a directory, be a little more restrictive.

We allow alpha-numeric, '.' and '_'.  Anything else is ignored.

Moved copy_string && copy_var from exec.c to util.c, as public
functions, so that others may use them.

(mostly) copied "split into argv" code from exec.c into xlat_config,
to avoid injection attacks.  i.e. "split into argv, and then xlat",
rather than "xlat, and then split into argv".

This also allows the use of "." in section/pair names.

Use rbtrees for CONF_SECTIONS, with hacks to make instance names
work...

Minor fix to xlat config

Put CONF_PAIRs into an rbtree.  This doesn't make much difference
for most systems, but for large ones, it can help.

This also means that more memory is being used in the server,
but not a whole lot.

Next, putting sections into an rbtree.

Allow %{config: section[name2][item]}

Add the safe-characters directive in mssql.conf also

Don't set DEFAULT '0' for the nas table

Remove the locks on the <detail> file and handle the case
where the last line is not complete

Execute modules in {Pre,Post}-Proxy-Type stanzas (closes: #199)

Prototype change for module_post_proxy()

Prototype changes for module_{pre,post}_proxy()

Re-arrange the states in the loop() function to prevent
radsqlrelay from duplicating accounting packets. Now the
transition is STATE_RUN -> STATE_BACKLOG -> STATE_CLOSE
(closes: #206)

Build radsqlrelay, too.

In clear_opensessions depending on sql type use either IS NULL or = 0 in the DELETE statement.
We need to find a cleaner solution to this. This closes bug#175

Change ConnectInfo_{start,stop} to be varchar(50). This closes Bug#204

Add a patch from Thor Spruyt for setting the nas client query in the configuration file
This closes bug#201

* Add more documentation for per user counter limit attributes (daily/weekly/monthly limits)
* Make all counter limits default to none so that people don't get confused

Update password_check to work with all password attributes and use the configuration directives

re-arranged pap_authorize so that it will clean up base64 & hex
password attributes, so that other modules may use them.

This allows (for example) LDAP to store NT passwords base64-encoded,
with a header of {nt}.  The LDAP module will add an attribute
NT-Password, with the value as base64-encoded.  The PAP module
will base64-decode it during the "authorize" phase, so that the
mschap module can use the 16-byte NT hash during the authentication
phase.

Added auto-header discovery

{clear} User-Password
{cleartext} User-Password
{md5} MD5-Password
{smd5} SMD5-Password
{sha} SHA-Password
{ssha} SSHA-Password
{nt} NT-Password

The passwords are added "as-is", and require RLM_PAP to fix them...

Re-formatting of code, normalize whitespace around function args,
reduce the number of indents in some places

Updated docs for new behavior

new pap authorize function, which looks for hashed/encrypted
passwords in config items, and sets Auth-Type := PAP.

Updated radiusd.conf to add "unix" and "pap" to "authorize",
for more auto-discovery.

Updated "users" to NOT Set Auth-Type at ALL.  This makes
auto-discovery work much better...

Support base64 encoding, via auto-discovery.

i.e. if it decodes to a base64 string of the right length, then
it's a base64 string.

This works with  SMD5-Password := "l/ValIKmwbbPbodg+YNCS32Cz3M="
which is the same "testpassword" as the previous CVS commit.

Document SMD5 && SSHA passwords, too

Whoops... delete base64 stuff which was there by accident

These new attributes are of type "octets", not "string"

deleted hex2bin && bin2hex.

Added support for SMD5-Password & SSHA-Password.

SMD5-Password := 0x97f55a9482a6c1b6cf6e8760f983424b7d82cf73
SSHA-Password := 0x3b7fc2a325b3a841db199bb9f653fd8e05d6b1e4edbf63b5
User-Password := "testpassword"

unused headers

Add OSFFIA stuff back in.  It looks like it's not used, so it
shouldn't hurt anything.

Updated documentation for rlm_unix

Removed all references to caching from the module.  It's no longer
needed or useful.

Commit a patch from  Andrea Gabellini. This should close bug#128

reap children in a child thread, not in the main server thread.

This minimizes locks

re-write of handling SIGCHLD.

delete sigchld handler.  It's too hard to coordinate getting the
child pid & status from the thread that caught the signal to the
thread that (maybe) is waiting for it.

Instead, don't save child pid's if we've been told someone will
be waiting for it.  They will call waitpid() and clean up the zombie.

DO save child pid's if the caller isn't going to wait.  Someone
needs to call waitpid() on the EXACT PID number, to avoid grabbing
a PID that an "exec wait" thread is waiting for.

create new function: reap_children(), and scatter calls to it
in a number of places.  This ensures that any child will have
waitpid() called quickly, and will be reaped.

removed external declaration of rad_savepid.  This is a Good Thing.

Moved the function in threads.c, and declared it "static"

cat request_process.c | tr -d \\r > foo;mv foo request_process.c

Remove serious limits on the length of names in DICT_VALUE.
It's now 128, but can easily be bumped up.

Removed restrictions on vendor name length. (realistically)

It's now 1024, which should be large enough for most people.

Document new "virtual" modules

Make the "compile module" code actually return, rather than call
exit().  This means that we have a "stack" of errors to print if
something goes wrong, so we can track what referred to the item
making the problem.

Allow redundant{} etc. sections to have second names,
and use those names for printing.

Allow subsections in "instantiate", and use those subsections
as "virtual" modules, so that you don't have to copy blocks
of text, if the same kind of redundancy/fail-over is done in
multiple places.

This fixes bug #181

These subsections will later allow us to use the subsection names
in xlat's.  e.g.

redundant magic_ldap {
ldap1
ldap2
}

... %{magic_ldap: query...}, which will fail-over from ldap1 to ldap2

Less code, less work

Move SIGCHLD handler to threads.c, no one else needs it

Check for maximum argv.

NULL terminate the argv array.

Change session_zap to include a session_time argument.
In simultaneous-use check in rlm_sql, don't set default protocol to PPP but
rather try to find it

Add Huntgroup support in preacct also

The whole 2-names for sections confuses the %{config:...} expansion,
so we allow the second name to be referenced, too.

Prototype for new function

Handle the case where the threads aren't initialized

put argv & response from child into different buffers.

Catch border cases

Use new library functions hex2bin/bin2hex

use new hex2bin function to be more forgiving for NT-Passwords

corrected typo

Moved hex2bin && bin2hex here from multiple locations in the source

Add documentation patches from Thor Spruyt. This closes bugs 170,171

Try building SNMP support with -lkstat for Solaris 9

Don't read sub-directories when $INCLUDEing "dir/"

Don't try to read directories, either

When in authorize/etc in policies, don't allow it to call another
modules authenticate/etc phase.

We may want to loosen this restriction in the future...

free policy types call/return/etc

Allow policies to call modules.  Weird, wild, stuff.

Fixed typo

Allow !=, too

Policy functions can now have return codes.  The default is "ok".
The return codes are the module return codes, for simplicity.

The return codes can be checked in conditions, so:

if (foo() == ok) {
...
        } else {
...
}

will work.  There's no fail-over, or assignment of return codes
to variables, or possibility to check multiple return codes.

This is NOT a real language.  It's a nasty hack to get interesting
things done...

Don't read "foo~" files.
Maybe we should make it read only *.conf? ...

Docs for latest updates

Inclusion works:

include "foo" relative to current directory
include "dir/" include all files in subdirectory

Don't leave DIR's open on error.

Enclose new readdir code in #ifdef HAVE_DIRENT_H, so no one else
breaks

re-arrange code, make the parser a little cleaner

Whoops, use dup(),not dup2()

When log_dest == stdout/stderr, DUP it to another fd, close it,
and then in the logger, prefer to use mainconfig.radlog_fd.

This allows logging to go to what was stdout/stderr, but doesn't
leave stdout/stderr open for writing by external (forked) programs

Add a patch from Nicolas Baradakis to fix redundant processing in the accounting
section. This closes bug#173

Use correct length of string

Add a radiusObjectProfile objectclass to be used for creating radius profile
objects if none other objectclass can be used (like *person objectclass, etc)
Original idea and patch by Novell

Update example.pl with a patch from Thor Spruyt (bug #195)

Add an rlm_perl patch from Thor Spruyt (bug #196)

Update dictionary.garderos with patch from Thor Spruyt (bug #205)

conf files can now do:

$INCLUDE /path/to/dir/

With a trailing "/" at the end, it means "include all files
in that directory, but not the '.' files"

For future expansion.

Really stupid typo

Don't return binary data

Update documentation for new functionality

Make debug messages on password extraction a little bit more verbose

Now that we have MD5-Password and SHA-Password, along with
{User, Crypt, NT, LM}-Password, those attributes should store
the appropriate "hashed" versions of the password.

The PAP module should automagically figure out what to do, based
on which of the above attributes it sees.

Added ability for functions to be in conditions.  Not perfect yet,
but it works...

Add a few more checks for the previous patch

Add another configuration directive, password_radius_attribute. The default is
User-Password and it's purpose is to allow administrators to store NT hashes or
other forms of passwords in the userPassword attribute and map them to the
correct radius password attribute

Named policies are items just like any other.

Remove DOS LF's.

When there are errors instantiating a module, don't assume that
'ci' is a CONF_SECTION, it may be a CONF_PAIR.  Instead, use the
'lineno' which was defined above.

Don't set Framed-MTU in default configuration

Added {SHA, SSHA, MD5, SMD5}-Password attributes for future
expansion

Add a few header files

Removed C++ comment