Add scripts to automatically generate test certificates.

corrected typo

More attempts to get MySQL working

Added big warnings about old & untested features

Fix typos

Update sample password

Install radeapclient, too

${module.submodule.item} now works properly

Enhanced configuration file variable expansion, hopefully
without breaking anything.

OLD: ${foo} means "foo in current section, OR foo in main section}
e.g. ${logdir}

NEW: ${foo} means the same as before
     ${.foo} means "foo in current section ONLY", just in case
             there are name conflicts.
     ${..foo} means "foo in the section enclosing this section"
     ${main.module.submodule.foo} should be obvious...

For now, we need "main" in there, but a commit in the next few
days should remove that restriction...

fixed "ChalX" to "RandX".
added Autz-Type:=, which is really needed for basic testing.

Look for stripped user name, then user name, in group cmp.

Use a better name for the SQL stuff.

Bug noted by Keith Yoder

Don't return "OK" until the TLV success packet was sent back.

Bug & patch noted by Mike Saywell

Imported changes from downstream Debian packaging.

* Add a message when adding a user in the badusers table
* Close sql connections in add_badusers.php3

* Add the ability to erase rows from the badusers table
* In log_badlogins for multiple logins if it is a mppp attempt, log it

res should be int not unsigned

Updated text about how to use authentication

Look for mysql_config, and believe it, if it exists.

We *could* use mysql_config to set cflags & libs in this script,
and double-check that they work, but when I tried that, it always
failed, even though trying the same tests by hand worked.  <sigh>

Move the "waitpid" code to after the check for error in select,
which means that we don't clobber errno.

Bug found by Robby Griffin

Stupid RedHat stuff.  Their OpenSSL uses kerberos by default,
so packages which *don't* want to use Kerberos have to set
RedHat-specific magic, so that OpenSSL will work.

Make !* work.

patch from oe Maimon

Correct type of PID used in signal handler.

Patch from Andrew Belashov

Print timestamp as an unsigned long, which works a little better
on 64-bit systems.

Patch from Andrew Belashov

When printing 'size_t' numbers, we *really* should be using %zu.

The 'z' says "the following thing is a size_t"
The 'u' says "unsigned", as ssize_t exists

The problem is that we don't know how prevalent 'z' is.  It's
in Linux, NetBSD, FreeBSD, and Solaris, so using it *should* be OK.

In the short term, it's easier to cast the functions returning
size_t to (int), SOLELY for purposes of printing.  If the value
doesn't fit into an int, then only the debugging messages will
be wrong, as this change doesn't affect the code logic at all.

Patch from Andrew Belashov, tested on 64-bit sparc systems

Minor additional documentation

Cleaned up request handling logic.  I'm not sure what I was
thinking before, but this makes sense.

Added a large amount of text, which walks through the configurable
fail-over in steps.  I finally understand what it does...

Allow "redundant", "group", and "append" as section names,
even if they're not modules.

They're used by the configurable fail-over code (which has
apparently been broken in the CVS head for a while, due to the
lack of this patch)

Reserve priority zero for future use

Minor formatting to be pretty

Pass *all* VP's to the exec'd program, instead of leaving the
last one

FCNTL locks work across processes.  For threads, we need an
additional mutex

Added comments about LD_LIBRARY_PATH, and pre-loading libraries,
so that local craziness with OpenSSL and MySQL may be worked around

Make unlimited login-time work.

patch from Dmitry Lebkov

From Dustin Doris

For Mikrotik routers

Added dictionary for 3gpp2

If there are no OpenSSL libraries, don't include them.

Look for openssl/rand.h, too.

Hoist OpenSSL checks from a number of different places into
the top-level configuration file.  This now exports OPENSSL_INCLUDES
and OPENSSL_LIBS *only* if it decides that it likes what it finds.

This also adds Michael Griego's patch to check for OpenSSL version
greater than or equal to 0.9.7.

The various EAP types now have stupidly simply configuration scripts,
which just look for OPENSSL_INCLUDES and OPENSSL_LIBS, rather than
re-doing all of the header/lib checking themselves.

We've got to apply the same patch to LDAP & X99_Token, but they
still work..

A little cleaner check for identity & username.

Patch from Michael Griego.

Hmm... the new code looks fairly duplicate.  We could factor
it into a function for less code...

Updated the debugging message to make a little more sense.

Add script which sets LD_LIBRARY_PATH, etc, so that OpenSSL
weirdness can be taken care of.

It should also work for MySQL...

When finding MS-CHAP attributes, do "Auth-Type = MSCHAP", rather
than ":=".  This means it won't over-ride any previous setting
of auth-type "accept" or "reject"

Clean up the examples

More description of the dictionaries & how they work.

Minor updates to the text.

Don't talk about disabling it.  We don't want the users to do that.

When we have a stop record, don't compare it to unused entries.

This means that if we get two duplicate stops, the second one will
cause the server to complain.  Previously, the server *may* have
complained, but not necessarily...

Use NAS-Port, not NAS-Port-Id in acct_unique.

The module should really be fixed to use xlat's...

Removed text saying there is a restriction on the number of
load-balancing realms

Removed restriction that there be no more than 32 load-balancing
realms, by implementing a new algorithm, which walks the list once,
and picks 1 of N.  (See the Camel Book)

Updated "readvp2" (only used by radclient) to be a little more
tolerant of its input, and to NOT leak memory if there was an
error reading the VP's

Add UDPFROMTO stuff.

Print source port when signature is invalid

Now that we handle things a little better, don't do such strict
checking for # of entries returned

Include PEAP & MSCHAPv2 EAP sub-types, too.

Updates from RFC 2822 and RFC 3576

Added 'accounting' and 'pre-proxy' method calls.

Build it only if WITH_UDPFROMTO is defined

added test-SIM case.

if the un-marshalling fails, then fail the packet.

As posted to the list by Keith Yoder

Small fix in user_finger.php3

Misplaced arguments in strncpy

Patch from Tiago Pierezan Camargo

Be a little more forgiving about string attributes in Cisco
AV-Pair's.

Potential patch

Allow integer timestamps, too.

Patch from James Nedila

Removed last vestiges of NAS-Port-Id meaning the integer attribute

Patch to change ctime_r to CTIME_R, which is now a macro, which
works properly on different platforms.  (Hello, Solaris... who
needs to follow Posix?)

Patch from Oliver Graf

Minor cleanups

Added SQL to a number of sections, commented-out

small amount of documentation on using EAP-SIM authentication.

what to put into /etc/raddb/users for eapsim-XX tests.

test cases for EAP-SIM.

Set src IP & port for reply, based on the dst IP & port
that the request came from.

Include udpfromto.c

Part 2.

Include header & C implementation, from Jan Berkel and
Miquel van Smoorenburg

Part 1 of patch from Jan Berkel, based on Miquel's patch.

./configure --with-udpfromto=yes

now sets options saying to use 'recvmsg' and 'sendmsg' for sending
RADIUS packets, which allows the destination address to be
discovered during receive, and to be set during send.

This should solve a number of the IP Alias problems that people
have had.

* Huge PostgreSQL compatibility patch by Guy Fraser <guy@incentre.net>
* Also support the Crypt-Password attribute in lib/sql/password_check.php3. Patch by Guy Fraser <guy@incentre.net>

A minor patch to return if pairmake() fails by James Nedila

Don't bother waiting for child threads if there are none.

Corrected typo.

Note by Robert Fitzsimons

Moved request list walking functions from radiusd to request_list

radiusd.c was way too big.  It's more managable now.

A slightly better way of incrementing SNMP counters, which doesn't
clutter the code so much.

Keep more SNMP statistics about packets dropped, sent, etc.

Minor re-arrangement

When checking new request or proxy reply, don't bother checking
request->child_pid, as it may not be set.  However, request->finished
will always be 0 if the request is "active", so we rely on that,
instead.

In proxy_ok() look for request->proxy_reply, to catch duplicate
replies from the home server.  It's odd that we didn't do that before.

In the thread code, now check if child_pid is non-empty.  If so,
busy-wait for 100 milliseconds, to wait for the other thread to
finish.  If so, continue.  If not, kill the entire server, as
it's too busy to process requests.

postauth functionality thanks to Guy Fraser <guy@incentre.net> with modifications by me.

Use the User-Password attribute instead of Password in user_test.php3

Bugger, date_sub has a slightly different syntax than standard SQL, update call to match

Add copyright to date_sub function

Create DATE_SUB function which is used by the default alt_accounting_stop query

Do not set RadAcctId to empty string, this is not allowed and postgres will pick a number anyway since we use a serial type. Also fix the alt accounting stop query to it is valid SQL instead of a syntax error

Only call pairfree if we are using pairxlatmove not for pairadd

Also be able to search in the proxy and proxy_reply structures in rlm_attr_rewrite

eap.h support for tunneled callbacks
rlm_eap.c update request->proxy in authenticate
call tunneled callbacks in postproxy

types/rlm_eap_ttls/eap_ttls.h
types/rlm_eap_tls/eap_tls.h
move prototype for eapttls_process

types/rlm_eap_peap/eap_peap.h
include rlm_eap.h

types/rlm_eap_peap/rlm_eap_peap.c
types/rlm_eap_ttls/rlm_eap_ttls.c
handle "updated" return code from tunnel handler

types/rlm_eap_peap/peap.c
types/rlm_eap_ttls/ttls.c
hoist reply processing into it's own routine.
handle proxy replies

Cosmetic changes in debugging messages

De-coupled the input requests from the thread management.

We now have a queue of input requests, which the new requests
get dropped into.  Asynchronously from that, the threads wait
on a thread-global semaphore, and then pick up requests from
the queue.

The queue is protected by a mutex, both for adding & deleting
requests.

The threads in the pool no longer have per-thread semaphores.

Semaphores are required here because the main handler thread
has to be able to signal the semaphore, and have that signal
remembered, even if there are no threads currently waiting on
the semaphore.  Further, the main handler has to be able to
signal the semaphore multiple times, when there are multiple
requests waiting, and all of the threads are busy.

If a thread wakes up and there is no request for it to process,
it simply goes back to waiting on the sempahore.  This makes
the process a little more fail-safe, in that we can ensure that
requests are never left forever in the queue, by signalling the
semaphores more than required.

Re-arranged the rad_check_list & proxy_check_list code to make
a little more sense.  The main request handling loop which does
select() is now a little smaller.

We now have a packet_ok() function, to see if the incoming packet
is acceptable.

We now have a request_ok() function, which sees if the request
(as a whole) is acceptable.

The old code mixed up a lot of the packet/request checking into
multiple functions which each did packet/request checking.  The
new code is a little more straightforward.

The idea is to fix the race condition in the proxy code (bug #7),
and to apply the pending multi-cpu patches, by adding a queue of
requests we're sitting on, but which haven't yet been given to a
thread.

The new code makes it a little clearer as to what changes have
to be made, and where, in order to add those features.

container is a ptr, not a ptr to a ptr

Update casts to be prettier