Order by callingstation-Id, too.  Fixes #786

Added schema for DHCP IP pools.

With a key on Calling-Station-Id.

Update accounting queries to use NOW(), too.  Addresses #786

Remove "and expiry_time IS NULL".  Fixes #786

DHCP does multiple passes to allocate one IP.  We want to update
the allocated IP, no matter what it's previous state.

The allocate_find query takes care of allocating the correct IP.
We don't need to do extra checks in the allocate_update query

When clearing entries, set expiry time to now.  Addresses #786

This is so that the allocate_find will return the oldest IP.
And, the allocate_find will now use an index, rather than
potentially scanning the entire table

Fix allocate_find query.  Addresses #786

Document IPv6 option

Be more flexible about parsing parameters

Should be map_prints

Add .gitignore for rlm_realm

rename rlm_realm config struct so it doesn't conflict with the main realms config struct

Cache realm regular expressions

Free home_servers with talloc_free

Dual should be bool

Fix parenting of dual homeservers

Quiet valgrind error in rlm_ldap

striprealm should be strip_realm and a bool

Correctly allocate unknown sub-options

Merge pull request #787 from spbnick/coverity_fixes1

Coverity fixes part 1

listen: Retrieve configuration pairs once

Retrieve configuration pairs with cf_pair_find only once, before
checking their existence, in common_socket_parse. This avoids ambiguity
confusing Coverity, which otherwise reports the following issue.

Error: NULL_RETURNS (CWE-476):
freeradius-server-3.0.4rc2/src/main/listen.c:1139: returned_null: Function "cf_pair_find(CONF_SECTION const *, char const *)" returns null (checked 51 out of 54 times).
freeradius-server-3.0.4rc2/src/main/conffile.c:2353:20: return_null: Explicitly returning null.
freeradius-server-3.0.4rc2/src/main/client.c:514: example_checked: Example 1: "cf_pair_find(cs, "ipaddr")" has its value checked in "cf_pair_find(cs, "ipaddr")".
freeradius-server-3.0.4rc2/src/main/conffile.c:667: example_assign: Example 2: Assigning: "cp" = return value from "cf_pair_find(cs, p)".
freeradius-server-3.0.4rc2/src/main/conffile.c:668: example_checked: Example 2 (cont.): "cp" has its value checked in "cp".
freeradius-server-3.0.4rc2/src/main/command.c:1556: example_assign: Example 3: Assigning: "cp" = return value from "cf_pair_find(mi->cs, argv[1])".
freeradius-server-3.0.4rc2/src/main/command.c:1557: example_checked: Example 3 (cont.): "cp" has its value checked in "cp".
freeradius-server-3.0.4rc2/src/main/listen.c:103: example_assign: Example 4: Assigning: "cp" = return value from "cf_pair_find(request->listener->cs, fmt)".
freeradius-server-3.0.4rc2/src/main/listen.c:104: example_checked: Example 4 (cont.): "cp" has its value checked in "cp".
freeradius-server-3.0.4rc2/src/main/mainconfig.c:345: example_assign: Example 5: Assigning: "cp" = return value from "cf_pair_find(request->client->cs, fmt)".
freeradius-server-3.0.4rc2/src/main/mainconfig.c:346: example_checked: Example 5 (cont.): "cp" has its value checked in "cp".
freeradius-server-3.0.4rc2/src/main/listen.c:1139: var_assigned: Assigning: "cp" = null return value from "cf_pair_find(CONF_SECTION const *, char const *)".
freeradius-server-3.0.4rc2/src/main/listen.c:1142: dereference: Dereferencing a pointer that might be null "cp" when calling "cf_log_err_cp(CONF_PAIR const *, char const *, ...)".
freeradius-server-3.0.4rc2/src/main/conffile.c:2930:2: deref_parm: Directly dereferencing parameter "cp".

dhcpclient: Verify socket timeout was set

Verify the return code of setsockopt, as it may fail, in dhcpclient.c.

Coverity has reported the following error for this issue.

Error: CHECKED_RETURN (CWE-252):
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpclient.c:424:
check_return: Calling function "setsockopt(sockfd, 1, 20, (char *)&tv,
16U)" without checking return value. This library function may fail and
return an error code.
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpclient.c:424:
unchecked_value: No check of the return value of "setsockopt(sockfd, 1,
20, (char *)&tv, 16U)".

dhcpd: Check cf_item_parse result

Check the result of cf_item_parse for error, propagating it up the
stack in dhcp_socket_parse.

Coverity has reported the following errors for this issue.

Error: CHECKED_RETURN (CWE-252):
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpd.c:638: check_return: Calling function "cf_item_parse(CONF_SECTION *, char const *, int, void *, char const *)" without checking return value (as is done elsewhere 12 out of 14 times).
freeradius-server-3.0.4rc2/src/main/conffile.c:1416: example_assign: Example 1: Assigning: "ret" = return value from "cf_item_parse(cs, (variables + i).name, (variables + i).type, data, (variables + i).dflt)".
freeradius-server-3.0.4rc2/src/main/conffile.c:1417: example_checked: Example 1 (cont.): "ret" has its value checked in "ret < 0".
freeradius-server-3.0.4rc2/src/main/command.c:1569: example_assign: Example 2: Assigning: "rcode" = return value from "cf_item_parse(mi->cs, argv[1], (variables + i).type, data, argv[2])".
freeradius-server-3.0.4rc2/src/main/command.c:1570: example_checked: Example 2 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/listen.c:916: example_assign: Example 3: Assigning: "rcode" = return value from "cf_item_parse(cs, "ipaddr", 14, &ipaddr, NULL)".
freeradius-server-3.0.4rc2/src/main/listen.c:917: example_checked: Example 3 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/listen.c:2834: example_assign: Example 4: Assigning: "rcode" = return value from "cf_item_parse(cs, "type", 1, &listen_type, "")".
freeradius-server-3.0.4rc2/src/main/listen.c:2835: example_checked: Example 4 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/radmin.c:530: example_assign: Example 5: Assigning: "rcode" = return value from "cf_item_parse(subcs, "socket", 1, &file, NULL)".
freeradius-server-3.0.4rc2/src/main/radmin.c:531: example_checked: Example 5 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpd.c:638: unchecked_value: No check of the return value of "cf_item_parse(cs, "suppress_responses", 23, &sock->suppress_responses, NULL)".

Error: CHECKED_RETURN (CWE-252):
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpd.c:643: check_return: Calling function "cf_item_parse(CONF_SECTION *, char const *, int, void *, char const *)" without checking return value (as is done elsewhere 12 out of 14 times).
freeradius-server-3.0.4rc2/src/main/conffile.c:1416: example_assign: Example 1: Assigning: "ret" = return value from "cf_item_parse(cs, (variables + i).name, (variables + i).type, data, (variables + i).dflt)".
freeradius-server-3.0.4rc2/src/main/conffile.c:1417: example_checked: Example 1 (cont.): "ret" has its value checked in "ret < 0".
freeradius-server-3.0.4rc2/src/main/command.c:1569: example_assign: Example 2: Assigning: "rcode" = return value from "cf_item_parse(mi->cs, argv[1], (variables + i).type, data, argv[2])".
freeradius-server-3.0.4rc2/src/main/command.c:1570: example_checked: Example 2 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/listen.c:916: example_assign: Example 3: Assigning: "rcode" = return value from "cf_item_parse(cs, "ipaddr", 14, &ipaddr, NULL)".
freeradius-server-3.0.4rc2/src/main/listen.c:917: example_checked: Example 3 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/listen.c:2834: example_assign: Example 4: Assigning: "rcode" = return value from "cf_item_parse(cs, "type", 1, &listen_type, "")".
freeradius-server-3.0.4rc2/src/main/listen.c:2835: example_checked: Example 4 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/main/radmin.c:530: example_assign: Example 5: Assigning: "rcode" = return value from "cf_item_parse(subcs, "socket", 1, &file, NULL)".
freeradius-server-3.0.4rc2/src/main/radmin.c:531: example_checked: Example 5 (cont.): "rcode" has its value checked in "rcode < 0".
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcpd.c:643: unchecked_value: No check of the return value of "cf_item_parse(cs, "src_interface", 1, &sock->src_interface, NULL)".

dhcp: Remove unused attribute allocation

Remove unused and unfreed unknown attribute allocation to prevent memory
leak. Coverity has reported the following error for this issue.

Error: RESOURCE_LEAK (CWE-772):
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcp.c:956: alloc_fn: Storage is returned from allocation function "dict_attrunknown(unsigned int, unsigned int, int)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2666:2: alloc_fn: Storage is returned from allocation function "malloc(size_t)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2666:2: var_assign: Assigning: "da" = "malloc(148UL)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2671:2: noescape: Resource "da" is not freed or pointed-to in function "memset(void *, int, size_t)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2687:2: var_assign: Assigning: "p" = "da".
freeradius-server-3.0.4rc2/src/lib/dict.c:2689:2: noescape: Resource "p" is not freed or pointed-to in function "snprintf(char * restrict, size_t, char const * restrict, ...)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2712:3: noescape: Resource "p" is not freed or pointed-to in function "snprintf(char * restrict, size_t, char const * restrict, ...)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2718:2: noescape: Resource "p" is not freed or pointed-to in function "print_attr_oid(char *, size_t, unsigned int, int)".
freeradius-server-3.0.4rc2/src/lib/dict.c:2546:36: noescape: "print_attr_oid(char *, size_t, unsigned int, int)" does not free or save its pointer parameter "buffer".
freeradius-server-3.0.4rc2/src/lib/dict.c:2720:2: return_alloc: Returning allocated memory "da".
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcp.c:956: var_assign: Assigning: "da" = storage returned from "dict_attrunknown(p[0], 54U, 1)".
freeradius-server-3.0.4rc2/src/modules/proto_dhcp/dhcp.c:991: leaked_storage: Variable "da" going out of scope leaks the storage it points to.

radsniff: Fix buffer overruns

Divide by the element size when checking for circular buffer wrap in
rs_response_to_pcap and rs_request_to_pcap.

The following Coverity errors were reported for the defect.

Error: OVERRUN (CWE-119):
freeradius-server-3.0.4rc2/src/main/radsniff.c:934: illegal_address:
"&request->capture[80UL]" evaluates to an address that is at byte offset
1280 of an array of 80 bytes.

Error: SIZEOF_MISMATCH (CWE-398):
freeradius-server-3.0.4rc2/src/main/radsniff.c:934:
suspicious_pointer_arithmetic: Adding "80UL /* sizeof (request->capture)
*/" to pointer "request->capture" of type "rs_capture_t [5]" is
suspicious because adding an integral value to this pointer
automatically scales that value by the size, 16 bytes, of the pointed-to
type, "rs_capture_t".  Most likely, you intended to use the number of
elements in "request->capture" rather than its size in bytes.

Error: OVERRUN (CWE-119):
freeradius-server-3.0.4rc2/src/main/radsniff.c:972: illegal_address:
"&request->capture[80UL]" evaluates to an address that is at byte offset 1280
of an array of 80 bytes.

Error: SIZEOF_MISMATCH (CWE-398):
freeradius-server-3.0.4rc2/src/main/radsniff.c:972:
suspicious_pointer_arithmetic: Adding "80UL /* sizeof (request->capture) */" to
pointer "request->capture" of type "rs_capture_t [5]" is suspicious because
adding an integral value to this pointer automatically scales that value by the
size, 16 bytes, of the pointed-to type, "rs_capture_t".  Most likely, you
intended to use the number of elements in "request->capture" rather than its
size in bytes.

Fix typo.  Closes #784

Fix typo.  Closes #783

TLV memory should be zerod in DHCP suboption encoder

Allow bootstrap from multiple files in sqlite driver

Generate snakeoil certs on package install (debian)

Line endings

Quiet gcc

Not all servers have sections

Find the SUB section, not the NEXT one

remove 'const' so it builds

The various talloc() functions don't take 'const', so we can't,
either

Update comments to be more descriptive

Clarify debug message and raise level

Pull autoconf.h definitions into the Make variable space

Remove old documentation

Final patches to make trust router work

Let's build it, shall we?

Missed in last commit

Module for PSK authorizations from ABFAB trust router

Updates and move some moonshot to Trust-Router

Virtual server for GSS-EAP (RFC 7055)

Include a virtual server for clients that use GSS-EAP (RFC 7055). This
server works both for proxies and for home servers that actually
perform authentication.

Add ABFAB sample policy
* pre-proxy policy to enforce constraints that section 3.5 of RFC 7055
  say should be enforced near NAS

* authorize section to enforce policies enforced near home server according to RFC 7055 3.5
* Channel bindings policy to enforce ABFAB channel bindings

Add Moonshot-COI and Moonshot-APC attributes

Reject on any channel bindings attribute mismatch
ABFAB (RFC 7055) is a new deployment.  In this case, it makes sense to
be very strict about channel bindings checks, because we have high
confidence that anyone supplying ABFAb channel bindings will supply
accurate info.

Other uses of channel bindings may require more liberal policies.

Fix typo

Added configure checks for trust router code

Delete detaching message.  It's annoying

Can't build without regexes on Travis because it causes the tests to fail

Fix building without regex support

Don't leak expanded lhs/rhs in do_regex

Fix PCRE checks on FreeBSD

Use FR_SMART_CHECK_LIB so we pick up the PCRE libraries on FreeBSD (they're in /usr/local/lib)

Pass pcre_lib_dir to FR_SMART_CHECK_LIB, so the user defined libpcre ./configure argument isn't ignored

Correct use of macros in the code, so we actually *use* the result of the -lpcre check

Remove unused variables and substitutions

Add output for extended regular expressions check

Add dependency on version of openssl with heartbleed fix based on distribution (debian or Ubuntu) and remove vulnerable openssl check at startup.

Handle replies from virtual servers, too

Don't walk over VPs in normal mode.

Debug code should only run when debugging is enabled

map->dst->tmpl_da can be NULL if it's not TMPL_TYPE_ATTR

Asserts to quiet scan

Fix scan for SRC_INCDIRS, too

Signed / unsigned changes for printing

Merge pull request #777 from matsimon/f5-dictionary

F5 dictionary

Move addprefix for SRC_INCDIRS.

It was adding -I 3 time ???

Add rules for cppcheck

$ CPPCHECK=yes make

will produce more warnings.  For now, we suppress variable scope
complaints.

Use "handshake_finished" instead of "finished"

To avoid polluting the global namespace with an enum

Don't conflict with enum

Check limit on 'i' before dereferencing it

Zero is false.  found by cppcheck

remove space after -I

Remove spaces after -D

Add realm_pool_free() which garbage collects the pools.

So that the server doesn't crash

Preliminary support for trust router code

Expose tls_init_ctx()

Build without getgrnam_r()

This branch is now 3.0.5

Update specs for v3.0.4

Auto-discover current branch

Free output bio, too

Print debug messages only in debug mode.  Closes #779

Fixed quoting for mac-addr-regexp

Otherwise, a "Parse error: Unterminated string" is thrown

Update mac canonicalization policy

Added checks for libpcre

Allow SQL to add clients to virtual servers

Fix use of talloc buffers

Use ralloc'd memory for getgrnam_r().  Closes #776

Use new fr_getgid() function.  Addresses #776

Add and expose fr_getgid().  Addresses #776

The current users of getgwnam() don't need the entire group
structure.  They just need the gid.  So we create a function
which returns that.

Use getpwnam_r() and getgrnam_r() if available.  Closes #775.

If the user is building threaded on a system without those functions,
too bad.  It's 2014, and every sane system has those functions

Add autoconf checks for getpwnam_r and getgrnam_r.

Right now, only the checks are included.  The functions aren't
used at all.

Make sqlippool handle IPv6 prefixes

Free the correct variable.  Closes CID #1233596

Use fr_rand() instead of random().  It's stronger.

Use memmove instead of memcpy.  Fixes coverity complaint.

But doesn't change anything, because "hdr_len" is always a small
value.  It's just not checked as such, so coverity doesn't pick up
on it

Remove old portability cruft

Don't confuse the scanner

vpt may be NULL

Use correct name for struct entries

Return correct code for error

Formatting helps

Added dictionary for RFC 7268