debian: removed old mysql-6 build dep, as -10 is in sid.

Add text on getting Ascend NAS to work properly, by using VSA's.

As posted to the list by cparker@starnetusa.net

Updated README

There appear to be problems with conflicting authentication
packets when proxying synchronously.  For now, the work-around
is to make proxying non-synchronous by default.

based on input from VISP Systems Administration <support@visp.net>

Change the order of statement execution when instantiating modules.

The advantages of this change are:

1 - It allows modules to load the dictionary, especially in cases
where the basic dictionary is present in the *database*, and
not in *files*.

2 - It also ensures consistency in the statement execution *order*.

Patch from Raghu <raghud@hereuare.com>

debian: bah! dpkg-deb doesn't forgive spaces at end of conffile list lines.

debian: list some post-build conffiles.

debian: changes for upload to archive.  (I wish this were 0.3!)

It's unfortunate that IBM's and Berkeley's DB2 have the same name.  Ah, the
Bad Old Days of Unix.

Autoconfized the sql db2 module, and cleaned up the source code's indentions.

Style changes, not code changes.

No longer pretend that we print out autoconf info at runtime.  This would
be nice, but writing an automatic way is Hard and manually doing it would be
abandoned.

If we're NOT in debug mode, then do NOT write debugging messages
to the log file!

Based on input from Nick Davis <ndavis@iexposure.com>

Declare a function before it's used.

Patch from Raghu <raghud@hereuare.com>

Updated PGROOT tests, to hopefully work on Solaris.  Based on
comments from "John Padula" <john_padula@aviancommunications.com>

Patch from Raghu <raghud@hereuare.com>

Allow Message-Authenticator and EAP-Message attributes to be
passed in Access-Reject packets.

Corrected the text for ':=' and '+=', as noted by
Andrei Koulik <agk@sci-nnov.ru>

For non-threaded code, set 'req->finished = TRUE' when the
child process exits.

Modified patch from "Ivan F. Martinez" <ml@ivanfm.com>

When you try to use {request:Attribute} or {reply:attribute}
the routine enters an infinite loop.  This patch fixes the problem.

Make the spec files agree with the standard installation.

Patch from "Ivan F. Martinez" <ml@ivanfm.com>

Included ifdef'd out code for testing

removed WITH_DBM from the code, as if it's ever done again, it
will be done with a module.

Use correct enum values for returned token types, not hard-coded
numbers

bug noted by Spike Ilacqua <spike@indra.com>

changed uses of malloc() to rad_malloc(), which never fails.
This removes a lot of error checking code.

Re-formatted the code, to get rid of excessive indentation

Additional defines for OSFC2 / OSFSIA authentication

Fix bug number 104 (hopefully).  I don't have access to a machine
with OSFC2, or OSFSIA, so I can't test the patches.

Changed confusing wording in 'proxy' comment.

Enable Access-Challenge to work, and pass through the server when
proxying.

Patch from Raghu <raghud@hereuare.com>

Message-Autheticator is calculated  and inserted in the packet
before the Response Authenticator is *calculated*.

Message-Authenticator is reinitialized after verification,
for proper *Request/Response Authenticator* verification.

Reinitialize Authenticator, for consistency in resending.

Patch from Raghu <raghud@hereuare.com>

Added drivers for IBM DB2, which has been tested against
DB2 UDB V7.1

The driver uses DB2's CLI interface so the DB2 client libraries
have to be installed to compile and use the driver.

Code from Joerg Wendland <wendland@scan-plus.de>

Removed silly reference to init.d for Debian.  It's part of the package.

Added 'original' packet to rad_send(), so that it can calculate
the Message-Authenticator properly for Access-Accept packets,
which depend on the Access-Request authentication vector.

Updated the rest of the code to call rad_send() with the original
packet, where possible.

When sending a packet, ensure that the authentication vector
from the packet sent on the wire is copied to the vector entry
in the RADIUS_PACKET data structure.  This allows us to later use
that vector for verification.

Re-arranged the verification code, so that the Message-Authenticator
(if present) is verified prior to the authentication vector.  This
allows the Message-Authenticator verification code to set the
contents of the attribute to zeros, which is what their contents
are when the authentication vector is calculated.

Calculate the Accounting-Response authentication vector, in
exactly the same was for the Authentication-Accept and
Authentication-Reject vectors

Removed the Add-Port-To-IP-Address attribute.  It's handled
another way now.

Correct bug which prevented it from adding the port.
Bug found by "John Padula" <john_padula@aviancommunications.com>

Don't smash the contents of ascend binary strings.

Patch from Michael Chernyakhovsky <magmike@mail.ru>

Changed the tokens from being define's to enums.  This allows
us to more easily check for all tokens in a 'switch' statement,
and results in stronger typing of variables.

Update the length of the password, when sending multiple packets

Added EAP auth-type, and cleaned up some stuff

When validating the packet, look for EAP-Message.  If we see it
and we do NOT see a Message-Authenticator, then it's a malformed
packet, and we discard it.

RFC 2869, section 5.13

Renamed string type nas port id

Added definitions for attributes from RFC 2869

When sending a packet, calculate the Message-Authenticator.

When receiving a packet, verify the Message-Authenticator.

Corrected typo: use memcpy, not memset

Added 'const' to more parameters.

Final patches to get Exec-Program to work, too.

Based on input from Michael Chernyakhovsky <magmike@mail.ru>

Updated for latest set of patches

Initialize variables properly.

Patch from Andriy I Pilipenko <bamby@marka.net.ua>, to close
bug #143

Rename the 'init' script to 'radiusd', instead of 'radiusd.init'

Patch from Christian Vogel <chris@amor.iksys.de>

Added GNU license and copyright.

Corrected typo

Added GNU license, copyright, and pointer to web page

Do more sanity checks on incoming attributes in rad_recv()

updated module type to be 'RLM_TYPE_THREAD_USAFE' due to the use of
getusershell(), which is not thread safe

Use the 'test' program properly, with command-line arguments.

Bug found by Robert Haskins <rhaskins@ziplink.net>

when updating the ut_name utmp entry, do NOT always smash a trailing
zero on the name.  The field is fixed width, so it's OK to have
an 8-character username, without a trailing 0.

Bug found by Michael Chernyakhovsky <magmike@mail.ru>

corrected 'u_int8_t' to be 'uint8_t'  -cparker

If there was an error forking the program, free the strdup'd
exec_program string.

Hmm.. let's create logdir && radacctdir on installation, too.
That avoids problems where the default config doesn't work.

cleaned up the code, and added more log / debug messages to
rad_check_password.

Change instances of 'assert' to 'rad_assert', so that it can
log the error to the standard radius log files.

Patch from Vesselin Atanasov <vesselin@bgnet.bg>

Patch to fix segv from Tomas Heredia <tomas@intermediasp.com>

sql_num_fields may return -1 in case of error, so the freeing
loop could cause a seg fault.

When sending multiple packets with the same attributes, ensure
that the CHAP-Password attribute is encoded properly, too.

Bug noted by Peter Shin <Peter.Shin@team.ozemail.com.au>

We're radiusd, not httpd

Corrected speling mistake. :)

Added 0.3 pre-release changes

Run Exec-Program, or Exec-Program-Wait when we first receive
an accounting packet.

Note that the executed script can add items like Proxy-To-Realm!

Bug found by Michael Chernyakhovsky <magmike@mail.ru>

When processing the acct_users file, actually *keep* the reply
pairs, instead of throwing them away.

Give functions a return code, even if the last thing they do is call
exit()

Updated to NOT leak small amount of memory when the server
first initializes.

Small optimization: we don't need get ldap_errno via ldap_get_option() call unless ldap_result() failed.

When doing proxying synchronously, we still need to update
the proxy_next_try time, so that we know not to wake up too
early.

Patch from Raghu <raghud@hereuare.com>

As posted to the list by Chris Boyd <CBoyd@apogeetelecom.com>

Log invalid user for proxy authentication rejects, too.

Bug found by VISP Systems Administration <help@visp.net>

If we're logging a message before the logger has been initialized,
dump them to the console, too.

Patch from Vesselin Atanasov <vesselin@bgnet.bg>

Minor re-arrangements to Expiration.  Attribute 21 is deprecated,
and no longer used, so Expiration is now an internal server attribute.

Registered the handler for expiration at init time, so that we
can check for it when a packet comes in.

Bug noted by Leon Dorfman <leon_dorfman@yahoo.com>.  This should
fix bug #141.

Checks for ut_xtime.  If it doesn't exist, try to define it as
something which may exist.

This change (hopefully) fixes bug #125

Use THEMAX instead of MAX, as THEMAX is defined locally, and
MAX may not be.

Bug found by Gerard.Gobillard@alcatel.fr

Corrected tpye, and SNMP configuration bug, first noticed by
"Norman Brandinger" <norm@goes.com> on Jun 6.

Removed ifdef's around ascend secret stuff.  It works.

This closes bug #132

Decode the ascend send/receive secrets in rad_decode(), too.

Preliminary hack for sending Ascend-Send-Secret attribute.
It really needs work to be robust, and is currently ifdef'd out.

Allow reading the shared secret from a file, to make it more secret.

Based on a patch from eravin@panix.com

deleted references to HAVE_THREAD_POOL.  We now assume that ANY
thread capability means that we're using thread pools.

Deleted old non-pooled thread code, as it was really problematic.

Made 'WITH_THREAD_POOL=yes' the default, and removed the configure
optiont to disable thread pools.

Now, if you have threads, you have thread pools.  This gets rid of
lots of yucky problems.

On accounting, if NO proxy packet, do preacct, acct, and then
if configured to proxy the packet, stop.  Otherwise, reply.

On proxy reply packet, don't do any of preacct or acct.  Simply
reply to the NAS

Hmm... let's bump up the version number (sigh)

Patch from  rob <rob@work.gb.com> to avoid freeing memory too early

Patch for Cisco L2TP tunnels, from Paul Khavkine <paul@colba.net>

Deleted references to Cistron, updated in preparation for the 0.2.0
release.

debian: use debhelper compat 3
debian: remove freerad from shadow group properly, when purging

configure with-rlm-krb5-lib/include-dir

Corrected typo

Added configure options 'with-rlm-FOO-include/lib-dir', so that
lower-level rlm_FOO modules can be configured via the top-level
configuration file.  Note that actually configuring rlm-FOO doesn't
do anything.  The options are here just to serve as place holders
and documentation for how to configure the lower-level modules.

Note also that few of the lower-level modules look for those
configure options.  Adding them is the next step.

make thread pools the default, and other minor changes to
support this.

Added options 'with-rlm-ldap-lib-dir' and 'with-rlm-ldap-include-dir'
configure directives

Added 'reconfig' target so that the configure scripts can be
regenerated via make

Added ability to specify addition directories to look via
'smart_try_dir'.  It's a bit of a hack...

Updated to use rad_check_return to correctly return RLM_MODULE_REJECT when
Auth-Type = Reject is set in 'authorize' section.

Updated to include prototype for new function in auth.c:rad_check_return

Added new function to 'auth.c' called 'rad_check_return'.  This is for use
by modules to check the 'config/check items' for Auth-Type = Reject and
return RLM_MODULE_REJECT instead of RLM_MODULE_UPDATED

Preliminary EAP patch from Raghu <raghud@hereuare.com>, step 1

Patch based on one from Matthew Sayler <sayler@speedsite.com.

If we're using syslog, it would help to include <syslog.h>