debian: incremented changelog version number.  ready for release.

Added note about which RFC it implements, and where that RFC
may be found.

* Remove some test code that was causing log files to grow large

Set the log directory to NULL initially, so we don't attempt to
free() it later.

Patch from Eddie Stassen <eddies@saix.net>

Fixed leak / core dump.

Bug found by "victor" <victor@fadata.bg>

Patch from Kostas Kalevras <kkalev@noc.ntua.gr> to free memory,
instead of leaking it.

A "LOCAL" realm means that it doesn't have to appear in the 'clients'
file, it doesn't have an IP address, or shared secret, or auth/acct
ports.

Functionality change requested by Philippe Levan <levan@epix.net>

Added more text on using 'gdb' to track down core dumps.

Updated examples to follow correct syntax for 'users' file check-items.

Allow for specifying the path to the group file.  Make use of
fgetpwnam() and fgetgrnam() which is suboptimal, but is only used
when not running with the cache enabled.

Update the unix_buildpwcache() function to take the group_file as
an argument and cache based on that.

look for ldap_init(), not ldap_initialize() in the configure script.

Corrected typo which prevented it from finding the ldap_init...()
function in libldap.  It was checking if it was in libdap_r...

Problem noted by Matthew Schumacher <matt.s@aptalaska.net>

Removed unused, and commented out, references to sql_escape_string.

Added cryptpasswd command, to create/check encrypted passwords.

by miquels@cistron-office.nl (Miquel van Smoorenburg)

LDAP module has internal default value for filter

Latest set of changes

Changed relative $(R) to $(RLM_DIR), to avoid conflicts with
top-level $(R).

Noted by "Atanas Prejdarov" <prejdarov@netel.bg>

Added "secret" top-level configuration item "debug_level".

This is so that you can start the server in daemon mode, with
no debugging flags (as now).  You then add a line 'debug_level = 2',
and send a HUP signal to the server.  The massive amounts of
debugging information are then sent to the log file.

When you want debugging off, you set 'debug_level = 0', and HUP
the server again.

This feature should make it easier to find problems in live
servers, without taking them off line.

Look for radiusd.conf, not clients.

Bug noted by Frank Cusack <fcusack@fcusack.com>

Updated tests for SNMP libraries, to not do too much work.

Make PAM work by checking for dlopen() in libdl, not dl_open(),
which doesn't exist.

When trapping a signal, don't SIGKILL children on a SIGTERM,
SIGTERM them, instead.  This allows Exec-Program scripts to
catch the signal, and finish processing, instead of dying.

Bug noted by Michael Chernyakhovsky <magmike@mail.ru>

Removed limits on length of username.

That is, the limits aren't hard-coded to 20 any more, but are
set to MAX_STRING_LEN, which is the maximum allowed length of the
user name in the RADIUS packet.

Bug noted by "Gonzalez B., Fernando" <fgonzalez@manquehue.cl>

Made the 'Message-Authenticator' attribute be of type 'octets'.

This makes it prettier to look at when reading the debug output.
Nothing else changes.

When finding a realm by IP address, if we find it, then
we mark it as active.

This allows 'dead' realms to be immediately resurrected when
they start sending replies.

updated realm_find to do fail-overs on the DEFAULT realm, too.

Made proxy.conf take priority over the 'realms' file, not the
other way around.

Made the realms take priority in the order listed in the configuration
files, from top to bottom.  This makes fail-over more reasonable.

Added example configuration for 'dead_time', along with text
describing what it is, and how it works.

Added example config for a fail-over proxy realm.

Updated notes on the SQL schema

Added notes on the SQL schema

Added text saying RUN IN DEBUG MODE IF YOU HAVE PROBLEMS.

In an ideal world, this might cut down the number of questions
on the list, which are already answered in debugging error and/or
warning messages.

Updated for latest set of changes

Configurable fail-over on multiple proxy hosts.

Patch from Eddie Stassen <eddies@saix.net>, based on a patch
from spirn@21cn.com.

If the admin doesn't specify how to authenticate the user,
then we log a debugging message saying so, and reject the user.

Made user/group root default, to get around problems with shadow
password files.

Added text suggesting that the server run as nobody, if anyone
cares to read it.

Added more text describing how authentication works, so that
people can read it, and be enlightened.

Added $(R) to the prefix of paths, so that lower-level make files
can set R, and then include this rules.mak, without it complaining.

debian: removed old mysql-6 build dep, as -10 is in sid.

Add text on getting Ascend NAS to work properly, by using VSA's.

As posted to the list by cparker@starnetusa.net

Updated README

There appear to be problems with conflicting authentication
packets when proxying synchronously.  For now, the work-around
is to make proxying non-synchronous by default.

based on input from VISP Systems Administration <support@visp.net>

Change the order of statement execution when instantiating modules.

The advantages of this change are:

1 - It allows modules to load the dictionary, especially in cases
where the basic dictionary is present in the *database*, and
not in *files*.

2 - It also ensures consistency in the statement execution *order*.

Patch from Raghu <raghud@hereuare.com>

debian: bah! dpkg-deb doesn't forgive spaces at end of conffile list lines.

debian: list some post-build conffiles.

debian: changes for upload to archive.  (I wish this were 0.3!)

It's unfortunate that IBM's and Berkeley's DB2 have the same name.  Ah, the
Bad Old Days of Unix.

Autoconfized the sql db2 module, and cleaned up the source code's indentions.

Style changes, not code changes.

No longer pretend that we print out autoconf info at runtime.  This would
be nice, but writing an automatic way is Hard and manually doing it would be
abandoned.

If we're NOT in debug mode, then do NOT write debugging messages
to the log file!

Based on input from Nick Davis <ndavis@iexposure.com>

Declare a function before it's used.

Patch from Raghu <raghud@hereuare.com>

Updated PGROOT tests, to hopefully work on Solaris.  Based on
comments from "John Padula" <john_padula@aviancommunications.com>

Patch from Raghu <raghud@hereuare.com>

Allow Message-Authenticator and EAP-Message attributes to be
passed in Access-Reject packets.

Corrected the text for ':=' and '+=', as noted by
Andrei Koulik <agk@sci-nnov.ru>

For non-threaded code, set 'req->finished = TRUE' when the
child process exits.

Modified patch from "Ivan F. Martinez" <ml@ivanfm.com>

When you try to use {request:Attribute} or {reply:attribute}
the routine enters an infinite loop.  This patch fixes the problem.

Make the spec files agree with the standard installation.

Patch from "Ivan F. Martinez" <ml@ivanfm.com>

Included ifdef'd out code for testing

removed WITH_DBM from the code, as if it's ever done again, it
will be done with a module.

Use correct enum values for returned token types, not hard-coded
numbers

bug noted by Spike Ilacqua <spike@indra.com>

changed uses of malloc() to rad_malloc(), which never fails.
This removes a lot of error checking code.

Re-formatted the code, to get rid of excessive indentation

Additional defines for OSFC2 / OSFSIA authentication

Fix bug number 104 (hopefully).  I don't have access to a machine
with OSFC2, or OSFSIA, so I can't test the patches.

Changed confusing wording in 'proxy' comment.

Enable Access-Challenge to work, and pass through the server when
proxying.

Patch from Raghu <raghud@hereuare.com>

Message-Autheticator is calculated  and inserted in the packet
before the Response Authenticator is *calculated*.

Message-Authenticator is reinitialized after verification,
for proper *Request/Response Authenticator* verification.

Reinitialize Authenticator, for consistency in resending.

Patch from Raghu <raghud@hereuare.com>

Added drivers for IBM DB2, which has been tested against
DB2 UDB V7.1

The driver uses DB2's CLI interface so the DB2 client libraries
have to be installed to compile and use the driver.

Code from Joerg Wendland <wendland@scan-plus.de>

Removed silly reference to init.d for Debian.  It's part of the package.

Added 'original' packet to rad_send(), so that it can calculate
the Message-Authenticator properly for Access-Accept packets,
which depend on the Access-Request authentication vector.

Updated the rest of the code to call rad_send() with the original
packet, where possible.

When sending a packet, ensure that the authentication vector
from the packet sent on the wire is copied to the vector entry
in the RADIUS_PACKET data structure.  This allows us to later use
that vector for verification.

Re-arranged the verification code, so that the Message-Authenticator
(if present) is verified prior to the authentication vector.  This
allows the Message-Authenticator verification code to set the
contents of the attribute to zeros, which is what their contents
are when the authentication vector is calculated.

Calculate the Accounting-Response authentication vector, in
exactly the same was for the Authentication-Accept and
Authentication-Reject vectors

Removed the Add-Port-To-IP-Address attribute.  It's handled
another way now.

Correct bug which prevented it from adding the port.
Bug found by "John Padula" <john_padula@aviancommunications.com>

Don't smash the contents of ascend binary strings.

Patch from Michael Chernyakhovsky <magmike@mail.ru>

Changed the tokens from being define's to enums.  This allows
us to more easily check for all tokens in a 'switch' statement,
and results in stronger typing of variables.

Update the length of the password, when sending multiple packets

Added EAP auth-type, and cleaned up some stuff

When validating the packet, look for EAP-Message.  If we see it
and we do NOT see a Message-Authenticator, then it's a malformed
packet, and we discard it.

RFC 2869, section 5.13

Renamed string type nas port id

Added definitions for attributes from RFC 2869

When sending a packet, calculate the Message-Authenticator.

When receiving a packet, verify the Message-Authenticator.

Corrected typo: use memcpy, not memset

Added 'const' to more parameters.

Final patches to get Exec-Program to work, too.

Based on input from Michael Chernyakhovsky <magmike@mail.ru>

Updated for latest set of patches

Initialize variables properly.

Patch from Andriy I Pilipenko <bamby@marka.net.ua>, to close
bug #143

Rename the 'init' script to 'radiusd', instead of 'radiusd.init'

Patch from Christian Vogel <chris@amor.iksys.de>

Added GNU license and copyright.

Corrected typo

Added GNU license, copyright, and pointer to web page

Do more sanity checks on incoming attributes in rad_recv()

updated module type to be 'RLM_TYPE_THREAD_USAFE' due to the use of
getusershell(), which is not thread safe

Use the 'test' program properly, with command-line arguments.

Bug found by Robert Haskins <rhaskins@ziplink.net>

when updating the ut_name utmp entry, do NOT always smash a trailing
zero on the name.  The field is fixed width, so it's OK to have
an 8-character username, without a trailing 0.

Bug found by Michael Chernyakhovsky <magmike@mail.ru>

corrected 'u_int8_t' to be 'uint8_t'  -cparker

If there was an error forking the program, free the strdup'd
exec_program string.

Hmm.. let's create logdir && radacctdir on installation, too.
That avoids problems where the default config doesn't work.

cleaned up the code, and added more log / debug messages to
rad_check_password.

Change instances of 'assert' to 'rad_assert', so that it can
log the error to the standard radius log files.

Patch from Vesselin Atanasov <vesselin@bgnet.bg>

Patch to fix segv from Tomas Heredia <tomas@intermediasp.com>

sql_num_fields may return -1 in case of error, so the freeing
loop could cause a seg fault.

When sending multiple packets with the same attributes, ensure
that the CHAP-Password attribute is encoded properly, too.

Bug noted by Peter Shin <Peter.Shin@team.ozemail.com.au>

We're radiusd, not httpd

Corrected speling mistake. :)

Added 0.3 pre-release changes

Run Exec-Program, or Exec-Program-Wait when we first receive
an accounting packet.

Note that the executed script can add items like Proxy-To-Realm!

Bug found by Michael Chernyakhovsky <magmike@mail.ru>

When processing the acct_users file, actually *keep* the reply
pairs, instead of throwing them away.

Give functions a return code, even if the last thing they do is call
exit()