If the tag is invalid,  rad_send() should ignore it, and set tag
to 0x00.

rad_decode(), if the type of attribute is string and has an invalid
tag, it should recognize the first octet as being part of the string.

If the attribute is "Tunnel-Password", and has invalid tag, then
the tag should be ignored.

Patch from Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

Added URL's for tips on configuring MySQL.

This doesn't really belong here, but there isn't a better place for
it right now.

use dir name macros in all configure options
libtool is required only when building the package
misc clean ups (reorder "header" to follow general RPM style)
make sure /var/log/radius and /var/log/radius/radacct are owned by
root and only readable by root.

Patch from Marko Myllynen

use condrestart instead of reload, so radiusd is not started by
logrotate if it was not already running

Added keyword "missingok" so logrotate execution won't stop if
some FreeRADIUS files are not found (e.g., FreeRADIUS hasn't
started after install and thus some files are not yet created).

Added rotating of radutmp

rotate detail files using "radacct/*/detail" so all detail files
are automatically rotated, no need to add NAS names to the path.
missingok parameter ensures that this works whether * matches
to anything or not.

Patch from Marko Myllynen

do not use radwatch (it's deprecated)
test that config file exists
return proper return value, not 0 always
added condrestart support, used by logrotate (see next patch)
misc clean ups

Patch from Marko Myllynen

In proxy_send(), if there is no realm to proxy the request to,
then return an error.

In rad_respond(), check if proxy_send() returns an error, and
reject the request if so.

Also, fix up a possible race condition in refresh_request(), where
we were marking the request finished, and THEN still accessing it.

Don't call fopen on syslog, if the logging destination is syslog

Corrected logic in delay request code.

Bug noted by Eddie Stassen <eddie@saix.net>

Added define for librad_max_attributes

There are cases where IF all of the matching realms are marked
dead, that we do NOT want to fall through to the default realm.

Based on a patch from bj@zuto.de (Rainer Clasen)

Added note that the pid file is written only in daemon mode.

Added log message when marking a realm dead.

Sanity checks and more cleanups for new "reject_delay"

Added configuration section "security", with "max_attributes" and
"reject_delay"

New security configuration items: max_attributes && reject_delay.

roland.haenel@qsc.de says that a delaying the reject helps slow
down a DoS attack.  This probably only helps for well-behaved NAS
boxes, but slowing down authentication rejects is probably a good
idea in any case.

Avoid compiler warning

TLS-Length contains Total Length as expected by MS

TLS-Length contains total length as expected by MS

Minor cleanups.

Patch from Marko Myllynen

A *much* better method for finding Python.

Patch from Gordon Messmer <yinyang@eburg.com>

Don't clobber the password if we're using SNMP

Patch from "scott.list" <scott.list@mlec.net>

Added a note on building statically, for people who don't have
some shared libraries.

Added comments on how to use && set 'libdir'

Added sample python module config, from migs paraz <mparaz@yahoo.com>

Whoops... corrected a typo

Preliminary Python module from migs paraz <mparaz@yahoo.com>

To get it to build, go to the rlm_python directory, and do:

LIBS="-lpthread -ldl -lutil" ./configure --with-rlm-python-lib-dir=/usr/lib/python2.0/config/  --with-rlm-python-include-dir=/usr/include/python2.0/ --with-rlm-python-version=2.0

... at least on my system, with python 2.0.  The 'configure' scripts
should be fixed in the future to do this automagically, but that's
for the future.

Use sed on input library names, to make them safe for the shell,
to create variable names.

Whoops... this should have been committed with the other code.

From Dmitri Ageev <d_ageev@ortcc.ru>

* Fix a small bug in log_badlogins. The nas domain should be a variable not hard coded.

Updated with summaries of changes since 0.4

Added note about unixODBC

add unixODBC support

Patch from Dmitri Ageev <d_ageev@ortcc.ru>

Added 'reconfig' target, to re-build the SQL driver configure scripts

Re-set result on failed match.

Patch from Thomas Jalsovsky <admin@postel.sk>

* Add support for the rest of the operators. Created the lib/operators.php3 file containing helper functions

EAPTLS ACK packet length is 6 and not 5

* Added operator support in sql. The eq(=),set(:=) and add(+=) operators are supported. Added an
  sql_use_operators configuration directive. Hope everything works.
* Fixed a bug in sql/change_attrs which did not allow multi valued attributes in sql.
* unset item_vals before adding info in ldap and sql user_info files.

Add ordering in user_accounting.php3. The results can be either ordered ascending (older first)
or descending (recent first). Added a corresponding configuration directive.

Usage() function, for help.

Added '-r server_ip' option, to allow sending packets to different
servers.

Patch from Randy Moore <ramoore@axion-it.net>

Removed dependency on hard-code size of the session ID.

Based on a patch from Randy Moore <ramoore@axion-it.net>

While doing paircmp(), if one attribute doesn't match, then go
look for another instance of the same attribute, which may result
in a match.

Since most attributes only show up once, this won't significantly
affect the behaviour of the server.

EAP-TLS, Added new variable to avoid confusion with certificate file names

Name changes to reflect proper names & elegant fragmentation handling

Only double-check the counter value against the reset date, IF
the count attribute is of type DATE.

Integers get counted as-is.

All other attributes get counted not by their value, but by
how many times they've been seen.

Fix for adding ascend binary filters, using +=

Added -D_POSIX_PTHREAD_SEMANTICS to use the two argument version
of ctime_r on Solaris, as that OS is too stupid to do anything
useful or intelligent on it's own.

Bug noted by Eddie Stassen <eddie@saix.net>

Moved the server to using ctime_r, instead of ctime, to help
with threading issues.

Bug noted by Eddie Stassen <eddie@saix.net>

Replaced calls to localtime() with calls to localtime_r(), which
is thread safe.

Bug noted by Eddie Stassen <eddie@saix.net>

Include header file for time.

renamed 'clock' variable to quiet compiler warnings.

Look for, and define localtime_r.

For systems NOT having it, the "implementation" just calls localtime,
and copies the data to the user-supplied buffer.

On systems with per-thread buffers for localtime() (like glibc),
this doesn't make any difference.

On systems without per-thread buffers, it will at least lower the
possibility of race conditions.

This hack is just a temporary one, until we need a *real* thread-safe
version of localtime_r.

Changed Simultaneous-Use check behavior to trust content of
radutmp file if NAS is not in 'naslist'. Also prevents unnecessary
'fork'ing if NAS is listed as type 'other' in 'naslist'.

Patch from Randy Moore <ramoore@axion-it.net>

Remvoed references to bugs.freeradius.org, as it doesn't exist
any more.

Try s slightly different way of closing stdin, stdout, and stderr
when running in daemon mode.

The previous code had 2-3 sections which looked like they tried
to do the same thing...

Increased the size of the attribute Value fields in the MySQL db
schema file to allow strings up to 253 characters long.

Patch from Randy Moore <ramoore@axion-it.net>

In the 'rlm_sql_accounting' subroutine, fixes two cases where
sql_finish was called before we were done processing the results
of an sql query, fixes a few incorrect error log messages, and
fixes the logic for processing STOP packets so that if the query
did not run, we don't try to process the results of the query.

Patch from Randy Moore <ramoore@axion-it.net

The patch below fixes a problem that Simultaneous_Use from limiting
duplicate logins.  This was happening because the radutmp_checksimul
subroutine was looking for the stripped UserName in the 'radutmp' file, but the radutmp_accounting subroutine was storing the
unstripped UserName.  So the simultaneous use check never found
the previous logins.

Patch from Randy Moore <ramoore@axion-it.net>

Moved cisco accounting hack code.

Patch from "Kevin C. Miller" <kevinm@andrew.cmu.edu>

Free the SQL data *after* using it, not before.

Patch from Randy Moore <ramoore@axion-it.net>

Add a few names in the AUTHORS file.
Add the User-Profile attribute. This is used by the rlm_ldap module and contains
the DN for an entry containing check and reply radius attributes. If it is set
it will be used instead of the default_profile directive. The idea is to use different
user profiles based on checks done in the users file. That way we can do something like
this:

DEFAULT Service-Type == Outbound-User, User-Profile := "uid=outound-dialup,dc=company,dc=com"

The same idea could also work for the sql module, to select groups containing radius attributes
without having the user belong to them based only on checks on the incoming Access-Request

Add a password generator for new/edit user. Based on a patch from Alex Savguira <alexs@ravdata.com>

removed misleading (and unimplemented) wtmpfile, utmpfile, and
detailfile.

rlm_passwd allows to authorize user via any pwd-like file. Format of
pwd file is configurable via "format" option in module configuration.
Examples:

passwd smbpasswd {
 filename = /etc/smbpasswd
 format = "*User-Name::LM-Password:NT-Password:::"
 authtype = MS-CHAP
 hashsize = 100
 ignorenislike = no
 allowmultiplekeys = no
}

passwd group {
 filename = /etc/group
 format = "Group-Name:::*,User-Name"
 hashsize = 50
 ignorenislike = yes
 allowmultiplekeys = no
}

format:
* - key field, there should be exactly one key field
    *Attribute means that
, - field is listable, may contains few keys

authorize {
 ...
 smbpasswd
 group
}

authenticate {
 ...
 mschap
 ...
}

EAP-TLS configuration parameters included.

Added  RLM_LDFlags to support -L/path option from modules.

EAP-TLS support in RADIUS.

Fix a small typo

allow_async is boolean, not int.

Prototype & Signature corrections

Fixed some typos in LDAPv3 schema. Thanks to Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>.

If we have an error when reading the data, the IP address &&
other returned information MAY be incorrect or non-existent.

So we move the check for errors to BEFORE the code which grabs
the IP address.

Bug noted by Oleg Gritsinevich <olegg@ukrpack.net>

Corrected buffer over-write, which would allocate room for a 'char'
instead of a 'char *' in an array used for the returned rows.

Patch from "Alex L. Demidov" <alexd@tahiti.vinf.ru>

- LM-Password-TEXT/NT-Password-TEXT removed

- NT-Password-TEXT/LM-Password-TEXT attributes removed, authenticate() checks
  the length instead

Updated LDAPv3 schema to contain FreeRadius-specific configuration attributes.

A new file for State Attribute Generattion & verification
This file should be in src/lib for all modules to utilize

This file should be moved to src/lib.
A new file to generate & verify state attribute.

EAP module is generalised to handle any EAP-Type.
Following are the changes
1. A new Data structure EAP_HANDLER for consistent interface
with all EAP-Types
2. An opaque container to hold Request-Response data for any EAP-Type
3. Password is no more checked in the EAP-Module, but will
checked in specific EAP-Type that requires it.
4. A new Data structure eaptype_t for EAP-Type specific data passing
between EAP module & EAP-Types
5. Some minor code enhancements & beautifications.

+ Items for ms-chap support in ldap module added

+ support for "authtype" configuration parameter added. Patch by
  Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

+ LM-Password-TEXT/NT-Password-TEXT/SMB-Account-CTRL-TEXT attributes
  handling added. Patch by Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

+ defines for PW_LM_PASSWORD_TEXT/PW_NT_PASSWORD_TEXT/PW_SMB_ACCOUNT_CTRL_TEXT added

+ LM-Password-TEXT/NT-Password-TEXT/SMB-Account-CTRL-TEXT attributes added

include rad_assert.h before using it

fix softfail bug (update last_auth on failed auth)

use rad_assert() to guarantee creation of mppe attributes.

remove (noreplace)

! Check for ACB_DISABLED flag moved to authorization

Use the module's second name (i.e. "ldap ldap1") to register the
xlat function.  If there is no second name, use the first name.

And when done, unregister the given name.

Based on a patch by Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

* Add general_ld_library_path directive and set LD_LIBRARY_PATH accordingly (used in snmpfinger and
  radaclient).
* Add general_finger_type directive to determine if we will use snmpfinger in user_finger.php3
* Fix a bug in config.php3 when we have a directive containing ':'
* Fix a bug in lib/ldap/change_attrs.php3 that did not allow changing more than one value of a
  multivalued attribute simultaneously.

* todo/serverside-ip-pools: new file describing how to implemented
  server-side IP pools
* todo/radius.conf.sample2: removed, we have a radius.conf don't we

! createsmbpw bug patched Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

Use rad_malloc() instead of malloc() + NULL test.
Fix prototype/function call mismatches.
Bug noted by Lance Uyehara <lance@verniernetworks.com>.

add missing '{' in rad_check_password().
Patch from Lance Uyehara <lance@verniernetworks.com>.

Update Copyright date.

Remove 2 TODOs that aren't needed.  Update Copyright dates.

* wrap rlm_sql.h into #ifdef _RLM_SQL_H
* sql_iodbc.h - dumped typedef SQL_ROW (already defined in rlm_sql.h)
              - typo fix
              - function declaration fixes
* sql_iodbc.c - fixed row allocation in sql_select_query() (off by 1)
              - moved SQLAllocStmt() from sql_init_socket() into sql_query()
                (and inserted SQLFreeStmt() into sql_free_result()
              - typo fix

Patch from Andreas Kainz <aka@maxxio.at>

Correctly check for the odbc lib.
(checks for SQLConnect() in libodbc.*)

Patch from Andreas Kainz <aka@maxxio.at>

Prefix attribute names with Quintum, to ensure they're unique,
and not the same as the Cisco attributes.

Made CHAP-Password 'octets', as it's normally a binary string.

Updated the 'octets' parser in parimake(), to allow for "string"
style data to be used, too.

Include the quintum dictionary in the default list.