use correct packet for channel binding.  Closes #1990

create string only if it's needed

use RDEBUG

remove always-false condition

Fix build with LibreSSL

LibreSSL does not have X509_get0_extensions and was forked from 0x1000200fL

See also: https://bugs.freebsd.org/218225

Merge pull request #1988 from alejandro-perez/v3.0.x

Fix typo in previous commit

Fix typo in previous commit.

re-order old names.  New names come second...

convert assertion to run-time check.

convert assert to run-time check.

revert debian packages to 3.0.12 versions

Added missing Patton Vendor Attributes

Added some new Patton Vendor Attributes to the list.
These attributes are now supported on the newest Patton device running on Trinity software version 3.11.2.

Merge pull request #1974 from alanbuxey/patch-3

fixed variable to use the "&" prefix

Merge branch 'v3.0.x' into patch-3

Updated debian/changelog

Merged the custom logging that I'd added on the now-defunct debian branch post 3.0.12. (This logging is disabled by default.)

Upgrades from 3.0.12 to 3.0.13 resulted in most links being deleted from mods-enabled and sites-enabled. This was caused by an upstream change to the debian package scripts in 3.0.13. (See freeradius.1045715.n5.nabble.com/Issue-with-3-0-13-upgrade-td5744815.html ). I manually rolled back the affected scripts to restore them to the 3.0.12 versions, and tested to ensure that the links are preserved on upgrade.

To update to upstream releases later than 3.0.13, it may be necessary to undo these rollbacks or manually merge around them.

add aliases for well-known names

set statment to NULL.  Fixes #1983

Merge pull request #1985 from alejandro-perez/v3.0.x

Fix memory leak in trustrouter.c

Fix memory leak in trustrouter.c

In the trustrouter.c file, servers were being created using
talloc_zero() instead of tls_server_conf_alloc(). Thus, the
destructor _tls_server_conf_free() which frees the SSL_CTX
object was not being called.

Merging the 3.0.13 upgrade into the tr-integ branch

Bumped version number in changelog

Merge pull request #1982 from alejandro-perez/v3.0.x

Some fixes to the trustrouter related code

Set idle_timeout to 5s to all the dynamic home servers

Dynamically generated home servers get eventually replaced.
We want sockets using these servers to close as soon as possible, to make sure that whenever a pool is replaced, sockets using old ones will not last long (hopefully less than 300s).

Increase the amount of time a pool spends in the garbage list

Under specific circumstances (e.g high authentication load) a client might keep using an old pool since the socket did not expire. 60 seconds seems too low.
Increased to make sure we do not delete it while it is still being used.

Remove unnecessary check to update REALM

Existing code precluded a REALM from being updated if there were traffic within the last 5 minutes.
This is an error since when the TLS keys expire, the home server will reject client’s attempts to establish a connection, leading to up to 5 minutes of denied user authentications.

Merge branch 'v3.0.x' into patch-3

Removed some leftover cruft from debian/freeradius-postgresql.postinst

note recent changes

disable internal OpenSSL cache

8 and 9 have tags, too

set S_IWUSER when creating the file, not later

Restored the moonshot VM configuration, retaining the upstream version in comments

added one more attribute

Manually merged updates from the old debian branch

Update changelog for 3.0.13 merge

Removed a call to sqlite3_busy_timeout that is not present in upstream freeradius

Removed a call to talloc_steal that is not present in upstream freeradius

Merge remote-tracking branch 'origin/upstream_release_3_0_13' into tr-integ-fr-3.0.13-upgrade

Merges the release_3_0_13 tag from upstream freeradius into a copy of the tr-integ branch.

Use Painless Security signing key

update detail reader documentation

Closes #1973

fixed variable to use the "&" prefix

removal of yellow warning when running with this enabled

Patch from Jeff Gehlbach

The problem is that "radiusObject" is defined with an OBJECT-IDENTITY
macro, but it needs to be done with OBJECT-TYPE (i.e. a leaf node) to be
eligible for use in the OBJECTS clause of a NOTIFICATION-TYPE macro.
I've gotten jsmiparser happy by making that change, declaring the
object's syntax to be SNMP-FRAMEWORK-MIB::SnmpAdminString and setting
its max-access to "accessible-for-notify". These changes are reflected
in the attached version of the MIB definition.

Merge pull request #1964 from alanbuxey/v3.0.x

stop rotation of the session database files

stop rotation of the session database files

you really don't want to be rotating these under the server - they are
not normal log files but are stateful session files (used by various
utilities). these were removed from the logrotate some time ago but
appear to have crept back in.

terminate && check VP

account for trailing zero.  Closes #1960

Revert "these messages don't need to go to the main radiusd.log"

This reverts commit 1f1a02baae35080b4037af88c709ef6c0ccdd2d7.

note recent changes

these messages don't need to go to the main radiusd.log

Merge pull request #1961 from alanbuxey/patch-8

corrected some types and grammar in comments

corrected some types and grammar in comments

Don't crash on unexpected regex.  Closes #1959

check for request->packet.  Closes #1935

Fix typo.  Closes #1955

note recent changes

these attributes are byte, not integer.  Closes #1954

start of peapv1

Merge pull request #1952 from spbnick/rlm_ldap_segfault_fix

Handle connection error in rlm_ldap_cacheable_groupobj

Allow utc.  Patch from Peter Lambrechtsen

Handle connection error in rlm_ldap_cacheable_groupobj

Closes #1951

cf_log_err(), not fr_strerror_printf()

map_cast_from_hex() does not produce error messages

note recent changes

re-add SSL wrappers for freeing VPs and Certs.

because OpenSSL caches things at it's own pleasure...

more cisco VPN attributes

Add Attribute 3076/85 (CVPN3000-Tunnel-Group-Lock)

http://www.cisco.com/c/en/us/support/docs/security/ios-easy-vpn/117634-configure-asa-00.html

note recent changes

Search from the beginning for altname.  Closes #1946

Allow no cert when psk is configured

remove outdated link

Ensure that error is always initialized

Remove always-false condition from cf_item_parse

Remove always-false condition in rlm_eap_fast

return RLM_MODULE_FAIL for default switch statement

close open FDs on error, and use error path in more situations

remove unused variable

Merge pull request #1941 from spbnick/openssl_1_1_cert_perms_fix

Relax OpenSSL permissions for default key files

Relax OpenSSL permissions for default key files

Recent versions of OpenSSL appear to create keys with owner-only
permissions. Allow owning group to read the created default key files
in raddb/certs, so that they stay the same as with older OpenSSL, and
that the server can read its key.

port ranges haven't been supported for years

request->packet cannot be NULL. Helps with #1935

Allo session resumption for RadSec connectins.  Closes #1936

Coverity.  Closes #1937

more checks for client certificate expiration

Remove microseconds from %S.  Closes #1934

note recent changes

enforce TLS client certificate expiration on session resumption.

Merge pull request #1933 from spaetow/patch-1

Add enhanced checks to avoid targeted_id_salt leakage over %, {, and } in the salt

Update moonshot-targeted-ids

Merge pull request #1931 from sjbronner/patch-1

Fix command for linking modules in mods-enabled.

bump for 3.0.14

radtest should use Cleartext-Password for EAP

Fix command for linking modules in mods-enabled.

Running `ln -s mods-available/foo mods-enabled/foo` will result in a dead link: `mods-enabled/foo` will point to `mods-enabled/mods-available/foo`, which doesn't exist. The link is relative from its location, not from the current directory from which it was created.

The easiest method that allows using tab completion is to link from within `mods-enabled`. The second parameter to `ln` can be left off in that case, as well. This is the change I have proposed. Another alternative would be to run `ln -s ../mods-available/foo mods-enabled/foo` from the `raddb` directory.

note recent changes

add missing \n

note recent changes

print summary if asked to do summary.  Even without -x

fr_log_fp ,ay be NULL.  Closes #1926

rely on talloc for certs, too