reformat for 80 cols

Test for openssl/des.h instead of -lcrypto.  Apparently, some
systems' libcrypto is not openssl's, or they don't install
the headers in the standard location.

Added foundry dictionary, from Thomas Keitel

Added note that accounting packets get processed through 'acct_users'

Updated unix config with notes about FreeBSD.

o Corrected bug in fall-through logic, so that Fall-Throuh = No
is correctly handled.

If GETHOSTBYADDRRSTYLE isn't defined, then don't compare it to
anything.

Added short note on EAP/TLS, from Adam <adam@cfar.umd.edu>

Corrected typo in last commit

Set 'request->child_pid' while processing the request.

Update help messages for 'radclient' to say how to specify a port

Patch from bj@zuto.de (Rainer Clasen)

Updated for latest set of changes.

Updated for latest set of changes.

Added sample PostgreSQL queries, from Igor Chen

Slight change to comments.

Show how to use Stripped-User-Name, if it's there, else User-Name,
else "none"

Updated pointer to documentation

Bump up the number of fd's we close

Update Changelog

fix a bug in da_sql_query.
Bug noted by Peter Santiago <peter.santiago@psinergybbs.com>

Added 'op' field back, and increased 'value' size to 253

Use maxfd+1 for select

Delay sending the proxied packet until after we've done things
to the request data structure.

There may be a race condition, where the reply comes while we're
accessing the structure, and two threads access it at the same time.

This change doesn't *prevent* the problem, it just makes it a lot
less likely to happen.

Fix a logic bug in refresh_request().  If the request hasn't
reached it's "max_request_time", AND there's still a thread
poking at it, THEN don't bother doing ANY kind of refreshing of it,
as that will result in huge confusion, while two threads access
the same data structure!

Added a few more asserts, to catch possible race conditions
as early as possible.  If there's a problem, then the assert
should fire, instead of the code continuing, and killing itself
at some other random location.

Added tuning guide

Changed the default ports to 1812/1813, as most everyone should
be using them now.

Corrected typo, as note by Eduardo Roldan <eroldan@multitel.com.uy>

Added python module as seperate package.

Recompiled configure script.

Tried to get python detection working properly.  It may be close, but the
test for whether libpython${whatever} has Py_Initialize() is UGLY.  I hope
someone cleans that up.

When updating the head of a list, update the *real* head, and
not the local pointer to the head, which is thrown away when
the function returns.

Patch from Lutz Donnerhacke <lutz@iks-jena.de>

Make authentication reject messages more consistent.

Don't return bad IP address if we're doing '1.2.3.4+', and the
request doesn't have a NAS port to add.

Updated schema with more restrictions on field values, from
Thomas Huehn <huehn@eozaen.net>

Don't use a hard-coded '32' for the select over the auth, acct,
and proxy FD's.  The modules are configured *before* these FD's
are opened, so there may be more than 32 FD's in use.

Instead, we have to dynamically figure out what the maximum FD
is from the set we're selecting over, and use that value.

Bug found by Cvetan Ivanov <zezo@spnet.net>

Added tests to detect the style of gethostbyaddr_r() function, and use it.
It knows of GNU and SYSV, atm.

Aptis (Nortel CVX 1800?) dictionary, found on the net, and edited
for FreeRADIUS.

Changed attribute type, so says "ju bin" <binju@online.sz.js.cn>

Removed SQL from authenticate section.  They're no longer needed.

Removed checks for gethostbyFOO_r(), until such time as we can
do intelligent checks.

Added attributes from RFC 3162.

Some are of type 'octets', when they should really be of type 'IPv6',
but that isn't a serious problem for now.

o Add support for Autz-Type attribute. We can now create autztype sections in
  radiusd.conf.
o Add sql_xlat. Only SELECTS are supported right now
o Move sql_release socket in a few places were it wasn't needed
o Remove sql_authenticate function. We still use the authenticate_query directive
  to extract the user password. The work should now be done by the pap/chap modules.
o Do a pairfree of check_tmp and reply_tmp if paircmp fails
  in sql_authorize

Update the print_abinary function to show 'est' when the established bit is set.

Prevent nas_name functions from calling client_name.
Add nas_name3 function that can return a dotted quad when
NAS name is not known.
Update radwho to use nas_name3 function

This patch changes the return code within the CISCO_ACCOUNTING_HACK from FAIL to NOOP.
If a FAIL is returned, freeradius does not sent an ACK to the NAS that sent the stop
packet, so it just keeps resending.  NOOP is more appropriate.

Remove GPL text; sha1.c is in the public domain.

reload now just sends -HUP

TLS_Message_Length is made configurable

Minor fixups

from bj@zuto.de (Rainer Clasen)

If both 'authhost' and 'accthost' in a realm are LOCAL, then we
don't need a shared secret.

Bug noted by "Vector" <cistron@itpsg.com>

If fgetspnam() returns NULL, then it means that the shadow password
entry does NOT exist.

This probably fixes the bug where non-cached passwords don't work...

More debugging statements

Made Length field configurable.
Now Total length can be included in every packet or
only in the first fragment of the message.
Initial patch provided by  Adam <adam@cfar.umd.edu>.

Check for gethostbyFOO_r(), and use them, if they exist.

Use gmtime_r by default, so that we're thread-safe.

<grumble> work around variations in gdbm from version to version.

For gdbm pre version 1.8, we can't use NOLOCK, as it doesn't exist.
This means that the DB file is *always* locked, and NO ONE ELSE can
get access to it ANYTIME.

Check if gdbm has gdbm_fdesc

Removed use of internal autoconf variable which is set to patently
absurd value.

Added new file describing the variables as defined by the server.

Added some more text in the configuration file, describing the
difference between ${foo} and %{foo}

Removed text describing variables and variable substitution

Added %{proxy-reply:Attribute-Name} for xlat

Updated comments on sql_user_name

Corrected typo in function name

Open the DB unlocked, and do file locking ourselves using the
new functions.

Call new rad_lockfd() function, instead of having ifdef in the
code for lockf/flock.

Remove *horrid* cast of a 'FILE*' to 'int', to "convert" a FILE*
into an integer file descriptor.  This just won't work.  fileno()
is what we want.

Use new library file lock/unlock functions

removed copies of file locking code.

Use new rad_lockfd() and rad_unlockfd() functions.

New functions: rad_lockfd() and rad_unlockfd(), to get rid of
duplication of file locking code.

Don't use a global 'acctfd'

As a result, update 'session_zap' to take an fd as an argument.

Update radutmp to use 'request->packet->fd', instead of the global
acctfd

Enable passwd caching by default.

Add a note that turning caching off may cause problems.

If we match a huntgroup, then add an attribute saying that
to the request.  This is so it can be used && examined later.

Based on a patch from Simon Allard <simon.allard@staff.ihug.co.nz>

Patch to PostgreSQL schema for operators.

From Igor Chen <cron@office.lintec.com.ua>

Update documentation

Remove the auth_type directive. Change the ldap caching default to no (ldap_cache_timeout = 0)

Clear more fields of the request when deleting it, and if
debugging, mark up the secret so that it's easier to tell that
the request has been deleted.

Added patch for heimdal code, from
"Kevin C. Miller" <kevinm@andrew.cmu.edu>

Added note that this is NOT configurable, as the patch deletes
existing functionality, and replaces it with different code.

This kind of non-configurable code which removes existing, tested,
and working code is not very polite.

postgresql's 'PQcmdTuples' used in function 'affected_rows'
doesn't returns number of affected rows for SELECT statement, but
returns empty string.  Use PQntuples(), instead.

Patch from Andrew Kukhta <andy@wubn.net>

If the tag is invalid,  rad_send() should ignore it, and set tag
to 0x00.

rad_decode(), if the type of attribute is string and has an invalid
tag, it should recognize the first octet as being part of the string.

If the attribute is "Tunnel-Password", and has invalid tag, then
the tag should be ignored.

Patch from Takahiro Wagatsuma <waga@sic.shibaura-it.ac.jp>

Added URL's for tips on configuring MySQL.

This doesn't really belong here, but there isn't a better place for
it right now.

use dir name macros in all configure options
libtool is required only when building the package
misc clean ups (reorder "header" to follow general RPM style)
make sure /var/log/radius and /var/log/radius/radacct are owned by
root and only readable by root.

Patch from Marko Myllynen

use condrestart instead of reload, so radiusd is not started by
logrotate if it was not already running

Added keyword "missingok" so logrotate execution won't stop if
some FreeRADIUS files are not found (e.g., FreeRADIUS hasn't
started after install and thus some files are not yet created).

Added rotating of radutmp

rotate detail files using "radacct/*/detail" so all detail files
are automatically rotated, no need to add NAS names to the path.
missingok parameter ensures that this works whether * matches
to anything or not.

Patch from Marko Myllynen

do not use radwatch (it's deprecated)
test that config file exists
return proper return value, not 0 always
added condrestart support, used by logrotate (see next patch)
misc clean ups

Patch from Marko Myllynen

In proxy_send(), if there is no realm to proxy the request to,
then return an error.

In rad_respond(), check if proxy_send() returns an error, and
reject the request if so.

Also, fix up a possible race condition in refresh_request(), where
we were marking the request finished, and THEN still accessing it.

Don't call fopen on syslog, if the logging destination is syslog

Corrected logic in delay request code.

Bug noted by Eddie Stassen <eddie@saix.net>

Added define for librad_max_attributes

There are cases where IF all of the matching realms are marked
dead, that we do NOT want to fall through to the default realm.

Based on a patch from bj@zuto.de (Rainer Clasen)

Added note that the pid file is written only in daemon mode.

Added log message when marking a realm dead.

Sanity checks and more cleanups for new "reject_delay"

Added configuration section "security", with "max_attributes" and
"reject_delay"

New security configuration items: max_attributes && reject_delay.

roland.haenel@qsc.de says that a delaying the reject helps slow
down a DoS attack.  This probably only helps for well-behaved NAS
boxes, but slowing down authentication rejects is probably a good
idea in any case.

Avoid compiler warning

TLS-Length contains Total Length as expected by MS

TLS-Length contains total length as expected by MS

Minor cleanups.

Patch from Marko Myllynen

A *much* better method for finding Python.

Patch from Gordon Messmer <yinyang@eburg.com>

Don't clobber the password if we're using SNMP

Patch from "scott.list" <scott.list@mlec.net>

Added a note on building statically, for people who don't have
some shared libraries.

Added comments on how to use && set 'libdir'

Added sample python module config, from migs paraz <mparaz@yahoo.com>

Whoops... corrected a typo

Preliminary Python module from migs paraz <mparaz@yahoo.com>

To get it to build, go to the rlm_python directory, and do:

LIBS="-lpthread -ldl -lutil" ./configure --with-rlm-python-lib-dir=/usr/lib/python2.0/config/  --with-rlm-python-include-dir=/usr/include/python2.0/ --with-rlm-python-version=2.0

... at least on my system, with python 2.0.  The 'configure' scripts
should be fixed in the future to do this automagically, but that's
for the future.