Added notes for 0.7.1

Update the version to 0.7.1

Set the libs, so pthreads work on Solaris

Kerberos fixes: don't grant access to a user whose Kerberos ticket can't be verified against our server principal.

Kerberos fixes: don't grant access to a user whose Kerberos ticket can't
be verified against our server principal.

If we DO find pthread_create() in -lpthread, then add -lpthread
to the LIBS.

Fix a stupid bug in accounting.php3. We should not use the show_attrs array.

Fix a few more bugs in the ldap library

Add a new config directive, ldap_write_server. If it is set then when we update the directory we try to
connect to that one instead of the ldap_server. That way we can read from the fast read-only replicas and
write to a slower master.

In the user test page ignore comments from the auth.request file

If we add a check item then use the == operator. Based on an idea by Allister Maguire <amaguire@gnc.net.nz>

Remove previous change. It was causing problems

Only connect and bind to the ldap server if we haven't done that before.

Update documentation

Allocate more room for the sql queries. Remove a wrong copyright

Also cache the default.vals file.

In lib/sql/defaults.php3 instead of doing a select for each group the user
belongs to, do one select with a where in () caluse.

Remove the auto password generator from the user edit page. It has no
meaning since the password is not shown

Fix a few bugs

Also cache the admin.conf if use_session is set to 1 in config.php3

Update Changelog

Add sessions in order to cache the various mappings. Add a corresponding
configuration directive general_use_session. Also add a session cache
destroy page.

Call config.php3 before outputing any html

* If an sql attribute is not contained in sql, assume that it has the same name as in dialup_admin and that
  it is a reply item. Add a comment for that in conf/sql.attrmap.
* Change the way radius attributes are read from the sql database. The change should make things somewhat
  faster. Create a reverse mapping from radius attributes to dialup_admin attributes.
* Add a configuration directive called ldap_use_http_credentials. If it is set to yes then we try to
  connect to the ldap server with the username/password given in http authentication, not those contained
  in admin.conf. That way multiple admins with different permissions on the ldap tree can work on a single
  dialup_admin.
* With the same logic we allow for multiple buttons html pages. We now create a folder html/buttons which
  by default contains a folder default. If the user logs in with http authentication then we try
  to open the file html/buttons/<username>/buttons.html.php3. If we can't we open
  html/buttons/default/buttons.html.php3. That way we can create muiltiple views of say the online users
  page based on which admin requests the page.

In sql.attrmap User-Password should map to User-Password, not Password

* If we are editing a group show a comment that in the radiusd sql module the group tables are evaluated
  after the user tables. As a result user values should in general overwrite default values.
* Add support for the default_user_profile of the sql module in lib/sql/defaults.php3

Add the default_user_profile configuration directive and support
for the User-Profile attribute in the sql module.
The default_profile is found in SQL by group membership.
That means that this profile must be a member of at least one group
which will contain the corresponding check and reply items.
This profile will be queried in the authorize section for every user.
The point is to assign all users a default profile without having to
manually add each one to a group that will contain the profile.
The SQL module will also honor the User-Profile attribute. This
attribute can be set anywhere in the authorize section (ie the users
file). It is found exactly as the default profile is found.
If it is set then it will *overwrite* the default profile setting.
The idea is to select profiles based on checks on the incoming packets,
not on user group membership. For example:
-- users file --
DEFAULT       Service-Type == Outbound-User, User-Profile := "outbound"
DEFAULT       Service-Type == Framed-User, User-Profile := "framed"

By default the default_user_profile is not set. We also add the
query_on_not_found configuration directive which determines if we will
query the default_user_profile or the User-Profile if the user is not found.
If the profile is found then we consider the user found. That way we can still
maintain the old module behaviour to look for a DEFAULT entry if the user was
not found. But now that is configurable and we don't need to do extra queries
if the user is not found. By default this is set to 'no'.

Also change references to RFC 2138 to RFC 2865 in the dictionary man page.

Add documentation about ldap attributes

* In the user edit page print a message under the User Password field about if it exists or not. Update
  the user_info.php3 lib files to check for it.
* In lib/ldap/defaults.php3 Dialup-Access should not be added in the default_vals. It is not inherited.

Removed incorrect comments, as noted on the devel list today.

+ More logging added

* Allow for multiple default values. Also add a generic flag in ldap attrmap. If it exists then the
  attribute is generic and user values *do not* overwrite default values. The operators in the generic
  attribute can be used for that. The same is very difficult to implement for sql, so for now user
  values overwrite default values in sql (user edit page).
  A lot of code and a lot of files where changed so there may be bugs somewhere.

Don't do too much work to discover strings to xlat inside of 'fmt'.

Instead, just call radius_xlat() first, and then do our own work
on it's answer.

Only add Session-Timeout if the count attribute is Acct-Session-Time

Istead of checking for date type check for acct-session-time in accounting

Add radiusExpiration and dialupAccess in LDAPv3 schema and change the mapping
of Simultaneous-Use to radiusSimultaneousUse

libtool fix from Marko

rlm_ippool.c:
 - Use mutex locks when accessing the gdbm files. Don't use rad_lockfd
 - Fail if we don't find nas port information
experimental.conf:
Add a note about deleting the db files after changing the range parameters in
the ippool module

Add a post-auth section.
Add a few comments on the ippool module

ippool should now be added in the post auth section

Add the caller id in the connection status attributes in the show user page

Move from authorize to post-auth

Wichert Akkerman notes in <20020904132324.GH23656@wiggy.net> that the config.h
is required but not created by the 'configure' process.

Added handler for post-auth.
If all authentication checks are successful, then do post-auth.

This allows ippool to work better, and allows a new rlm_exec
module, to replace exec-program-wait.

Allow the module to be listed in preacct and authorize, too.

Don't add the unique ID attribute if one already exists.

Output a debug warning message if an attribute used to make the
unique ID isn't in the request.

Add credits

Fix a bug in lib/sql/change_passwd.php3 when not using operators.

Added helpful script, copied from

http://users.2z.net/rpuhek/scripts_public/radius/users2mysql.pl

Only create directories if they don't already exist.

Add comment that the bug was found by Stefan Radovanovici <sra@rtsffm.com>

Fix a crash in ldap_pairget when the attribute value is larger than the buffer size

Add a handler for USR1 (sig_stats) which will print a few server statistics
Add a coment in the radiusd.conf for using sql instead of radutmp for session
checks

* In config.php3 include a relative admin.conf file not an absolute
* Add an entry in the FAQ about php magic quotes
* Escape double quotes in attribute values in the user edit page

Allow CHAP passwords to work from radclient.

Patch from max liccardo

Fix a server crash when a thread handling a request takes more time than
max_request_time

Add an entry about using the sql instead of the radutmp

Show date in the user/server test page

Set the cache size *before* doing any operations on the gdbm files

Add a mutex around gdbm_fetch and gdmb_store and declare rlm_counter thread
safe. That should give us a little speed

Move an sql_finish_select_query in the correct place in rlm_sql_checksimul

Change '=' in comparison to '=='

don't close a nonexistent connection (null dereference)

Remove sql_check_multi and sql_check_ts. All the work is done in rlm_sql_checksimul

Be a little smarter about parsing dates.

Show number of failed logins in the last 7 days in the user admin page

Don't delete existing generic attributes in ldap_pairget when adding new ones. Since generic attributes
have operators we don't need to try to be cleaver.

Implement 'ewindow2', an "extended ewindow" which allows users
to override the delay-mode imposed by the 'softfail' option if
the user enters two correct consecutive passcodes.  This helps
in a big way with users going out of sync: we cannot safely make
{ewindow,softfail} too large or it becomes easy to guess passcodes,
but we can safely make ewindow2 reasonably "big".

RISK: It may not hold up to cryptanalysis.  TMI for a changelog.

Some other minor changes along the way.

Comment out the U, P, S, and C prefix hints by default.  They
confuse way too many people.

Edited description of how the server works, as posted to the list
by 3APA3A <3APA3A@SECURITY.NNOV.RU>

Renamed the file to be more consistent

Moved the MIB file to a more intelligent place.

Merged two documents into one.

Belated update, to make it more in line with the changes over
the past year.

Preliminary docs, from ram@princess1.net

hopefully make rad_check_ts work in rlm_sql_checksimul

Remove simul_zap_query and replace it with a call to session_zap.
Fix a typo in the dialup_admin Changelog

If we don't add the attribute to the list, delete it.

Patch from Kevin Bonner <keb@pa.net>

One more bug fix, to make it work with 'users' file entry:

bob Auth-Type := Local, User-Password == "bob", Login-Service =~ "Telnet|LAT"
Tunnel-Client-Auth-Id:0 += `(uid=%{Stripped-User-Name:-%{User-Name:-none}})`,
Tunnel-Client-Auth-Id:0 += `%{User-Name}`,
Tunnel-Client-Auth-Id:0 += `UPDATE ${acct_table1} SET FramedIPAddress = '%{Framed-IP-Address}', NASIPAddress='%{NAS-IP-Address}'`

and test packet:

User-Name = "bob", User-Password = "bob", Calling-Station-Id = "555", Login-Serv
ice = Telnet,  Framed-IP-Address = 1.2.3.4, NAS-IP-Address = 5.6.7.8

and receiving reply:

rad_recv: Access-Accept packet from host 127.0.0.1:1812, id=206, length=101
        Tunnel-Client-Auth-Id:0 = "(uid=bob)"
        Tunnel-Client-Auth-Id:0 = "bob"
        Tunnel-Client-Auth-Id:0 = "UPDATE  SET FramedIPAddress = '1.2.3.4', NASIPAddress='5.6.7.8'"

As a note, the 'xlat' implementation appears to be overly complicated.
Using 'for (...p++)' in the loop, instead of 'while (*p)', means
that 'p' is incremented ALWAYS, instead of only when it's needed.

The previous code was easy when we only had xlat'd strings of %U,
but for more complicated ones, it caused a lot of problems.

Also, updated the error message for unknown xlat functions/attributes,
to print out only if there is no xlat function of that name, AND
there is no dictionary attribute of that name.

This helps to minimize the errors which were confusing people,
when xlat was previously complaining about unknown attributes, when
the named attribute was in the dictionary, but no in the incoming
request.

If we don't parse a VP when looking for an XLAT'd string, return
an error, instead of de-referencing a NULL pointer.

Corrected typo in name.

Patch from ram@princess1.net

If there are more than one attributes of the same name in the VALUE_PAIR list
do an attribute rewrite on all of them not just the first one we find.

Add handlers for preproxy,postproxy and postauth

Add more NULL's to module data structures, in preparation for
adding pre/post proxy, and post-auth stages.

Patch from Franck Springinsfeld

add a '.' at end of sentence

reformat for 80 cols

In pairmake(), if we're creating an integer type VP with a
regular expression operator, then do NOT look at it's string value.

Instead, save it for later, so that we can do the regular expression
comparison on the names of the integers.

Fix a weird bug where we were doing 'ip_ntoa' on date/integer
attributes, but not on IP addresses, when parsing attributes
from a packet to a VALUE_PAIR.

When parsing an integer attribute to a VALUE_PAIR, also look up
the name for it's value in the dictionary, and put the name into
the strvalue field.  This allows us to do regular expression
comparisons on integers (sort of...)

- Statement that FreeRADIUS can't proxy MS-CHAPv1 removed
+ Added description of realms problem with MS-CHAPv2

! MS-CHAP-MPPE-Keys changed to be encrypted with User-Password style

- removed radpwencode - Attributes will be marked as encoded, all encoding/
  decoding will be done automatically by libradius.

update for 0.7/0.8

Make radwho and radzap read 'radiusd.conf', to get the locations
of the radutmp files.

Patch from Andrea Gabellini

These files should really be moved to 'src/modules/rlm_radutmp',
and cleaned up.

Minor reformatting, and adding more debugging messages, to see
what the authenticate code is doing, and why it fails.

Updated, as we hope to be approaching another release soon.

Make realm comparisons case insensitive

Corrected name, and made VSA a Cisco VSA

Patch from Thomas Jalsovsky

Small html fix in password.php3

When doing group checks, call fgetgrnam on the *group* file, not
on the *passwd* file.

Patch from Maxim Konovalov

Small html fix in user_edit.php3

Print a message when ippool_authorize can't find the Pool-Name attribute