Call it -pre1, as -pre0 has been around forever

Enable udpfromto by default.  It's tested, and solves a lot of
problems.

Relax checks a little

Port fix for Coverity bug #13 from 1.1.x

Port fix for Coverity bug #22 from 1.1.x

Port fix for Coverity bug #23 from 1.1.x

Port fix for Coverity bug #25 from 1.1.x

Port fix for Coverity bug #27 from 1.1.x

Port fix for Coverity bug #37 from 1.1.x

Port fix for Coverity bug #38 from 1.1.x

Port fix for Coverity bug #29 from 1.1.x

Port fix for Coverity bug #33 from 1.1.x

Port fix for Coverity bug #41 from 1.1.x

Port fix for Coverity bug #40 from 1.1.x

Pull fix for Coverity bug #15 from 1.1.x

Pull suppression of "error in read client cert A" from 1.1.x

Free "fake" on error.

This fixes Coverity bug #43

Free "fake" on parse error.

This fixes Coverity bug #44

Free "fake" on parse error.

This fixes Coverity bug #45

Delete trailing whitespace.

Add new load balancing method "client-port-balance"

This method should be removed when we have state tracking of EAP
proxies in a module

In preparation for 2.0-pre0

Update copyright dates

Use "currently_outstanding" metric for load-balance.  i.e. we choose
the home server with the lowest "currently_outstanding" number.
If there are multiple home servers with the same number, randomly
choose among them.

This means that when a home server is dead and doesn't respond,
the requests will immediately be load-balanced to any live servers

Made language more consistent.

When a home server first responds, decrement the
"currently_outstanding" counter.  This counter tracks the requests
being processed by the home server, NOT the number of retransmits

Add eDirectory Token / NMAS support thanks to Peter Lambrechtsen and Vinayak Hegde from Novell

Use RTT && load_factor to prevent detail file reading from
overloading the system.

Use strncasecmp, not strcasecmp

For old-style realms, make pools by realm name, not server name

Cleaned up debug messages.

Old-style "accthost" goes into acct_pool, not auth_pool

Now that we have the "self signal" function, there's no need
to block signals in the child threads

Fixed small typo in dict

Don't try to install older SQL configs.  They've been moved
to the "sql" directory

Re-parent the SNMP MIBs to use our own OID, rather than gnome's
OID.  Gnome also seems to be using 3317 rather than 3319, which
is what IANA says was assigned to them.

struct timeval->tv_sec may not be time_t on MAC OS, 64-bit.
i.e. struct timeval->tv_sec is 64-bit, and localtime_t() etc
take a 32-bit pointer.

If we need to remove "request->timestamp" in the future, we can
update the calls to localtime_r(), etc. to use an intermediate
variable, to avoid 32/64-bit issues.

Initialize timestamp from received

print out attributes in a more standard method

We're copying ranges of bytes fed to us from a regex parse.
We need to use memcpy, not strlcpy.

Split queries into dialect specific files and add mysql support

use new signal stuff

Be more forgiving about corner cases

When adding a non-detail REQUEST to the queue, mark detail
reading as not possible.

When a thread finishes a request, AND the queues are empty,
mark detail reading as possible.

Cleanup up detail file handling a little.  Fixed a memory
leak (how did that get in again?).  It seems to work...

Do more initialization

Added a self-pipe as per Emile's ideas at:

http://www.xs4all.nl/~evbergen/unix-signals.html

We don't need to handle more than 2-3 signals, so it all fits
into one byte.

Also added "detail" flag, so we can later add feedback from the
child threads.  If there are no queued requests, AND there's at
least one thread waiting for something to do, THEN it's OK to read
from the detail file.

more sanity checks, and clarify the code

Suppress writes to the detail file if the request was read from
a detail file.

In post-proxy, if there's no proxy reply, we must be in a
Post-Proxy-Type = Fail section, so run the accounting section

Re-arrange parsing order so that home servers aren't nested
in server pools, and server pools aren't nested in realms.
This makes debugging output easier to read.

Copy outer src/dst IP/port to inner tunnel, so Packet-Src-IP-Address
etc. can work

Make "-c" work

Add section start/stop debug output.

Standardized format for debugging output, after a few trials
of different methods.  The new output is cleaner, less noisy,
and it's more obvious what's going on.

More readable debug output

Reformatted debugging output to make it easier to read.

Reformatted debug output to make it easier to read

Don't complain about no "known good" passwords for EAP-TLS, TTLS,
and PEAP.

Add more documentation to the LDAP module.

Note "ok = return" for EAP, to avoid the round trips of TTLS and
PEAP.

In the authorize stage, return OK if we see TTLS or PEAP, which
means that the administrator can use configurable failover to skip
whole chunks of LDAP lookups, etc. if the outer tunnel setup
is going on

updated documentation

Discard packets from unknown clients

New function to discard a RADIUS packet.

Switch over "code", not "packet->code"

Fixed typo

Forgot to include this earlier...

Remember to install the bootstrap file, too

Corrected typos

Note new method

Added "bootstrap" script for creating initial certificates

Added "make_cert_command" to EAP-TLS.  Have EAP-TLS run the
"make_cert_command" if in debugging mode, AND there's no server
certificate.

Updated the README to talk about this.

Updated eap.conf to enable tls, ttls, and peap by default.

Don't call radius_xlat if there's no request pointer

If the server is built without OpenSSL, do not load EAP types
requiring OpenSSL, even if they are configured in eap.conf.

This allows more magic.

Note CSR stuff

Added better dependencies

Qualify "make distclean" so that it's almost impossible for
admins to accidentally delete their CA and server certs.

These horrible things are no longer needed

Install the new certificate scripts, not the old ones

Noted new, sane, method to create certificates

Deleted old certificates, and added new OpenSSL configuration
files and Makefile to create certificates via a sane method.

Run Status-Server packets through Autz-Type or Acct-Type of
Status-Server.  Then, depending on the result (OK/fail), either
respond to the Status-Server request, or suppress the response.

This should make Peter Nixon happy. :)

Suppress responses to Status-Server if there's no response
configured

Added configurable timeouts specifically for ping checks.

Rename "ping" check to "status" check.  This means existing
configurations break.  However, given discussion on the users list,
calling the packets "pings" will confuse a certain segment of
the population in ways that are difficult to correct politely.

added functions to peek at the head of the queue, and to obtain
the number of elements

Now that we're handling queues by priority, remember to remove
old requests from queues we may not have serviced in a while.

Remove assertion that there's no child thread.  We can add it back
again later, once we audit the rest of the code.

Remove assertion that there's no child thread processing this
request.  The design of event.c makes it difficult to track

Keep array in sync with defs in radiusd.h

Now that we have priorities for thread queues, push the
post-proxy-type "fail" entry into the highest priority queue, so
that it's dealt with as soon as possible, but in a child thread

Re-ordered RAD_LISTEN_TYPE by priority, and added "priority"
field to the REQUEST.

Updated threads to have RAD_LISTEN_TYPE_MAX fifo's, and to insert
REQUEST's into the appropriate fifo.  Then, when pulling requests
from the queue, we pull from high priority to low, and starve
any lower priority queues.  This should make the server more robust
in high load situations.

i.e. we handle responses from home servers first, then authentication
requests, then accounting requests (because the NAS will retransmit
them), then the "detail" file, and finally SNMP.

We haven't integrated SNMP sockets into this scheme yet, but the
idea will work.  We also need to update the code so that it doesn't
even look at a socket if there are pending requests.

i.e. if all the threads are busy, AND fifo N has entries, then do
NOT look at sockets associated with priorities N+1 and following.

Use new radius_paircreate() function.

Fix Novell code that wrote to vp_strvalue for integer type

If we've added a "known good" password to config items, then
DO NOT SET AUTH-TYPE = LDAP.  It's confusing too many peopl

Note new Post-Proxy-Type Fail section.

corrected typos

Clean up post-proxy-type fail handlers.  They make more sense now.

New function post_proxy_fail(), which runs the request through
a Post-Proxy-Type = Fail.

Wrapper function proxy_proxy_fail_handler(), which does some other
things, (setup, re-does wait_a_bit, etc).  Once we have multiple
queues for the threads, we can push the post-proxy handler onto
the thread queue, as it may do DB calls, which we should avoid
in the main server.

This has also cleaned up some corner cases, were the server could
respond without copying Proxy-State from the request, if the
proxying failed.  We now run the REQUEST through standard functions
for everything...

Moved 'hash' to before 'vector', as it was right next to vps.
hash is read in the main thread, and vps is written to in child
threads.  Having them next to each other results in cache line
bouncing.  Moving it means that there won't be cache line
bouncing, for a small performance increase

We don't need to hash the ID twice

Move SNMP increments to earlier in the request handling, to make
the counters available sooner rather than later

Start removing request->timestamp, now that we have
request->received

Added RADCLIENT* pointer to the REQUEST structure.  It makes some
things easier, and will let us know on HUP which request is using
what client

Use new radius_paircreate() function.

also cleaned up wrong code in Novell's eDir solution, that
put strings into vp_strvalue for integer types

New radius_paircreate() function that takes a REQUEST* and a
VALUE_PAIR**, along with the attr & type of paircreate().

It creates the pair (or exits if it can't, because it's OOM).
then adds the pair to the VP**.

This ends up removing a fair amount of code in the modules &&
server core, that did:

vp = pairmake()
if (!vp) {
oom
...
}

pairadd()