Last set of changes

Drop dead link

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Now it's possible to include Zyxel's dictionary by default

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Another one attribute

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Proper VENDOR value for Zyxel

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Load "server {...}" sections properly

Be more graceful if caller passes us a NULL ptr

Note changes for 2.1.12

Added SecurID module

Don't really open sockets if we're doing -C

Acct-Session-Id from Cisco exceeds 64 bytes.  Extend it.

Add radpostauth/radhuntgroup tables to the oracle schema

Added missing post-auth configuration

Always send Message-Authenticator in radtest

Originally Message-Authenticator was introduced to provide message
integrity for EAP messages and originally the Message-Authenticator
attribute was only required for EAP messages.

But then RFC 5080 came along and suggested Message-Authenticator
always be sent as best practice.

   Any Access-Request packet that performs authorization checks,
   including Call Check, SHOULD contain a Message-Authenticator
   attribute.

RFC 5080 then goes on to say:

   ... server implementations may be configured to require the
   presence of a Message-Authenticator attribute in Access-Request
   packets.  Requests not containing a Message-Authenticator attribute
   MAY then be silently discarded.

The raddb/clients.conf has this configuration option to satisfy the
above suggestion in RFC 5080:

   require_message_authenticator = no|yes

If require_message_authenticator == yes then non-EAP auth-requests
generated by radtest will fail because currently radtest only supplies
the Message-Authenticator if EAP is being performed. With modern
Radius servers (e.g. FreeRADIUS) there is no harm in providing the
Message-Authenticator attribute for non-EAP packets, in fact it's
actually recommended in RFC 5080.

Therefore radtest should ALWAYS send the Message-Authenticator
attribute. If it's EAP or if the server is configured with
require_message_authenticator it must be present. If those conditions
do not hold it's benign. However if require_message_authenticator is
configured radtest will fail for non-EAP.

As posted to the list

Fixed typo

Add missing "man" files

Note changes

radsniff: decoding encrypted attributes

Save authentication requests and use them to properly decode
entrypted attributes in matching replies.

Also decode encrypted attributes in CoA requests. Some VSAs
can be encrypted in CoA requests using a null vector.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Merge pull request #19 from angdraug/v2.1.x_rlm_sql_acct_noop_start

rlm_sql acct noop Accounting-Start fix

Revert "Remove values for Auth-Type, these values were only defined for legacy reasons"

This reverts commit 296fcf9576394de5bf943e257a8d64751feaf636.

Removing Auth-Type = {Accept, Reject, MS-CHAP} breaks the server

Fix rlm_sql noop for accounting start

When 6ed9727 was merged, else{} in the START case got placed against the
wrong if(). Unlike STOP and ALIVE cases, in START insert comes first,
and we only care if that affects 0 rows. If insert fails and we have to
go for an update, we don't have to check for NOOP because we can assume
the insert failed due to a conflicting row already in the database.

Note more changes

Document all command line args & add missing man pages

Go through every installed command and verify:
  * There exists a man page for the command, if not create one
  * For every command line arg in each command:
    - Assure the arg appears in the synopis section of the man page
    - Assure the arg is documented in the options section of the man page
    - Assure the arg is documented in the "usage" emitted by the command

In addition to the above this patch also does:

* Clean up captitalization & the use of terminating periods.
* Removed superfluous unused l option from the getopt format string
  of radwho
* Remove rlm_ippool_tool.pod, superseded by rlm_ippool_tool.8 man page

The follow new man pages were added:

man/man1/smbencrypt.1
man/man5/checkrad.5
man/man8/radconf2xml.8
man/man8/radcrypt.8
man/man8/radsniff.8
src/modules/rlm_dbm/rlm_dbm_cat.8
src/modules/rlm_dbm//rlm_dbm_parse.8
src/modules/rlm_ippool/rlm_ippool_tool.8

Note which Auth-Type we're creating

Note recent changes

Make warning message more coherent

WARNING on potential proxy loop

Fixed long-standing typos

I guess no one ever used this...

Remove values for Auth-Type, these values were only defined for legacy reasons

Fixed typo

Document max_queue_size

Limit complaints to 1/s, not 1/packet

Fixed typo

Document keepalive

Fixed typo

Updated copyright year

Complain if password is !UTF-8

for the "shared secret is incorrect" check.  The old code
checked for "printable" characters.  Changing it to a check for
!UTF-8 is more general, and likely more robust with fewer false
positives

Allow entry if UID or GID match

More updates

Added %{rand:...} to generate uniformly distributed random numbers

Add support for NAS implementing standard IEEE802.1X mib (Tested against ProCurve 3500)

Fix regular expressions to work with recent versions of snmp_get (should still be backwards compatible)

Bump for 2.1.12

Note policy for filtering user names

Enable possibility for ecdh by default

Note recent changes

Enable elliptical curve cryptography

More/better documentation

radmin: fixup error message when attemting to delete non-dynamic client

commit b9e5dd2c changed the command syntax in line with docs, but failed
to update the error message accordingly.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

radmin: make "del client ipaddr" command behave as documented

Fixes this error:

 radmin> del client ipaddr 192.168.168.111
 ERROR: Must specify <ipaddr>

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Note recent changes

Add mkdir, based on patch from Oliver Schroder

This lets the module put logs into automagically created subdirs

Should use 8th capture group for Called-Station-ID rewrite

Catch sub-realms && example.net, too

Clean up debug message

Allow empty strings to mean NULL

this lets us specify the default (i.e. NULL) virtual server

Note recent updates

Add conflicting starent dictionary from bug #159

Updated with edits from bug #159

Added siemens dictionary

Adding new attributes to the ERX dictionary

This should make it compatible with JUNOSe version 12.1.1
and JUNOS version 11.2.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Replace stale version of oracle configure script with one generated from current version of configure.in (now supports library versions 9, 10, 11 instead of just 10

Check cert validity

In the process of checking the OCSP response there are only checks for the
correct signed OCSP answer in the function ocsp_check()
(src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c:349).

The problem is that the current code does not check the status of the certificate.
For example if a certificate is revoked. Thus, a user with a revoked certificate
is able to bypass the verification.

Added HUP on log rotate

Note URL on how to create various passwords

More fixes for DHCP relaying

Allow it to send offers

When in debugging mode, print out VPs from header

Merge pull request #12 from angdraug/v2.1.x_linelog_permissions_v2

Configurable file permissions in rlm_linelog

save all attributes in the Access-Accept when proxying EAP-MSCHAPv2 as plain MSCHAP, and restore on the final Access-Accept

Fix xlat expansion of values assigned in rlm_attr_filter

Remove comparison that was generating compiler warning

Initialize answer variable

Configurable file permissions in rlm_linelog

chown if uid or gid is set

Don't need original packet when proxying

Get peer id on new socket, not old one

tr.freeradius.org seems to be dead

Note recent changes

Set ownership of domain socket when starting

Allow root to connect to control socket

Even if the configured "allowed UID" has a different value.
They're root, so they can do anything.  We might as well be polite.

Server closing connection returns 0

We should close our end and complain in that case.
Bug found by Brian Candler

Add relax-filter check item to override the relaxed config item on a filter by filter basis

Conflicts:

src/modules/rlm_attr_filter/rlm_attr_filter.c

Add 'relaxed' option to rlm_attr_filter, when 'yes' attributes which do not explicitly match any filter rules are still copied.

Use correct length

Fix offset bug in %{string:...}

It prints the correct amount with the correct limits, but
to the wrong location

Be less strict about duplicate virtual servers

If they share the same top-level CONF_SECTION, they're duplicates.

Otherwise, the server is reloading it's configuration, so the new
configuration should be allowed to be loaded.

Handle relayed packets better...

If the request  a client packet, we can relay it using
the existing code.

If the request is a server packet, then it MUST be from
the real server, and we MUST be acting as a relay.  In that
case, set the giaddr to 0.0.0.0, and forward the packet to the
yiaddr.

And do something with broadcast replies...

Allow DHCP-Opcode and DHCP-Hop-Count to be set from VPs.

This makes it easier to relay && respond to clients

Allow giaddr to be updated when relaying

Fix typo

rlm_mschap: silence gcc buffer overflow detection mechanism

Signed-off-by: Petr Uzel <petr.uzel@suse.cz>

Fix calculation of response authenticator

The Status-Server packet can get an Accounting-Response
packet in return.  Since the Status-Server has a random
authentication vector, the response needs to be calculated
using that.  We can't use the normal Accounting-Response
calculation.

Oops.  No one found this in RFC 5997.

Prepare for 2.1.12

Fix > vs >= bug

fclose() frees buffers, too

If a child process gets a signal to exit, then just exit.

Print out *which* program is causing the delay

Update copyright year

Fix > vs >= bug

Don't go too far ahead

if (..){

is OK.  The previous code skipped over the curly brace, assuming
that it was there... the code to check for syntax errors assumed
that the curly brace was not skipped over.  This change fixes
that conflict

Made the date today