Don't check IDP membership when defaulting, minor fixes.

Add configuration for default next-hop

Merge branch 'tr-peering' of moonshot.suchdamage.org:/srv/git/trust_router into tr-peering

Don't loop on waitpid returning 0

Updated version number

Fixes to make build work after merging.

Merge remote-tracking branch 'origin/tr-peering' into tr-peering

Commit changes to allow a default server and to improve peering config.

Clean up any zombie processes whenever a new request is forked.

Clean up any zombie processes whenever a new request is forked.

Specfile version bump

Don't recreate the log directory if it is still available

Move user creation to %pre, and use the method the redhat manual suggests

Changing the spec file to package the redhat init scripts and config

Include /redhat when installing

Adding files for running trust_router on rhel6-ish distributions nicely

remove indentation in makefile which breaks install rule

(cherry picked from commit 8ee1a1c9a537c2d4847571c6611f3f32187c5eff)

Release 1.3.1 for stable point for Debian

gsscon_passive: remove dead code

Allow tidc to take a port number as an optional argument

We don't install the tids.service until rhel7

Standardized approach to systemd unit files

Create user and populate keys database

Convince Centos not to override -Wno-parenthesis

Distribute tr_debug.h

Include new files in spec

distribute tids.service and schema.sql

Centos6 compiler is too picky about typedefs; pacify it.

Version 1.3

API improvements needed by freeradius

In with the scabs, out with the tr_msg union!

The tr_msg union lead to a number of security issues because the code
tended to check to see if msg->msg_struct_name was non-null.  However
it was always non-null because the pointer was shared among all the
union members.  Instead, use accessors for everything.
LP: #1333734

ABI/API break: pas in TID_RESP * to handler

Previously, we passed in TID_RESP ** to the request handler.  However
the request handlers assumed that the response was allocated.  We
don't want responses allocated in the handler, so make it a single
pointer.

note that the existing handler interface is probably inappropriate for
an event-loop-based trust router.

always use tid_req_new for TID_REQ

Enable talloc error reporting for tids and tidc

Track num_servers correctly

TID_RESP: array of servers rather than linked list

Provide an array of servers rather than a linked list for easier sorting.

TID_RESP is now allocated by talloc.

Make tid types opaque

It is not a failure to have no constraints at all, although no authorizations are created

tr_constraints: constraint set members can have limited types

If a constraint set member has a domain constraint but no realm
constraint treat that as a universal realm constraint (*).

However, if no constraint set member has that constraint type then
access is denied; we do not fail open.

Include authorizations view in schema

Iterators also needed for tests

don't redefine json_t

Back port jansson iterators

tids: include constraints in database

new table authorizations includes constraints for domain and realm as
well as the COI and APC used for the connection.

tr_constraint_set_get_match_strings

New function to retrieve the wild card strings that match a constraint
type for an intersected constraint set.

As a result convert TID_REQ to using talloc.

Depend on talloc project wide.

  # Please enter the commit
message for your changes. Lines starting # with '#' will be ignored,
and an empty message aborts the commit.  # On branch master # Your
branch is ahead of 'origin/master' by 3 commits.  # (use "git push" to
publish your local commits) # # Changes to be committed: # modified:
common/tr_constraint.c # modified: configure.ac # modified:
include/trust_router/tid.h # modified:
include/trust_router/tr_constraint.h # modified:
include/trust_router/tr_name.h # modified: tid/tid_req.c # modified:
tid/tidc.c # # Changes not staged for commit: # modified:
include/trust_router/tr_versioning.h # # Untracked files: # "\a" #
cscope.out # db # dest/ # foo.c # trust_router-1.0.tar.gz #

tr_dh_pub_digest

Function to compute public key digest of client.  Use to store that in
sqlite3 database.  Update schema.

copyright update

Include constraints in tid_req messages

Makefile: enable tests and -Werror

Enable t_constraint tests in make check

Also enable -Werror since we pass with that.

tr_constraint_set_intersect

New function to intersect a constraint set and return a constraint
describing the domain and realm constraints that can be met by the
set.

Include tests for this.  The particular test cases are also designed
to test merge_constraints (included in this patch) and
tr_prefix_wildcard_match.

tid_req: Store json references

Support storing references to json objects in TID requests.

Move tr_prefix_wildcard_match to tr_constraint.c

We need tr_prefix_wildcard_match for merge_constraints and for
tr_filter.c.  Export it from libtr_tid even though it's in a private
header.  It's not part of the public API but is part of the library so
tr_filter can import it.

Also, fix bug; all strings were treated as wildcards.

fix keys creation

s:trustrouter:trust_router

Fix typo

Enable unit

Include tids service unit and schema sql.

Update spec file for 1.2

Remove need for remote def of TR_FLINE that won't compile on Centos.

Update trust_router version number to 1.2

Increment TID library version number to 1.

If port passed in to tidc_open_connection() is 0, use the default port.

Debugging printfs for trust router port number.

Remove API dependency on jansson for constraints.

Allow caller to set port number for tidc_open_connection().  Install
include/trust_router/tr_constraints.h, so that freeradius will build
with updated TID code.

Change name type passed to gss_import_name().

Avoid overwriting gss error before printing.

Allow the Trust Router's TIDS port to be set in the internal config.

Don't overwrite minorStatus before printing error.

Fix bug in previous commit.

Add hostname to service name in gsscon_connect().

Add files not commited for AAA Server IP Addr to Hostname change.

Configure AAA Server hostname, instead of expecting an IP address.

Completion of constraints code, not fully tested.

Merge branch 'master' of moonshot.suchdamage.org:/srv/git/trust_router

tr_tids_gss_handler: print auth name

Print the name  we authenticated to.

Configuration code for realm and domain constraints.

asprintf not sprintf

Added hostname to configuration and example code.

Add things missing from previous commit to add realm_name to the service name.

Changes to add realm name (from config) to end of service name for passive authentication.

new version

Fix bugs found in testing new filtering code.

Clean up compiler warnings (and likely bugs).

Full support for rp_permitted filters using new filter structures, etc.

Merge branch 'master' of moonshot.suchdamage.org:/srv/git/trust_router

Configuration for full filter structures.

specfile: bump release

Update makefiles to include tid/tr_resp.c.

Merge branch 'master' of moonshot.suchdamage.org:/srv/git/trust_router

Added access functions for TID_RESP structure.

Merge branch 'master' of moonshot.suchdamage.org:/srv/git/trust_router

temporary: gsscon_passive_authenticate: acquire trustidentity creds.

As discussin in LP: #1203159, the client always uses trustidentity as
a name.  We're running into problems because the server uses
GSS_C_NO_CREDENTIAL.  That means no service name is included in RADIUS
and unless there's proxy magic, then channel bindings fails.

For now, also acquire trustidentity credentials on the server.  This
still leaves the security issue discussed by that bug, but at least
the code works.

Access funcitons for TID_REQ structure, incl TID code reorg.

specfile: sqlite-devel not sqlite3-devel

buildrequires

Don't multiply define the same type

spec file updates

fixes LP: #1236768

Add accessors for TR_MSG structure.

Updated config file with complete, consistent config for Trust Router 1.0.