home_server may be NULL if proxying fails

Increase the 'nasportid' SQL field for 'varchar(30)' #3141

use fr_allocate instead of sp_allocate

so anyone rooting thru the list of stored procedures knows that
it's a FR function

PostgreSQL sqlippools: Find and allocate stored procedure

Replace existing stored procedure with one that combines the
allocate_find and allocate_update queries.

We can additionally avoid round trips by avoiding BEGIN and COMMIT since
calling an SP provides a new transaction context [*]. Therefore the IP
allocation process is reduced to running a single statement.

Indicative performance testing showed increased IP allocation
performance from 120 allocs/sec with separate queries to 1500 allocs/sec
on a two-node master/slave cluster.

[*] Verfied as follows which indicates that we are within a transaction
rather than "autocommit"ing:

  > CREATE OR REPLACE FUNCTION sp_txid ()
  RETURNS text
  LANGUAGE plpgsql
  AS $$
  DECLARE
  BEGIN
    -- Write the current txid to a table
    INSERT INTO txids SELECT txid_current();
    INSERT INTO txids SELECT txid_current();
    RETURN txid_current();
  END$$;

  > CREATE TEMPORARY TABLE txids (txid TEXT);

  > SELECT sp_txid();
  txsp_txid = 651120
  > SELECT sp_txid();
  txsp_txid = 651121

  > SELECT * FROM txids
  txids
  -------
  651120
  651120
  651121
  651121

typo

Fix permissions of certs in bootstrap fallback. ref #3132

use something that actually works

update dist-check

Bump for 3.0.21

prepare for 3.0.20 release

Parameterise jenkinsfile

use the correct OID

whitespace

Split jenkinsfile so we can use the functions elsewhere

handle is already nonnull

possibly unused variable

typos

remove dup

note recent changes

add example of NAIRealm from RFC 7585

remove unused function

EAP-pwd: fix DoS due to multithreaded BN_CTX access

The EAP-pwd module created one global OpenSSL BN_CTX instance, and
used this instance in all incoming requests. This means that different
threads used the same BN_CTX instance, which can result in a crash.
An adversary can trigger these crashes by concurrently initiating
multiple EAP-pwd handshakes from different clients.

Fix this bug by creating a separate BN_CTX instance for each request.

radsqlrelay changes backported to v3.0.x (#3112)

* radsqlrelay: actually do something in debug mode

* radsqlrelay systemd watchdog (#2922)

* radsqlrelay: Clean up strict and warnings pragmas

The modules we use are clean so ensure that these pragmas apply to
includes.

* radsqlrelay: Add support for systemd watchdogs

systemd can terminate (and restart) the service if it stops providing
watchdogs for a defined interval.

* radsqlrelay: Don't get stuck processing the same broken SQL statements

If the file contains a broken SQL statement then it is continually
retried with a 1 sec delay.

Restarting the radsqlrelay will replay the entire file (which could get
stuck even earlier due to duplicate key fields).

We instead continue when we encounter a failing statement unless the
failure was the result of a database disconnect in which case it is
resumed once the connection is available.

add missing backslash

mschap: whitespace, minor typos

mschap: fix up comments

Add jenkins test repo dockerfiles

Add debian10 and centos8 to Jenkins build

Add centos8 Dockerfile

RPM spec dependencies for RHEL8

notes on altnames

more of the same

notes on iOS 13

add support for "insert"

note findOne

note recent changes

add support for "findOne"

PYTHON_BIN -> PYTHON3_BIN so configure doesn't pull the wrong value from cache

Add python3-dev to travis env

Fix the errors identified by LGTM

Create a separate rlm_python3 module.

initialize result from the stack.  Fixes #3082

I sincerely hope that this change doesn't affect anything else
:(

Update the hardware-type list

It was extracted from the latest content from
https://www.iana.org/assignments/arp-parameters/arp-parameters.xhtml

Last Updated: 2016-07-20

if there's no reply yet, return NULL

don't overrun fr_packet_codes[] array

don't call memcpy() with a zero-length argument

it won't do anything, but it's good to check.

manual merge of commit 3495a8cef

add now about --allow-mschapv2

don't do locking on files in /dev.  Closes #3057

note recent changes

updates and word smithing

and move CoA attributes to internal dictionary, which simplifies
it a bit.

Merge pull request #3045 from terryburton/v3.0.x-coa-relay-example-site

Example coa-relay site

Merge pull request #3048 from terryburton/v3.0.x-mysql-sp

MySQL sqlippools: Find and allocate stored procedure

Merge pull request #3052 from jpereira/v3/fix-mongo-aggregate

Fix compiler complaint

Fix compiler complaint

Add example coa-relay site

update file time when they change.  Fixes #2846

note recent changes

MySQL sqlippools: Find and allocate stored procedure

don't add extraneous {}

try to quiet compiler warnings

always set the correct virtual server for post_proxy, too

always set the correct virtual server for pre_proxy

clear our error so we don't print it.

If we're printing an error due to packet mismatch, then there's
no error from the library, and fr_strerror() should return nothing.

run through the formatting script

Merge pull request #3039 from fdurand/dictionary/airspace

New bandwidth rate-limits airspace attributes

New airspace attributes
(https://community.cisco.com/t5/policy-and-access/freeradius-with-wlc-8-3-122-per-user-bandwidth-rate-limits/td-p/3839617)

note recent changes

don't use parent listener in child CoA

Don't jump over group and profile checks

It means we're inconsistent in warning messages depending on
whether radreply entry was found or not. rlm_sql_process_groups()
already checks group_membership_query.

Fix the error message for 'uknown address family' (#3005)

note recent changes (#3004)

Sync dictionary.aptilo with latest official dictionary

fix last commit and create useful error messages

manually backport master changes (#3001)

event_new_fd() doesn't need to return anything

shut up stupid compiler

note recent changes

allow support for ENV

set User here, too

force user/group to be radiusd

remove chown.

It's not needed according to the Systemd documentation

---
RuntimeDirectory=foo/bar baz
the service manager creates /run/foo (if it does not exist), /run/foo/bar, and /run/baz. The directories /run/foo/bar and /run/baz except /run/foo are owned by the user and group specified in User= and Group=, and removed when the service is stopped.
---

Add *.crl to .gitignore (#2983)

errors are errors

Use correct CA password when not the default "whatever" #2963

create an initial, empty CRL in DER encoding

If a user wants to deploy his CA, the URL in crlDistributionPoints should actually contain a DER-encoded CRL file. We create it here; the admin still needs to actually deploy the file at the URL chosen.

mongo: Fix examples

ObjectId() and Date() commands are not accepted by the low-level
mongo JSON engine.
For the field 'date' it's needed to use $date command.
For replacing ObjectId() it is possible to use sha256 or any others
hashing command.

remove references to rlm_sql_log

README: fix link to Network RADIUS ref #2945

radmin: Add support to keep the history in ~/.radmin_history

don't bury documentation on sql_user_name

note recent changes

PostgreSQL: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into effect.

With initial pool conditions the default alloc_find query selects from the pool
of all *expired* leases. It selects the least recently used IP address (i.e.
the one with the oldest expiry_time) unless a matching username and/or
callingstationid exists in the table in which case these are prioritised in
order to issue the client with their previous lease. Normally picking the least
recently used address helps to avoid issuing the address to a different client,
maximising the chance of stickiness, which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a different IP
address because their existing address is unavailable (has not yet expired and
has not been explicitly expired by allocate_clear), with the effect that there
are now multiple rows in the table containing the same pool_key, username and
callingstationid.

The normal ordering then has the undesirable effect of ensuring that successive
future IP address selections for the client will flip-flop between addresses
because username + callingstationid are first prioritied then the *oldest
expiry_time* is chosen (rather than the most recent expiry relating to the most
recent lease). This behaviour persists once allocate_clear rate limiting is no
longer in effect.

We can avoid getting having multiple rows with the same client details by
amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless of
whether the lease has expired or not (i.e. re-allocation of a current lease to
the same client).

MySQL: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

Oracle: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

SQLite: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

fall through if there's no error

doxygen

note recent changes

Use SSL_is_init_finished instead of checking the last handshake_type

Backport of d90c4bf807 from master