eap-radius: export function to process common attributes of Access-Accept

mem-pool: add option for reusing online leases, and disable it by default

Mainly for reauthentication with third party implementations, we allowed to
reuse an online lease, but only for the same peer identity and when it
explicitly requested the same address.

This has always been problematic, because it changes the reqid of the CHILD_SA
with the same traffic selectors, breaking the old tunnel. As we now reject
such policy overwrites, this usually lets the installation of the new policies
fail. We therefore disable reassignment of online leases by default.

mem-pool: replace per-identity online/offline lists by more efficient arrays

This saves two lists per connected peer identity, up to 0.4KB.

mem-pool: refcount online lease when reassigning it to another tunnel

When we reassign an online lease for the same peer, we have to refcount it.
Otherwise we would set it offline if one of the tunnels goes down, but it is
actually still in use by a the second tunnel. This can finally lead in
assigning the same virtual IP to different peers.

ikev1: Always send ID payloads (traffic selectors) during Quick Mode

Especially Windows 7 has problems if the peer does not send ID payloads
for host-to-host connections (tunnel and transport mode).

Fixes #319.

watcher: Made notify array initialization compatible with older GCC versions

unit-tests: Add additional tests for host_t

imv-attestation: Properly measure complete directories

array: Number of items in get_size() is unsigned

Otherwise, array->esize is promoted to int and if array->esize * num
results in a value > 0x7fffffff the return value would be incorrect due
the implicit sign extension when getting cast to size_t.

stream: Ensure UNIX socket path is null terminated

kernel-pfkey: Add sanity check when deleting policies

imv-os: check_packages() fails if product query fails

pkcs5: Add missing break statements when checking crypto primitives

imv-scanner: Properly check snprintf() return value

socket-dynamic: Properly initialize IPv6 address

unit-tests: Add test for host_create_netmask()

host: Prevent overflow in host_create_netmask() if mask is 0 or 32/128

imv-attestation: Use proper cast for length when using %.*s

tnc-ifmap: Use proper cast for length when using %.*s

capabilities: Proper error handling when reading groups

strongswan.conf: Moved some stuff around

ipsec: Add --piddir to retrieve the PID/socket directory

starter: Properly refer to the ipsec script if it was renamed

coupling: Fix call to call_hook()

strongswan.conf: Add missing options

charon-xpc: Use correct namespace when setting default settings

tnc-pdp: Fix reading port setting from strongswan.conf

fixed typo

updated some TNC scenarios

processor: force synchronous execute_job() if set_threads(0) has been called

During daemon shutdown, some idle threads might be lingering around even if
set_threads(0) already has been called. To avoid any races, we enforce
synchronous execution of the job.

proposal: correctly enumerate registered AEADs to build default IKE proposal

AEADs are not returned (anymore) with the encryption enumerator.

Version bump to 5.1.0rc1

tkm: Properly refer to includes now that AM_CPPFLAGS is used

keychain: Use AM_CPPFLAGS instead of INCLUDES

Fix various API doc issues and typos

Partially based on an old patch by Adrian-Ken Rueegsegger.

identification: parse identities having a "@@" prefix as ID_RFC822_ADDR

Original patch by Gerald Richter.

NEWS: mention watcher and stream services

Merge branch 'ipc-service'

Adds network transparency and TCP support to the IPC interfaces of different
plugins using the new stream and stream service classes. A central watcher
thread can watch multiple file descriptors to handle connection requests
for these and other services using only a single thread.

stream-service: move CAP_CHOWN check from plugins to service constructor

A plugin service can be a TCP socket now, so it does not make much sense
to strictly check for CAP_CHOWN.

processor: remove the now unused get_threads() method again

watcher: use processors new execute_job() to notify FDs

Just queueing is problematic, as all threads might be busy waiting for events
that the queued (but never executed) job delivers.

processor: add an execute_job() method to directly execute an important job

If all worker threads are busy and waiting for an event, we must ensure that
a job delivering that event gets executed. This new method has this property
for CRITICAL jobs, using a worker if we have one, but executing the job directly
if not.

watcher: properly support multiple watch callback types for the same FD

watcher: read multiple notifications if available

Use non-blocking I/O on the read end of the notify pipe. This also makes sure
the read does not block should select() signal data while there is none.

certexpire: add an option to enforce exporting trustchains having a private key

error-notify: catch and forward some alerts related to certificate validation

bus: raise certificate validation alerts using credential manager hook

credmgr: introduce a hook function to catch trust chain validation errors

lookip: double size of id field in message

error-notify: increase size of string/identity fields in messages

whitelist: use a read-copy when listing entries

While this requires a little more overhead, we can free the lock should the
stream block, allowing other threads to add/remove entries.

whitelist: fix error handling when creating the socket fails

lookip: fix error handling when creating the socket fails

error-notify: fix error handling when creating the socket fails

kernel-pfroute: use watcher to receive kernel events

kernel-pfkey: use watcher to receive networking events

kernel-netlink: use watcher to receive kernel events for net/ipsec

eap-radius: use watcher instead of receiver thread on DAE socket

dhcp: use watcher instead of dedicated receiver thread

farp: use watcher instead of dedicated receiver thread

load-tester: use a stream service to dispatch control connections

whitelist: use a stream service to accept client connections

Use SOCK_STREAM, as we don't have SOCK_SEQPACKET on TCP. To have network
transparency, the message now uses network byte order.

lookip: use stream service with async I/O dispatching

Now uses SOCK_STREAM, as SOCK_SEQPACKET is not available over TCP. To have
network transparency, the message now uses network byte order.

error-notify: use a stream service to accept client connections

As TCP does not have SOCK_SEQPACKET, we now use SOCK_STREAM for the error-notify
socket. To have network transparency, the message now uses network byte order.

duplicheck: use a stream service to accept client connections

As we can't use SOCK_SEQPACKET over TCP, we now have to provide message
boundaries ourselves. We do this by appending a 16-bit length header to each
sent duplicate identity.

stroke: use a stream service to handle stroke requests

stream: allow async read/write callback to destroy the stream explicitly

stream: don't close underlying socket when creating a stream from it

watcher: add some debugging statements

watcher: if the processor has no threads, execute the job with watcher thread

This is important during shutdown, where we might need to signal some FDs while
all idle threads are gone already.

processor: add a getter for the threads passed to set_threads()

watcher: unregister a watcher FD if its thread gets cancelled

watcher: release threads waiting in remove() when watcher thread gets cancelled

During daemon shutdown, users might call remove() after processor.set_threads(0)
has been called. This gets problematic, as a watch event might be unable
to signal completion when no threads are available anymore. Work around this
issue by cancelling waiters once processor.cancel() has been called.

stream: support keeping the service alive outside of service callback

stream: add read/write_all() methods to stream

stream: support cancellation of stream service callback

stream: use a service constructor to create services

It does not make much sense to reference running services in the manager,
especially as unregistration would need the URI (which a user would have to
store instead of the service reference).

stream: replace print/vprint() convenience functions by a FILE* getter

While this will complicate the implementation of streams not based on a fd,
it allows us to unleash the full power of FILE based convenience functions.

stream: add a concurrency option to services, limiting parallel callbacks

stream: add a job priority option to stream services

stream: add backlog option to stream services, forward to listen()

stream: add support for TCP stream services

stream: add support for TCP streams

stream: add support for UNIX stream services

stream: add support for UNIX streams

stream: support async operation using watcher

stream: add printf()-style covenience functions

stream: create library instance of stream-manager

stream: add a manager to dynamically register streams and services

stream: add a stream service class abstracting services using BSD sockets

stream: add a stream class abstracting BSD sockets

Currently only synchronous operation is supported, but this will be extended
with asynchronous methods using the new watcher.

watcher: add a centralized an generic facility to monitor file descriptors

kernel-pfkey: Fail route installation if remote TS matches peer

kernel-libipsec: Fail route installation if remote TS matches peer

capabilities: Some plugins don't actually require capabilities at runtime

capabilities: Add function to check if a capability is held, without keeping it

This can be useful if capabilities are not required anymore after
dropping privileges.

NEWS: leak-detective improvements

NEWS: add keychain plugin

autoconf: replace autogen.sh custom script with a call to autoreconf -i

automake: replace INCLUDES by AM_CPPFLAGS

INCLUDES are now deprecated and throw warnings when using automake 1.13.
We now also differentiate AM_CPPFLAGS and AM_CFLAGS, where includes and
defines are passed to AM_CPPFLAGS only.