Re-order LIBS <-> -lpthread

-lpthread MAY need other libraries.  So adding it first is a good idea.

Added dictionary.terena

Allow for new state transition on failure

if our RESPONSE gets a FAILURE message, it means that the
supplicant doesn't like our password.  Rather than complaining
about unexpected response, just send failure.

There might not be a reply

Decode encrypted VSAs in requests

Incoming CoA requests can contain encrypted VSAs.  At least one
vendor is known to use this. These VSAs must be decrypted before
being proxied to enable the server to re-encrypt them using
the correct home server secret.

Fix by attempting to decode any encrypted request attribute using
a static vector of \0 bytes.

This also fixes debug logging of encrypted request attributes.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Added "Interim-Update" as a copy of "Alive"

Set "close on exec" flag

Just to be safe.

Added support for {BASE64_MD5}

Set self request to NULL

Which allows spare threads to be cleaned up

Check expansion in cf_expand_variables

Closes Debian bug #662194

Fix for OSX Lion

Set src_ipaddr for STATUS_SERVER packets

Updates as per recent documentation

Client certs are signed by the CA, not by the server

Fix typo

Use names for logging parameters, and correct values

Warn if we can't shut down modules cleanly

Don't close connections that are in use.

Try to use identity from SIM protocol, not EAP-Identity

Document MySQL character set issues

Patch from Stefan Winter

New dictionary

New purewave dictionary

emoved "experimental" warning

Added User-Role attribute

Change ports to not conflict with inner-tunnel

Fix EAP-Type values

Noticed by Stefan Winter

Directories need to be +x

Cache the TLS-* attributes for fast session resumption

So that the user can re-do all of the checks

Update documentation on attribute assignment for certs

Automatically make directories

Create common name only if there's a subject

Otherwise OpenSSL returns the common name from the issuer cert

strncpy is evil.  Don't use it.

Print abinary values without delimiters, unless requested by caller.

heck for account and password expiration

Fix typos

Add "syslog_facility" to rlm_linelog

Document it.  Export the facility name to integer table
from mainconfig.c

Note recent changes

Merge pull request #47 from mcnewton/patch-debian

small fixes mainly to debian packaging

minor fixes to debian packaging

rlm_sql.libs.diff needed updating after libtool changes
chmod in debian/rules broke with umask set
ln -s in debian/rules stopped a rebuild working
debian/rules clean correctly wipes wimax makefile, which shouldn't be in git

Add the DHCP dictionary by default

Enable DHCP by default

MD5 -> SHA1 changes

to match the changes in the default configs

Use non-zero timeout in pcap_open_live

http://www.tcpdump.org/pcap.html says:

  to_ms is the read time out in milliseconds (a value of 0 means
  no time out; on at least some platforms, this means that you may
  wait until a sufficient number of packets arrive before seeing
  any packets, so you should use a non-zero timeout)

Nice..

Put quotes around string

Fix typo.  "post-auth", not "postauth"

OCSP_REQ_CTX is only in newer versions of OpenSSL

Add OCSP softfail option

Normally, failure to get an OCSP response (rather than failure to validate)
will reject the client. This allows that type of failure to still succeed.

Add OCSP timeout option

Ability to reduce the amount of time waited for an OCSP response, for
example the responder is not currently available.

Fix for FreeBSD closes bug #190

Because apparently FreeBSD can't figure out that
"memset" of a struct to zero means "set the ENTIRE struct to zero"

Fix typo

Use the RADIUS SQL IP Pool module to allocate addresses for DHCP

This commit adds MySQL-specific queries for DHCP in ippool-dhcp.conf,
a sample configuration for the sqlippool module in dhcp_sqlippool,
examples of using it in sites-available/dhcp,
and "glue" policies in policy.conf

Note that updating ARP must be done as root

Fix location of label to avoid compiler warnings

Merge pull request #43 from mcnewton/patch-linelog-group

add group option to rlm_linelog

Merge pull request #42 from mcnewton/patch-detaillog-group

add group option to rlm_detail

Merge pull request #41 from fajarnugraha/v2.1.x-debian-enhancement

V2.1.x debian enhancement

Updated freeradius.init from Debian's 2.1.10+dfsg-2

This commit applies changes to debian/freeradius.init on Debian's
2.1.10+dfsg-2, by Josip Rodin <joy-packages@debian.org>.

Relevant changelog from Debian's 2.1.10+dfsg-2 changelog:
* force-reload switches from restart to reload, per policy 9.3.2.

Updated preinst, postinst, and prerm script from Debian's 2.1.10+dfsg-2

This commit applies changes to preinst, postinst, and prerm script on
Debian's 2.1.10+dfsg-2, by Josip Rodin <joy-packages@debian.org>.

Relevant changelog from Debian's 2.1.10+dfsg-2 changelog:
...
We now have to send SIGHUP to the daemon as a postrotate
action, which makes it reopen log files and continue normally.
...
* However, the latter signal also makes the server re-read configuration
  files, but unlike the initial server start, this all happens under
  the unprivileged user. That in turn means that if by any chance there
  is any part of FR configuration that happens not to be readable by
  group freerad (or whatever non-default is configured), the reload
  will fail, effectively silently, as the log has been moved away. Gah.
  So we have to make an effort to ensure that the configuration files
  are still readable by that user, otherwise the reload fails and the
  aforementioned bug is not fixed. The files seem to revert to
  root:root upon conffile actions, at least that's what happened to me
  and I think that was the cause. So, on upgrade, try to re-apply the
  dpkg-statoverrides on our /etc/freeradius/* stuff, whatever they are,
  under the assumption they will let the freerad group read config files
  as is the initial setup. (I wish dpkg-statoverride --update $file
  just did the right thing, but it doesn't, so there's a new local
  function that does that.)
* While doing the latter, noticed that we were checking for directories
  in dpkg-statoverride --list output with trailing slashes, but they
  get output without it, so it was a no-op. Fixed the check by removing
  the trailing slashes. Also then noticed that we were grepping --list
  output, but it takes an optional glob pattern, so saved us that
  pointless grep fork by using that facility, just as described in the
  policy manual.

Updated freeradius.logrotate from Debian's 2.1.10+dfsg-2

This commit applies changes to debian/freeradius.logrotate on Debian's
2.1.10+dfsg-2, by Josip Rodin <joy-packages@debian.org>.

Relevant changelog from Debian's 2.1.10+dfsg-2 changelog:
Since 2.1.9, the daemon stopped reopening the default radius.log file
constantly, which means the default logrotate setup breaks the default
logging. D'oh. We now have to send SIGHUP to the daemon as a postrotate
action, which makes it reopen log files and continue normally.
* Added delaycompress to the logrotate options, just to be on the safe
  side.
* Added a reload action into the init script accordingly, so that the
  right pidfile is picked up (one that can be overridden by the admin
  in /etc/default/freeradius, available since the last release).
* Called reload from the postrotate section, closes: #602815.

Added attributes for RFC 5447

Fix typo in name of rlm_dbm_parser man page

It was rlm_dbm_parse but should be rlm_dbm_parser to match the
executable name. Also fix name in man page.

Merge pull request #38 from mcnewton/patch-2.1-ocsp-nonce

Add option to disable ocsp nonce (patch for v2.1.x)

Change asserts to run-time checks

Note sock->interface

Fix typo

Print out DEBUG message if adding ARP entry failed

Print out values we parse

Add option to be able to disable nonce in OCSP request

Some OCSP responders cannot cope with an OCSP request if nonce
is used so this gives a way to allow freeradius to work with them.

Note recent changes

Add /etc/default/freeradius to debian package

This gives an easy way to supply options to the daemon when
starting it using the init.d script.

Use correct path for DHCP dictionary

Updates to last patch

Fix compiler warnings.
Code formatting.
Divide external timeout by 3 to account for 3x retries hard-coded
into MySQL

Add support for query timeouts

Due to internal MySQL retries, the actual timeout is 3x
the configured value.

Use INCLTDL in CFLAGS

Final fix for system libltdl (or not)

Unix group setting for detail log files

Patch to allow the group to be set when updating detail logs, rather
than being limited to just the group of the running daemon.

Add new 'group' option to rlm_linelog

Allows the group to be set when updating linelogs, rather
than being fixed as the group of the running daemon.

Rename DHCP config items

src_ipaddr and src_interface
instead of interface_ipaddr and arp_interface.

It's a little clearer

"username" and "password" cannot be non-empty for status_check=request

Because some people misconfigure the server.

Note recent changes

Use correct method of recursing into subdirs

Since commit 0347cacfe0f470353, we have a better way of recursing
into subdirs.  Having an explicit test for $(RLM_SUBDIRS), and
then manually recursing into them is wrong.  It causes modules
like rlm_eap to be built twice.

Instead, remove the test for $(RLM_SUBDIRS), and make
$(TARGET).la depend on $(RLM_SUBDIRS)

Add EXEEXT to binaries

Closes bug #188

Add and document -F radutmp_file

Use new dict_valnamebyattr function

Added 'interface_ipaddr' configuration parameter to help freeradius send the DHCP reply packet using interface's IP address as source, and not 'ipaddr' which may be 255.255.255.255 when listening for broadcasts

Remove compiler warning

Use new dict_valnamebyattr function

Use new functions for getting enum name

Added new method to get name of enum from values

This is simpler than having duplicate code throughout the
source.

Fix for latest set of arguments

Initialize authentication vector.

Otherwise proxied packets can have a zero authentication
vector.

Note recent changes

Note that "hashsize=0" is a bad idea

Use "last_found" in a thread-safe manner

It's a thread-local variable, not a variable global to the
configuration.

Note also that much of the rest of the module is poor.
Re-reading the files for every packet is HORRIBLE.  It causes
more threading issues.
Fixed-size hash tables are similarly poor practice.

As posted to the list

Account for EAP header and EAP-MSCHAPv2 opcode

Found by Matt Dayman.

Added "log { use_utc = yes/no }" configuration

More strlen fixes

More strlen fixes

Fixed bad strlen