Adding new attributes to the ERX dictionary

This should make it compatible with JUNOSe version 12.1.1
and JUNOS version 11.2.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Do record_minus to reset buffer, instead of just memcpy

Manual merge of f74583d2483d0a5f764c452788dcfc33de2bbb4b

Check cert validity

In the process of checking the OCSP response there are only checks for the
correct signed OCSP answer in the function ocsp_check()
(src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c:349).

The problem is that the current code does not check the status of the certificate.
For example if a certificate is revoked. Thus, a user with a revoked certificate
is able to bypass the verification.

Added HUP on log rotate

Note URL on how to create various passwords

support for PCRE

More fixes for DHCP relaying

Allow it to send offers

When in debugging mode, print out VPs from header

Configurable file permissions in rlm_linelog

Add connection pool API

Currently unused, but it should be nice...

Replace stale version of oracle configure script with one generated from current version of configure.in (now supports library versions 9, 10, 11 instead of just 10

Add NAI policy for use in post-proxy

Remove the last of the spaces, re-align query column lists, Change post-auth query to use SQL-User-Name

Use config value expansion instead of xlat expansion

Allow config sections "name2" to be expanded at load time

Replace 8 spaces by tabs

Increase size of log buffer

Get rid of some absurd warnings

Update debian packaging for v3

Fixes for v3 API

Make UDPfromto code build

DHCP compile fixes

reset timer on receiving reply from home server

This lets the reject_delay = 1 code work.
Otherwise, the timer for the request will be left at "wait for
reply from home server", which is wrong.

There is likely still a race condition, which will be fixed when
the "request->proxy" pointer is an actual request.

save all attributes in the Access-Accept when proxying EAP-MSCHAPv2 as plain MSCHAP, and restore on the final Access-Accept

Don't enable Class by default

Fix xlat expansion of values assigned in rlm_attr_filter

Remove comparison that was generating compiler warning

Initialize answer variable

chown if uid or gid is set

Allow idle_timeout to be zero

And abstract jitter command

Fix debugging to use initialized buffer

Don't need original packet when proxying

Get peer id on new socket, not old one

Set ownership of domain socket when starting

Allow root to connect to control socket

Even if the configured "allowed UID" has a different value.
They're root, so they can do anything.  We might as well be polite.

Server closing connection returns 0

We should close our end and complain in that case.
Bug found by Brian Candler

Use correct length

Add relax-filter check item to override the relaxed config item on a filter by filter basis

Add 'relaxed' option to rlm_attr_filter, when 'yes' attributes which do not explicitly match any filter rules are still copied.

Convert Class to string before attempting to do a pattern match

NAI policy should always return updated if the User-Name string matched the format

Fix offset bug in %{string:...}

It prints the correct amount with the correct limits, but
to the wrong location

Be less strict about duplicate virtual servers

If they share the same top-level CONF_SECTION, they're duplicates.

Otherwise, the server is reloading it's configuration, so the new
configuration should be allowed to be loaded.

Section should be post-auth not postauth for cui policy

Remove *all* instances of Reply-Message if there is an EAP-Message in the response

Change default table type for radacct and postauth to be INNODB explicitly. They need an engine that supports row level locking.

Fixup more formatting in polcy.conf and add policy to remove Reply-Messages if the reply also contains an EAP-Message

Add NAI (RFC 4282) User-Name splitting policy

Only use the value of class if its in our specific format

Fixup CUI policies to use the new overloading behaviour

Overload the acct_unique module with a better policy - Should fix some problems with non unique Acct-Session-IDs

Fix formatting for other policies, and add additional internal attributes

Rename some existing policies to make a clear distinction between the special <name>.<section>
policies, and ones which had previously used this convention.

Disallow pings for TCP sockets

The existing UDP ping code assumes that any socket can send to any
server.  This isn't true for TCP sockets.  For them, the pings
have to be specific to each socket.

The RFC 3539 Status-Server watchdog code will fix that.

Handle relayed packets better...

If the request  a client packet, we can relay it using
the existing code.

If the request is a server packet, then it MUST be from
the real server, and we MUST be acting as a relay.  In that
case, set the giaddr to 0.0.0.0, and forward the packet to the
yiaddr.

And do something with broadcast replies...

Allow DHCP-Opcode and DHCP-Hop-Count to be set from VPs.

This makes it easier to relay && respond to clients

Allow giaddr to be updated when relaying

Complain about TLS only if there's a TLS subsection

rlm_mschap: silence gcc buffer overflow detection mechanism

Signed-off-by: Petr Uzel <petr.uzel@suse.cz>

Home servers are unique by proto, too.

Check for duplicates, and print errors if there are duplicates

Fix calculation of response authenticator

The Status-Server packet can get an Accounting-Response
packet in return.  Since the Status-Server has a random
authentication vector, the response needs to be calculated
using that.  We can't use the normal Accounting-Response
calculation.

Oops.  No one found this in RFC 5997.

Fix > vs >= bug

examples of Doxygen on the source base

fclose() frees buffers, too

Simplify TCP socket timers.

All timers are now handled by one function, which makes it easier
to understand.

TCP connections don't ping home servers.

Instead, we should send pings per CONNECTION, not per SERVER.

Program name isn't available here

Will fix it later

If a child process gets a signal to exit, then just exit.

Print out *which* program is causing the delay

Fix > vs >= bug

Don't go too far ahead

if (..){

is OK.  The previous code skipped over the curly brace, assuming
that it was there... the code to check for syntax errors assumed
that the curly brace was not skipped over.  This change fixes
that conflict

Start of work to remove need for libtool && libltdl

For now, we rely on gcc to do most of the heavy lifting for us.
This hinders portability, but people can always fall back to
libtool.

More hacks to make dlopen() work natively

Be more stringent about unexpected text

Releases don't get replied to

Document "max_outstanding" for home servers

Look inside of virtuals for homes

This allows home servers to be tied to virtuals

Tie virtual servers to home servers

If a home is defined in a virtual, proxying from that
virtual will use globally defined homes, OR homes specific
to that virtual

Track parent virtual server in home server.

This will eventually let home servers be defined for each
virtual server.  Right now, it doesn't yet work.

Make home servers unique by source IP, too

Allow policies by section

authorize {
foo
}

will look for first:

policy {
foo.authorize {
...
}
}

and then

policy {
foo {
...
}
}

This allows section-specific overrides for policies and modules.

Allow policies to refer to modules of the same name

policy {
files {
files
...

}
}

Means that you can over-ride the behavior of the "files" module,
and add anything else you need.

New modules && configs for v2.1.11

Convert BEGIN-TLV to tlv.attr

Fix data types

Make "cadir" and "certdir" globals

Remove unnecessary assertion

Fix build issues

Make the certificates on initial install

So that the server doesn't block when it first starts up

Don't look for eap.conf, etc.

they've been moved to the "modules" directory

Fix typo.  Closes bug #150

Note existence of "inner-tunnel"

So that people remember to edit it, too

Split request_receive() into two functions.

One is for sockets, and enforces limits, duplicates, etc.
The other allocates the request and inserts it into the queue,
independent of limits.  This is called directly by the detail
file reader

Make RADCLIENT always have stats structures

It's simpler.

Removed unused prototypes

Fix GCD code for new process functionality

Updated year

Added MS-CHAP-V2

Last set of vp_print fixes

Move \t into vp_print, just like the last commit

vp_print should add a "\n" to the end

All callers already do this, so it's best to move that code
into vp_print

Revert most of the "checked_write" code.

It apparently caused crashes on some machines.  This code
reverts (mostly) back to the original code which worked, but
it should also notice when the disk is full, and return FAIL