radsniff: decoding encrypted attributes

Save authentication requests and use them to properly decode
entrypted attributes in matching replies.

Also decode encrypted attributes in CoA requests. Some VSAs
can be encrypted in CoA requests using a null vector.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Note which Auth-Type we're creating

Made more coherent

Make warning message more coherent

WARNING on potential proxy loop

Fixed long-standing typos

I guess no one ever used this...

Remove values for Auth-Type, these values were only defined for legacy reasons

Fixed typo in huntgroup name addition

Document max_queue_size

Twigged blocked messages && logic

No one uses this

Fixed typo

Document keepalive

Updated copyright year

NULL out fields after they've been free'd

Complain if password is !UTF-8

for the "shared secret is incorrect" check.  The old code
checked for "printable" characters.  Changing it to a check for
!UTF-8 is more general, and likely more robust with fewer false
positives

Ignore more files

Allow entry if UID or GID match

Added %{rand:...} to generate uniformly distributed random numbers

Added "integer64" for 64-bit integer VSAs

Fix strict aliasing complaint

Add support for NAS implementing standard IEEE802.1X mib (Tested against ProCurve 3500)

Fix regular expressions to work with recent versions of snmp_get (should still be backwards compatible)

Pings don't have request->packet, and are never CoA or Disconnect

Note policy for filtering user names

Enable possibility for ecdh by default

Enable elliptical curve cryptography

Manual commit of 1bca962

More/better documentation

Ignore more files

Spelling corrections

Fix for libfreeradius3

Use 3.0 API

Status-Server isn't enabled for TLS yet

Merge pull request #17 from bmork/del-client-fix2

radmin: fixup error message when attemting to delete non-dynamic client

radmin: fixup error message when attemting to delete non-dynamic client

commit b9e5dd2c changed the command syntax in line with docs, but failed
to update the error message accordingly.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Merge pull request #16 from bmork/del-client-fix

radmin: make "del client ipaddr" command behave as documented

radmin: make "del client ipaddr" command behave as documented

Fixes this error:

 radmin> del client ipaddr 192.168.168.111
 ERROR: Must specify <ipaddr>

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Use confdir instead of raddbdir

Add mkdir, based on patch from Oliver Schroder

This lets the module put logs into automagically created subdirs

Add support for "signed", just like integer64

Should use 8th capture group for Called-Station-ID rewrite

More log message clenups

Use more radlog_request() for proxy messages

Fix compiler warnings

Catch sub-realms && example.net, too

Clean up debug message

Pull integer64 fixes over from dictionary.starent

Allow empty strings to mean NULL

this lets us specify the default (i.e. NULL) virtual server

3.0 supports "integer64" data types

Add conflicting starent dictionary from bug #159

Updated with edits from bug #159

Added siemens dictionary

Note integer64 data type

Add support for encoding/decode 64-bit integers inside of TTLS

Allow integer64 in filtering "update" lists

Add integer64 to xlat

Allow comparisons for integer64 data type

Initial support for integer64 data type

Can print/parse encode/decode them, and read them from dictionaries

The rest of the code (unlang, eval, etc) needs to be audited to
support the new data type

Added FreeDHCP dictionary

Removed DOS line endings

Merge pull request #13 from bmork/dictionary-updates

Adding new attributes to the ERX dictionary

Adding new attributes to the ERX dictionary

This should make it compatible with JUNOSe version 12.1.1
and JUNOS version 11.2.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Do record_minus to reset buffer, instead of just memcpy

Manual merge of f74583d2483d0a5f764c452788dcfc33de2bbb4b

Check cert validity

In the process of checking the OCSP response there are only checks for the
correct signed OCSP answer in the function ocsp_check()
(src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c:349).

The problem is that the current code does not check the status of the certificate.
For example if a certificate is revoked. Thus, a user with a revoked certificate
is able to bypass the verification.

Added HUP on log rotate

Note URL on how to create various passwords

support for PCRE

More fixes for DHCP relaying

Allow it to send offers

When in debugging mode, print out VPs from header

Configurable file permissions in rlm_linelog

Add connection pool API

Currently unused, but it should be nice...

Replace stale version of oracle configure script with one generated from current version of configure.in (now supports library versions 9, 10, 11 instead of just 10

Add NAI policy for use in post-proxy

Remove the last of the spaces, re-align query column lists, Change post-auth query to use SQL-User-Name

Use config value expansion instead of xlat expansion

Allow config sections "name2" to be expanded at load time

Replace 8 spaces by tabs

Increase size of log buffer

Get rid of some absurd warnings

Update debian packaging for v3

Fixes for v3 API

Make UDPfromto code build

DHCP compile fixes

reset timer on receiving reply from home server

This lets the reject_delay = 1 code work.
Otherwise, the timer for the request will be left at "wait for
reply from home server", which is wrong.

There is likely still a race condition, which will be fixed when
the "request->proxy" pointer is an actual request.

save all attributes in the Access-Accept when proxying EAP-MSCHAPv2 as plain MSCHAP, and restore on the final Access-Accept

Don't enable Class by default

Fix xlat expansion of values assigned in rlm_attr_filter

Remove comparison that was generating compiler warning

Initialize answer variable

chown if uid or gid is set

Allow idle_timeout to be zero

And abstract jitter command

Fix debugging to use initialized buffer

Don't need original packet when proxying

Get peer id on new socket, not old one

Set ownership of domain socket when starting

Allow root to connect to control socket

Even if the configured "allowed UID" has a different value.
They're root, so they can do anything.  We might as well be polite.

Server closing connection returns 0

We should close our end and complain in that case.
Bug found by Brian Candler

Use correct length

Add relax-filter check item to override the relaxed config item on a filter by filter basis

Add 'relaxed' option to rlm_attr_filter, when 'yes' attributes which do not explicitly match any filter rules are still copied.

Convert Class to string before attempting to do a pattern match