use correct length for session_context_id and write a shorter value, to fit into it

Tell OpenSSL that the data is gone

Quiet compiler warning

Reorder error message so we don't have use after free

Initialize the structure

Initialize all of the structure

Free memory on error

Free memory on instantiation error

Free memory on error

Close fp on error

Call closedir() on error

Don't leak on malformed packets

Catch case where User-Name may be > 250 octets

Only "string" can have "encrypt=2"

Add FALL-THROUGH for 'case' without 'break'

Add FALL-THROUGH for 'case' without 'break'

Unlink file only if it exists

Check auth_pool_name

Add port if it's available

Check passed parameter

Error if there is no detail file listener

Fix sizeof() checks found by coverity

Clean up error message so it makes more sense

Update to version 2.2.0

We don't want to release a 2.1.13 :)

Free cached VPs when SSL says that the session is freed

Added example for radrelay

Switch to SHA1 for message digest

MD5 has been attacked.  We shouldn't use it

Update dependencies so that it works in more situations

Added F5 dictionary, as posted to the list

Tie radrelay && detail writer together

So that people can read the documentation and examples
and have it work

Fix typo

compare type to RAD_LISTEN_DETAIL

Update RADIUS Dictionary Aruba

Last set of changes

Drop dead link

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Now it's possible to include Zyxel's dictionary by default

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Another one attribute

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Proper VENDOR value for Zyxel

Signed-off-by: Peter Lemenkov <lemenkov@gmail.com>

Load "server {...}" sections properly

Be more graceful if caller passes us a NULL ptr

Note changes for 2.1.12

Added SecurID module

Don't really open sockets if we're doing -C

Acct-Session-Id from Cisco exceeds 64 bytes.  Extend it.

Add radpostauth/radhuntgroup tables to the oracle schema

Added missing post-auth configuration

Always send Message-Authenticator in radtest

Originally Message-Authenticator was introduced to provide message
integrity for EAP messages and originally the Message-Authenticator
attribute was only required for EAP messages.

But then RFC 5080 came along and suggested Message-Authenticator
always be sent as best practice.

   Any Access-Request packet that performs authorization checks,
   including Call Check, SHOULD contain a Message-Authenticator
   attribute.

RFC 5080 then goes on to say:

   ... server implementations may be configured to require the
   presence of a Message-Authenticator attribute in Access-Request
   packets.  Requests not containing a Message-Authenticator attribute
   MAY then be silently discarded.

The raddb/clients.conf has this configuration option to satisfy the
above suggestion in RFC 5080:

   require_message_authenticator = no|yes

If require_message_authenticator == yes then non-EAP auth-requests
generated by radtest will fail because currently radtest only supplies
the Message-Authenticator if EAP is being performed. With modern
Radius servers (e.g. FreeRADIUS) there is no harm in providing the
Message-Authenticator attribute for non-EAP packets, in fact it's
actually recommended in RFC 5080.

Therefore radtest should ALWAYS send the Message-Authenticator
attribute. If it's EAP or if the server is configured with
require_message_authenticator it must be present. If those conditions
do not hold it's benign. However if require_message_authenticator is
configured radtest will fail for non-EAP.

As posted to the list

Fixed typo

Add missing "man" files

Note changes

radsniff: decoding encrypted attributes

Save authentication requests and use them to properly decode
entrypted attributes in matching replies.

Also decode encrypted attributes in CoA requests. Some VSAs
can be encrypted in CoA requests using a null vector.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Merge pull request #19 from angdraug/v2.1.x_rlm_sql_acct_noop_start

rlm_sql acct noop Accounting-Start fix

Revert "Remove values for Auth-Type, these values were only defined for legacy reasons"

This reverts commit 296fcf9576394de5bf943e257a8d64751feaf636.

Removing Auth-Type = {Accept, Reject, MS-CHAP} breaks the server

Fix rlm_sql noop for accounting start

When 6ed9727 was merged, else{} in the START case got placed against the
wrong if(). Unlike STOP and ALIVE cases, in START insert comes first,
and we only care if that affects 0 rows. If insert fails and we have to
go for an update, we don't have to check for NOOP because we can assume
the insert failed due to a conflicting row already in the database.

Note more changes

Document all command line args & add missing man pages

Go through every installed command and verify:
  * There exists a man page for the command, if not create one
  * For every command line arg in each command:
    - Assure the arg appears in the synopis section of the man page
    - Assure the arg is documented in the options section of the man page
    - Assure the arg is documented in the "usage" emitted by the command

In addition to the above this patch also does:

* Clean up captitalization & the use of terminating periods.
* Removed superfluous unused l option from the getopt format string
  of radwho
* Remove rlm_ippool_tool.pod, superseded by rlm_ippool_tool.8 man page

The follow new man pages were added:

man/man1/smbencrypt.1
man/man5/checkrad.5
man/man8/radconf2xml.8
man/man8/radcrypt.8
man/man8/radsniff.8
src/modules/rlm_dbm/rlm_dbm_cat.8
src/modules/rlm_dbm//rlm_dbm_parse.8
src/modules/rlm_ippool/rlm_ippool_tool.8

Note which Auth-Type we're creating

Note recent changes

Make warning message more coherent

WARNING on potential proxy loop

Fixed long-standing typos

I guess no one ever used this...

Remove values for Auth-Type, these values were only defined for legacy reasons

Fixed typo

Document max_queue_size

Limit complaints to 1/s, not 1/packet

Fixed typo

Document keepalive

Fixed typo

Updated copyright year

Complain if password is !UTF-8

for the "shared secret is incorrect" check.  The old code
checked for "printable" characters.  Changing it to a check for
!UTF-8 is more general, and likely more robust with fewer false
positives

Allow entry if UID or GID match

More updates

Added %{rand:...} to generate uniformly distributed random numbers

Add support for NAS implementing standard IEEE802.1X mib (Tested against ProCurve 3500)

Fix regular expressions to work with recent versions of snmp_get (should still be backwards compatible)

Bump for 2.1.12

Note policy for filtering user names

Enable possibility for ecdh by default

Note recent changes

Enable elliptical curve cryptography

More/better documentation

radmin: fixup error message when attemting to delete non-dynamic client

commit b9e5dd2c changed the command syntax in line with docs, but failed
to update the error message accordingly.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

radmin: make "del client ipaddr" command behave as documented

Fixes this error:

 radmin> del client ipaddr 192.168.168.111
 ERROR: Must specify <ipaddr>

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Note recent changes

Add mkdir, based on patch from Oliver Schroder

This lets the module put logs into automagically created subdirs

Should use 8th capture group for Called-Station-ID rewrite

Catch sub-realms && example.net, too

Clean up debug message

Allow empty strings to mean NULL

this lets us specify the default (i.e. NULL) virtual server

Note recent updates

Add conflicting starent dictionary from bug #159

Updated with edits from bug #159

Added siemens dictionary

Adding new attributes to the ERX dictionary

This should make it compatible with JUNOSe version 12.1.1
and JUNOS version 11.2.

Signed-off-by: Bjørn Mork <bjorn@mork.no>

Replace stale version of oracle configure script with one generated from current version of configure.in (now supports library versions 9, 10, 11 instead of just 10

Check cert validity

In the process of checking the OCSP response there are only checks for the
correct signed OCSP answer in the function ocsp_check()
(src/modules/rlm_eap/types/rlm_eap_tls/rlm_eap_tls.c:349).

The problem is that the current code does not check the status of the certificate.
For example if a certificate is revoked. Thus, a user with a revoked certificate
is able to bypass the verification.

Added HUP on log rotate

Note URL on how to create various passwords

More fixes for DHCP relaying

Allow it to send offers

When in debugging mode, print out VPs from header

Merge pull request #12 from angdraug/v2.1.x_linelog_permissions_v2

Configurable file permissions in rlm_linelog