Changeset 24059


Ignore:
Timestamp:
2010-11-21T15:24:49+01:00 (7 years ago)
Author:
hauke
Message:

freeradius2: update to version 2.1.10

This closes #8252 and #7810

Location:
packages/net/freeradius2
Files:
3 edited

Legend:

Unmodified
Added
Removed
  • packages/net/freeradius2/Makefile

    r24058 r24059  
    99 
    1010PKG_NAME:=freeradius2 
    11 PKG_VERSION:=2.1.9 
    12 PKG_RELEASE:=4 
     11PKG_VERSION:=2.1.10 
     12PKG_RELEASE:=1 
    1313 
    1414PKG_SOURCE:=freeradius-server-$(PKG_VERSION).tar.bz2 
    1515PKG_SOURCE_URL:=ftp://ftp.freeradius.org/pub/freeradius/ 
    16 PKG_MD5SUM:=5e16a0869acdf448b191c7e30f6507d8 
     16PKG_MD5SUM:=8ea2bd39460a06212decf2c14fdf3fb8 
    1717 
    1818PKG_BUILD_DIR:=$(BUILD_DIR)/freeradius-server-$(PKG_VERSION) 
     
    266266  $(call Package/freeradius2/Default) 
    267267  DEPENDS:=freeradius2-mod-sql \ 
    268         +PACKAGE_freeradius2-mod-sql-mysql:libmysqlclient 
     268        +PACKAGE_freeradius2-mod-sql-mysql:libmysqlclient_r 
    269269  TITLE:=MySQL module 
    270270endef 
  • packages/net/freeradius2/patches/002-config.patch

    r22120 r24059  
    1 --- a/raddb/attrs 
    2 +++ b/raddb/attrs 
    3 @@ -1,7 +1,4 @@ 
    4  # 
    5 -#      Configuration file for the rlm_attr_filter module. 
    6 -#      Please see rlm_attr_filter(5) manpage for more information. 
    7 -# 
    8  #      $Id$ 
    9  # 
    10  #      This file contains security and configuration information 
    11 --- a/raddb/attrs.access_reject 
    12 +++ b/raddb/attrs.access_reject 
    13 @@ -1,7 +1,4 @@ 
    14  # 
    15 -#      Configuration file for the rlm_attr_filter module. 
    16 -#      Please see rlm_attr_filter(5) manpage for more information. 
    17 -# 
    18  #      $Id$ 
    19  # 
    20  #      This configuration file is used to remove almost all of the attributes 
    21 --- a/raddb/attrs.accounting_response 
    22 +++ b/raddb/attrs.accounting_response 
    23 @@ -1,7 +1,4 @@ 
    24  # 
    25 -#      Configuration file for the rlm_attr_filter module. 
    26 -#      Please see rlm_attr_filter(5) manpage for more information. 
    27 -# 
    28  #      $Id$ 
    29  # 
    30  #      This configuration file is used to remove almost all of the attributes 
    31 --- a/raddb/attrs.pre-proxy 
    32 +++ b/raddb/attrs.pre-proxy 
    33 @@ -1,7 +1,4 @@ 
    34  # 
    35 -#      Configuration file for the rlm_attr_filter module. 
    36 -#      Please see rlm_attr_filter(5) manpage for more information. 
    37 -# 
    38  #      $Id$ 
    39  # 
    40  #      This file contains security and configuration information 
    411--- a/raddb/dictionary.in 
    422+++ b/raddb/dictionary.in 
    43 @@ -11,14 +11,12 @@ 
     3@@ -11,7 +11,7 @@ 
    444 # 
    455 #      The filename given here should be an absolute path.  
     
    5010 # 
    5111 #      Place additional attributes or $INCLUDEs here.  They will 
    52  #      over-ride the definitions in the pre-defined dictionaries. 
    53  # 
    54 -#      See the 'man' page for 'dictionary' for information on 
    55 -#      the format of the dictionary files. 
    56   
    57  # 
    58  #      If you want to add entries to the dictionary file, 
    5912--- a/raddb/eap.conf 
    6013+++ b/raddb/eap.conf 
     
    6821                #  A list is maintained to correlate EAP-Response 
    6922                #  packets with EAP-Request packets.  After a 
    70 @@ -72,23 +72,8 @@ 
     23@@ -72,8 +72,8 @@ 
    7124                #  for wireless connections.  It is insecure, and does 
    7225                #  not provide for dynamic WEP keys. 
    7326                # 
    7427-               md5 { 
    75 -               } 
    76 - 
    77 -               # Cisco LEAP 
    78 -               # 
    79 -               #  We do not recommend using LEAP in new deployments.  See: 
    80 -               #  http://www.securiteam.com/tools/5TP012ACKE.html 
    81 -               # 
    82 -               #  Cisco LEAP uses the MS-CHAP algorithm (but not 
    83 -               #  the MS-CHAP attributes) to perform it's authentication. 
    84 -               # 
    85 -               #  As a result, LEAP *requires* access to the plain-text 
    86 -               #  User-Password, or the NT-Password attributes. 
    87 -               #  'System' authentication is impossible with LEAP. 
    88 -               # 
    89 -               leap { 
    9028-               } 
    9129+#              md5 { 
    9230+#              } 
    9331  
     32                # Cisco LEAP 
     33                # 
     34@@ -87,8 +87,8 @@ 
     35                #  User-Password, or the NT-Password attributes. 
     36                #  'System' authentication is impossible with LEAP. 
     37                # 
     38-               leap { 
     39-               } 
     40+#              leap { 
     41+#              } 
     42  
    9443                #  Generic Token Card. 
    9544                # 
    96 @@ -101,10 +86,10 @@ 
     45@@ -101,7 +101,7 @@ 
    9746                #  the users password will go over the wire in plain-text, 
    9847                #  for anyone to see. 
     
    10251                        #  The default challenge, which many clients 
    10352                        #  ignore.. 
    104 -                       #challenge = "Password: " 
    105 +#                      challenge = "Password: " 
    106   
    107                         #  The plain-text response which comes back 
    108                         #  is put into a User-Password attribute, 
    109 @@ -118,8 +103,8 @@ 
     53                        #challenge = "Password: " 
     54@@ -118,8 +118,8 @@ 
    11055                        #  configured for the request, and do the 
    11156                        #  authentication itself. 
     
    11863                ## EAP-TLS 
    11964                # 
    120 @@ -130,11 +115,6 @@ 
    121                 #  built, the "tls", "ttls", and "peap" sections will 
    122                 #  be ignored. 
    123                 # 
    124 -               #  Otherwise, when the server first starts in debugging 
    125 -               #  mode, test certificates will be created.  See the 
    126 -               #  "make_cert_command" below for details, and the README 
    127 -               #  file in raddb/certs 
    128 -               # 
    129                 #  These test certificates SHOULD NOT be used in a normal 
    130                 #  deployment.  They are created only to make it easier 
    131                 #  to install the server, and to perform some simple 
    132 @@ -205,7 +185,7 @@ 
     65@@ -205,7 +205,7 @@ 
    13366                        #  In these cases, fragment size should be 
    13467                        #  1024 or less. 
     
    13972                        #  include_length is a flag which is 
    14073                        #  by default set to yes If set to 
    141 @@ -215,7 +195,7 @@ 
     74@@ -215,7 +215,7 @@ 
    14275                        #  message is included ONLY in the 
    14376                        #  First packet of a fragment series. 
     
    14881                        #  Check the Certificate Revocation List 
    14982                        # 
    150 @@ -224,83 +204,74 @@ 
    151                         #    'c_rehash' is OpenSSL's command. 
    152                         #  3) uncomment the line below. 
    153                         #  5) Restart radiusd 
    154 -               #       check_crl = yes 
    155 -               #       CA_path = /path/to/directory/with/ca_certs/and/crls/ 
    156 +#                      check_crl = yes 
    157 +#                      CA_path = /path/to/directory/with/ca_certs/and/crls/ 
    158 + 
    159 +                       # 
    160 +                       #  If check_cert_issuer is set, the value will 
    161 +                       #  be checked against the DN of the issuer in 
    162 +                       #  the client certificate.  If the values do not 
    163 +                       #  match, the cerficate verification will fail, 
    164 +                       #  rejecting the user. 
    165 +                       # 
    166 +#                     check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
    167 + 
    168 +                       # 
    169 +                       #  If check_cert_cn is set, the value will 
    170 +                       #  be xlat'ed and checked against the CN 
    171 +                       #  in the client certificate.  If the values 
    172 +                       #  do not match, the certificate verification 
    173 +                       #  will fail rejecting the user. 
    174 +                       # 
    175 +                       #  This check is done only if the previous 
    176 +                       #  "check_cert_issuer" is not set, or if 
    177 +                       #  the check succeeds. 
    178 +                       # 
    179 +#                      check_cert_cn = %{User-Name} 
    180   
    181 -                      # 
    182 -                      #  If check_cert_issuer is set, the value will 
    183 -                      #  be checked against the DN of the issuer in 
    184 -                      #  the client certificate.  If the values do not 
    185 -                      #  match, the cerficate verification will fail, 
    186 -                      #  rejecting the user. 
    187 -                      # 
    188 -               #       check_cert_issuer = "/C=GB/ST=Berkshire/L=Newbury/O=My Company Ltd" 
    189 - 
    190 -                      # 
    191 -                      #  If check_cert_cn is set, the value will 
    192 -                      #  be xlat'ed and checked against the CN 
    193 -                      #  in the client certificate.  If the values 
    194 -                      #  do not match, the certificate verification 
    195 -                      #  will fail rejecting the user. 
    196 -                      # 
    197 -                      #  This check is done only if the previous 
    198 -                      #  "check_cert_issuer" is not set, or if 
    199 -                      #  the check succeeds. 
    200 -                      # 
    201 -               #       check_cert_cn = %{User-Name} 
    202 -               # 
    203                         # Set this option to specify the allowed 
    204                         # TLS cipher suites.  The format is listed 
    205                         # in "man 1 ciphers". 
    206                         cipher_list = "DEFAULT" 
    207   
    208                         # 
    209 - 
    210 -                       #  This configuration entry should be deleted 
    211 -                       #  once the server is running in a normal 
    212 -                       #  configuration.  It is here ONLY to make 
    213 -                       #  initial deployments easier. 
    214 -                       # 
     83@@ -271,7 +271,7 @@ 
     84                        #  configuration.  It is here ONLY to make 
     85                        #  initial deployments easier. 
     86                        # 
    21587-                       make_cert_command = "${certdir}/bootstrap" 
    216 - 
    217 -                       # 
     88+               #       make_cert_command = "${certdir}/bootstrap" 
     89  
     90                        # 
    21891                        #  Session resumption / fast reauthentication 
    219                         #  cache. 
     92@@ -299,7 +299,7 @@ 
     93                        #  You probably also want "use_tunneled_reply = yes" 
     94                        #  when using fast session resumption. 
    22095                        # 
    22196-                       cache { 
    222 -                             # 
    223 -                             #  Enable it.  The default is "no". 
    224 -                             #  Deleting the entire "cache" subsection 
    225 -                             #  Also disables caching. 
    226 -                             # 
    227 -                             #  You can disallow resumption for a 
    228 -                             #  particular user by adding the following 
    229 -                             #  attribute to the control item list: 
    230 -                             # 
    231 -                             #         Allow-Session-Resumption = No 
    232 -                             # 
    233 -                             #  If "enable = no" below, you CANNOT 
    234 -                             #  enable resumption for just one user 
    235 -                             #  by setting the above attribute to "yes". 
    236 -                             # 
     97+               #       cache { 
     98                              # 
     99                              #  Enable it.  The default is "no". 
     100                              #  Deleting the entire "cache" subsection 
     101@@ -315,14 +315,14 @@ 
     102                              #  enable resumption for just one user 
     103                              #  by setting the above attribute to "yes". 
     104                              # 
    237105-                             enable = no 
    238 - 
    239 -                             # 
    240 -                             #  Lifetime of the cached entries, in hours. 
    241 -                             #  The sessions will be deleted after this 
    242 -                             #  time. 
    243 -                             # 
     106+               #             enable = no 
     107  
     108                              # 
     109                              #  Lifetime of the cached entries, in hours. 
     110                              #  The sessions will be deleted after this 
     111                              #  time. 
     112                              # 
    244113-                             lifetime = 24 # hours 
    245 - 
    246 -                             # 
    247 -                             #  The maximum number of entries in the 
    248 -                             #  cache.  Set to "0" for "infinite". 
    249 -                             # 
    250 -                             #  This could be set to the number of users 
    251 -                             #  who are logged in... which can be a LOT. 
    252 -                             # 
     114+               #             lifetime = 24 # hours 
     115  
     116                              # 
     117                              #  The maximum number of entries in the 
     118@@ -331,8 +331,8 @@ 
     119                              #  This could be set to the number of users 
     120                              #  who are logged in... which can be a LOT. 
     121                              # 
    253122-                             max_entries = 255 
    254123-                       } 
    255 +#                      cache { 
    256 +                               # 
    257 +                               #  Enable it.  The default is "no". 
    258 +                               #  Deleting the entire "cache" subsection 
    259 +                               #  Also disables caching. 
    260 +                               # 
    261 +                               #  You can disallow resumption for a 
    262 +                               #  particular user by adding the following 
    263 +                               #  attribute to the control item list: 
    264 +                               # 
    265 +                               #               Allow-Session-Resumption = No 
    266 +                               # 
    267 +                               #  If "enable = no" below, you CANNOT 
    268 +                               #  enable resumption for just one user 
    269 +                               #  by setting the above attribute to "yes". 
    270 +                               # 
    271 +#                              enable = no 
    272 + 
    273 +                               # 
    274 +                               #  Lifetime of the cached entries, in hours. 
    275 +                               #  The sessions will be deleted after this 
    276 +                               #  time. 
    277 +                               # 
    278 +#                              lifetime = 24 # hours 
    279 + 
    280 +                               # 
    281 +                               #  The maximum number of entries in the 
    282 +                               #  cache.  Set to "0" for "infinite". 
    283 +                               # 
    284 +                               #  This could be set to the number of users 
    285 +                               #  who are logged in... which can be a LOT. 
    286 +                               # 
    287 +#                              max_entries = 255 
    288 +#                      } 
    289                 } 
    290   
    291                 #  The TTLS module implements the EAP-TTLS protocol, 
    292 @@ -324,7 +295,7 @@ 
     124+               #             max_entries = 255 
     125+               #       } 
     126  
     127                        # 
     128                        #  As of version 2.1.10, client certificates can be 
     129@@ -394,7 +394,7 @@ 
    293130                # 
    294131                #  in the control items for a request. 
     
    299136                        #  EAP type which is separate from the one for 
    300137                        #  the non-tunneled EAP module.  Inside of the 
    301 @@ -332,7 +303,7 @@ 
     138@@ -402,7 +402,7 @@ 
    302139                        #  If the request does not contain an EAP 
    303140                        #  conversation, then this configuration entry 
     
    308145                        #  The tunneled authentication request does 
    309146                        #  not usually contain useful attributes 
    310 @@ -348,7 +319,7 @@ 
     147@@ -418,7 +418,7 @@ 
    311148                        #  is copied to the tunneled request. 
    312149                        # 
     
    317154                        #  The reply attributes sent to the NAS are 
    318155                        #  usually based on the name of the user 
    319 @@ -361,7 +332,7 @@ 
     156@@ -431,7 +431,7 @@ 
    320157                        #  the tunneled request. 
    321158                        # 
     
    326163                        # 
    327164                        #  The inner tunneled request can be sent 
    328 @@ -373,13 +344,13 @@ 
     165@@ -443,13 +443,13 @@ 
    329166                        #  the virtual server that processed the 
    330167                        #  outer requests. 
     
    342179                ################################################## 
    343180                # 
    344 @@ -448,26 +419,16 @@ 
     181@@ -518,14 +518,14 @@ 
    345182  
    346183                        #  the PEAP module also has these configuration 
     
    358195+                       proxy_tunneled_request_as_eap = no 
    359196  
    360 -                       # 
    361 -                       #  The inner tunneled request can be sent 
    362 -                       #  through a virtual server constructed 
    363 -                       #  specifically for this purpose. 
    364 -                       # 
    365 -                       #  If this entry is commented out, the inner 
    366 -                       #  tunneled request will be sent through 
    367 -                       #  the virtual server that processed the 
    368 -                       #  outer requests. 
    369 -                       # 
     197                        # 
     198                        #  The inner tunneled request can be sent 
     199@@ -537,7 +537,8 @@ 
     200                        #  the virtual server that processed the 
     201                        #  outer requests. 
     202                        # 
    370203-                       virtual_server = "inner-tunnel" 
     204+               #       virtual_server = "inner-tunnel" 
    371205+                       EAP-TLS-Require-Client-Cert = no 
    372206                } 
    373207  
    374208                # 
    375 --- a/raddb/ldap.attrmap 
    376 +++ b/raddb/ldap.attrmap 
    377 @@ -13,8 +13,7 @@ 
    378  #                          If not present, defaults to "==" for checkItems, 
    379  #                          and "=" for replyItems. 
    380  #                          If present, the operator here should be one 
    381 -#                          of the same operators as defined in the "users"3 
    382 -#                          file ("man users", or "man 5 users"). 
    383 +#                          of the same operators as defined in the "users" file. 
    384  #                          If an operator is present in the value of the 
    385  #                          LDAP entry (i.e. ":=foo"), then it over-rides 
    386  #                          both the default, and any operator given here. 
    387209--- a/raddb/modules/counter 
    388210+++ b/raddb/modules/counter 
     
    396218        count-attribute = Acct-Session-Time 
    397219        reset = daily 
    398 --- a/raddb/modules/detail 
    399 +++ b/raddb/modules/detail 
    400 @@ -46,8 +46,7 @@ detail { 
    401   
    402         # 
    403         #  Every entry in the detail file has a header which 
    404 -       #  is a timestamp.  By default, we use the ctime 
    405 -       #  format (see "man ctime" for details). 
    406 +       #  is a timestamp.  By default, we use the ctime format. 
    407         # 
    408         #  The header can be customized by editing this 
    409         #  string.  See "doc/variables.txt" for a description 
    410 --- a/raddb/modules/exec 
    411 +++ b/raddb/modules/exec 
    412 @@ -15,9 +15,8 @@ 
    413  #  of the program which is executed.  Due to RADIUS protocol 
    414  #  limitations, any output over 253 bytes will be ignored. 
    415  # 
    416 -#  The RADIUS attributes from the user request will be placed 
    417 -#  into environment variables of the executed program, as 
    418 -#  described in "man unlang" and in doc/variables.txt 
    419 +#  The RADIUS attributes from the user request will be placed into environment 
    420 +#  variables of the executed program, as described in doc/variables.txt 
    421  # 
    422  #  See also "echo" for more sample configuration. 
    423  # 
    424220--- a/raddb/modules/pap 
    425221+++ b/raddb/modules/pap 
    426 @@ -4,8 +4,7 @@ 
    427   
    428  # PAP module to authenticate users based on their stored password 
    429  # 
    430 -#  Supports multiple encryption/hash schemes.  See "man rlm_pap" 
    431 -#  for details. 
    432 +#  Supports multiple encryption/hash schemes. 
    433  # 
    434  #  The "auto_header" configuration item can be set to "yes". 
    435  #  In this case, the module will look inside of the User-Password 
    436 @@ -14,5 +13,5 @@ 
     222@@ -14,5 +14,5 @@ 
    437223 #  with the correct value.  It will also automatically handle 
    438224 #  Base-64 encoded data, hex strings, and binary data. 
     
    463249        callerid = "no" 
    464250 } 
    465 --- a/raddb/preproxy_users 
    466 +++ b/raddb/preproxy_users 
    467 @@ -1,6 +1,5 @@ 
    468  # 
    469  #  Configuration file for the rlm_files module. 
    470 -#  Please see rlm_files(5) manpage for more information. 
    471  # 
    472  #  $Id$ 
    473  # 
    474 --- a/raddb/proxy.conf 
    475 +++ b/raddb/proxy.conf 
    476 @@ -566,9 +566,8 @@ home_server_pool my_auth_failover { 
    477  #  This section defines a new-style "realm".  Note the in version 2.0, 
    478  #  there are many fewer configuration items than in 1.x for a realm. 
    479  # 
    480 -#  Automatic proxying is done via the "realms" module (see "man 
    481 -#  rlm_realm").  To manually proxy the request put this entry in the 
    482 -#  "users" file: 
    483 +#  Automatic proxying is done via the "realms" module. 
    484 +#  To manually proxy the request put this entry in the "users" file: 
    485   
    486  # 
    487  # 
    488251--- a/raddb/radiusd.conf.in 
    489252+++ b/raddb/radiusd.conf.in 
    490 @@ -8,11 +8,6 @@ 
    491   
    492  ###################################################################### 
    493  # 
    494 -#      Read "man radiusd" before editing this file.  See the section 
    495 -#      titled DEBUGGING.  It outlines a method where you can quickly 
    496 -#      obtain the configuration you want, without running into 
    497 -#      trouble. 
    498 -# 
    499  #      Run the server in debugging mode, and READ the output. 
    500  # 
    501  #              $ radiusd -X 
    502 @@ -41,14 +36,8 @@ 
    503  #      file, it is exported through the API to modules that ask for 
    504  #      it. 
    505  # 
    506 -#      See "man radiusd.conf" for documentation on the format of this 
    507 -#      file.  Note that the individual configuration items are NOT 
    508 -#      documented in that "man" page.  They are only documented here, 
    509 -#      in the comments. 
    510 -# 
    511  #      As of 2.0.0, FreeRADIUS supports a simple processing language 
    512  #      in the "authorize", "authenticate", "accounting", etc. sections. 
    513 -#      See "man unlang" for details. 
    514  # 
    515   
    516  prefix = @prefix@ 
    517 @@ -66,7 +55,7 @@ name = radiusd 
     253@@ -66,7 +66,7 @@ name = radiusd 
    518254  
    519255 #  Location of config and logfiles. 
     
    524260 # Should likely be ${localstatedir}/lib/radiusd 
    525261 db_dir = ${raddbdir} 
    526 @@ -112,7 +101,7 @@ libdir = @libdir@ 
    527  # 
    528  #  This file is written when ONLY running in daemon mode. 
    529  # 
    530 -#  e.g.:  kill -HUP `cat /var/run/radiusd/radiusd.pid` 
    531 +#  e.g.:  kill -HUP `cat /var/run/radiusd.pid` 
    532  # 
    533  pidfile = ${run_dir}/${name}.pid 
    534   
    535 @@ -290,7 +279,7 @@ listen { 
     262@@ -290,7 +290,7 @@ listen { 
    536263        #  If your system does not support this feature, you will 
    537264        #  get an error if you try to use it. 
     
    542269        #  Per-socket lists of clients.  This is a very useful feature. 
    543270        # 
    544 @@ -317,7 +306,7 @@ listen { 
     271@@ -317,7 +317,7 @@ listen { 
    545272 #      ipv6addr = :: 
    546273        port = 0 
     
    551278 } 
    552279  
    553 @@ -464,9 +453,6 @@ log { 
    554  #      msg_badpass = "" 
    555  } 
    556   
    557 -#  The program to execute to do concurrency checks. 
    558 -checkrad = ${sbindir}/checkrad 
    559 - 
    560  # SECURITY CONFIGURATION 
    561  # 
    562  #  There may be multiple methods of attacking on the server.  This 
    563 @@ -541,8 +527,8 @@ security { 
     280@@ -541,8 +541,8 @@ security { 
    564281 # 
    565282 #  allowed values: {no, yes} 
     
    572289  
    573290 # CLIENTS CONFIGURATION 
    574 @@ -694,10 +680,6 @@ modules { 
    575         # 
    576  #      $INCLUDE sql/mysql/counter.conf 
    577   
    578 -       # 
    579 -       #  IP addresses managed in an SQL table. 
    580 -       # 
    581 -#      $INCLUDE sqlippool.conf 
    582  } 
    583   
    584  # Instantiation 
    585 @@ -722,7 +704,7 @@ instantiate { 
     291@@ -722,7 +722,7 @@ instantiate { 
    586292        #  The entire command line (and output) must fit into 253 bytes. 
    587293        # 
     
    592298        # 
    593299        #  The expression module doesn't do authorization, 
    594 @@ -735,15 +717,15 @@ instantiate { 
     300@@ -735,15 +735,15 @@ instantiate { 
    595301        #  listed in any other section.  See 'doc/rlm_expr' for 
    596302        #  more information. 
     
    611317        # subsections here can be thought of as "virtual" modules. 
    612318        # 
    613 @@ -767,7 +749,7 @@ instantiate { 
     319@@ -767,7 +767,7 @@ instantiate { 
    614320 #      to multiple times. 
    615321 # 
     
    620326 ###################################################################### 
    621327 # 
    622 @@ -777,9 +759,9 @@ $INCLUDE policy.conf 
     328@@ -777,9 +777,9 @@ $INCLUDE policy.conf 
    623329 #      match the regular expression: /[a-zA-Z0-9_.]+/ 
    624330 # 
     
    632338 ###################################################################### 
    633339 # 
    634 @@ -787,15 +769,11 @@ $INCLUDE sites-enabled/ 
     340@@ -787,7 +787,7 @@ $INCLUDE sites-enabled/ 
    635341 #      "authenticate {}", "accounting {}", have been moved to the 
    636342 #      the file: 
     
    641347 #      This is the "default" virtual server that has the same 
    642348 #      configuration as in version 1.0.x and 1.1.x.  The default 
    643  #      installation enables this virtual server.  You should 
    644  #      edit it to create policies for your local site. 
    645  # 
    646 -#      For more documentation on virtual servers, see: 
    647 -# 
    648 -#              raddb/sites-available/README 
    649 -# 
    650  ###################################################################### 
    651349--- a/raddb/sites-available/default 
    652350+++ b/raddb/sites-available/default 
    653 @@ -11,12 +11,6 @@ 
    654  # 
    655  ###################################################################### 
    656  # 
    657 -#      Read "man radiusd" before editing this file.  See the section 
    658 -#      titled DEBUGGING.  It outlines a method where you can quickly 
    659 -#      obtain the configuration you want, without running into 
    660 -#      trouble.  See also "man unlang", which documents the format 
    661 -#      of this file. 
    662 -# 
    663  #      This configuration is designed to work in the widest possible 
    664  #      set of circumstances, with the widest possible number of 
    665  #      authentication methods.  This means that in general, you should 
    666 @@ -67,7 +61,7 @@ authorize { 
     351@@ -67,7 +67,7 @@ authorize { 
    667352        # 
    668353        #  It takes care of processing the 'raddb/hints' and the 
     
    673358        # 
    674359        #  If you want to have a log of authentication requests, 
    675 @@ -78,7 +72,7 @@ authorize { 
     360@@ -78,7 +78,7 @@ authorize { 
    676361        # 
    677362        #  The chap module will set 'Auth-Type := CHAP' if we are 
     
    682367        # 
    683368        #  If the users are logging in with an MS-CHAP-Challenge 
    684 @@ -86,13 +80,7 @@ authorize { 
     369@@ -86,13 +86,13 @@ authorize { 
    685370        #  the MS-CHAP-Challenge attribute, and add 'Auth-Type := MS-CHAP' 
    686371        #  to the request, which will cause the server to then use 
    687372        #  the mschap module for authentication. 
    688373-       mschap 
    689 - 
    690 -       # 
    691 -       #  If you have a Cisco SIP server authenticating against 
    692 -       #  FreeRADIUS, uncomment the following line, and the 'digest' 
    693 -       #  line in the 'authenticate' section. 
    694 -#      digest 
    695374+#      mschap 
    696375  
    697376        # 
     377        #  If you have a Cisco SIP server authenticating against 
     378        #  FreeRADIUS, uncomment the following line, and the 'digest' 
     379        #  line in the 'authenticate' section. 
     380-       digest 
     381+#      digest 
     382  
     383        # 
    698384        #  The WiMAX specification says that the Calling-Station-Id 
    699 @@ -115,7 +103,7 @@ authorize { 
     385@@ -115,7 +115,7 @@ authorize { 
    700386        #  Otherwise, when the first style of realm doesn't match, 
    701387        #  the other styles won't be checked. 
     
    706392  
    707393        # 
    708 @@ -140,14 +128,6 @@ authorize { 
    709         } 
    710   
    711         # 
    712 -       #  Pull crypt'd passwords from /etc/passwd or /etc/shadow, 
    713 -       #  using the system API's to get the password.  If you want 
    714 -       #  to read /etc/passwd or /etc/shadow directly, see the 
    715 -       #  passwd module in radiusd.conf. 
    716 -       # 
    717 -       unix 
    718 - 
    719 -       # 
    720         #  Read the 'users' file 
    721         files 
    722   
    723 @@ -159,28 +139,11 @@ authorize { 
    724  #      sql 
    725   
    726         # 
    727 -       #  If you are using /etc/smbpasswd, and are also doing 
    728 -       #  mschap authentication, the un-comment this line, and 
    729 -       #  configure the 'etc_smbpasswd' module, above. 
    730 -#      etc_smbpasswd 
    731 - 
    732 -       # 
    733         #  The ldap module will set Auth-Type to LDAP if it has not 
    734         #  already been set 
    735  #      ldap 
    736   
    737         # 
    738 -       #  Enforce daily limits on time spent logged in. 
    739 -#      daily 
    740 - 
    741 -       # 
    742 -       # Use the checkval module 
    743 -#      checkval 
    744 - 
     394@@ -177,8 +177,8 @@ authorize { 
     395        # Use the checkval module 
     396 #      checkval 
     397  
    745398-       expiration 
    746399-       logintime 
    747 - 
    748 -       # 
     400+#      expiration 
     401+#      logintime 
     402  
     403        # 
    749404        #  If no other module has claimed responsibility for 
    750         #  authentication, then try to use PAP.  This allows the 
    751         #  other modules listed above to add a "known good" password 
    752 @@ -255,24 +218,6 @@ authenticate { 
    753                 mschap 
    754         } 
    755   
    756 -       # 
    757 -       #  If you have a Cisco SIP server authenticating against 
    758 -       #  FreeRADIUS, uncomment the following line, and the 'digest' 
    759 -       #  line in the 'authorize' section. 
    760 -#      digest 
    761 - 
    762 -       # 
    763 -       #  Pluggable Authentication Modules. 
    764 -#      pam 
    765 - 
    766 -       # 
    767 -       #  See 'man getpwent' for information on how the 'unix' 
    768 -       #  module checks the users password.  Note that packets 
    769 -       #  containing CHAP-Password attributes CANNOT be authenticated 
    770 -       #  against /etc/passwd!  See the FAQ for details. 
    771 -       #   
     405@@ -259,7 +259,7 @@ authenticate { 
     406        #  If you have a Cisco SIP server authenticating against 
     407        #  FreeRADIUS, uncomment the following line, and the 'digest' 
     408        #  line in the 'authorize' section. 
     409-       digest 
     410+#      digest 
     411  
     412        # 
     413        #  Pluggable Authentication Modules. 
     414@@ -276,7 +276,7 @@ authenticate { 
     415        #  be used for authentication ONLY for compatibility with legacy 
     416        #  FreeRADIUS configurations. 
     417        # 
    772418-       unix 
    773 - 
     419+#      unix 
     420  
    774421        # Uncomment it if you want to use ldap for authentication 
    775422        # 
    776         # Note that this means "check plain-text password against 
    777 @@ -307,8 +252,8 @@ authenticate { 
     423@@ -312,8 +312,8 @@ authenticate { 
    778424 # 
    779425 #  Pre-accounting.  Decide which accounting type to use. 
     
    786432        # 
    787433        #  Session start times are *implied* in RADIUS. 
    788 @@ -331,7 +276,7 @@ preacct { 
     434@@ -336,7 +336,7 @@ preacct { 
    789435        # 
    790436        #  Ensure that we have a semi-unique identifier for every 
     
    795441        # 
    796442        #  Look for IPASS-style 'realm/', and if not found, look for 
    797 @@ -341,13 +286,13 @@ preacct { 
     443@@ -346,13 +346,13 @@ preacct { 
    798444        #  Accounting requests are generally proxied to the same 
    799445        #  home server as authentication requests. 
     
    812458 # 
    813459 #  Accounting.  Log the accounting data. 
    814 @@ -357,14 +302,9 @@ accounting { 
     460@@ -362,7 +362,7 @@ accounting { 
    815461        #  Create a 'detail'ed log of the packets. 
    816462        #  Note that accounting requests which are proxied 
     
    820466 #      daily 
    821467  
    822 -       #  Update the wtmp file 
    823 -       # 
    824 -       #  If you don't use "radlast", you can delete this line. 
    825 -       unix 
    826 - 
    827         # 
    828         #  For Simultaneous-Use tracking. 
    829         # 
    830 @@ -373,9 +313,6 @@ accounting { 
    831         radutmp 
    832  #      sradutmp 
    833   
    834 -       #  Return an address to the IP Pool when we see a stop record. 
    835 -#      main_pool 
    836 - 
    837         # 
    838         #  Log traffic to an SQL database. 
    839         # 
    840 @@ -406,7 +343,7 @@ accounting { 
    841  #      pgsql-voip 
     468        #  Update the wtmp file 
     469@@ -414,7 +414,7 @@ accounting { 
     470        exec 
    842471  
    843472        #  Filter attributes from the accounting response. 
     
    847476        # 
    848477        #  See "Autz-Type Status-Server" for how this works. 
    849 @@ -432,10 +369,7 @@ session { 
     478@@ -440,7 +440,7 @@ session { 
    850479 #  Post-Authentication 
    851480 #  Once we KNOW that the user has been authenticated, there are 
    852481 #  additional steps we can take. 
    853482-post-auth { 
    854 -       #  Get an address from the IP Pool. 
    855 -#      main_pool 
    856 - 
    857483+#post-auth { 
    858         # 
    859         #  If you want to have a log of authentication replies, 
    860         #  un-comment the following line, and the 'detail reply_log' 
    861 @@ -461,7 +395,7 @@ post-auth { 
    862         # 
     484        #  Get an address from the IP Pool. 
     485 #      main_pool 
     486  
     487@@ -470,7 +470,7 @@ post-auth { 
    863488 #      ldap 
    864489  
     490        # For Exec-Program and Exec-Program-Wait 
    865491-       exec 
    866492+#      exec 
     
    868494        # 
    869495        #  Calculate the various WiMAX keys.  In order for this to work, 
    870 @@ -505,12 +439,12 @@ post-auth { 
     496@@ -540,12 +540,12 @@ post-auth { 
    871497        #  Add the ldap module name (or instance) if you have set  
    872498        #  'edir_account_policy_check = yes' in the ldap module configuration 
     
    886512 # 
    887513 #  When the server decides to proxy a request to a home server, 
    888 @@ -520,7 +454,7 @@ post-auth { 
     514@@ -555,7 +555,7 @@ post-auth { 
    889515 # 
    890516 #  Only a few modules currently have this method. 
     
    895521  
    896522        #  Uncomment the following line if you want to change attributes 
    897 @@ -536,14 +470,14 @@ pre-proxy { 
     523@@ -571,14 +571,14 @@ pre-proxy { 
    898524        #  server, un-comment the following line, and the 
    899525        #  'detail pre_proxy_log' section, above. 
     
    912538        #  If you want to have a log of replies from a home server, 
    913539        #  un-comment the following line, and the 'detail post_proxy_log' 
    914 @@ -567,7 +501,7 @@ post-proxy { 
     540@@ -602,7 +602,7 @@ post-proxy { 
    915541        #  hidden inside of the EAP packet, and the end server will 
    916542        #  reject the EAP request. 
     
    921547        # 
    922548        #  If the server tries to proxy a request and fails, then the 
    923 @@ -589,5 +523,5 @@ post-proxy { 
     549@@ -624,5 +624,5 @@ post-proxy { 
    924550 #      Post-Proxy-Type Fail { 
    925551 #                      detail 
     
    930556--- a/raddb/users 
    931557+++ b/raddb/users 
    932 @@ -1,6 +1,5 @@ 
    933  # 
    934 -#      Please read the documentation file ../doc/processing_users_file, 
    935 -#      or 'man 5 users' (after installing the server) for more information. 
    936 +#      Please read the documentation file ../doc/processing_users_file. 
    937  # 
    938  #      This file contains authentication security and configuration 
    939  #      information for each user.  Accounting requests are NOT processed 
    940 @@ -169,22 +168,22 @@ 
     558@@ -169,22 +169,22 @@ 
    941559 #      by the terminal server in which case there may not be a "P" suffix. 
    942560 #      The terminal server sends "Framed-Protocol = PPP" for auto PPP. 
  • packages/net/freeradius2/patches/004-ldap_configure.patch

    r17959 r24059  
    483483    { (exit 1); exit 1; }; } 
    484484     ;; 
    485 @@ -1000,16 +1064,16 @@ Try \`$0 --help' for more information."  
     485@@ -1000,16 +1064,16 @@ Try \`$0 --help' for more information." 
    486486     ac_envvar=`expr "x$ac_option" : 'x\([^=]*\)='` 
    487487     # Reject names that are not valid shell variable names. 
Note: See TracChangeset for help on using the changeset viewer.