attr: Silently skip over load option

Prevent 'make distcheck' from complaining about config files we leave in /etc

conf: Create automatically generated config snippets in build dir

conf: Install config snippets in /usr/share/strongswan/templates/config too

conf: Only install config snippets if they don't exist yet

conf: Move load-tester options to plugin specific file

conf: Options of all plugins documented

Some options are still missing descriptions though.

conf: Add logger example config

conf: Converted charon options

conf: Split strongswan.conf(5) man page and use generated snippet

conf: Generate groff snippet for configuration options

conf: Generate strongswan.conf(5) man page in different directory

conf: Generate and install config sippets for option descriptions

The strongswan.d directory is also created relative to the configured
location of strongswan.conf.

conf: Script to convert option descriptions to man page and config snippets added

conf: Create /etc/strongswan.d directory and include .conf files

conf: Simplified strongswan.conf template

conf: Install strongswan.conf template from a separate directory

settings: Add support to enumerate sections and key/value pairs with fallbacks

settings: Implement subsections and key/value pairs with sorted arrays

Is a bit more memory efficient (also due to lazy instantiation) and
lookups for sections with lots of subsections/keys (e.g. charon.plugins) are
faster.

array: Add fallback for qsort_r using thread-local value

Cygwin for example does not support qsort_r.

plugin-loader: Optionally use load option in each plugin section to load plugins

This now works because all plugins use the same config namespace.

If <ns>.load_modular is true, the list of plugins to load is determined
via the value of the <ns>.plugins.<name>.load options.

Using includes the following is possible:

charon {
  load_modular = yes
  plugins {
    include strongswan.d/charon/*.conf
  }
}

charon-cmd {
  load_modular = yes
  plugins {
    include strongswan.d/charon-cmd/*.conf
  }
}

Where each .conf file would contain something like:

<name> {
  load = yes
  <option> = <value>
}

To increase the priority of individual plugins load = <priority> can be
used (the default is 1).  For instance, to use openssl instead of the
built-in crypto plugins set in strongswan.d/charon/openssl.conf:

openssl {
  load = 10
}

If two plugins have the same priority their order in the default plugin
list is preserved.  Plugins not found in that list are ordered
alphabetically before other plugins with the same priority.

array: Add array_bsearch function

array: Add array_sort function

libcharon: Remove unused charon->name

charon-tkm: Use lib->ns instead of charon->name

libcharon: Use lib->ns instead of charon->name

libhydra: Remove unused hydra->daemon

libhydra: Use lib->ns instead of hydra->daemon

libtls: Move settings to <ns>.tls with fallback to libtls

attr-sql: Use namespace for attr-sql config, with fallback

lib: All settings use configured namespace

lib: Add default config fallback for configured namespace

All settings in the configured global namespace fall back to libstrongswan.

unit-tests: Test how settings_t handles some invalid data

settings: Add method that allows to define fallback sections for other sections

The fallbacks are currently only used for single value lookups.
Enumerators are not affected by them.

settings: Make print_key() not rely on null-terminated beginning of key buffer

The key to print (e.g. until the next .) still has to be
null-terminated.

unit-tests: Add tests for includes and file loading in settings_t

settings: Allow empty strings in section key

unit-tests: Add tests for enumerators in settings_t

unit-tests: Add tests for setters in settings_t

unit-tests: Add basic tests for settings_t

lib: Add global config namespace

pool: Typo in Makefile fixed

Merge branch 'sql-install'

SQL schemas and example data (IMV) are now part of the distribution and
installed in $prefix/share/strongswan.  This way no extra copy is needed
for the test suite and distributions can easily pack those files together
with the plugins.

pool: Install SQL schemas from src/pool

This allows us to install the schemas if either the attr-sql or sql
plugin is enabled, since both use the same schema (at least in parts).

sql: Set default values for some fields in addresses table

testing: Use installed PTS SQL schema and data instead of local copy

testing: Use installed SQL schema instead of local copy

libimcv: Install SQL files in /usr/share/strongswan/templates/database

sql: Install SQL schemas in /usr/share/strongswan/templates/database

sql: Remove unused cred.sql snippet

asn1: Support dates before 1970-01-01 (i.e. when time_t gets negative)

On x86 we allow "overflows" around 1969/1970 but not for other dates.

Fixes #509.

asn1: Add additional validation for parsed ASN.1 date/time values

ikev1: Fix config switching due to failed authentication during Aggressive mode

The encoded ID payload gets destroyed by the authenticator, which caused
a segmentation fault after the switch.

Fixes #501.

kernel-pfroute: Don't cache route entries if installation fails

kernel-netlink: Don't cache route entries if installation fails

Fixes #500.

identification: Fix printing of empty RDNs on FreeBSD

On FreeBSD (null) is printed for NULL even if the precision is 0.

tests: Fix test for printing NULL on FreeBSD

Fixed description of ikev1/rw-ntru-psk scenario

Updated test kvm tests to Linux 3.13 kernel

Added ikev1/net2net-ntru-cert and ikev1/rw-ntru-psk scenarios

testing: Add ssh script to distribution

unit-tests: added asn1_parser tests

unit-tests: added some more ASN.1 length tests

leak_detective: Assign return value of realloc to buf

If realloc return a pointer value different from the value to be
reallocated, a double free can occur in this context.

Signed-off-by: Thomas Egerer <thomas.egerer@secunet.com>

rdrand: Provide get_features() regardless of RDRAND availability

As having no get_features() raises a deprecated warning, we return no features
instead.

rdrand: Move RDRAND detection log to level 2

When having RDRAND support, these log messages might be confusing when using
pki or other tools.

updown: Return an empty DNS server enumerator if no IKE_SA available

The one existing caller does not handle a NULL return and always expects
an enumerator; and returning FALSE does not make sense anyway.

Merge branch 'cmd-proposals'

Introduce --ike/esp/ah-proposal options to offer custom proposals, and requests
an IPv6 virtual IP if an IPv6 --remote-ts is given.

Fixes #508.

charon-cmd: Request an IPv6 virtual IP if an IPv6 remote subnet given

charon-cmd: Document new proposal options in manpage

charon-cmd: Add --esp/--ah-proposal options to specify CHILD_SA proposals

charon-cmd: Add an --ike-proposal option to specify non-default IKE proposals

charon-cmd: Block SIGUSR1 on worker threads

To properly shut down charon-cmd with leak reports, only the main thread
should catch SIGUSR1 to shut down the application. Work threads should ignore
SIGUSR1 to avoid any hard application termination.

Document ipsec attest --session command

Allow output of session time in UTC

Added missing semicolon in SQL statements

Added Android 4.3.1 to products database table

Added new Android versions to PTS database

testing: Fetch the FreeRADIUS tarball from the "old" directory

Fixes #483.

unit-tests: Add some test cases for HTTP GET/POST fetches

unit-tests: Fix test_runner_run() apidoc

pki: Declare correct section in pki --issue man page

NEWS: Add unit testing improvements

ike: Restart inactivity counter after doing a CHILD_SA rekey

When doing a rekey for a CHILD_SA, the use counters get reset. An inactivity
job is queued for a time unrelated to the rekey time, so it might happen
that the inactivity job gets executed just after rekeying. If this happens,
inactivity is detected even if we had traffic on the rekeyed CHILD_SA just
before rekeying.

This change implies that inactivity checks can't handle inactivity timeouts
for rekeyed CHILD_SAs, and therefore requires that inactivity timeout is shorter
than the rekey time to have any effect.

child-sa: Add a getter for CHILD_SA install time

Merge branch 'pam-session'

Add support for PAM session management in xauth-pam.

NEWS: Introduce PAM session management

man: Document xauth-pam session option

xauth-pam: Open/close a PAM session for each connected client

Signed-off-by: Andrea Bonomi <a.bonomi@endian.com>

xauth-pam: Sanitize XAuth attributes before passing them to PAM

Merge branch 'vendor-ids'

Refactors IKEv2 vendor ID handling, and introduces some IDs seen when talking
to Cisco devices.

ikev2: Add Cisco FRAGMENTATION vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Add Cisco Copyright vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Add Cisco Delete Reason vendor ID

Courtesy of C.J. Adams-Collier, ZeroLag Communications, Inc.

ikev2: Use a more dynamic vendor ID database, as we use with IKEv1

Merge branch 'chunk-mmap'

Introduces file mmap/munmap() wrappers and provides a fallback if mmap() is not
supported. Replaces all mmap() uses by the new functions.

libpts: Use chunk_map() instead of non-portable mmap()

tnccs: Use chunk_map() instead of non-portable mmap()

pem: Use chunk_map() instead of non-portable mmap()

stroke: Use chunk_map() instead of non-portable mmap()