bump for 3.2.4

note recent changes

free check_tmp after using it.  Fixes #5035

get length of all EAP-Message attributes too

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

build without TLS

allow for non-blocking TCP connections, too

move unused variable

Add preliminary implementation of TEAP

fix typo.  #5026 and #5028

separate PSK and PMK

document Ruckus-DPSK

add Called-Station-MAC

to get the MAC address as a binary blob

typo.  Fixes #5023

add unconst

as the OpenSSL APIs seem to randomly change what's supposed to be
const or not.  Or, the function definitions don't match the
documentation

only track IDs for CoA tunnel listeners

don't build with CoA tunnel feature by default

don't make the DH file.  It's not needed for OpenSSL >=1.1.0

new dictionary

move code to check for listener

check outer TLV length against MTU

just use hard-coded number

API changes and preparation for allowing outer TLVs

typos

add more EAP types

add definitions for TEAP

add provision for outer TLVs

update for 3.2.4

add check for FreeBSD

release 3.2.3

CI: tidy comments to sync with 3.0

compile fixes

updates from the WBA

updates.  Helps with #5016

compile fixes

move documentation to be in a common location

no need to build or call mutex functions if they're not needed

Debian sid no longer has python2 so we need to handle that

Separate out python2/3 packages for Debian systems

Until now we built whatever the default Python was on the system,
and not build the other module - this was included in the
freeradius package.

Separating it out makes it easier for people to choose which they
want. Recommends dependency on the freeradius package because we
previously bundled the module with that.

mark rlm_cache_redis as stable

It might not be, but nobody will ever know if it's not used...
This gets it built and into the packages.

build fix

separate out NAS-Port from NAS-Port-ID.  Helps with #5010

radutmp and couchbase use NAS-Port for their fields, but SQL uses
NAS-Port-Id.  Which is a string, not an integer.

So update the API to allow for both to be passed.  If there's
NAS-Port-Id, we use it.  Otherwise we use NAS-Port.  So radutmp
and couchbase don't change, and SQL now uses the correct field.

This is a behavior change from earlier.  However, it means that
we are dropping an incorrect NAS-Port, and replacing it with a
NAS-Port-Id.

The only real conclusion here is that almost no one uses simultaneous
use with SQL any more.

LDAP_MAX_CACHEABLE only applies to names which need resolving to DNs

require TLS 1.3 for RADIUS 1.1

note recent changes

Break in rest_request_encode_wrapper when at the end

The old code still ran one more loop once the request has been finished.
This not only included a new memory allocation + move + free, but it
also resulted in the limit argument being effectively cut in half.

return stats for TCP sockets, too.  Fixes #4990

use parent socket for TCP stats.  Helps with #4990

use correct assert.  Fixes #4995

Client Lost: Don't leak the fake request's initial state_ctx, which we replace (#4996)

Quick hacks to allow multiple copies running on the same machine

so that tests don't conflict, and people don't need to coordinate

call afr_atomic_queue_free() instead of talloc_free.  Fixes #4987

force packet type foo when running post-auth-type foo.  Helps with #4980

Clear any old module instances before reloading

Avoids bursting memory usage when reloading large modules e.g. rlm_files
with large data files.

Update panic_action in radiusd.conf (#4986)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

Update panic_action in radiusd.conf (#4985)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

clean up error handling on connection failure.

try_connect() does nothing other than return an error, instead
of doing various cleanups

Error paths from callers of try_connect() now call tls_socket_close()
instead of manually doing various things to clean up the listener.

mutex locks have been somewhat minimized on error paths

remove TLS_MUTEX macro as it's no longer needed

Correctly report the LDAP group a user was found in. Fixes #3084

Remove unused parameter

remove fr_event_fd_want_read() and want_write()

They are no longer needed

buffer outbound proxy data if the socket is not yet connected

and write it out when the socket is connected.

fixes for OSX

SSL_READ and SSL_WRITE are "more negotiation needed"

include <netinet/tcp.h> for TCP_NODELAY

note that realm names comparisons are case insensitive

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

don't decode Original-Packet-Code or Message-Authenticator

If we really cared, we'd decode them as unknown attributes

note recent changes

typo

only call OpenSSL functions if we're using OpenSSL

Debian 9 is EOL and no longer in repos

Only set CRL_CHECK if option is set to yes

Report which SSL library libldap is using.

set TCP_NODELAY. Hopefully helps with #3501

include header file

note that we don't support "-=".  Fixes #3475

add "check_crl".  Fixes #4917

do not encode Message-Authenticator for RADIUS/1.1

use "radiusv1_1" for consistency with "disable_tlsv1_1", etc.

as found on the net.

note that the msg_version is the TLS version

and therefore print it as hex

use correct debug message

use "radius_1_1" instead of "radiusv11"

remove debugging

whitespace

allocate and use 32-bit Token

and minor cleanups for debugging, and use Token as ID

minor tweaks to RADIUSv11 flags and debug output

so that we set sock->radiusv11 in only one place, and we don't
print Message-Authenticator when proxying over RADIUSv11

add stub function for linking

add configure flag for RADIUSv11

macros to help with RADIUSv11

remove "radius/1.0" as it's not needed

one more WANT_READ patch.  Helps with #3501

typo

set WANT_READ and WANT_WRITE.  Helps with #3501

typo

add radiusv11 parsing for home servers

implemnt ALPN checks and negotiation in listeners

add radiusv11 parsing for clients