call afr_atomic_queue_free() instead of talloc_free.  Fixes #4987

force packet type foo when running post-auth-type foo.  Helps with #4980

Clear any old module instances before reloading

Avoids bursting memory usage when reloading large modules e.g. rlm_files
with large data files.

Update panic_action in radiusd.conf (#4986)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

Update panic_action in radiusd.conf (#4985)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

clean up error handling on connection failure.

try_connect() does nothing other than return an error, instead
of doing various cleanups

Error paths from callers of try_connect() now call tls_socket_close()
instead of manually doing various things to clean up the listener.

mutex locks have been somewhat minimized on error paths

remove TLS_MUTEX macro as it's no longer needed

Correctly report the LDAP group a user was found in. Fixes #3084

Remove unused parameter

remove fr_event_fd_want_read() and want_write()

They are no longer needed

buffer outbound proxy data if the socket is not yet connected

and write it out when the socket is connected.

fixes for OSX

SSL_READ and SSL_WRITE are "more negotiation needed"

include <netinet/tcp.h> for TCP_NODELAY

note that realm names comparisons are case insensitive

add Error-Cause = Invalid EAP Packet (Ignored)

when rejecting EAP packets in the pre-proxy stage

don't decode Original-Packet-Code or Message-Authenticator

If we really cared, we'd decode them as unknown attributes

note recent changes

typo

only call OpenSSL functions if we're using OpenSSL

Debian 9 is EOL and no longer in repos

Only set CRL_CHECK if option is set to yes

Report which SSL library libldap is using.

set TCP_NODELAY. Hopefully helps with #3501

include header file

note that we don't support "-=".  Fixes #3475

add "check_crl".  Fixes #4917

do not encode Message-Authenticator for RADIUS/1.1

use "radiusv1_1" for consistency with "disable_tlsv1_1", etc.

as found on the net.

note that the msg_version is the TLS version

and therefore print it as hex

use correct debug message

use "radius_1_1" instead of "radiusv11"

remove debugging

whitespace

allocate and use 32-bit Token

and minor cleanups for debugging, and use Token as ID

minor tweaks to RADIUSv11 flags and debug output

so that we set sock->radiusv11 in only one place, and we don't
print Message-Authenticator when proxying over RADIUSv11

add stub function for linking

add configure flag for RADIUSv11

macros to help with RADIUSv11

remove "radius/1.0" as it's not needed

one more WANT_READ patch.  Helps with #3501

typo

set WANT_READ and WANT_WRITE.  Helps with #3501

typo

add radiusv11 parsing for home servers

implemnt ALPN checks and negotiation in listeners

add radiusv11 parsing for clients

add radiusv11 to tls{} section and parsing

set up RADIUS packet encoder / decoder for RADIUSv11

note recent changes

rearrange so we wake up

add "want_read" and "want_write" callbacks.

note recent changes

give polite message about socket closing

fix ASAN issues.  Fixes #4968

ci: Add ASAN/LSAN options (#4969)

revert to using sock->mutex again

it helps to initialize mutexes.

more mutex locks around common data

block.sh: Add cleanup statement to avoid exit and let the server blocked (#4967)

note recent changes

Script to randomly block connections

use a global mutex for TLS, not a per-socket mutex.

Apparently accessing the SSL_SESSION also requires mutex-protected
access to the underlying SSL_CTX.  So we set a global mutex, which
will slow things down a bit in the contended case.  But it won't
cause blocking issues which stops the server entirely.

Add assert to catch invalid mutex (#4960)

need this, too

add accounting, and do minor cleanups

allow FR_LIBRARY_PATH to pass through, if it's already set

pass FR_LIBRARY_PATH if it's already set

close the TLS socket on TLS errors.

If there's a TLS connection error, then the only way to recover
is to close the socket and start over from scratch.

configuration and scripts to test high load UDP -> TLS proxying

remove extraneous echo

Wrap all uses of ssl_mutexes in the same ifdef

Fix missing phtread destroy (#4957)

As we are calling pthread_mutex_init(), we should call
pthread_mutex_destroy() to release all initialized mutexs.

Fix typo (#4956)

typo

more cleanups

just use OpenSSL thread IDs

which uses the address of "errno".  That is thread-local on all
platforms we care about.

Fix runtime LSAN/ASAN out of bound index (#4942)

Such error:

Process 369882 stopped
* thread #4, name = 'radiusd', stop reason = Out of bounds index
    frame #0: 0x00005555556e7c10 radiusd`__ubsan_on_report
radiusd`__ubsan_on_report:
->  0x5555556e7c10 <+0>: retq
    0x5555556e7c11:      nopw   %cs:(%rax,%rax)
    0x5555556e7c1b:      nopl   (%rax,%rax)
radiusd`__ubsan_get_current_report_data:
    0x5555556e7c20 <+0>: pushq  %rbx
lldb> vt
error: 'vt' is not a valid command.
lldb> bt
* thread #4, name = 'radiusd', stop reason = Out of bounds index
  * frame #0: 0x00005555556e7c10 radiusd`__ubsan_on_report
    frame #1: 0x00005555556e29c6 radiusd`__ubsan::Diag::~Diag() + 214
    frame #2: 0x00005555556e5814 radiusd`handleOutOfBoundsImpl(__ubsan::OutOfBoundsData*, unsigned long, __ubsan::ReportOptions) + 340
    frame #3: 0x00005555556e588e radiusd`__ubsan_handle_out_of_bounds_abort + 46
    frame #4: 0x00007ffff7e2fd5f libfreeradius-radius.so`fr_rand_seed(data=0x000062501c0aeae0, size=20) at radius.c:5019:45
    frame #5: 0x00007ffff7e2f865 libfreeradius-radius.so`rad_decode(packet=<unavailable>, original=<unavailable>, secret=<unavailable>) at radius.c:4551:2
    frame #6: 0x000055555571631d radiusd`client_socket_decode(listener=<unavailable>, request=<unavailable>) at listen.c:2404:9
    frame #7: 0x000055555575df97 radiusd`request_running [inlined] request_pre_handler(request=0x000062501c0aeb70, action=<unavailable>) at process.c:1379:11
    frame #8: 0x000055555575de92 radiusd`request_running(request=0x000062501c0aeb70, action=<unavailable>) at process.c:1676:8
    frame #9: 0x0000555555758f76 radiusd`request_handler_thread(arg=0x0000606000010880) at threads.c:826:3
    frame #10: 0x00007ffff7490402 libc.so.6`start_thread(arg=<unavailable>) at pthread_create.c:442:8
    frame #11: 0x00007ffff751f590 libc.so.6`__clone3 at clone3.S:81
lldb>

call the correct API...

typo

let's remove the timer events when we free the socket, m'kay?

more checks and sanity

allow extended types

fix paths for v3

copy from v4

fix CI

try to shut up clang scan

which assumes (a) this->type == DETAIL, followed by assuming that
(b) this->type != DETAIL

So it's not tracking things correctly as the listener isn't being
changed during all that.

hopefully one last fix

only access "sock" for socket listeners

move "dead" to public value

check EAP header byte 0, too, and add debug messages

add pre_proxy method which catches invalid EAP packets.

Because "._udp.local" is not a valid EAP message

initialize sock better, and mark sockets as dead more often

Fix pthread.h include (#4943)

It needs to avoid:

src/lib/event.c:127:2: error: call to undeclared function 'pthread_mutex_destroy'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
CC src/lib/getaddrinfo.c
        pthread_mutex_destroy(&el->mutex);
        ^
src/lib/event.c:162:9: error: call to undeclared function 'pthread_mutex_init'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
        pthread_mutex_init(&el->mutex, NULL);
        ^
src/lib/event.c:478:2: error: call to undeclared function 'pthread_mutex_lock'; ISO C99 and later do not support implicit function declarations [-Werror,-Wimplicit-function-declaration]
        pthread_mutex_lock(&el->mutex);
        ^

More move @.. to ${Q}... (#4937)

That way we can set Q=@ for quiet, or Q="" for verbose.

CI: use local copies of Docker images

$(Q) -> ${Q}

CI: remove ubuntu 18.04

CI: remove non-Docker path

ci: Add 'sanitizer' build action