update test and docs in preparation for removing '&'

Use :: for enum name

require hard-coded RHS for legacy =* and !* operators.

The recommendation for decades has been to use =*ANY or !*ANY.
We now make it official.

Without that check, the "no &" code will expect the RHS to be
an attribute reference, and will fail.

Update the documentation to match.

we don't need "module" here

swap back to default "no" for tmpl_require_enum_prefix

and update the command-line parser to set the global variable

might as well include the Juniper dictionary

Use / require '@' in subrequest, when changing namespaces

Remove '&'

perl -p -i -e 's/([^&])&([a-zA-Z0-9])/$1$2/g' $(git grep -l '&' src/tests/keywords | egrep -v '\.mk')

with an edit for radiusd.conf

require_enum_prefix=yes is now the default

so we don't need it in the configurations.

swap to "require_enum_prefix = yes" by default.

Hopefully some tests will pass.  :)

signal handlers are async. CID #1638648

quiet coverity

stop using multiple intermediate variables, and just switch to
using p / end, as with almost everything else.

RADIUS can only have 64K packets max.  Shuts up Coverity

correct type size check.

not everything is RADIUS

fix up header now that we use BEGIN PROTOCOL

move modification code to locked region.  CID #1638648

alive_clients may be cleaned up out of order

Though arguably this shouldn't happen.  For now, just fix the
crash on exit.  We don't need to debug the issue if we're moving
to the new BIO code.

Typo

move raddb to reference

it's not it's own thing, it's part of the reference for the
server.

move the files

git mv doc/antora/modules/raddb/pages doc/antora/modules/references/pages/raddb

fix up the cross refs

perl -p -i -e 's,xref:raddb:,xref:reference:raddb/,' $(git grep -l xref:raddb .)

fix up doc/all.mk with change thingies

move raddb/nav.adoc into references/nav.adoc, with one more level of nesting

we can't set da->type until later, or else things complain

might as well set da->dict, too

pass da_p to type_parse()

so that it can update or add extensions.

pass da_p

fix: Updated reference to attr.type_parse to use the dict of the decode context, since the da dict is not set until shortly after this call is made.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

remove unused code

should not have been commited with fix 713622c9eaa72

minor updates README.md & install_deps.sh - added link , reworded some lines

Added details to steps, add hyperlinks, updated layout with headers (TOC)

Remove zip instructions

Include timeout duration in debug message

Copy shortname after dynamic client is defined

Scheduled fuzzing: Update src/tests/fuzzer-corpus/cbor.tar

initialize vals.  CID #1638739

give ret the appropriate type (CID #1604602) (#5429)

Declaring ret as ssize_t, the value fr_aka_sim_encode() returns,
avoids the overflow_const error.

Handle edge case in fr_rand_init() and, we suspect, oveflow  (CID #1604611) (#5434)

To handle the rare case of not filling fr_rand_pool.randrsl in a single read,
adjust the location passed to read() to skip what was read in a previous
interation. This is done in a way consistent with the handling of this case
in 3.x, which should also deal with the overflow_sink complaint from Coverity.

Annotate return_overflow in mod_write() (CID #1604620) (#5437)

This is arguably another example of trying to return a value not
representable in the function return type. It's highly unlikely that
anyone will pass a buffer of more than SSIZE_MAX bytes, but Coverity
apparently doesn't consider that.

CIDs #1604605 and #1604616 explicitly do return error values not
representable as int, but a ridiculously large buffer allocation will
fail long before anyone calls mod_write(), so we annotate.

Annotate return_overflow in fr_writev() (CID #1604625) (#5438)

In theory, iovcnt and the amounts written could total to more than
SSIZE_MAX, and when Coverity is looking at fr_writev() rather than
its callers it can't tell. We therefore annotate.

Move coverity-only check ahead of first use (CID #1635782) (#5474)

The check that dctx->dict is non-NULL has to appear before
the first dereference of dctx->dict.

Switch Coverity-only code to assert (CID #1619299) (#5441)

fr_nbo_from_uint64v() does not have an error return--it doesn't
need one. The buffers are big enough, the "| 0x80" means it will
always use as least one byte, so fr_high_bit_pos() won't return 0
even if num == 0. So adding a bogus error return check for Coverity
actually misleads Coverity about any call to fr_nbo_from_uint64v(),
making it the probable cause of the CID.

Co-authored-by: Arran Cudbard-Bell <a.cudbardb@freeradius.org>

quiet a number of coverity issues

copy is_set fields, too

shut up coverity.  CID #1604620

tweak code to satisfy coverity #1633838

Pacify Coverity (#CID 1638651)

Coverity doesn't understand that the limit on the number of parsed
digits prevents an overflow.

Add DR_TACACS_CODE_DO_NOT_RESPOND to TACACS process_state (#CID 1638274)

better handle dynamic clients for connected sockets

don't run "new client" on every connection

no need for destructor

alive clients are talloc'd from the thread, so freeing the thread
will free the clients

clean up messages for BlastRADIUS issues

set "yes" to "1" and "auto" to "2"

The configuration file parsing code parses things before it knows
their data types. Which means that "yes" gets parsed as data type
"bool", with value "1".  It then gets cast to "uint8_t" when
processing the require-ma attribute.  Which just happens to have
"auto" as "1", and "yes" as "2".

Rather than redoing all of the parsing code, we just set "yes"
to "1", which is much safer.

correct check

we shouldn't need to require "add client" or "deny client"

but at least print out what we're doing

correct checks in dict_attr_allow_dup()

so that it actually checks for dups.

clearer errors

call SSL_set_connect_state() when starting client context

added missing dictionaries

update as per recent feature additions

Add dynamic client processing to TACACS state machine

No need to re-write attributes for TACACS dynamic clients

As we haven't done a packet decode, the request pair list will be empty.

Initial packets from TACACS+ dynamic clients can't be decoded

As we don't know the shared secret yet - so just set a sensible packet
code and skip the decode.

Bump PostgreSQL version for FreeBSD tests

Pop box from list before manipulation

fr_value_box_strdup re-initialises the box, which clears the list
pointers, meaning list_remove won't work.

update docs for OSX

port from v3.2.x

sort help text

rename to --show-config.  Fixes #5442

This avoids conflict with clang's --config option.

We should probably instead have a special "--" option which
signifies "end of jlibtool options.

Arguably jlibtool should have

Add libfreeradius-bio-config.so to Debian packaging

add examples as per Juniper documentation

add write_pause API

so that we can pause / buffer / resume writes for possible
performance improvements

Add test of += operator in LDAP update

Add test of LDAP binary data update

And validation that empty / missing expansions don't produce updates

Skip LDAP updates when tmpl produces zero length output

Skip LDAP updates when tmpl produces no boxes

LDAPMod arrays can be dynamically created

Removing the arbitrary limit

Update LDAP accounting / send module calls in tests

These now need to be ldap.accounting.<acct status type> or
ldap.send.<packet type>

Amend LDAP test config to match new update section layout

Use call_env

Use call_env

Update sample LDAP module config with new structure

Remove old LDAP accounting section handling

Use call_env to populate LDAP modification maps

Add return values to doxygen comments

LDAP modifies do have a result which can be checked for errors

Add call_env parsing of LDAP mods

Mods are parsed from

<name 1> {
  <name 2> {
    update {
      ...
    }
  }
}

Comment corrections

Better error reporting for missing queries

Correct comment

add callback to parse protocol-specific data types

unify error path

Move to a single Python script that implements dd (#5444)

This will pro9bably be the schema for any future commands added to
gdb and lldb.

Don't directly use buffer set in sbuff (CID #1634622) (#5460)

Another case of an uninitialized local buffer used in an sbuff but
referenced by name to print out. Coverity complains about it, not
recognizing the the sbuff operation puts a value there. Referencing
the start of the sbuff gets the same effect without complaint.

adoc typo

Another typo

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/bfd.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Rework extraction of pairs from Subject Alternate Name

Some valid certificates have been seen where X509_get_ext_by_NID() fails
to find the SAN extension even though it is present.

The extension is then found when walking the list of extensions.

Attempt to parse unknown extensions when extracting