Add tests of rlm_dpsk auth

Port rlm_dpsk autz and auth from v3.2.x

Add alias to make FR DPSK attributes more friendly

Add internal attributes to support DPSK

Place all md4/md5 functions in a struct and swap the pointer where we're building with OpenSSL !fips

This prevents potential skew during startup

Remove errant exdents

Typo

Fix %internal.encode()

The xlat previously seemed to truncate output and skipped every other attribute

Temporarily disable casting to? from? FR_TYPE_ATTR

Code doesn't really make any sense, and it's apparently not exercised.

Fix tmpl dcursor so that fr_dcursor_head resets the iteration state

redo "fips=no" to "-fips"

as per commit 59e262 in the v3.2.x branch.

and don't document the openssl_fips_mode flag.  No one in their
right mind needs to be enabling or disabling FIPS mode for just
one application

Revert "change "fips=no" to "-fips""

This reverts commit 4340edae652b086078e8000a91899c3c73bd4e2b.

just swap out the function pointer the first time we check

so that we don't check an intermediate variable

use macro for common name

Add Debian 13 to Docker / Crossbuild tests

Add Debian 13 to CI tests

Debian sid now report "forky"

change "fips=no" to "-fips"

based on discussions with the OpenSSL developers in

https://github.com/FreeRADIUS/freeradius-server/issues/5631

and

https://docs.openssl.org/3.5/man7/property/#global-and-local

use native OSX data types

which despite the name "UInt32", are actually of different size
on different platforms.

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/bfd.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

add more tests to check triggers

Use enum to determine where limited port connections are tracked

Allocate array of connection pointers for static home servers

Populate and use num_ports in bio_thread_t

Add num_ports and connections to bio_thread_t

For tracking source port usage with static home servers

Split source port range and set reuse_port for all rlm_radius proxy modes

If the request has timed out request->timeout is cleared

Ensure limits are checked regardless of restricted source port range

Remove duplicate check

Increase retry timer limits for rlm_radius auth requests

Sometimes it is known that a home server will be slow to respond e.g. if
external MFA is involved that requires user intervention.

Enable new source port limiting for %radius.sendto.ipaddr()

Now tested to multiple home servers under load

Remove reference to files not in the packages

catch pop on running trigger, with empty stack

on TCP EOF, flush all writes, and shut down the BIOs

we don't need separate read / write BIOs

EOF is not always an error case

From the docs:

> If the read direction of the socket has shutdown, then the filter
> also sets EV_EOF in flags, and returns the socket error (if any) in
> fflags. It is possible for EOF to be returned (indicating the
> connection is gone) while there is still data pending in the socket
> buffer.

So we suppress printing an error on normal EOF.  Instead, we just
see if we need to reconnect the socket.

Arguably if the other end closes our read side, we _might_ be able
to write to the socket?  but we could still write to it.

check corner cases

we can't starve threads of ports :(

just pass errors through on read / write

the underlying BIO should call fr_bio_shutdown() if there is a
fatal error.

virtual_server_cf_parse returns a virtual_server_t not a CONF_SECTION

Use the thread source port range, rather than the instance

Split the restricted source port range per thread

We do use SO_REUSEPORT for some clients

Only unlink bio if it is in a chain

Correct bio chain re-link

ptrs may be NULL

at least one ptr has to be set

set flags before allocating parent

and unknown attributes can allocate EXT_VENDOR

which helps with unknown VSAs.  They previously result in a
Vendor-Specific { Foo { } } being allocated, and then an error
returned of "dict is read only".

At that point, the decoder would then create a raw top-level
attribute

revisit and clean up destructor vs shutdown

shutdown can be called on fatal error, and only stops the BIO.
the underlying BIO is still there.  This allows it to be called
from a BIO which is in the middle of a chain.

destructor calls shutdown first, and then frees the resources.
this allows a destructor to be called from anywhere, and then the
entire chain is shut down

clean up shutdown and destructor

some shutdowns can fail, so the function needs to return an rcode.

the destructors should just call the shutdown, so the caller can
just talloc_free() things, and have it all work properly.

the shutdown doesn't need to reset the destructors, as the main
fr_bio_shutdown() will do that.

update sbuff macros to catch more corner cases

FR_SBUFF_IN() is for reading from the sbuff.
FR_SBUFF_OUT() is for writing to the sbuff.

Using the same description for both is very confusing.  Allowing
a writeable sbuff to take 'char const*' input is bad.

hoist common checks to macro

use the correct sbuff macro.

OUT is for printing, IN is for parsing pre-existing data.

use the correct sbuff macro.

Ensure fr_bio_fd_open returns an error when there is one

WS

Add another Calix VSA we observed in the wild

Use better method for un-marshalling Perl values to pairs

No need to talloc a temporary box

Cast ruby string length to a consistent type

Add test using float value in mRuby

Better method of un-marshalling values from mRuby to FreeRADIUS

first attempt at limiting the source port for %radius.sendto.ipaddr()

the code is commented out for now, as it is a change of behavior

fix typo

add documentation for states

add function to create total order of attributes

UNUSED

FreeBSD has accept4()

Ensure we depend on non-broken libkqueue

Some .deb platforms package libkqueue 2.3.1

Simplify .deb ssl dependency logic

since we require OpenSSL >= 3.0

add attribute type 'attr' and test VALUE

not used for anything yet, because the encoder / decoder do not
support it

allow '@' references for value box parser

the reference can't change dictionaries

add da root to value-box parser for VALUE

add character set for allowed names of nested attrs

which is the allowed list for attrs, plus '.'

fix error message

export dict_protocol_reference, and make it take an sbuff

in preparation for other work with @foo in value-boxes

use FR_SBUFF_IN_STR() for common cases

define FR_SBUFF_IN_STR() as a shorthand for IN(foo, strlen(foo))

disallow ::43 as enum names

don't allow copying of cursors

print the input expansion before running the function

not afterwards.  this makes it much easier to read the debug output

remove ACCEPTED state.

and more cleanups for accept. We can't re-open an accepted socket

re-add "char const *end" as allowed

add notes about attribute comparisons

hoist initialize output to macro

so we don't have 'ifdef STATIC_ANALYZER' everywhere.  And hopefully
then since the initialization is unconditional, the analyzer will
actually figure out that the output is initialized.

remove more "default:", and add more "case FR_TYPE_ATTR:"

use dictionary function to compare two attributes

comparing by only the leaf attr was arguably wrong, as it ignored
any depth or parenting.

we use an fr_dict function to do the comparison.  But that just
compares the pointers, and isn't stable.  Arguably that should
be fixed, too.

The fix depends on whether we want to just sort different attributes,
or whether we want to order them.  If we're just sorting them, then
the current code is OK.

add more size, and assert that max is initialized

unify unsupported cast code

move generic to 1, so that returning -1 is better

don't allow fr_bio_fd_open() to be passed accepted sockets

we will fix fr_bio_fd_accept() in another commit.

remove errant debug call

Adopt a standard naming convention and signture for debug functions

To get the "dd" debugger command to work without having to create an
wxplicit mapping from type to function either by hand or by runtime
inspection (the latter preventing setting up the command at debugger
startup), the debug functions that dd calls should have a type of
the form

    foo_debug(FILE *fp, foo_t const *)

We add the qualifier becausen
 * some support functions with extra parameters are meant to be
   called by these functions, which pass the additional parameters;
   the functions we do call can pass fp along, or in the case of
   src/lib/util/dict_print.c, add fp to the context
 * fe_dict_attr_t * has three debug functions
 * fr_pair_validate_debug() takes a pointer to an array, and
   thus can't follow the convention
 * virtual_server_{listen, process}_debug() and module_rlm_list_debug()
   have *no* parameters