Consistent use of sql_rcode_t

Correct signature for SQL driver mod_instantiate

Back port CURL version fixes from 3.2

Back port fixes for Python API changes from 3.2

PyMODINIT_FUNC conflicts with static when Python >= 3.9

Hide unused variables when OpenSSL >= 3

Ubuntu24 already uses OpenSSL 3

Switch CI runners to Ubuntu 24

Pacify clang scan

Pacify clang scan reports of unused values

mysql_version.h should not be directly included

Allow for PGRES_TUPLES_CHUNK when checking PostgreSQL status codes

Handle ch being NULL

Free authority info access extracted from cert

Remove CentOS 7 from CI tests

Correct handling of "untrusted" certs

OpenSSL calls all certificates presented by a client that aren't in the
local trust store "untrusted".

Therefore when verifying a client certificate, that will always be
untrusted - so we only have untrusted CAs in the chain if there is more
than one untrusted certificate.

python2-dev replaces the python-dev package

make the docs clearer that it's only for Access-Request

update docs

document default_days a bit more

just rely on setting 'fips=no'

disable FIPS for OpenSSL3

push increment until after any failure. Fixes #5458

make it clear that Message-Authenticator is auto-added

build on Solaris, too.  Fixes #5448

Debian sid has OpenSSL legacy providers in an optional package

clean up for v3.0.x

Update 3GPP2 from latest standard revision

If OpenSSL handshake fails during Client Hello report cipher lists

Helps get to the bottom of "no shared cipher" errors.

Ensure fd event removed when removing listener

Bump github action versions

Except for ci-rpm where centos-7 is too old for node > 16

Debian sid appears to have dropped gcc-10

Correct ZTE dictionary

To match real packets seen in active systems.

ignore home server "ping" packets

Use HEXIFY to handle non-octet looking RADIUSD_VERSION

Bump for 3.0.28

release 3.0.27

Config docs: Clients aggregators may be RADIUS proxies and set proxy-state

handle dynamic require Message-Authenticator

don't enforce require_ma on packet reception

note recent changes

typos and clarifications

implement and document "require_message_authenticator = auto"

add more helpful error messages

implement and document "limit_proxy_state = auto"

Also add a standard function which complains loudly about security
issues.

Enforce BlastRADIUS checks for TCP sockets, too.

Though TBH, no one should use TCP for anything.

Add M-A processing for Status-Server and replies from home server

add Blast RADIUS checks to radclient and radtest

word smithing

use and enforce limit_proxy_state for Access-Request packets

make limit_proxy_state the default for clients

add and document global limit_proxy_state

add Message-Authenticator to all Access-Request packets

add and set require_message_authenticator for home servers

always add Message-Authenticator for replies to Access-Request

add tls flag to packets

and set it for TLS transport send / receive.  This lets the
packet encoder and verification routines behave differently for
TLS and non-TLS transport

make require_message_authenticator the default for clients

and document the behavior change

add and use "ignore default" flag

which means that if the configuration item is missing, we do not
set the value from the default.

This change allows the value to be set before the configuration
file is parsed, and then only changed if the named configuration
item exists, and is manually set by the admin

rename for consistency

add and document global require_message_authenticator

Fixups for CentOS 7 which is now EOL

note recent changes

There may be multiple intermediate certs.

note recent changes

remove unused variable

update stats more quickly

don't double-count authentication packets

don't count Status-Server

we don't count replies to it, so we shouldn't count requests, too

typo

update advice on shared secrets

track global stats, even if the listeners have been closed

Remove Centos 8 from CI

Backport 2d8d738f408 from v3.2.x

Fix error in dictionary documentation

Change RFC 8859 to RFC 8559

Fixes #5345

Update dictionary.wispr (#5336)

Add attribute 17 per https://github.com/wireless-broadband-alliance/RADIUS-VSA

mschapv2: set key length after specifying the cipher

We get a sigsegv otherwise:
----
(10) eap_mschapv2:   Auth-Type MS-CHAP {
(10) mschap: Found Cleartext-Password, hashing to create NT-Password
(10) mschap: MS-CHAPv2 password change request received
(10) mschap: Password change payload valid
(10) mschap: Doing MS-CHAPv2 password change locally

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b92f18 in EVP_CIPHER_CTX_set_key_length () from /lib/x86_64-linux-gnu/libcrypto.so.3
(gdb) where
    new_nt_password=0x7fffffffb940 "...", nt_password=0x555555ccc290,
    request=0x555555a9fde0, inst=0x5555558bacb0) at src/modules/rlm_mschap/rlm_mschap.c:1016
----

note recent changes

remove TCP Status-Server requests from proxy hash as well

fixes #5326

Ensure yum is installed on Rocky 9

Once CentOS 7 goes EoL, we can switch to dnf

rlm_sql_freetds: handle returned NULL column values

These don't update the results buffer - so zero it out during allocation.

allocate instance data even if the module doesn't need it

which lets the rest of the distinguish virtual attributes from
typos in xlat functions

fix typo.

We loop until the content is non-space, not while the ptr is !NULL

Ubuntu 18.04 is EoL

Ensure fakeroot is available for `make deb`

add necessary backslash.  Fixes #5301

use snprintf

Add TP Link dictionary

improve exception handling.  Helps with #5242

so that no python exceptions remain after the do_python_single call.
Otherwise the next request will immediately fail.

Patch from #5242, but separated out to keep commit history
a little clearer.

don't delay proxied rejects from a real home server

more notes on connection starvation

print out the module instance name

clarify message a bit

this is for UDP home servers

ensure that cp is initialized on every iteration through the loop

reply packets use request authenticator for Message-Authenticator

Build with winbind on all RHEL >= 7

word smithing

fix warning messages

note recent changes

if there's no "server foo", then use "server default"

update the year