run autoupdate on configure.ac

Bump for 3.2.2

release 3.2.1

update warnings.txt grep

var to override extra dpkg-buildpackage options

update changelog

note #4441 fixed

refresh configure scripts

bump minimum autoconf version

ensure make knows when autoconf files have been built

autoconf and friends don't regenerate files by default if the
contents don't change. We need it to, so that Make knows not to
try and run the rule again on next invocation.

up-to-date python configure macro

add documentation on autotools use

add FR_INIT_MODULE for some standardizing of module configure scripts

for now, set the modname and show the --with help

split acinclude.m4 in to separate files

as recommended by autoconf manual, and it's just cleaner

as far as I can tell, this hack is unnecessary now

module reconfig should watch toplevel m4 macros

remove m4_include from configure.ac files

No longer needed as aclocal detects these automatically

run aclocal on make reconfig

aclocal will automatically pull in extra macros from the system
macro dir if not defined locally, and put everything in aclocal.m4

We do it for all modules as well, so autoconf no longer needs a
search path for macros.

aclocal crashes out if the include dir doesn't exist, but we are moving
all macros into the top-level m4/ directory, so just stop looking in a
local per-module m4/ directory.

Also remove the top-level aclocal.m4, because we will now
regenerate it when needed.

all m4 macros can go in the toplevel m4 directory

cleanup broken tidy in commit 2e4dbff8f321

add connect_timeout to home server tls section.  Helps with #3501

clean up and unify try_connect() function

so that all of the TLS logic is there, instead of scattered
in multiple places.

refresh.

enable parallel builds for debian

add docker latest-3.2 tag

Nokia SR dict: Cleanup and freshen against July 2022 reference (#4730)

allow cache in authenticate

Add notes about setting default_days when building certificates

Run Ubuntu 18.04 on older image due to packaging issue

Broken in September 2022 update

Align eapol_test build on rpm CI with deb CI

Add Rocky Linux 9 to CI builds

RHEL >= 9 builds libldap against OpenSSL

Don't set permissions on symlinks

Adapt rpm .spec file for changes in python between RHEL versions

RHEL 8 can have Python 2 or 3.
RHEL 9 only has Python 3

Check version of python found.

The RHEL 9 family has `python` for Python 3

Move CI to run on Ubuntu 20.04

Correct lower bounds check on allocate_clear_timeout

move use to after initialization

note recent changes

typo

attempt to fix certificate attributes for outbound.  #4698

as sent via email

On RHEL >= 8 MySQL client libraries are in mysql-libs

allow setting of application_name

ensure that we run the correct post-auth section

Enable resolvconf and hosts setting for rlm_unbound

move script and update docs

Use default-libmysqlclient-dev first - will align with OS defaults

merge scripts with rewrites and documentation.  Helps with #4542

add sample tls.conf for dynamic home servers using radsec

as this configuration is site-local, it is in the configuration
directory, with comments and documentation.

Use gcc 10 on Debian sid for building eapol_test

Align v3.2 deb tests with master

Ubuntu 16.04 is eol and 22.04 is current

note recent changes

as a special case for /dev/foo, set oflag from permissions

u+w == O_WRONLY
u+r == O_RDONLY
u+rw == O_RDWR
* == O_RDWR

Add tests for rlm_unbound

Add an event list which can be used in unit tests

Unbound marks arguments as const since 2013 - clean up code

Differentiate runner based on repository owner

Allows repo clones to use GitHub runners

document why this directory is here.

document that arbitrary NAPTR tags can be used for discovery

notes on how it works

wrap around the radsecproxy script to generate FreeRADIUS dynamic_home_server syntax

allow NAPTR tag to transpire to underlying script

add second optional parameter for arbitrary NAPTR tags like aaa+auth:radius.tls.tcp (RFC7583 compliance, and used in OpenRoaming)

this is the original script taken from radsecproxy/radsecproxy master

use a less generic local attribute

word smithing

Update dynamic_home_servers.md

Introduce sigalgs_list option

Which controls signature algorithms used for
TLS negotiation. Available for OpenSSL 1.1.1+.

This allows to work-around broken TPMs with PSS algorithm broken in a weird way.

See also: https://lists.freeradius.org/pipermail/freeradius-users/2021-January/099364.html

back-port fixes from master.  Fixes #4609

update copyright date

python3 should be stable

Second instance of modifying /etc/apt/sources.list

Debian sid docker image no longer has /etc/apt/sources.list

it helps to have documentation for things

typo

note recent changes

remove unused module.

ensure that cp is initialized on every iteration through the loop

add attribute. Fixes #4608

add attributes from RFC 7839 and RFC 8357

typo

allow looking up home servers by name, too

look up home servers by TCP, too

redis cache module (#4551)

* redis cache module

Signed-off-by: James Rouzier <jrouzier@inverse.ca>
* cleanup naming and spaces

Signed-off-by: James Rouzier <jrouzier@inverse.ca>
* log the proper error

Signed-off-by: James Rouzier <jrouzier@inverse.ca>

allow auth+acct for TCP sockets, too

add TLS-Client-Cert-X509v3-Certificate-Policies

New optional lightweight Acct-On/Off strategy with helper SP and view (#4540)

Currently supported by MySQL, PostgreSQL and SQLite.

more "mention Active Directory by name"

mention Active Directory and Auth-Type and "bind as user"

so that it will be easier for people to tell that those changes
are needed for them.

allow %{home_server_dynamic:...} to expand its arguments

which is a bit more useful than having a static string. :(

update comments and docs

clarify error messages

minor cleanups

catch a few more corner cases

these are only hit when things go completely wrong, but it's
important to fix.

patches for OpenSSL3.  Fixes #4539

Raise limit for number of Redis xlat components (#4535)

quit C compiler warnings

hmacmd5: use internal MD5 when FIPS is enabled (#4529)

When the system is in FIPS mode, we need to use internal implementation
of MD5 in order to avoid OpenSSL 3.0 provider limitations.

Related: 947d5d6bd2674a60f7320f0b721e4723243c2285
Signed-off-by: Antonio Torres <antorres@redhat.com>

load MD5 dynamicall for FIPS. Based on patch from #4511

add --enable-fips-workaround flag to configure

which means that we use our internal MD4 / MD5 functions always,
as OpenSSL requires much magic to re-enable them in FIPS mode.

It's easier to just our internal implementations, instead of
butchering the stable v3 release.

The downside is that if you do a default build and then enable
FIPS in OpenSSL, the server will simply not work.  It has to be
re-build with the --enable-fips flag.