add error_cause to process_proxy_reply()

the realm routing code tracks what kind of error occured.  It then
passes the error_cause to process_proxy_reply().

If there's no proxy_reply, AND Post-Proxy-Type Fail sets

&config:Response-Packet-Type := Protocol-Error

Then we create a proxy reply of Protocol-Error, and add Error-Cause
with the correct value.

Note that this failure case is where the proxy can't send the
packet anywhere, and not where we received a Protocol-Error after
proxying a request.

run Protocol-Error through Post-Proxy-Type if it's configured

define VALUEs, too

add protocol_error configuration to clients

by default, we don't send Protocol-Error to clients.  We have to
double-check that clients don't go crazy when they receive a
Protocol-Error reply.

If we find out that all clients are fine with Protocol-Error,
then this configuration item should be removed.

add more values for Error-Cause

allow Protocol-Error responses to proxied packets

allow Protocol-Error replies in radclient

encode, decode, sign, and verify Protocol-Error packets.

RFC 7930 says:

   Regardless of the original packet code, the RADIUS Server calculates
   the Message-Authenticator attribute as if the original packet were an
   Access-Request packet.  The identifier is copied from the original
   request.

Except that it says nothing about the Response Authenticator field.
Given that all response packets have their Response Authenticator
calculated the same way, we just do the same for Protocol-Error

add Protocol-Error to the VALUEs for Packet-Type

The child request can be either running or proxied

Add input to choose config in debug launcher

Use correct order of arguments to calloc

remove unused assigment

clean up request_done() after double-checking its callers

who only call it with a small number of actions

don't mash child_state if it's queued

one more assert

add more assertions to enforce assumptions

note recent changes

add eduroam NAI filter example

remove unused variable

return RECONNECT on connection failure.  Fixes #5651

just cache the parent TALLOC_CTX in the request

use correct end definition

Test that DHCP options are correctly sorted before encoding

So that there's a single option 82 encoded at the end of the list with
its sub options in order

Sort DHCP pairs before encoding in radattr

So the test behaviour matches that of the DHCP module

Fix sorting of DHCP options

So that TLVs are first sorted on the option and then the sub-option

always set tcp cleanup routine

do a better job of enforcing lifetime && idle_timeout

grab the propxy mutex when freeing a proxy listener

free the listener if we can't insert it into the packet list

enable fips workaround even when building in normal mode

check in thaw, too

don't freeze a socket twice

document %n

don't load legacy provider on --enable-fips-workaround.  Fixes #5644

add backlog parameter for the listen() API

note recent changes

use native data types for 20+ year-old versions of OSX

reset "now".  Fixes #5642

because if you change the OS date to 25 years in the future,
then bad things happen.

run dir is moved to /run (#5637)

Use of MemoryLimit is deprecated (#5639)

Correctly report when built with PCRE2

Set selinux boolean to allow PCRE2 JIT

Typo

run-time disable JIT if PCRE can't allocate executable memory.

Prioritise libpcre over libpcre2

RHEL 9 has issues with PCRE2 JIT compilation, so prioritise PCRE until
those are resolved.

docker release workflow on tags only again

github actions is weird on non-master branches

Bump for 3.2.9

release 3.2.8

add actions job to build release multiarch docker images

pushes to freeradius-test for the time being

dockerfiles: fix checkout for alpine

refresh dockerfiles

change "fips=no" to "-fips"

based on discussions with the OpenSSL developers in

https://github.com/FreeRADIUS/freeradius-server/issues/5631

and

https://docs.openssl.org/3.5/man7/property/#global-and-local

Add Debian 13 to docker and crossbuild tests

Add Debian 13 to .deb builds

All .deb platforms have libpcre2 or libpcre3

Create correct pair

Align Ruckus-DPSK-Params attribute no with dictionary

Make debug message read correctly

Use pcre2 in standard CI

Prefer PCRE2 on .deb platforms

RHEL 10 has dropped pcre

Use MariaDB client library on RHEL 10

Add Rocky 10 to CI tests

Add Rocky 10 to docker and crossbuild jobs

Add support for pcre2 in place of pcre

Add keyword tests to vscode launcher

note recent changes

be closer to the paper

actually free the cache

Revert "Free expired cache entries"

This reverts commit 10f6be583c5538f2fd98643d490f62fc17e2f4dd.

Free expired cache entries

Parent the cache entries off the cache

minor tweaks

minor fixes

add "todo" for consistent-keyed-balance.  This should be addressed
before the next release.

For non-redundant types, if the chosen home server is alive, then
return that immediately without going through the loop.  Otherwise
fall back to load-balance.

This is a change from ealier versions, and should help with better
load balancing, instead of always picking the "next" home server.

Update the documentation to match, and document keyed-load-balance

more "shut up compiler"

clang scan passes, but the normal compiler complains

fixes for variable initialization

hoist variables so that they're not over-written

rearrange and rewrite

it might not be entirely clearer, but it definitely has more
functionality.

add tests for DPSK

a better way to do K-way hashing

typo

Revert "hoist "id" into the array"

This reverts commit 9987442d0e9df1e773ce57f50213821d5d0c681e.

let's do it a better way

special error for EMSGSIZ

Azure and other things cause issues, so we make the error message
clearer.  Not use "too long", but "UDP fragmentation is broken"

hoist "id" into the array

so that we have better locality of reference for the O(N^2)
loop for consistent keyed balance.  For other situations, it
increases the memory usage slightly, but doesn't have a large
effect on other use-cases

add consistent-keyed-balance

which tries to pick a consistent server for the hash, rather than
picking one based on randomness. :(

tweak error message

make the error messages clearer

allow 0.5 for reject delay

Add timestamp option to log config

So that timestamps can be added to debug logs at level 1 and 2 if
needed.

Debian 10 repos have been removed

Avoid spurious User-Name errors on EAP-TLS

There is no inner / outer User-Name - so when calling the virtual server
to validate certificates, there is nothing to check / warn about.

update docs and debug message for wildcard clients

docs-v3: Add Tutorials section and update xrefs.

docs-v3: Added Concepts section, copy/edit, formatted, & other small tweaks

docs-v3: Fix docsite build errors, update nav panel, and modify xrefs. Remove non-existent modules in v3.2.x - raddb and tutorials

docs: remove non-existent modules in v3.2.x - raddb and tutorials

point to new corporate page

update docs and links

point to new packages site

update docs