CI: add job to check all crossbuild docker images work

crossbuild: newer systems disable TLS1.1 but we need it for testing

crossbuild: don't set rpm BUILDDIR

It clashes with eapol_test, which uses BUILDDIR internally in its
makefiles :(. We're using the default anyway.

crossbuild: update docs

update common builds

crossbuild: add recent OSes

debian11
debian12
ubuntu22
rocky8
rocky9

crossbuild: generate Dockerfiles from m4 templates

bump up from node v10 to v14

crossbuild: remove centos8

be helpful and show where the test radiusd is logging to

make consistent

mmake State creation consistent with state.c

document nonblock=yes

allow for EOL of UDP sockets, too.

which also helps when building without TCP.

fix compiler warning when building without TCP.  Fixes #5054

Auth Lost: Free the state's opaque and ctx storage.  Fixes #5055

docker: add rocky9

CI: fix with latest mariadb 11 docker image

ref https://jira.mariadb.org/browse/MDBF-568

docker: add debian 12 bookworm

generate dockerfiles from m4 templates

It's getting tedious updating them all individually

docker: remove obsolete OSes

debian 8/9, ubuntu 16.04

docker: remove duplicate lines

Fix formatting (#5045)

dhcpclient: Better message to avoid bad experience (#5038)

* dhcpclient: Better message to avoid bad experience

Even in debug mode (-x), its impossible to know if the client is blocked
or trying something.

comment teap out by default

so CI passes on centos7

disable TEAP in RHEL 7 packages

which only has OpenSSL 1.0

TEAP needs OpenSSL 1.1

ensure rlm_eap_teap can be disabled

use uppercase FALL-THROUGH

and minor cleanups

note recent changes

update to latest version of the RFC

add TEAP to the "magic TLS methods" code

intermediate result is 16 bits

pull in last fix

note ca_path restrictions

add TEAP example

add sample configuration for TEAP

Revert "account for "obit" in data, too"

This reverts commit 69c8af621bbfa345e664f2c2f7e06b236cb361c3.

nope, obit isn't in length

account for "obit" in data, too

add missing close() on error.  FIxes #5036

use IP_BOUND_IF or IPV6_BOUND_IF if available.  Fixes #5037

document retries.  Fixes #5040 / #5041

add rlm_eap_teap to freeradius.spec

bump for 3.2.4

note recent changes

free check_tmp after using it.  Fixes #5035

get length of all EAP-Message attributes too

mark "inst" as unused, and relax checks a bit more

for now, we will only check if the EAP message length is correct.
This prevents "middle box" effect, where the protocol cannot be
upgraded, because middle boxes aren't upgraded.

There is a near-zero chance that EAP will be updated to allow
supplicants to send something other than 1 (Response).  But for
general protocol correctness and paranoia, let's allow for that

relax the pre_proxy checks a bit

to allow any EAP type, even if it currently doesn't make sense

build without TLS

allow for non-blocking TCP connections, too

move unused variable

Add preliminary implementation of TEAP

fix typo.  #5026 and #5028

separate PSK and PMK

document Ruckus-DPSK

add Called-Station-MAC

to get the MAC address as a binary blob

typo.  Fixes #5023

add unconst

as the OpenSSL APIs seem to randomly change what's supposed to be
const or not.  Or, the function definitions don't match the
documentation

only track IDs for CoA tunnel listeners

don't build with CoA tunnel feature by default

don't make the DH file.  It's not needed for OpenSSL >=1.1.0

new dictionary

move code to check for listener

check outer TLV length against MTU

just use hard-coded number

API changes and preparation for allowing outer TLVs

typos

add more EAP types

add definitions for TEAP

add provision for outer TLVs

update for 3.2.4

add check for FreeBSD

release 3.2.3

CI: tidy comments to sync with 3.0

compile fixes

updates from the WBA

updates.  Helps with #5016

compile fixes

move documentation to be in a common location

no need to build or call mutex functions if they're not needed

Debian sid no longer has python2 so we need to handle that

Separate out python2/3 packages for Debian systems

Until now we built whatever the default Python was on the system,
and not build the other module - this was included in the
freeradius package.

Separating it out makes it easier for people to choose which they
want. Recommends dependency on the freeradius package because we
previously bundled the module with that.

mark rlm_cache_redis as stable

It might not be, but nobody will ever know if it's not used...
This gets it built and into the packages.

build fix

separate out NAS-Port from NAS-Port-ID.  Helps with #5010

radutmp and couchbase use NAS-Port for their fields, but SQL uses
NAS-Port-Id.  Which is a string, not an integer.

So update the API to allow for both to be passed.  If there's
NAS-Port-Id, we use it.  Otherwise we use NAS-Port.  So radutmp
and couchbase don't change, and SQL now uses the correct field.

This is a behavior change from earlier.  However, it means that
we are dropping an incorrect NAS-Port, and replacing it with a
NAS-Port-Id.

The only real conclusion here is that almost no one uses simultaneous
use with SQL any more.

LDAP_MAX_CACHEABLE only applies to names which need resolving to DNs

require TLS 1.3 for RADIUS 1.1

note recent changes

Break in rest_request_encode_wrapper when at the end

The old code still ran one more loop once the request has been finished.
This not only included a new memory allocation + move + free, but it
also resulted in the limit argument being effectively cut in half.

return stats for TCP sockets, too.  Fixes #4990

use parent socket for TCP stats.  Helps with #4990

use correct assert.  Fixes #4995

Client Lost: Don't leak the fake request's initial state_ctx, which we replace (#4996)

Quick hacks to allow multiple copies running on the same machine

so that tests don't conflict, and people don't need to coordinate

call afr_atomic_queue_free() instead of talloc_free.  Fixes #4987

force packet type foo when running post-auth-type foo.  Helps with #4980

Clear any old module instances before reloading

Avoids bursting memory usage when reloading large modules e.g. rlm_files
with large data files.

Update panic_action in radiusd.conf (#4986)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

Update panic_action in radiusd.conf (#4985)

panic.gdb is available in raddb directory
one dollar sign will do to reference a config variable

clean up error handling on connection failure.

try_connect() does nothing other than return an error, instead
of doing various cleanups

Error paths from callers of try_connect() now call tls_socket_close()
instead of manually doing various things to clean up the listener.

mutex locks have been somewhat minimized on error paths

remove TLS_MUTEX macro as it's no longer needed