MySQL sqlippools: Find and allocate stored procedure

try to quiet compiler warnings

always set the correct virtual server for post_proxy, too

always set the correct virtual server for pre_proxy

clear our error so we don't print it.

If we're printing an error due to packet mismatch, then there's
no error from the library, and fr_strerror() should return nothing.

run through the formatting script

Merge pull request #3039 from fdurand/dictionary/airspace

New bandwidth rate-limits airspace attributes

New airspace attributes
(https://community.cisco.com/t5/policy-and-access/freeradius-with-wlc-8-3-122-per-user-bandwidth-rate-limits/td-p/3839617)

note recent changes

don't use parent listener in child CoA

Don't jump over group and profile checks

It means we're inconsistent in warning messages depending on
whether radreply entry was found or not. rlm_sql_process_groups()
already checks group_membership_query.

Fix the error message for 'uknown address family' (#3005)

note recent changes (#3004)

Sync dictionary.aptilo with latest official dictionary

fix last commit and create useful error messages

manually backport master changes (#3001)

event_new_fd() doesn't need to return anything

shut up stupid compiler

note recent changes

allow support for ENV

set User here, too

force user/group to be radiusd

remove chown.

It's not needed according to the Systemd documentation

---
RuntimeDirectory=foo/bar baz
the service manager creates /run/foo (if it does not exist), /run/foo/bar, and /run/baz. The directories /run/foo/bar and /run/baz except /run/foo are owned by the user and group specified in User= and Group=, and removed when the service is stopped.
---

Add *.crl to .gitignore (#2983)

errors are errors

Use correct CA password when not the default "whatever" #2963

create an initial, empty CRL in DER encoding

If a user wants to deploy his CA, the URL in crlDistributionPoints should actually contain a DER-encoded CRL file. We create it here; the admin still needs to actually deploy the file at the URL chosen.

mongo: Fix examples

ObjectId() and Date() commands are not accepted by the low-level
mongo JSON engine.
For the field 'date' it's needed to use $date command.
For replacing ObjectId() it is possible to use sha256 or any others
hashing command.

remove references to rlm_sql_log

README: fix link to Network RADIUS ref #2945

radmin: Add support to keep the history in ~/.radmin_history

don't bury documentation on sql_user_name

note recent changes

PostgreSQL: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into effect.

With initial pool conditions the default alloc_find query selects from the pool
of all *expired* leases. It selects the least recently used IP address (i.e.
the one with the oldest expiry_time) unless a matching username and/or
callingstationid exists in the table in which case these are prioritised in
order to issue the client with their previous lease. Normally picking the least
recently used address helps to avoid issuing the address to a different client,
maximising the chance of stickiness, which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a different IP
address because their existing address is unavailable (has not yet expired and
has not been explicitly expired by allocate_clear), with the effect that there
are now multiple rows in the table containing the same pool_key, username and
callingstationid.

The normal ordering then has the undesirable effect of ensuring that successive
future IP address selections for the client will flip-flop between addresses
because username + callingstationid are first prioritied then the *oldest
expiry_time* is chosen (rather than the most recent expiry relating to the most
recent lease). This behaviour persists once allocate_clear rate limiting is no
longer in effect.

We can avoid getting having multiple rows with the same client details by
amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless of
whether the lease has expired or not (i.e. re-allocation of a current lease to
the same client).

MySQL: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

Oracle: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

SQLite: Don't require a lease to have expired if we reallocate it to the previous client

The current default allocate_find query causes per-client IP allocation
instability that starts when allocate_clear rate limiting comes into
effect.

With initial pool conditions the default alloc_find query selects from
the pool of all *expired* leases. It selects the least recently used IP
address (i.e. the one with the oldest expiry_time) unless a matching
username and/or callingstationid exists in the table in which case these
are prioritised in order to issue the client with their previous lease.
Normally picking the least recently used address helps to avoid issuing
the address to a different client, maximising the chance of stickiness,
which is desirable.

However, if a user makes successive authentication attempts whilst
allocate_clear rate limiting is active they are always allocated a
different IP address because their existing address is unavailable (has
not yet expired and has not been explicitly expired by allocate_clear),
with the effect that there are now multiple rows in the table containing
the same pool_key, username and callingstationid.

The normal ordering then has the undesirable effect of ensuring that
successive future IP address selections for the client will flip-flop
between addresses because username + callingstationid are first
prioritied then the *oldest expiry_time* is chosen (rather than the most
recent expiry relating to the most recent lease). This behaviour
persists once allocate_clear rate limiting is no longer in effect.

We can avoid getting having multiple rows with the same client details
by amending the allocate_find query to include an existing row matching
nasipaddress and pool_key in the available set of IP addreses regardless
of whether the lease has expired or not (i.e. re-allocation of a current
lease to the same client).

fall through if there's no error

doxygen

note recent changes

Use SSL_is_init_finished instead of checking the last handshake_type

Backport of d90c4bf807 from master

Catch session_tickets being sent after the handshake. Don't error out, try and continue.

Backport of 2f4660e5fb from master

Transform to be more like v4 code

Doxygen

more docs

more notes

print warnings if check query return nothing, OR pairs didn't match

use macro for less code

free str only if it exists

don't need to explicitly free talloc children

clean up connection freeing

so we have less duplicate code

free query / update / sort / fields on error

destroy collection when done

remove unused variable

call client_push on error

OD not AD

Inform the supported Oracle versions (#2872)

* rlm_sql_oracle: Don't exist libnnz12.1

* rlm_sql_oracle: Inform the supported versions

rlm_sql_mongo: Fix the Look up for mongoc/bson

rpm spec: use release "1"

rpm spec: don't include rlm_sql_mongo

rpm spec: fix start/stop radiusd with systemd

add missing file

soft fail if no mongo is present

note recent changes

add rlm_sql_mongo driver

note recent changes

note recent changes

travis: enable cache for 'apt' (#2859)

Fix typo in rest.c

Add tag support to decoding in rlm_rest Fixes #2848

rlm_sql_oracle: Add support to the version '18' also

Fix the Oracle support

travis: enable the option 'retries' for apt-get

Update Lancom dictionary with new VSAs #2847 (#2849)

note recent changes

add %{listen:tls} amd %{proxy_listen:...} as a clone of %{listen:}

typo

add default value for pool key.  Fixes #2236

CREATE TABLE IF NOT EXISTS.  Fixes #2313

Terminate buffers in opendir.c correctly

whitespace

note recent changes

set &sock->certs for outgoing connections, too.  Helps with #2839

verify the server CA

add synoynm

note recent changes

add configure checks for -latomic.  Helps with #2828

add missing "break"

don't allow undefined attributes

typo

Framed-Interface-ID is string, not inet.  Manual port of #2817

complain if the server is using TLS 1.0 or TLS 1.1

disable TLS 1.0 and TLS 1.1 in the default configuration

Note that we do *not* disable them in the source.  We do not want
to break existing systems.

Merge pull request #2807 from jpereira/v3/changelog

note recent changes

note recent changes

fix data types.  Fixes #2803

add docker scripts for Debian Buster

remove support for LM-Password

note recent changes

note changes