Don't parent temporary dir buffer to ef in exfile_open_mkdir (#5823)

The buffer is always freed before the function returns, so parenting
it to ef implied a lifetime relationship that didn't exist.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

Disarm rather than delete timers

To avoid repeated freeing / allocating

Ensure parent cleanup timer is disarmed following new TCP connection

Only standard modules register xlats with their own name

Without this, if a virtual server, for example, has the same name as a
module which registers an xlat in its name, then, during server
shutdown, removing the process module for the virtual server attempts to
unregister the xlat which it doesn't own and leads to a seg fault.

Add name to coord_pair

So request names can indicate which coordinator they belong to.

Parent coord_pair_reg off the list of registrations

As with coord_reg, the entry component of the registration will change
as additional modules register coord_pair, which conflicts with module
instance data protection.

Parent coordinator registrations off the list of registrations

When more than one module registers a coordinator, the "previous"
registration changes when the new one is added to the list.  If the
registration is parented off the module instance data then that gets
protected - so a seg fault happens when the second registration is
added.  Parenting the registration off the list removes this issue.

Use fr_dlist_talloc_init to type check entries

Protect CONF_SECTION with const

CONF_SECTION is not changed by map_afrom_cs, so use const

move "run asciidoctor" code

into block where we have asciidoctor

docs-v4: Intergrity check on condition.adoc - fix syntax, added truth table, wordsmithing

docs-v4: Updated copyright message to current year using Alan's perl magic
`perl -p -i -e 's/Copyright \(C\) 2.../Copyright (C) 2026/'  $(git grep -l 'Copyright' $(find doc/antora/ -name "*.adoc" -print))`

Updated the link to the InkBridge Networks website

Correct comment

Pacify Coverity (CID #1691057)

Xlat args will prevent in_head being NULL, but Coverity doesn't follow
that path.

Pacify Coverity (CID #1691058)

Module configuration requires that we there will be a "find" query.

Pacify Coverity (#CID 1691059)

The xlat args will ensure that func is populated, but Coverity doesn't
follow that path.

Allow Message-Authenticator !* 0x00 for "don't send it"

fr_packet_foo -> fr_radius_packet_foo

tweak encoder for static analyzer

which changes the use of the random numbers, and therefore the
tests have to be updated

qualify funtion name with "fr_radius"

we don't need this macro, it's only used once

tweak fr_radius_verify() to keep static analyzer happy

Update action for node.js 24

Add sample config for CRL delta building

Currently `openssl crl` won't take a key on the command line, so `make
rsa/delta.crl` will prompt for the password.

Send CRL-Expire to worker if refresh of expired CRL fails

and expired CRLs are not allowed.

Add time validity options to CRL virtual server

Add process_crl.so to RHEL packaging

Update docs from raddb

Add url option to rlm_crl

To allow pre-fetching of CRLs before they are needed for certificate
verification.

Rework CRL test to handle limitations of unit_test_module

Add %crl.refresh() to forcibly trigger refresh

Plumb coordinator framework into unit_test_module

Add fr_schedule_worker_id_set

Only to be used from test frameworks such as unit_test_module.

Update rlm_crl tests with updated config

Update sample rlm_crl configuration

Convert rlm_crl to use coordinator thread

Add a sample CRL virtual server

Add CRL process module

For a coordinator thread to run requests to fetch CRLs

quiet static analyzer

via using static[256] for fixed-size buffers, among other tweaks

inputfp may be NULL

allocation may fail

tweak checks for digest attributes

clean up radmin

double check return paths, exit codes, messages, etc.

Write "Including files" only in debug2

remove unused code

we don't use the tmpl rules for anything, so we might as well
remove it.

add tests for the dictionary file parser

add fr_dict_afrom_file()

only for testing.  And add wrapper to unit_test_attribute

use different UTF-8 text for test data

remove debug / testing output

add assume() macro

which is a hint to the compiler that a variable can have a
particular value.  It's not an assertion, but it lets the compiler
know that it can make more optimizations based on the given
assumption.

add notes for run-time DNS resolution of client sockets

allow for END PROTOCOL, and END VENDOR too

which is obvious to use.  Because using "BEGIN PROTOCOL" followed
by "END-PROTOCOL" is just weird.

Previously it would complain with an entirely opaque error.

tweak dict_from_file to be a bit more forgiving

look up duplicate number if it's _not_ name-only

default to 0 buffer count

which is the least surprising.  Otherwise it is not at all obvious
why there is a delay.

and enforce min/max limits on the buffer count/delay, so that they
aren't zero

Update linelog examples and documentation

allow radmin to read custom dictionaries, too.

the server and radclient assume that the RADIUS protocol is loaded
before reading raddb/dictionary.  So radmin should do that, too

remove conflicting Altiga attributes

port attributes from v3.2.x

change '-r file' to '-o file'

the default is to assume that '-r file' means "read file".
Instead, it means "destroy that file", which is unfriendly.

these don't need to be exported

clean up RADIUS TCP handler.

* check length in header and close if the header length is invalid
* use the master IO allow / deny trie API, instead of rolling
  our own

asserts and checks when printing log messages

Cancelling is really an error

And this populates Module-Failure-Message so logs can report what
happened.

Improve comment

Add %tacacs.verify.secret for verification in new client section

catch more corner cases

cancel includes the current depth

various minor tweaks to unlang compiler

make certificates more quietly

free secret before over-writing it

check return code of openss3_init()

update macro to allow things checking it

correct comparison

in practice, this won't happen, but it's good to fix

free packets on error

fix typo

use correct request for removal from the CoA tree

set timers to remaining.

@todo - just use fr_retry_t

docs-v4: added more syntax examples for <type> field.

tweak / rename "force module return code"

docs-v4: added 5 more instances (disallow, handled, invalid, notfound, updated) used by `always` module

fix typo

mash <1us (and negative) to zero for timeout

docs-v4: wordsmiting 1st paragraph to clearly explain `return` versus `break`

docs-v4: added info re: `default` keyword, added `parallel` info, updated nav file

local variables are now alloed.

docs-v4: added subrequest & policy to list of where local vars can be used, fixed typo

allow certs to be made quietly

because the CI output is polluted with tons of OpenSSL output,
and we don't need to see that.

Look up in client tree, even if we have a cached entry.  Fixes #5676

When the per-thread client trie has a cached entry from a broad
subnet (e.g. /8), it shadows more specific client definitions
(e.g. /24) for subsequent connections.  This causes the wrong
shared secret to be used, breaking packet authentication (RADIUS)
or decryption (TACACS+).

After the trie lookup returns a cached client, verify it against
the global client list.  If a more specific match exists, discard
the cached result so the existing code path does a fresh lookup
and caches the correct client.
Co-Authored-By: Claude Opus 4.6 (1M context) <noreply@anthropic.com>

clarify outer vs parent issues

typo

docs-v4: continue integrity check - added more details about breaking out of a `foreach` loop

doc-v4: fix broken xref to list editing operators, replace update statement with subrequest.

docs-v4: Update integrity check - fixed typos.syntax`

docs-v4: Integrity check and updated case, default, and switch pages with v4 syntax and behaviour

docs-v4: intergrity check of edit page - update no longer used.

tweak formatting and add "finally" keyword

docs-v4: if-else-elsif integrity check - fixed typos, syntax, and added failed condition triggers