track more per-connection stats

quiet analyzer

quiet analyzer

dirfd() is a C library function, and not a variable name

expire old home servers, on a fixed 60s timer

allow modules to be commented out trivially

add support for dynamic proxying

The home servers are never cleaned up or timed out.  The home
servers also can't have their secrets changed.

add API for RB trees with expiry timers

move common elements to one data structure

in preparation for adding trunked home servers

don't complain about limit_proxy_state if we have Message-Authenticator

if we set "require_message_authenticator = yes", then we don't need
to set (or complain about) limit_proxy_state

get rid of bio_result_t

now that we have them unified, they don't need to be two different
data structures and variables.  We can just always use one.

rename functions for clarity

we're sending initial negotiation packets, so let's not name the
functions "status_check".  This makes it clearer that later "ping"
packets are different from the initial negotiation / setup

unify bio_result_t and bio_request_t

they have the same lifetime, so there is no need for them to be
separate data structures.

we don't need to include <talloc.h>

remove last bits of rlm_radius_udp

only complain if the user sets "interface = foo"

minor tweaks and clarifications

OSX has IP_BOUND_IF.

*BSD has IP_RECVIF, but no IP_SENDIF.  And IP_RECVIF is a socket
option which is set, and then causes any _subsequent_ recvmsg()
call to have another cmsg structure added, with the sockaddr_dl
containing the interface.  The application is then responsible
for comparing the interface IDs, and discarding packets which
don't match.

Another cbor negative limit fix

The new radius module doesn't create rlm_radius_udp.so

enable the new radius module

minor tweaks

use unconnected-proxy and unconnected-replicate

actually set SO_RCVBUF to zero

Correct limit on negative cbor decode

Better Coverity hint (CID #1619299)

In normal use, fr_nbo_from_uint64v will return 1 to 8 - telling Coverity
it can return 0 then leads to another false positive.

Pacify Coverity (CID #1634622)

Coverity doesn't see that buffer is being used as an output for
fr_pair_print, so complains about uninitialised use.

Move pointer check before first use (CID #1635782)

Check return of fr_pair_list_copy (CID #1636884)

Use an attribute to record the type of TLS session resumption used

Add placeholder establish session section

Add an optional "establish session" session

Called after a TLS session is established, primarily intended for
logging.

Don't duplicate TLS session info attributes

They may already exist if the session is being resumed.

Add sample "new session" section

Use control attributes to set TLS min/max version

Define attributes for setting TLS min/max versions

If a "new session" section exists run that before creating TLS session

Detect if "new session" section exists

Add fr_tls_new_session_push

To run a subrequest though "new session"

Add "new session" to TLS process sections

set SO_RCVBUF to zero for unconnected sockets, too

but only when the socket is being marked read-only

add "mode = unconnected" and xlat function for replication

%replicate.sendto.ipaddr(ip, port, secret)

make it clear that Message-Authenticator is auto-added

manual port of 04b4c655fd

Add Blast RADIUS checks to radclient.

Manual port of 47eb7ee365abc66a

don't print out results if there are no results

set src_port if it's zero, too

get cmsg after setting controllen

make decode_fail_t radius specific.

nothing else needs it, and it's full of RADIUS things

add verify callback for stream sockets.

so we only return complete packets to the reader

add memory BIO for stream sockets

so that the BIOs are sending only complete packets to the module

more sanity checks for unconnected sockets

add configuration for unconnected sockets

remove old "use_authenticator" flag

we no longer use the Request Authenticator as a unique ID

Return CACHE_RECONNECT if memcached returned a fatal result code

Add memcached to CI tests

Add tests for memcached cache driver

Expected output is data, not unresolved data

Initialise map list

Run-time tmpls need an event list

Use fr_asprintf to access custom format specifiers

No need to populate buffer with driver name

Was being used in pool initialisation, now buffer is just for error
messages.

No need to initialise buffer which is about to be printed to

Driver config is auto parsed when module is loaded

Better comments

Correct reference to cache config

Convert rlm_cache memcached driver to use slab allocator

WS

fix: Return -1 on error instead of 1 (01) - typo.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

fix: When using a dictionary that first defines a protocol with "PROTOCOL" the dctx stack da is updated, but not the filename, causing it to be lost as the stack grows, since all future items on the stack inherit the filename. Fixed by also setting the filename when updating the da.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

add INVALID type, and auto-set from configuration

update docs

allow module to retransmit even if set to proxy mode

for packets which change protocols, OR change packet code, OR
are read from the detail file.

use "mode" instead of replicate / synchronous / originate

as it is more descriptive.  The other configuration flags also
can be configured in contradictory or conflicting ways.

Perhaps we could add a non-synchronous proxy, but that is likely
a good idea only if there's no Proxy-State in the packet.
i.e. we received the packet from a NAS, which has it's own retransmission
timers, and those timers are almost always garbage.

add optional CONF_SECTION parsers, and use in rlm_radius

this lets the RADIUS module put more things into a "udp" section,
but only if the "udp" section ends up being used by the transport
configuration.

The RADIUS module can also push rules for "tcp", but those rules
don't show up in the debug output (and are ignored by the parser)
if a corresponding "tcp" section is defined

IPv6 addresses should have a 128 prefix, too

FreeRADIUS IPv4 addresses must have prefix len 32

Make request subsection required

Without this, the check for mandatory URI doesn't happen.

Scheduled fuzzing: Update src/tests/fuzzer-corpus/cbor.tar

Add call_env related options to sample krb5 module config

Use call_env for username and password in krb5

Update sample krb5 module config with slab parameters

Re-work rlm_krb5 to use slab allocation for handles

Set vic_options in module instantiation

Only needs to be set once, and `inst` is protected after instantiation.

Use macro to reduce boilerplate

Correct macro name

as found on the net

catch corner conditions

mark connection inactive on zombie start, not on zombie end.
existing requests will continue to use it, but new requests will
go to a different connection.

don't send retry if writes are blocked.

call fr_mkdir() with only directory arguments

Use current TLS certificate attribute names in sample virtual server

Better name for TLS session virtual server

Only run verify certificate sub request if the section exists

Detect if "verify certificate" section exists when parsing config

Filenames which need run time expansion must be double quoted

TLS cache section names are `<verb> session` not `session <verb>`

Typo

Consistent case

rlm_rest: Search in the _real_ header list for content-type

call FD connect function if the connect() is delayed

call error handler on connect error

send one packet at a time

when we push queuing to the BIO layer, we can add a queue API
which the radius module can call:

* start queue entries X
* write
* commit queue

minor cleanups

rename synchronous_retry to timeout_retry

don't call sendmmsg() on file BIOs