define, parse, and print tag ":V"

which is intended to cause tags to be parsed from values

and hoist the "set tag" code to before the calls to
fr_pair_value_from_str(), so that it can parse the tag

add commented-out CFLAGS which can quiet the compiler a bit more

more typo

fix the typo

produce better errors on bad passwords

typo

'%' at the end of a string is itself, and not an error

only mark strings for expansion when they contain '%'

and formatted

fix typos and clean it up to remove duplication

as posted to the list

make libpcre optional in debian package

Newer OSes are PCRE2 only, but v3 doesn't support that. Doesn't seem to be any
official way to do this, so just "or another package that we already want".

prevent duplications

typo.  fixes #5522

Preliminary module for producing to Kafka

Based on https://github.com/thebinary/rlm_kafka

Don't needlessly attempt to set euid to the current euid

This isn't a noop on Linux and will cause librdkafka to fail.

document Windows behavior

fix crash in TEAP module

allow building when OpenSSL is missing PSK.  Fixes #5520

point to ltb-project which may have OpenSSL-compatible libraries

adds hint message for users testing TEAP using eapol_test.  Fixes #5518

Use control:Packet-SRC-IP-Address when proxying needs a given source

For the case when using Packet-DST-IP-Address to direct proxying.

This needs to align with the src_ipaddr defined for the home server.

ci: bump ubuntu versions

note recent changes

wrap crl_dp checks in if (certs && (lookup <= 1). Fixes #5515

only build the fuzzer if we have -fsanitize=fuzzer

we don't need these flags here

check that the packet is well-formed

rad_decode() doesn't do this, but instead assumes that the packet
is OK.

add framework for fuzzer

move STOP check to before assert.  Fixes #5512

check for invalid values of the Crypto-Binding Flags field

rename function for clarity

move failures to RWDEBUG

debug print TEAP attributes we're sending in phase 2

minor cleanups, and print inner VPs in Access-Accept

add only one user with EAP-MSCHAPv2

allow TLS 1.2, and use "autheap=MSCHAPv2"

otherwise eapol_test complains with

TLS: Unsupported Phase2 EAP method 'MSCHAPv2'

Bump for 3.2.8

release 3.2.7

disable unix/utmp modules in the default config

rebuild dockerfiles

- bump alpine version from 3.13 to 3.21
- remove python2-dev from alpine (no longer in OS)
- remove rlm_couchbase from alpine (OS has Couchbase v3, which we can't use)

rlm_couchbase: we can't build on couchbase v3

add configure switch for radlast

/usr/bin/last is unavailable on some systems due to 32bit utmp, which is what
radlast uses, so give the option to simply not include it when building

example docs for tmpdir with systemd. Fixes #5066

Add basic radsecproxy.conf for testing

note recent changes

SSL_CTX_set_psk_find_session_callback was added in OpenSSL 1.1.1

Add detail to error observed when TLS PSK is wrong

PSK config uses either identity or query

Set PSK session callback for server SSL ctx

Define cbtls_psk_find_session() for TLS 1.3 PSK session creation

Move psk_server_callback to cb.c

And split apart so query expansion can be used for TLS 1.3 callback as
well.

Correct function signature for event_new_fd()

It is used as an event callback, so needs to have the
fr_event_callback_t signature.

Backport alignment consistent ipv6 masking from v4

No sock for detail listeners. Fixes #5485

Free authority info access extracted from cert

Distribution points need to be freed

Report OpenSSL errors at each stage of OCSP failure

Use client shortname as TLS conf name

The configuration item is psk_hexphrase.  #5469

typo

add proxy_rate_limit module

add defaults

Preliminary mod_proxy_rate_limit module

note recent changes

use the server TLS configuration, not client.

the home_server code uses tls_client_conf_parse(), because that
controls the settings used by the _client_ to connect to the home
server,

the client code should then use tls_server_conf_parse(), because
theat controls the settings used by the _server_ when a client
connects.

listen.c also now sets listen->tls = client->tls, so this is the
correct behavior.

Previously, the client TLS settings were entirely ignored.  So it's
OK to change (i.e. fix) this behavior

If a client has a TLS config, use that in preference to the listener one

Parse client specific tls conf sections

No need to warn about short shared secret for RadSec connections

WS

Use ROPTIONAL where request may not be set

When TLS connections are outbound there is not a dummy request
associated with the socket.

Correct signature for SQL driver mod_instantiate

tweaks

notes on debugging using OSX utilities.

actually print out the config

hashes aren't rlm_rcode_t

on double-checking, this isn't necessary

add CRL distribution points.  Fixes #4992

Add TLS-Client-Cert-CRL-Distribution-Points and
TLS-Cert-CRL-Distribution-Points

more stats for TCP sockets, too

Don't crash when the OSCP URL is invalid.  Fixes #5433

ix eap tls preload certificate chains for realms Fixes #5299

minor tweaks to debug output

document new behavior of the EAP in pre-proxy

note recent changes

Calculate length of EAP-Message only.  Fixes #5486

The calculation of EAP message length needs to total the length
of all the EAP message attributes, rather than the length of the
first EAP message attribute and all subsequent attributes of all
types.  Also, enhance the error message to include the calculated
lengths.

better handle single-character expansions.  Fixes #2216

update example flags.  Fixes #5346

rename to --show-config.  Fixes #5442

This avoids conflict with clang's --config option.

We should probably instead have a special "--" option which
signifies "end of jlibtool options.

Arguably jlibtool should have

it's now safe to do request_done() for QUEUED requests

be more aggressive about cleaning up full queues

API to see if the fifo is full

remember to unlock the mutex

remove dups and minor tweaks

note recent changes

better handle "queue full" states

we already have a request state which indicates that the request
is owned by the queue.  We add a new request state which says that
the queue code should free the request on dequeue.

Double-checked the rest of the code, and added more cleanups
for requests which should handle the "queue full" case a bit
better.

clear errors on CTRL-C

add support for timeout.  Fixes #5417

remove unnecessary code, and add comment explaining why

add stress test script as posted to github PR #5480

remove extraneous assert