add Blast RADIUS checks to radclient

word smithing

use and enforce limit_proxy_state for Access-Request packets

make limit_proxy_state the default for clients

add and document global limit_proxy_state

add Message-Authenticator to all Access-Request packets

add and set require_message_authenticator for home servers

always add Message-Authenticator for replies to Access-Request

add tls flag to packets

and set it for TLS transport send / receive.  This lets the
packet encoder and verification routines behave differently for
TLS and non-TLS transport

make require_message_authenticator the default for clients

and document the behavior change

add and use "ignore default" flag

which means that if the configuration item is missing, we do not
set the value from the default.

This change allows the value to be set before the configuration
file is parsed, and then only changed if the named configuration
item exists, and is manually set by the admin

rename for consistency

add and document global require_message_authenticator

Fixups for CentOS 7 which is now EOL

note recent changes

There may be multiple intermediate certs

remove unused variables

note recent changes

rever TEAP related changes for TTLS

Which broke some systems

add "end-vendor"

It's not entirely needed, but it's a good idea.

match case.  Fixes #5354

process.c already updates the home server stats

increment counter for lost packets.  Fixes #5338

always set TCP_NODELAY

more debug for SSL_connect()

remove unused variable

update stats more quickly

don't double-count authentication packets

don't count Status-Server

we don't count replies to it, so we shouldn't count requests, too

typo

track global stats, even if the listeners have been closed

Fix error in dictionary documentation

Change RFC 8859 to RFC 8559

Fixes #5345

fix typos.  Fixes #5344

note recent changes

add totp-time-offset

document it and use it

default to 6 digits

add debug for writes, too.  Closes #5342

DockerHub updates only run on main repo

Add 3GPP2 attributes

Found in 3GPP2 specification document A.S0008-C

update advice on shared secrets

use explicit ID if requested

allow setting Request Authenticator and ID

mschapv2: set key length after specifying the cipher

We get a sigsegv otherwise:
----
(10) eap_mschapv2:   Auth-Type MS-CHAP {
(10) mschap: Found Cleartext-Password, hashing to create NT-Password
(10) mschap: MS-CHAPv2 password change request received
(10) mschap: Password change payload valid
(10) mschap: Doing MS-CHAPv2 password change locally

Program received signal SIGSEGV, Segmentation fault.
0x00007ffff7b92f18 in EVP_CIPHER_CTX_set_key_length () from /lib/x86_64-linux-gnu/libcrypto.so.3
(gdb) where
    new_nt_password=0x7fffffffb940 "...", nt_password=0x555555ccc290,
    request=0x555555a9fde0, inst=0x5555558bacb0) at src/modules/rlm_mschap/rlm_mschap.c:1016
----

Update dictionary.wispr (#5336)

Add attribute 17 per https://github.com/wireless-broadband-alliance/RADIUS-VSA

CI: add workflow to build Docker multi-arch images

docker: separate out make targets for CI

Allow proyxying by pool / home server name to work with auth+acct servers

docker: remove makefile dependency

Bump for 3.2.5

release 3.2.4

remove TCP Status-Server requests from proxy hash as well

fixes #5326

docker: fix build commit and add help target

crossbuild: add git safe directory

add example configuration

hook up Challenge for Post-Auth-Type for inner tunnel processing

fix comment typo since 11afab7dac56bef3a76ec0fcb89a584f4546b5dd (2014)

docker: install tzdata in deb images

fixes #5315

CI: add docker build job

docker: regenerate dockerfiles

docker: copy local files into docker image

rather than always pulling from remote

docker: build images using generic rules

docker: fixups for rocky8

docker: add alpine template and debian sid

Add python3 to alpine in prep for newer images that don't have python2. For now
this is also still the newest alpine we can go before the couchbase module has
problems building.

docker: get list of images from directory tree

docker: move dockerfiles into subdirectory

easier to get an automatic list of dists we build for

docker: bit more needed for ubuntu24

note recent changes

don't create too many random things

Ensure yum is installed on Rocky 9

Once CentOS 7 goes EoL, we can switch to dnf

unify cleanup code

typo.  Fixes #5321

add missing " at end

allocate instance data even if the module doesn't need it

which lets the rest of the distinguish virtual attributes from
typos in xlat functions

fix typo.

We loop until the content is non-space, not while the ptr is !NULL

set default to quiet compiler

fix data types for CONF_PARSER

make fr_ev_max_fds configurable

but we're still limited by FD_SETSIZE, which is 1024 on most
systems.

make maximum number of FDs configurable

add ecdh_curve example configuration

Add `lookforward_steps` option to `rlm_totp`

Formatting

bump github action/{upload,download}-artifact

Except for ci-rpm where centos-7 is too old for node > 16

Add Ubuntu 24 to deb packaging tests

Failed authentications should return `reject` not `fail`

Add Ubuntu 24 to crossbuild

Tidy RHEL build

Removing references to obsolete RHEL versions

enable crossbuild github action

bump github action/{checkout,cache}

to get rid of github node 16 warnings, except on ci-rpm centos:7 which is too
old for node>16

crossbuild: now need yubikey library for tests

crossbuild: bump antora version and other fixes

- centos7 and ubuntu18 don't support node>16
- no longer explicitly install npm on debian12

All current platforms have MySQL >= 5.5

build on Solaris, too.  Fixes #5313

note recent changes

better handle re-enabling connection are TLS connection check

add / fix some debug messages

Typo

rlm_sql_freetds: handle returned NULL column values

These don't update the results buffer - so zero it out during allocation.

sql_map does not use the dialect option

better handle all actions.  Fixes #5308

fix UNUSED for radius/1.1