minor word smithing

don't unlock the mutex if it was never locked.

note recent changes

allocate from the request, which is thread-safe.  Helps with #3188

The "check" item is taken from the "huntgroups" file.  It's in
a statically allocated list which doesn't change, and shouldn't
change during run-time.  Allocating memory in its context is
not thread-safe, and can cause issues

simple config for testing

Status-Server packets are left in the TCP proxy hash

until such time as the listener is being shut down

allow status-server checks for TCP

nothing yet implements that, but it's a start.

We still have to allocate a permanent ID for status-server checks

we cache preg only for PCRE

more assertions

MySQL sqlippool SP: Run as invoker, not definer; close transaction on error (#4170)

In MariaDB/MySQL, stored procedures default to running in the context of
the definer rather than the invoker.

This is a problem in a streaming replication scenario since the definer
is often the root user who has the "super" power to write to a read-only
database (unless super-read-only is enabled, which is not available for
MariaDB), thus breaking the replication timeline.

Additionally, exiting an SP does not finalise any running transaction.
If an exception is raised within the SP (e.g. due to the database being
read-only) we must handle this and finalise the transaction, otherwise
subsequent calls to "SET TRANSACTION ISOLATION LEVEL READ COMMITTED"
will fail ad nauseam until the connection is finally closed.

don't build coa tunnel by default

proxy_listener may not exist

print out better errors

return type is ssize_t if we return -1

simple test haproxy configuration file

document proxy_protocol

print ip, not fr_ipaddr_t

the end client must be known, too.

return 1 for "done" instead of "error"

Dump raw data

fix misplaced bracket

print out things before mangling them

rework connection management.  Fixes #4163

don't read from the socket twice in a row, that's blocking

spaces are allowed...

set extra=0 only when min=max.

formatting, so we don't have nested "else" when they're not needed

formatting

Fix typo in SQL ippool query (#4156)

Fix unnecessary periodic close/open in connection pools. refs #4161 (#4162)

Fix another typo in SQL ippool queries.conf (#4158)

Fix ippool mysql schema.sql (#4157)

It must create even if already exists

Fix DHCP common policy (#4159)

rearrange for simplicity

Fix ippool 'skip_locked' variable set (#4153)

If not in use, it must be declared just to make the parser happy.

Fix typo in MySQL/ippool queries.conf (#4152)

Fix raddb SQL config path (#4151)

let's scan the newly read data, too

clear prev, too?

parse PROXY line.

This should work.  Testing?  Meh.  That's for later

we support PROXY protocol only for TLS

start of proxy_protocol support

it doesn't yet parse the full "PROXY ..." string, but the basics
are there

minor updates to messages

cleanups and fixes

let's build without TLS, too

rename

do SNI on the server side.

And cache the name in TLS-Server-Name-Indication

typos

note recent changes

move SNI to the correct place

update numbers

select SSL_CTX based on realm, if hash table exists

add Server Name Indication (SNI) to outbound RadSec connections

to simplify TLS load balancing

docs

note that right now we can statically load the certs, but not yet
dynamically choose them from the hash table

add "realm_dir" configuration

which will allow for loading multiple certificates from
a subdirectory, and choosing from them at run time

add chain_file and private_key_file to tls_ctx_init()

in preparation for adding realm_dir to the server configuration

require OpenSSL 1.1.0 or greater for reject_unknown_intermediate_ca

just use cert-file, and not chain file

add dictionary attributes, and allow for chain file

allow TLS-Session-Cert-File to be set

better errors

close connection on "no TLS data, but connection isn't set up"

add %{listen:Originating-Realm-Key}

allow multiple Proxy-To-Originating-Realm keys

in which case it proxies to the first one it can, NOT to all
of them.

This loop allows for a reverse *proxy* to say "any of these N
keys can return CoA packets to ream FOO".

notes on Status-Server when we bring up a TLS connection

regularize TLS messages

declare 'key' as const, which avoids a weird memcpy

hoist reverse_coa checks before _all_ "remove from proxy hash" calls

fix radsec tests

shut down coa tunnel listener after cleaning up proxied packets

grab another coa tunnel listener if this one is full

which bypasses the normal logic of proxy_new_listener(), etc.

fixes from Vadim

request->proxy_listener is NULL after removing it from the proxy
hash, so cache the reverse_coa status.

typo fixes from Vadim

only initialize the mutex if we succeed on insert

on the off chance that pthread_mutex_init() allocates memory

typo

retry on insert failure, due to mutex issues

for non-proxy sockets, run CoA / Disconnect through recv_coa_server

which is the CoA server used to send CoA requests to the NAS, but
whatever.  It's copied from the virtual server in the listener,
and is NOT the same as home->virtual_server

check for Proxy-To-Originating-Realm, too

use better names for home->virtual_server

and set home->recv_coa_server, too?

use better names for CoA home server / pool

use better names

mark up this listener as doing reverse CoA, too

fix typos from Vadim

skip listeners where all IDs are used

shut up compiler

move calls to listen_coa_free() so that we don't break things

tests for radsec

use proxy->vps, in line with other uses

add WITH_COA_TUNNEL to build

glue in the code to look up listeners by key.

* add a listen_free_all() function, which frees mainconfig.listen
and then also the listeners keyed by CoA

* put a linked list into the send_coa listeners, so that all
listeners of the same key can be found

* have each send_coa listener point to the main "key" data
structure

* the main "key" data structure contains the key name, the list
of listeners by this key, and a mutex

* added contents to init / free / add / delete / find functions

respect Proxy-To-Originating-Realm in request_coa_originate()

this isn't entirely the correct name for how we use the attribute,
but it's at least consistent with the rest of the server.

make request_coa_originate() follow the other methods

allow for reverse coa proxying in request_will_proxy()

Add new Proxy-To-Originating-Realm attribute, and change
TCP-Session-Key to Originating-Realm-Key, which is perhaps
a little clearer.

also note that when we automatically create a home server
for incoming TLS connections, we set home->server, not
home->coa_server

track the number of IDs used, so that we can allocate a free listener

start of add / delete / lookup API for reverse coa listeners

process coa replies through the coa server

more descriptive errors for people who don't read the documentation

rearrange brackets to quiet scan

only define COA_TUNNEL if we have WITH_TLS

let's define TCP-Session-Key