Use ROPTIONAL where request may not be set

When TLS connections are outbound there is not a dummy request
associated with the socket.

Correct signature for SQL driver mod_instantiate

tweaks

notes on debugging using OSX utilities.

actually print out the config

hashes aren't rlm_rcode_t

on double-checking, this isn't necessary

add CRL distribution points.  Fixes #4992

Add TLS-Client-Cert-CRL-Distribution-Points and
TLS-Cert-CRL-Distribution-Points

more stats for TCP sockets, too

Don't crash when the OSCP URL is invalid.  Fixes #5433

ix eap tls preload certificate chains for realms Fixes #5299

minor tweaks to debug output

document new behavior of the EAP in pre-proxy

note recent changes

Calculate length of EAP-Message only.  Fixes #5486

The calculation of EAP message length needs to total the length
of all the EAP message attributes, rather than the length of the
first EAP message attribute and all subsequent attributes of all
types.  Also, enhance the error message to include the calculated
lengths.

better handle single-character expansions.  Fixes #2216

update example flags.  Fixes #5346

rename to --show-config.  Fixes #5442

This avoids conflict with clang's --config option.

We should probably instead have a special "--" option which
signifies "end of jlibtool options.

Arguably jlibtool should have

it's now safe to do request_done() for QUEUED requests

be more aggressive about cleaning up full queues

API to see if the fifo is full

remember to unlock the mutex

remove dups and minor tweaks

note recent changes

better handle "queue full" states

we already have a request state which indicates that the request
is owned by the queue.  We add a new request state which says that
the queue code should free the request on dequeue.

Double-checked the rest of the code, and added more cleanups
for requests which should handle the "queue full" case a bit
better.

clear errors on CTRL-C

add support for timeout.  Fixes #5417

remove unnecessary code, and add comment explaining why

add stress test script as posted to github PR #5480

remove extraneous assert

note the behavior of the various listen states

Handle label only used on TLS builds

Allow for PGRES_TUPLES_CHUNK when checking PostgreSQL status codes

Handle clang scan warnings

Hide TLS code on non-tls builds

clean up TLS connection checking

move the "read from socket" to the main event loop, which solves
a number of issues.

let's add a reject delay

let's make it executable

catch more corner cases when using check_client_connections=yes

scripts and tests for rejected user

add sample configuration for checking client connections

automatically choose password if no eap type is set

and update the documentation to match

use arrays

in preparation for simple password configuration

typo

add sample TEAP configuration files for eapol_test

cleanups, debug, and implement Basic-Password-Auth-Resp

add example, because it's hard to read the docs

more debugging

hoist allocation of fake request

in preparation for supporting basic password

set default to ""

catch misconfiguration between required and received

make errors REDEBUG

extract outer TLVs from peer, and use them in Crypto-Binding

Allow sending of Basic-Password-Auth-Req

then check for and validate Basic-Password-Auth-Resp

It doesn't yet handle password responses.  That requires some
more rearchitecture.

don't default to MD5 for inner EAP.  It's not supported.

more sanity checks

refuse to do anything other than TEAPv1

Handle the case where we have Outer TLVs with TEAP

sanity check outer TLV length even if 'L' bit is not set

use newer options for OSX, ported from v4

remove debugging

quiet compiler

start of work to allow TEAP 'O' bit without 'L' bit

use macros instead of magic numbers

and add commented-out debugging messages

update docs to say that "authenticate" means User-Name / User-Password

debug updates for clarity

Ubuntu 24 runners already use OpenSSL 3.0

Switch CI runners to Ubuntu 24

Self hosted runners are already using Ubuntu 24 based images - so make
GitHub hosted the same

better debugging and state machine fixes

only go to the provisioning stage after all authentications have
succeeded.

clean up debug output

most people don't care about hex blobs, so those are made DEBUG3

choose Identity-Type sent by the peer

and not what we're asking for next

set phase2 properly

cleanups, and let's not send too many Identity-Type exchanges

add provisions for handling Outer TLVs for peer, too

set flag if we're an EAP inner tunnel

and then use the flag to disallow session resumption for the
inner TLS-based method.  The caller should instead do resumption
for the outer TLS-based EAP method.

allow only a limited subset of inner EAP types

some are just not suitable, as they do not derive MSK or EMSK

add more aliases.  Fixes #5484

minor cleanups

note recent changes

allow stats for home server with src_ipaddr set.  Fixes #5483

note changes for TEAP

finalize TEAP auto state machine

add configuration for machine + user

and disable PAC provisioning.  Tho this needs source code changes
to wpa_supplicant in order to work.

more debugging, and set fake->config instead of request

more debugging for showing how we get EAP-Type

format

print names instead of numbers for friendliness

correct order of fields

complain if we get TEAP inside of TEAP

note recent changes

add support for xlat of filename

Add handling for Subject Alternative Name (SAN) URIs  Closes #5450

Manual merge with minor changes

Add options to control return behaviour in group and policy sections

typo: User is 1

set t->received_version

Correct handling of "untrusted" certs. Fixes #5466

OpenSSL calls all certificates presented by a client that aren't in the
local trust store "untrusted".

Therefore when verifying a client certificate, that will always be
untrusted - so we only have untrusted CAs in the chain if there is more
than one untrusted certificate.

added more debug output

fix typos

Use PyEval_RestoreThread to swap to main thread. Fixes #5111

Py_Finalize wants the GIL locked, and PyThreadState_Swap doesn't do
that.

Don't run Python detach function on config check