run policies to see if we can accept the RadSec connection

don't delay responses to Status-Server

gracefully handle closed connections

handle SSL_ERROR_ZERO_RETURN a little more politely.

sample stunnel configuration

which makes it easier to test radsec, just using radclient

Allow TLS 1.3 for RadSec

fix typo

fix typo

note recent changes

document suppress_secrets

more documentation for EAP-TLS

Looks like there is bug in tls code w/ fr_nonblock

With that RADSEC is not working at all. The issue is in this commit:
https://github.com/FreeRADIUS/freeradius-server/commit/b6d7249be1958d0080187846d8bab1f0fae6b857

it pretends to revert erroneously deleted lines from another commit:
https://github.com/FreeRADIUS/freeradius-server/commit/f9c2f5a55d2df71979d99708f83d52336e44ad00

The thing is that it is not only reverting deleted lines, it also adds fr_nonblock(fd) call in tls_new_client_session.
Was that done by mistake? With that SSL_connect exits immediately while we are trying to send initial Access-Request
packet in proxy_tls_send. Of course at the this time the handshake is not yet finished and SSL_connect returns with an
error.  SSL_connect will return success just on the following reads in proxy_tls_recv. But here we are in the recv
callback, handlshake is done... so what, we don't have any packet to send. I have deleted this fr_nonblock(fd) call
meanwhile.

make request_coa_originate() follow the other methods

eapol_test: Fix OSX build using clang >= 11 (#3855) (#4044)

Fixes the eapol_test build using clang >= 11

../src/radius/radius_client.c:817:24: error: cast to smaller integer type 'RadiusType' from 'void *' [-Werror,-Wvoid-pointer-to-enum-cast]
RadiusType msg_type = (RadiusType) sock_ctx;

complain if there aren't enough fields

let's not crash, m'kay?

update examples

correct samples

add more WARNINGs so that people who read them will be enlightened.

The default configuration depends on either User-Name or
Stripped-User-Name containing the identity of the user logging in.
If the identity is anonymized, and there's no Stripped-User-Name,
we need to warn the administrator that there is not enough
information to identify the user.

don't print "name name" if we find a duplicate module name

typo

additional notes

mark more attributes "secret"

suppress more secrets

typo

use prefix, too

suppress secrets here, too

add and check for "suppress_secrets"

so that debug output contains fewer secrets

add "secret" flag to attribute

so we can not print it.  Sometimes.  Maybe.

Add verify_tls_client_common_name policy

CI package tests: Use Azure-hosted mirrors for better reliability (#3981)

:wrench: rlm_yubikey: Fix parenting issues (#4012)

Added Centec dictionary.  Fixes #4010

Missing subsection search entry for "refresh" cache method (#4009)

Typo (#4008)

remove from Jenkinsfile, too

update to fix CentOS' powertools breakage

Remove CentOS 6 from Jenkins builds as now EOL

whoops, need this too

document "auth+acct" too

note recent changes

add IPv6 address for server / client stats

and check for them when looking up stats for server / client

don't count Status-Server in auth/acct counters

because we already don't count the replies

rlm_yubikey: The API uris should be 'https' (#3979)

rlm_sql_map: Add 'multiple_rows' option (#3903)

run EAP-MD5, too

and sort the files, so they're always run in the same order.

reformat and normalize eapol_test configuration files

eap: test for TLS session resumption

disable resumption tests, and check for TLS version in version tests

eap: configuration for fast

eap: add eap-{ttls,peap}/eap-tls tests

CI RPMs: Remove workaround for scomp filter bug with faccessat2 (#3969)

No longer required.

note recent changes

use correct name for doxygen

remove unused assignment

remove unnecessary code

due to unresolved issues (interactions with OpenSSL APIs),
just always use 1 session ticket, even for PEAP / TTLS.

Revert "add flag to send early session tickets"

This reverts commit 1663b982854e66eaa9191aec549aa8942c942947.

this doesn't work.

We really need SSL_new_session_ticket(), which is only in
OpenSSL 3.  Which is not released.

Pull over fixes from master

Just use a static value to differentiate tests running on different branches

Add auto-merge for v3.0.x

add flag to send early session tickets

mainly for TTLS and PEAP

be kind to non-TLS builds

include correct header

delay session tickets until after the user was authenticated

for PEAP, TTLS, FAST, etc.

move code to common area

clean up expired sessions

set flag indicating that authentication succeeded.

not used much for now, but will do in the future.

forbid doing session tickets until after the client cert is verified

remove old maintainer who is no longer active

remove unused label

swap the order of allocate for unknown da's.  Fixes #3937

don't decode anything for CUI

expose fr_pair_alloc()

remove unused variable

always create ctx.  Helps with #3937

create and use context for VPs.  Helps with #3937

hoist "set global client list" to client_list_init()

as client_list_free() takes care of freeing the global client list

work around OpenSSL behavior changes for TLS 1.3

check and verify EAP-Type when resuming

This is a follow up to commit 752bdd35e1e
so that we do not permit

note recent changes

helps to have this, too

add "is_dup" flag

so if we have 2 attributes of the same number / type, but different
names.  We mark the old one as "dup".

Then when looking up the attribute by name, check for the dup
flag, and if found, return the *new* attribute.

This change lets us decode packets into the new names, then
read config files using the old names, and have the two
attributes match.

remove some attribute conflicts

move handshake_send to after commitment message

which gives us the ability to check for SSL data written by
SSL_shutdown()

cache and restore EAP-Type, too.

so that we can forbid cross-type resumption

if PEAP says "not resumed", then over-ride the TLS layer "we resumed"

and update the messages so that it's a little clearer what's
going on.

Correctly log released IP address

note fix of double free due to PCRE library issues

if it's already unknown, leave it alone.  Helps with #3937

shup up clang scanner

no longer any VARIABLES section.  Fixes #3941

notes on RFC 4849 and NAS-Filter-Rule

decode NAS-Filter-Rule, too

add encoding of magic RFC 4849 format of NAS-Filter-Rule

use NIL for root

and make NIL point to itself as it's parent

avoid cache dirty on root

abstract checks into a macro

make code more consistent

reset pcre_malloc only once

clear pointers after freeing them