disable resumption tests, and check for TLS version in version tests

eap: configuration for fast

eap: add eap-{ttls,peap}/eap-tls tests

CI RPMs: Remove workaround for scomp filter bug with faccessat2 (#3969)

No longer required.

note recent changes

use correct name for doxygen

remove unused assignment

remove unnecessary code

due to unresolved issues (interactions with OpenSSL APIs),
just always use 1 session ticket, even for PEAP / TTLS.

Revert "add flag to send early session tickets"

This reverts commit 1663b982854e66eaa9191aec549aa8942c942947.

this doesn't work.

We really need SSL_new_session_ticket(), which is only in
OpenSSL 3.  Which is not released.

Pull over fixes from master

Just use a static value to differentiate tests running on different branches

Add auto-merge for v3.0.x

add flag to send early session tickets

mainly for TTLS and PEAP

be kind to non-TLS builds

include correct header

delay session tickets until after the user was authenticated

for PEAP, TTLS, FAST, etc.

move code to common area

clean up expired sessions

set flag indicating that authentication succeeded.

not used much for now, but will do in the future.

forbid doing session tickets until after the client cert is verified

remove old maintainer who is no longer active

remove unused label

swap the order of allocate for unknown da's.  Fixes #3937

don't decode anything for CUI

expose fr_pair_alloc()

remove unused variable

always create ctx.  Helps with #3937

create and use context for VPs.  Helps with #3937

hoist "set global client list" to client_list_init()

as client_list_free() takes care of freeing the global client list

work around OpenSSL behavior changes for TLS 1.3

check and verify EAP-Type when resuming

This is a follow up to commit 752bdd35e1e
so that we do not permit

note recent changes

helps to have this, too

add "is_dup" flag

so if we have 2 attributes of the same number / type, but different
names.  We mark the old one as "dup".

Then when looking up the attribute by name, check for the dup
flag, and if found, return the *new* attribute.

This change lets us decode packets into the new names, then
read config files using the old names, and have the two
attributes match.

remove some attribute conflicts

move handshake_send to after commitment message

which gives us the ability to check for SSL data written by
SSL_shutdown()

cache and restore EAP-Type, too.

so that we can forbid cross-type resumption

if PEAP says "not resumed", then over-ride the TLS layer "we resumed"

and update the messages so that it's a little clearer what's
going on.

Correctly log released IP address

note fix of double free due to PCRE library issues

if it's already unknown, leave it alone.  Helps with #3937

shup up clang scanner

no longer any VARIABLES section.  Fixes #3941

notes on RFC 4849 and NAS-Filter-Rule

decode NAS-Filter-Rule, too

add encoding of magic RFC 4849 format of NAS-Filter-Rule

use NIL for root

and make NIL point to itself as it's parent

avoid cache dirty on root

abstract checks into a macro

make code more consistent

reset pcre_malloc only once

clear pointers after freeing them

give up and just disable TLS 1.0 and 1.1

We can't convince eapol_test / OpenSSL to *just* use an older
TLS version.  If we enable only TLS 1.0 / 1.1, then OpenSSL
will always choose TLS 1.3.

https://datatracker.ietf.org/doc/draft-ietf-tls-oldversions-deprecate/

says that we should not be using TLS 1.0 or 1.1 any more.  So we
might as well go along with that.

ensure that EAPOL_TEST is defined before it is used

redis: Add missing 'redis_module_instance' config set

CI: Activate tmate on failure when pushing to the ci-debug branch (#3928)

typo

just turn things off

give up and try to do idiotic debugging

just use top_builddir FFS

one more try to figure out package tests

gnu make doesn't know about directories

update README to note PEM vs P12

copy for p12 files, too

define top_srcdir

because the EAPOL tests need that when making packages

print command lines on failure

add resumption tests

run tests across many different TLS versions

build TLS-specific versions of the configuration files

remove unused target

move output files to build/

so they don't confuse the local directory :(

add phase1 config to TLS-based EAP methods

unused for now

reformat for v3

manual pull from master.  Fixes #3907

rlm_python: The detach() function in example.py expects parameter

Added some more attributes to dictionary.wimax (#3905)

Update Arista dictionary for v3.0.x (#3910)

change to rad_assert to shut up clang scan

add flag for TLS 1.3 close_notify vs commitment message

use rad_assert(), not fr_assert in server-side code

todo notes

set a flag when the client cert has been validated

more "shut up clang analyzer"

shut up clang

add rlm_sql_map

add sql_map

use TESTBIN instead of manually-coded paths

and use local libs for local tests

ignore auto-generated files

release handle on error

use public API

Add sql_map module

sqlcounter: fixed configuration for PostgreSQL #3867

ABSTIME is deprecated since PostgreSQL 7.0 and removed in PostgreSQL 12.
GREATER doesn't seem to be documented, but GREATEST is available
since PostgreSQL 9.

Closes #3867

Revert "use different labels for MSK and EMSK, with TLS 1.3"

This reverts commit efc453a2c61d7491af6e803daf708145d14977fc.

There is no consensus to make this change, so revert the code
to match draft-ietf-emu-eap-tls13-13.

Add support for timezone on alpine

unify messaging for closing connections

re-use connection, even if idle

When we're getting a new connection, don't close idle ones
and re-open a new one.  Instead, just re-use the old idle
connection.  This change helps to minimize the number of
open / close / open / close cycles.

Break if there are no pairs remaining

disable v3_req extensions

until we figure out why they fail on CI.  OpenSSL has *such*
helpful error messages.

remove TLS 1.3 support

The IETF is endlessly waffling, and we don't want to release
a non-standard implementation.

Add Key Identifier extensions to server.cnf

The Intel Wireless Daemon (iwd, alternative to wpa_supplicant) heavily
relies on Linux kernel interfaces for all its crypto, but the Linux
kernel doesn't seem to accept certificates without these extensions and
hence TLS will fail without them.

manual port of commit d9e7106