packet verification is handled in the BIO callbacks

by the rlm_radius_verify() function.

ideally, we should also move any tracking checks and decode
routines to that function, too

don't convert the input key to a string

we're hashing it for load-balance purposes.  So we can just hash
the raw data.

and since tmpl_expand() now produces errors, we don't need to

just use fr_value_box_cast() in tmpl_to_type

as it means there are fewer corner cases in the code.

and add RDEBUG messages, so that the caller gets told when things
go wrong.

note that this function is only called from a few places:

tmpl_dcursor, which needs uint8_t

ldap maps, sql maps, attr_filter, and load-balance, which all
need strings.

resolve tmpls before returning them to LDAP

unconnected replication sockets can only be UDP

Add test to proxy detached subrequest

and missing files from rlm_radius originate test

Subrequests are talloc'd not reserved from the slab

Add redis xlat tests

Checking for:

 - basic SET / GET
 - return of NULL can fall back to an alternate value
 - return of multiple values with HMGET

Add test of rlm_radius as originator using subrequest

Better assert for boxes which can be truthy

Testing fr_type_is_leaf excludes FR_TYPE_NULL, which is a valid "false"
box.

Add call to %delay() to detached subrequest test

Causes the subrequest to yield and resume.
Detached requests don't perform normal time-tracking - this adds a
regression test to ensure time-tracking state changes don't cause issues
with detached requests.

update subrequest with more examples

and point the default virtual server to the subrequest documentation

exit after 5min in the tests

and ignore -e in ndebug builds, rather than complain.

build on systems without lsb_release

rewrite tmpl_to_atype()

There is a weird corner case where it returns an error without
printing any complaints.  But only for ubuntu-24-linux-gcc-ndebug.

https://github.com/FreeRADIUS/freeradius-server/actions/runs/14692203645/job/41229053000#step:10:2949

The input is a tmpl type data, with data type time_delta.
The output is a fr_time_delta_t.
Both clang scan and coverity think that everything is fine.
All runs with ubsan / asan / lsan don't show errors.

Yet it still fails, but only on one platform.  And consistently.

Since all attempts at debugging have failed, the solution is to
change the code so that it more clearly separates out the various
paths.  Another result is that it does less copying of intermediate
boxes.

remove unused assignment

Added auditing info from customer doc and wiki.
Updated Optimization directory structure to standard format / index file.
Added links to tools man pages included with antora docs.

update and copy/edit Howto Guides >> Vendors section

rename subst -> str.subst

print out the thing we looked up, too

use newer / consistent function names

print out error via RPEDEBUG when calculating a result

re-run tests if the conf files change, too

all tmpls should be resolved before they are expanded

rename xlat functions.

via scripts, with some manual fixes to the unit tests.  Changing the length of an xlat
function changes the offset in a string where an error occurs.

perl -p -i -e 's/%concat\(/%str.concat\(/g' $(git grep -l 'concat' doc/antora raddb src/tests)
perl -p -i -e 's/%explode\(/%str.split\(/g' $(git grep -l 'explode' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacmd5\(/%hmac.md5\(/g' $(git grep -l 'hmacmd5' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacmd4\(/%hmac.md4\(/g' $(git grep -l 'hmacmd4' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacsha1\(/%hmac.sha1\(/g' $(git grep -l 'hmacsha1' doc/antora raddb src/tests)
perl -p -i -e 's/%lpad\(/%str.lpad\(/g' $(git grep -l 'lpad' doc/antora raddb src/tests)
perl -p -i -e 's/%rpad\(/%str.rpad\(/g' $(git grep -l 'rpad' doc/antora raddb src/tests)
perl -p -i -e 's/%substr\(/%str.substr\(/g' $(git grep -l 'substr' doc/antora raddb src/tests)
perl -p -i -e 's/%randstr\(/%str.rand\(/g' $(git grep -l 'randstr' doc/antora raddb src/tests)
perl -p -i -e 's/%md4\(/%hash.md4\(/g' $(git grep -l 'md4' doc/antora raddb src/tests)
perl -p -i -e 's/%md5\(/%hash.md5\(/g' $(git grep -l 'md5' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_224\(/%hash.sha2_224\(/g' $(git grep -l 'sha2_224' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_256\(/%hash.sha2_256\(/g' $(git grep -l 'sha2_256' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_384\(/%hash.sha2_384\(/g' $(git grep -l 'sha2_384' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_512\(/%hash.sha2_512\(/g' $(git grep -l 'sha2_512' doc/antora raddb src/tests)
perl -p -i -e 's/%blake2s_256\(/%hash.blake2s_256\(/g' $(git grep -l 'blake2s_256' doc/antora raddb src/tests)
perl -p -i -e 's/%blake2b_512\(/%hash.blake2b_512\(/g' $(git grep -l 'blake2b_512' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_224\(/%hash.sha3_224\(/g' $(git grep -l 'sha3_224' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_256\(/%hash.sha3_256\(/g' $(git grep -l 'sha3_256' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_384\(/%hash.sha3_384\(/g' $(git grep -l 'sha3_384' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_512\(/%hash.sha3_512\(/g' $(git grep -l 'sha3_512' doc/antora raddb src/tests)
perl -p -i -e 's/%tolower\(/%str.lower\(/g' $(git grep -l 'tolower' doc/antora raddb src/tests)
perl -p -i -e 's/%toupper\(/%str.upper\(/g' $(git grep -l 'toupper' doc/antora raddb src/tests)
perl -p -i -e 's/%urlquote\(/%url.quote\(/g' $(git grep -l 'urlquote' doc/antora raddb src/tests)
perl -p -i -e 's/%urlunquote\(/%url.unquote\(/g' $(git grep -l 'urlunquote' doc/antora raddb src/tests)

Store and restore log indentation when frames are popped

This helps us get back to sane indentation when we're forcefully cancelling frames.

Ensure insert is always initialised to quiet clang scan

Quiet clang scan complaining about how it's invoked.  -c is redundant here.

Nuke chroot, it's likely not used and causes clang scan to complain

Ignore key.dovecot

No longer valid as slab elements are over-allocated

Use the standard slab allocator for requests

Just set fields in the worker config directly

Rename worker_create to worker_alloc so people don't have to search for it

Rename runnable_id to runnable

Use a sub-timer list to track request expiry

Keywords docs are under <version>/reference/unlang/...

Link to correct keyword docs

detached requests don't do time tracking

Check for request->client before checking request->client->cs

don't set timeout if we have a TTY and lldb / gdb

so that the poor user doing "cut and paste" of test commands
doesn't have their debugger session suddenly disappear

print out references to Antora keyword docs on parse errors

and use a reference to the actual version

some modules can _only_ be used in one namespace

so we add the namespace to the module configuration, and then
check for it when we compile the reference to the module.

We also add a reference to the online documentation, so the user
knows what to do in order to fix the issue

define RADIUSD_DOC_VERSION

so that any messages in the code can point to the correct
(and specific) revision of the online Antora documentation

and define macros to point to the online docs

revert code missed in 95d32f66831f1

don't free name twice

add new function names, and notes on when they are deprecated.

for now, nothing complains if these are used. :(

note that deprecated functions are "removed"

we will remove the functions later, once we verify that no one
is using them.

let's print out error messages on error

don't write to "inst" in thread_instantiate

remove "track_connections" configuration.

TCP sockets are always connected.  UDP sockets cannot really be
connected.  Posix says that UDP packets for that dst IP/port
will always be delivered, no matter what the source port.

Update sample lua module configuration

Update rlm_lua tests to use new function names

Use a call_env to determine function names for rlm_lua

Make fr_lua_check_func a library function

So it can be used in rlm_lua.c

Copy dedup_authenticator when copying clients

Set client dedup_authenticator to "yes" by default

Update example mruby module for new function names

Use a call_env to determine function names for rlm_mruby

docs: update os/security certificates section

Handle missing name2

Update docs from current local dictionary comments

Update docs from updated perl module

Update sample perl module config

Update test Perl module.conf for new function mapping

Use a call_env to determine rlm_perl subroutine names to call

allow "catch" after "timeout"

fix coverity issue by removing code

the xlat_func_string() just copies its inputs to its outputs,
so we can use xlat_transparent() to do this work.

the actual "convert to string" bit is done by the xlat argument
parser

arguably, we should just remove %string(), as it's no longer
needed.

add -e ignore_count=N

Use macros to check return codes of disam/delete functions

Remove incorrect condition in bfd/session.c, rename fields to consistently identify events

Various other timer fixes

Simplifying deleting timers in bio/fd.c and raise errors

Disarm the curl I/O timer instead of deleting it

Slightly more efficient timer armed check

Say which type of servicing failed

We don't recommend lua/perl/python for writing policy

No need to sort the list

Correct index itterator

fr_pair_dcursor_by_da returns the first pair.

more debug messages for tracking state

add unlang_interpret_set_timeout()

in preparation for moving max_request_time functionality to the
interpreter

docs: update/copy-edit dhcpv4 pages under >>Howto >> Protocols >> DHCP

Update docs with latest sample module confs

Don't allow "catch" by itself

and add tests for it

give things good names

clamp values for "retry" section

updates from PR #5557

docs: import customer info CoA-Originate-Relay info into Antora >> Howto >> Protocols >> RADIUS

Re-write rlm_python howto

Add debug level constants to rlm_python

Tidy rlm_python copyright

None of the original code exists anymore

Update sample rlm_python config

Update example.py

Update Python test function names

Use call_env to identify Python function names

Firstly a function `<name1>_<name2>` is looked for.  If that is not
found (or there is no `name2`, then `<name1>` is looked for.

The Python module can be set with config option `mod_name1_name2` or
`mod_name1`.

The function can be overridden with config option `func_name1_name2` or
`func_name1`.

`name1` and `name2` are converted to lower case and any
non-alphanumercic characters are converted to underscores.

e.g. a module call in `recv Access-Request` will look for
`recv_accsss_request` and then `recv`.

Add tests of rlm_python attribute setting

Only accept an rcode in the Python function reply

Python functions can now directly amend attribute lists

Pass py_freeradius_request_t to python functions

In place of the tuple representation of the request list

Update Python module init

To add type definitions and add new objects

Create py_freeradius_state_t when instantiating thread instances