Typo: 1821->1812 (#5547)

home_pool may be NULL

hoist NULL check to before dereference

it's better to do this only for Access-Challenge

add support for server affinity.

which means that EAP sessions can be directed to the correct
home server in more situations.

add rule for DER output

define USEC

change lower_limit for reject_delay to 0.5s.

Some equipment is known to retry aggressively if the timeout is
about 1s

Typo

Update Alteon dictionary

Using details provided on the mailing list from
https://netmarket.oss-cn-hangzhou.aliyuncs.com/2029985f4fad4aef8fc3d7f2f3907ce0.pdf

add error message about what's required

MS-CHAP is plain-text equivalent.

Mark the Challenge field as secret, so that it doesn't get
exposed when people run the server in debug mode.

print out client name, and rate limit messages

As reported by Hideaki Goto.  We do not want to spam the log with
many of the same message.  We want to include the client name,
so that the administrator knows which client is making repeated
connection attempts

reject if we have success + fatal error

don't allow renegotiation

which means sending a new certificate in the middle of a TLS
session.

Since the server doesn't expect this behavior, it's likely to not
work

be more flexible about %"

be stricter about marking as VT_XLAT

typo

set tag before parsing value

set tag for :V properly.

Hoist setting of new->tag to before we call fr_pair_value_from_str()

when converting LITERAL to DATA in modcall_fixup_update(), check
for TAG_VALUE, and then parse the tag from the value.  Once that's
done, parse the value with from the remaining part of the string.

Add tests

skip ":V" for lists and fix parsing of ":V"

move checks for '%' into fr_pair_mark_xlat()

after verifying that all functions which call it are safe to have
this funtion call fr_pair_value_from_str() if there's no '%' in
the string.

add missing README which lets modules be categorized

parse ":V" in fr_pair_make()

note recent changes

document :V

we didn't need this change

typo

Parse tag from value when :V is used.

This only works for bare words right now, and not for
double-quoted strings.

complain about :V tag in inappropriate places

define, parse, and print tag ":V"

which is intended to cause tags to be parsed from values

and hoist the "set tag" code to before the calls to
fr_pair_value_from_str(), so that it can parse the tag

add commented-out CFLAGS which can quiet the compiler a bit more

more typo

fix the typo

produce better errors on bad passwords

typo

'%' at the end of a string is itself, and not an error

only mark strings for expansion when they contain '%'

and formatted

fix typos and clean it up to remove duplication

as posted to the list

make libpcre optional in debian package

Newer OSes are PCRE2 only, but v3 doesn't support that. Doesn't seem to be any
official way to do this, so just "or another package that we already want".

prevent duplications

typo.  fixes #5522

Preliminary module for producing to Kafka

Based on https://github.com/thebinary/rlm_kafka

Don't needlessly attempt to set euid to the current euid

This isn't a noop on Linux and will cause librdkafka to fail.

document Windows behavior

fix crash in TEAP module

allow building when OpenSSL is missing PSK.  Fixes #5520

point to ltb-project which may have OpenSSL-compatible libraries

adds hint message for users testing TEAP using eapol_test.  Fixes #5518

Use control:Packet-SRC-IP-Address when proxying needs a given source

For the case when using Packet-DST-IP-Address to direct proxying.

This needs to align with the src_ipaddr defined for the home server.

ci: bump ubuntu versions

note recent changes

wrap crl_dp checks in if (certs && (lookup <= 1). Fixes #5515

only build the fuzzer if we have -fsanitize=fuzzer

we don't need these flags here

check that the packet is well-formed

rad_decode() doesn't do this, but instead assumes that the packet
is OK.

add framework for fuzzer

move STOP check to before assert.  Fixes #5512

check for invalid values of the Crypto-Binding Flags field

rename function for clarity

move failures to RWDEBUG

debug print TEAP attributes we're sending in phase 2

minor cleanups, and print inner VPs in Access-Accept

add only one user with EAP-MSCHAPv2

allow TLS 1.2, and use "autheap=MSCHAPv2"

otherwise eapol_test complains with

TLS: Unsupported Phase2 EAP method 'MSCHAPv2'

Bump for 3.2.8

release 3.2.7

disable unix/utmp modules in the default config

rebuild dockerfiles

- bump alpine version from 3.13 to 3.21
- remove python2-dev from alpine (no longer in OS)
- remove rlm_couchbase from alpine (OS has Couchbase v3, which we can't use)

rlm_couchbase: we can't build on couchbase v3

add configure switch for radlast

/usr/bin/last is unavailable on some systems due to 32bit utmp, which is what
radlast uses, so give the option to simply not include it when building

example docs for tmpdir with systemd. Fixes #5066

Add basic radsecproxy.conf for testing

note recent changes

SSL_CTX_set_psk_find_session_callback was added in OpenSSL 1.1.1

Add detail to error observed when TLS PSK is wrong

PSK config uses either identity or query

Set PSK session callback for server SSL ctx

Define cbtls_psk_find_session() for TLS 1.3 PSK session creation

Move psk_server_callback to cb.c

And split apart so query expansion can be used for TLS 1.3 callback as
well.

Correct function signature for event_new_fd()

It is used as an event callback, so needs to have the
fr_event_callback_t signature.

Backport alignment consistent ipv6 masking from v4

No sock for detail listeners. Fixes #5485

Free authority info access extracted from cert

Distribution points need to be freed

Report OpenSSL errors at each stage of OCSP failure

Use client shortname as TLS conf name

The configuration item is psk_hexphrase.  #5469

typo

add proxy_rate_limit module

add defaults

Preliminary mod_proxy_rate_limit module

note recent changes

use the server TLS configuration, not client.

the home_server code uses tls_client_conf_parse(), because that
controls the settings used by the _client_ to connect to the home
server,

the client code should then use tls_server_conf_parse(), because
theat controls the settings used by the _server_ when a client
connects.

listen.c also now sets listen->tls = client->tls, so this is the
correct behavior.

Previously, the client TLS settings were entirely ignored.  So it's
OK to change (i.e. fix) this behavior

If a client has a TLS config, use that in preference to the listener one

Parse client specific tls conf sections

No need to warn about short shared secret for RadSec connections

WS