use less memory.  Don't allocate struct and then over-write it

add / update list disarm / arm, which is only for sub-lists

when a list is disarmed, its events aren't run.  Events can still
be added to it.  But because its event has been removed from the
parent timer, no events will ever run.

when a list is re-armed, it runs all events which have been
pending during the disarm period.  The caller is likely to clean
up events before re-arming the list

add support for 'continue'

along with documentation and tests

allow "break" inside of "case"

and "switch" is then marked as the break point.

Also update the "break" checks to use the flags instead of
unlang types

retry limits return timeout, not fail

tweak and refer to rcode table

document timeout rcode

uflags don't unwind anything anymore

Ensure old is initialised in all code paths

Shutup GCC

Make redundant work with "timeout"

Initialise break/return depth to a frame deeper than the current one in the stack if we're not actually breaking or returning

Check we have a stack as is done elsewhere

Update docs for timeout/catch

Mostly removing evidence of its previous existence

Lack of siblings to catch sections should not trigger an assert

Lack of catch section should not trigger a warning

Remove timeout { ... } catch { ... }  and add support for timeout rcodes

timeout { ... }  now sets a timeout rcode that can be caught like any other code.

Regression tests for try/catch

Move success out of the catch section, this ensure execution continues

Log what we're catching

If we pass a NULL next to frame_set_next, just return calculate result, and NULLify the frame->next pointer

Add a timeout rcode

This causes process modules to not respond to requests

Remove interpreter stop callback

Simplify use of request master state

frame_pop can pop the top frame too

We don't need to set the result when we're cancelling the request

Move to synchronous stack unwinding on cancellation

Don't set break and return points in stack frames, represent them as intrinsic properties of operations.

Add "op" flags for brackets, set rcode, return point and break point.

Check alloc

WS

WS

WS

WS

Move unwind frame flags into an enum

s/UNWIND_FLAG/UNWIND_FRAME_FLAG/g

s/unlang_frame_signal/unlang_stack_signal/g

Don't need to set fields to false for unlang ops

shut up compiler

it's too dumb to see that to_cast is initialized on all paths

rename "proto = detail" to "handler = detail"

"proto" is still accepted for compatibility.

However, it was too generic / conflicting, and was therefore
confusing.

Similarly, there were comments saying "listen load" would use
name2 to open the "load" module.  But name2 is now used for
something else, and the code was deleted a long time ago.

complain when no 'send foo' section is found for reply 'foo'

However, this is not a fatal error.  Arguably, it should be a
compile-time error and not a run-time error.  But it's hard to
automatically correlate 'recv foo' with 'send reply-to-foo' as
there can be many different kinds of replies.

Having it a run-time error also means that the admin gets warned
on every packet, which means that they are slightly more likely
to read it and then do something about it.

every 'type = foo' also requires a 'recv foo'

otherwise the server won't be able to process packets!

all listeners must have a 'transport' section

every listener MUST have an "open" call

as a development requirement

refuse to start when no 'listen' sections are configured.

It helps to fail with a descriptive error, rather than silently
doing the wrong thing.

Ignore packaging system upgrade produced config files

Both deb and rpm packaging systems will detect changed config files and
create extra files, which if we load them will create conflicts.

Add notes on rlm_python changes to upgrade doc

docs: Reorganized sqlippool section and 1st pass edit on content.

Reorganize SQL-IP-POOL section and xref/link updates

replace %{1} with %regex.match(1)

like some other languages.

The unfortunate outcome is that this makes a lot of things much
more complex visually.  But it's a bit more consistent with the
rest of the xlat functions.  And, for the v4 way of "less magic
and fewer special cases".

For now, %{1} etc. is still functional

and enable %regex.match() in non-PCRE builds

%regex() -> %regex.match()

doc: import customer docs Recover SQL IP Pools (HIVE 3406)

add test for local variables in subrequest

Allow local variables in subrequests

it helps to update this, too

allow replication to TCP sockets

where we need a trunk, and a new set of callback functions

packet verification is handled in the BIO callbacks

by the rlm_radius_verify() function.

ideally, we should also move any tracking checks and decode
routines to that function, too

don't convert the input key to a string

we're hashing it for load-balance purposes.  So we can just hash
the raw data.

and since tmpl_expand() now produces errors, we don't need to

just use fr_value_box_cast() in tmpl_to_type

as it means there are fewer corner cases in the code.

and add RDEBUG messages, so that the caller gets told when things
go wrong.

note that this function is only called from a few places:

tmpl_dcursor, which needs uint8_t

ldap maps, sql maps, attr_filter, and load-balance, which all
need strings.

resolve tmpls before returning them to LDAP

unconnected replication sockets can only be UDP

Add test to proxy detached subrequest

and missing files from rlm_radius originate test

Subrequests are talloc'd not reserved from the slab

Add redis xlat tests

Checking for:

 - basic SET / GET
 - return of NULL can fall back to an alternate value
 - return of multiple values with HMGET

Add test of rlm_radius as originator using subrequest

Better assert for boxes which can be truthy

Testing fr_type_is_leaf excludes FR_TYPE_NULL, which is a valid "false"
box.

Add call to %delay() to detached subrequest test

Causes the subrequest to yield and resume.
Detached requests don't perform normal time-tracking - this adds a
regression test to ensure time-tracking state changes don't cause issues
with detached requests.

update subrequest with more examples

and point the default virtual server to the subrequest documentation

exit after 5min in the tests

and ignore -e in ndebug builds, rather than complain.

build on systems without lsb_release

rewrite tmpl_to_atype()

There is a weird corner case where it returns an error without
printing any complaints.  But only for ubuntu-24-linux-gcc-ndebug.

https://github.com/FreeRADIUS/freeradius-server/actions/runs/14692203645/job/41229053000#step:10:2949

The input is a tmpl type data, with data type time_delta.
The output is a fr_time_delta_t.
Both clang scan and coverity think that everything is fine.
All runs with ubsan / asan / lsan don't show errors.

Yet it still fails, but only on one platform.  And consistently.

Since all attempts at debugging have failed, the solution is to
change the code so that it more clearly separates out the various
paths.  Another result is that it does less copying of intermediate
boxes.

remove unused assignment

Added auditing info from customer doc and wiki.
Updated Optimization directory structure to standard format / index file.
Added links to tools man pages included with antora docs.

update and copy/edit Howto Guides >> Vendors section

rename subst -> str.subst

print out the thing we looked up, too

use newer / consistent function names

print out error via RPEDEBUG when calculating a result

re-run tests if the conf files change, too

all tmpls should be resolved before they are expanded

rename xlat functions.

via scripts, with some manual fixes to the unit tests.  Changing the length of an xlat
function changes the offset in a string where an error occurs.

perl -p -i -e 's/%concat\(/%str.concat\(/g' $(git grep -l 'concat' doc/antora raddb src/tests)
perl -p -i -e 's/%explode\(/%str.split\(/g' $(git grep -l 'explode' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacmd5\(/%hmac.md5\(/g' $(git grep -l 'hmacmd5' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacmd4\(/%hmac.md4\(/g' $(git grep -l 'hmacmd4' doc/antora raddb src/tests)
perl -p -i -e 's/%hmacsha1\(/%hmac.sha1\(/g' $(git grep -l 'hmacsha1' doc/antora raddb src/tests)
perl -p -i -e 's/%lpad\(/%str.lpad\(/g' $(git grep -l 'lpad' doc/antora raddb src/tests)
perl -p -i -e 's/%rpad\(/%str.rpad\(/g' $(git grep -l 'rpad' doc/antora raddb src/tests)
perl -p -i -e 's/%substr\(/%str.substr\(/g' $(git grep -l 'substr' doc/antora raddb src/tests)
perl -p -i -e 's/%randstr\(/%str.rand\(/g' $(git grep -l 'randstr' doc/antora raddb src/tests)
perl -p -i -e 's/%md4\(/%hash.md4\(/g' $(git grep -l 'md4' doc/antora raddb src/tests)
perl -p -i -e 's/%md5\(/%hash.md5\(/g' $(git grep -l 'md5' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_224\(/%hash.sha2_224\(/g' $(git grep -l 'sha2_224' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_256\(/%hash.sha2_256\(/g' $(git grep -l 'sha2_256' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_384\(/%hash.sha2_384\(/g' $(git grep -l 'sha2_384' doc/antora raddb src/tests)
perl -p -i -e 's/%sha2_512\(/%hash.sha2_512\(/g' $(git grep -l 'sha2_512' doc/antora raddb src/tests)
perl -p -i -e 's/%blake2s_256\(/%hash.blake2s_256\(/g' $(git grep -l 'blake2s_256' doc/antora raddb src/tests)
perl -p -i -e 's/%blake2b_512\(/%hash.blake2b_512\(/g' $(git grep -l 'blake2b_512' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_224\(/%hash.sha3_224\(/g' $(git grep -l 'sha3_224' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_256\(/%hash.sha3_256\(/g' $(git grep -l 'sha3_256' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_384\(/%hash.sha3_384\(/g' $(git grep -l 'sha3_384' doc/antora raddb src/tests)
perl -p -i -e 's/%sha3_512\(/%hash.sha3_512\(/g' $(git grep -l 'sha3_512' doc/antora raddb src/tests)
perl -p -i -e 's/%tolower\(/%str.lower\(/g' $(git grep -l 'tolower' doc/antora raddb src/tests)
perl -p -i -e 's/%toupper\(/%str.upper\(/g' $(git grep -l 'toupper' doc/antora raddb src/tests)
perl -p -i -e 's/%urlquote\(/%url.quote\(/g' $(git grep -l 'urlquote' doc/antora raddb src/tests)
perl -p -i -e 's/%urlunquote\(/%url.unquote\(/g' $(git grep -l 'urlunquote' doc/antora raddb src/tests)

Store and restore log indentation when frames are popped

This helps us get back to sane indentation when we're forcefully cancelling frames.

Ensure insert is always initialised to quiet clang scan

Quiet clang scan complaining about how it's invoked.  -c is redundant here.

Nuke chroot, it's likely not used and causes clang scan to complain

Ignore key.dovecot

No longer valid as slab elements are over-allocated

Use the standard slab allocator for requests

Just set fields in the worker config directly

Rename worker_create to worker_alloc so people don't have to search for it

Rename runnable_id to runnable

Use a sub-timer list to track request expiry

Keywords docs are under <version>/reference/unlang/...

Link to correct keyword docs

detached requests don't do time tracking

Check for request->client before checking request->client->cs

don't set timeout if we have a TTY and lldb / gdb

so that the poor user doing "cut and paste" of test commands
doesn't have their debugger session suddenly disappear

print out references to Antora keyword docs on parse errors

and use a reference to the actual version

some modules can _only_ be used in one namespace

so we add the namespace to the module configuration, and then
check for it when we compile the reference to the module.

We also add a reference to the online documentation, so the user
knows what to do in order to fix the issue

define RADIUSD_DOC_VERSION

so that any messages in the code can point to the correct
(and specific) revision of the online Antora documentation

and define macros to point to the online docs

revert code missed in 95d32f66831f1

don't free name twice

add new function names, and notes on when they are deprecated.

for now, nothing complains if these are used. :(

note that deprecated functions are "removed"

we will remove the functions later, once we verify that no one
is using them.

let's print out error messages on error

don't write to "inst" in thread_instantiate

remove "track_connections" configuration.

TCP sockets are always connected.  UDP sockets cannot really be
connected.  Posix says that UDP packets for that dst IP/port
will always be delivered, no matter what the source port.

Update sample lua module configuration