close connection on "no TLS data, but connection isn't set up"

add %{listen:Originating-Realm-Key}

allow multiple Proxy-To-Originating-Realm keys

in which case it proxies to the first one it can, NOT to all
of them.

This loop allows for a reverse *proxy* to say "any of these N
keys can return CoA packets to ream FOO".

notes on Status-Server when we bring up a TLS connection

regularize TLS messages

declare 'key' as const, which avoids a weird memcpy

hoist reverse_coa checks before _all_ "remove from proxy hash" calls

fix radsec tests

originated CoA packets may not have a listener.

shut down coa tunnel listener after cleaning up proxied packets

grab another coa tunnel listener if this one is full

which bypasses the normal logic of proxy_new_listener(), etc.

fixes from Vadim

request->proxy_listener is NULL after removing it from the proxy
hash, so cache the reverse_coa status.

typo fixes from Vadim

and more cleanups

more cleanups of TLS debug

run new connections through a special section

in order to clearly separate them from other packets

only initialize the mutex if we succeed on insert

on the off chance that pthread_mutex_init() allocates memory

typo

retry on insert failure, due to mutex issues

for non-proxy sockets, run CoA / Disconnect through recv_coa_server

which is the CoA server used to send CoA requests to the NAS, but
whatever.  It's copied from the virtual server in the listener,
and is NOT the same as home->virtual_server

check for Proxy-To-Originating-Realm, too

use better names for home->virtual_server

and set home->recv_coa_server, too?

use better names for CoA home server / pool

use better names

mark up this listener as doing reverse CoA, too

fix typos from Vadim

skip listeners where all IDs are used

shut up compiler

move calls to listen_coa_free() so that we don't break things

tests for radsec

use proxy->vps, in line with other uses

add WITH_COA_TUNNEL to build

glue in the code to look up listeners by key.

* add a listen_free_all() function, which frees mainconfig.listen
and then also the listeners keyed by CoA

* put a linked list into the send_coa listeners, so that all
listeners of the same key can be found

* have each send_coa listener point to the main "key" data
structure

* the main "key" data structure contains the key name, the list
of listeners by this key, and a mutex

* added contents to init / free / add / delete / find functions

respect Proxy-To-Originating-Realm in request_coa_originate()

this isn't entirely the correct name for how we use the attribute,
but it's at least consistent with the rest of the server.

make request_coa_originate() follow the other methods

allow for reverse coa proxying in request_will_proxy()

Add new Proxy-To-Originating-Realm attribute, and change
TCP-Session-Key to Originating-Realm-Key, which is perhaps
a little clearer.

also note that when we automatically create a home server
for incoming TLS connections, we set home->server, not
home->coa_server

track the number of IDs used, so that we can allocate a free listener

start of add / delete / lookup API for reverse coa listeners

process coa replies through the coa server

more descriptive errors for people who don't read the documentation

rearrange brackets to quiet scan

only define COA_TUNNEL if we have WITH_TLS

let's define TCP-Session-Key

build without CoA tunnels

add the listener by key if required

so that when doing reverse proxying, we can find equivalent
listeners by key

use listener->fd, not request->packet->sockfd

look for CoA requests from a home server, and send replies

add / delete incoming sockets to proxy list, if they're send_coa

originate CoA requests to the NAS, and deal with the replies

add and parse CoA fields for incoming listeners

add feature flag

add WITH_COA_TUNNEL definition

along with recv_coa functionality in the home server definition.
and parse / verify the home server configuration for recv coa

add and use separate function for sending to a proxy listener

move encode/decode for proxies to their own fields

use better name

make the TLS session information usable.

The code was originally written for TLS 1.0, and not updated
since then.  Which means for a very long time, it was printing
TLS version numbers and lengths, but nothing about what was
actually going on.  This change means that the output is rather
a lot more understandable.

use correct parameter

Fix EAP input tests

Don't need to inform the 'ca_cert=...' cert files.

Fix CI EAP tests

Lets use our eapol_test specific version due to we expect to have the
TLS versions on/off options.

Fix EAP tests against specific TLS versions

We just need the tls_disable_tlsvXX=1 due to hostapd enables all TLS
versions.

Fix EAP tests allowing 'make -C src/tests/ tests.eap'

Even we should use the same 'eapol_test' binary among all systems. then,
just call the wrapper $(top_builddir)/scripts/ci/eapol_test-build.sh

run policies to see if we can accept the RadSec connection

don't delay responses to Status-Server

gracefully handle closed connections

handle SSL_ERROR_ZERO_RETURN a little more politely.

sample stunnel configuration

which makes it easier to test radsec, just using radclient

Allow TLS 1.3 for RadSec

fix typo

fix typo

note recent changes

document suppress_secrets

more documentation for EAP-TLS

Looks like there is bug in tls code w/ fr_nonblock

With that RADSEC is not working at all. The issue is in this commit:
https://github.com/FreeRADIUS/freeradius-server/commit/b6d7249be1958d0080187846d8bab1f0fae6b857

it pretends to revert erroneously deleted lines from another commit:
https://github.com/FreeRADIUS/freeradius-server/commit/f9c2f5a55d2df71979d99708f83d52336e44ad00

The thing is that it is not only reverting deleted lines, it also adds fr_nonblock(fd) call in tls_new_client_session.
Was that done by mistake? With that SSL_connect exits immediately while we are trying to send initial Access-Request
packet in proxy_tls_send. Of course at the this time the handshake is not yet finished and SSL_connect returns with an
error.  SSL_connect will return success just on the following reads in proxy_tls_recv. But here we are in the recv
callback, handlshake is done... so what, we don't have any packet to send. I have deleted this fr_nonblock(fd) call
meanwhile.

make request_coa_originate() follow the other methods

eapol_test: Fix OSX build using clang >= 11 (#3855) (#4044)

Fixes the eapol_test build using clang >= 11

../src/radius/radius_client.c:817:24: error: cast to smaller integer type 'RadiusType' from 'void *' [-Werror,-Wvoid-pointer-to-enum-cast]
RadiusType msg_type = (RadiusType) sock_ctx;

complain if there aren't enough fields

let's not crash, m'kay?

update examples

correct samples

add more WARNINGs so that people who read them will be enlightened.

The default configuration depends on either User-Name or
Stripped-User-Name containing the identity of the user logging in.
If the identity is anonymized, and there's no Stripped-User-Name,
we need to warn the administrator that there is not enough
information to identify the user.

don't print "name name" if we find a duplicate module name

typo

additional notes

mark more attributes "secret"

suppress more secrets

typo

use prefix, too

suppress secrets here, too

add and check for "suppress_secrets"

so that debug output contains fewer secrets

add "secret" flag to attribute

so we can not print it.  Sometimes.  Maybe.

Add verify_tls_client_common_name policy

CI package tests: Use Azure-hosted mirrors for better reliability (#3981)

:wrench: rlm_yubikey: Fix parenting issues (#4012)

Added Centec dictionary.  Fixes #4010

Missing subsection search entry for "refresh" cache method (#4009)

Typo (#4008)

remove from Jenkinsfile, too

update to fix CentOS' powertools breakage

Remove CentOS 6 from Jenkins builds as now EOL

whoops, need this too