interpreter_xlat_server:  Fix so that we still output the server in subrequests

internal-decode: Allow decoding of empty groups (groups with no children)

start of tools to print dictionary structs to C types

in preparation for automatically creating statistics structures
and functions from the dictionaries.

* print out a C structure for a dictionary structure
* print out definitions for autoload dict attrs
* print out autoload definitions

There is still some additional work remaining.  We need to define
the C source and header files which will "wrap" these definitions.

Once that's done, it should be fairly simple to define, encode,
and decode C data structures for managing server statistics.

We can then add a ton of (hopefully) one-line statements at
critical points to update the statistics.  And then somehow find
ways to integrate the statistics across different threads.

We also need to write helper functions to "merge" statistics
structures from multiple threads.

allow relative attributes to be autoloaded

which is largely a cosmetic change that makes long autoload
names a little simpler.

tweaks to see if we can find out why the digest tests are failing

allow encode/decode of response packets, too

tunnel-password to packet code is fixed by the RFCs

it's allowed in Access-Accept and CoA-Request.  Not anywhere else.

use indeterminate arrays: data[], instead of data[1]

ldap: Allow the DN caching attribute to be set

raduat: Add support for pre/post files

raduat: Simplify grep invocation

use fr_log(), and not fprintf()

otherwise the output is jumbled :(

we don't need to manually add Message-Authenticator any more

all attributes under OID-Tree can be printed as "flat", too

allow extensions to be flat, too

Better fix for debian sid build issues

Create the dummy debian/control with an old timestamp - so that make, as
called by debian/rules, will always recreate it correctly.

Copy allow_vulnerable_clients when duplicating a client

use memmove() for overlapping memcpy

add one more howto so github etc. can publish good things

docs-v4: update filepath again to user.adoc (previously fixed in PR 5677)

docs-v4: `make docsite` build fix

Address debian sid build issues for CI

Debian sid calls to `debian/rules debian/control` fail if debian/control
doesn't exist due to an issue in one of the included system make files,
so we create a blank file and touch debian/control.in to ensure that the
make process works correctly.

Update debian sid docker files

Address debian sid package build issues

Only set readline variables if we're using readline

Typo

Typo

try to fix FreeBSD build errors

fix forward NULL.  CID #1679674

docs-v4: Update developers sections with landing pages/intros. HIVE 4114

docs-v4: Update developers sections with landing pages/intros. HIVE 4114

more fixes in preparation for long-lived children

move the "fork child" to a separate function.

If we're asked to fork a child, check whether or not one is already
running.

waitpid() for the child.

write() to a found child, and if the write fails, assume that the
child is dead.

tweak name of configuration option

build flags for vendors who violate the RFCs.

This code will NOT be part of the default build.  Vendors who
engage in this anti-social and insecure behavior need to be called
out.

While the following text may change, it will become an RFC in the
near future.  At which point broken equipment will be defined as
being non-compliant.

https://datatracker.ietf.org/doc/html/draft-dekok-radext-review-radius-00#name-discarding-packets-with-mes

   Nearly all clients which do not validate Message-Authenticator are
   known to accept responses which contain it, due to the provisions of
   [RFC2866], Section 5:

      A RADIUS client MAY ignore Attributes with an unknown Type.

   These RADIUS clients are compatible with the protocol change outlined
   in this document.  We note also that Message-Authenticator has been
   defined for almost twenty-five (25) years, since [RFC2869], so there
   are few reasons for equipment to not support it.

   Since the publication of the original BlastRADIUS notification, it
   has become known that some implementations do not behave as expected.
   That is, instead of ignoring an unexpected Message-Authenticator
   attribute, they discard all responses with contain Message-
   Authenticator.  That behavior is entirely unreasonable, and is not
   required by any standard.

   The unfortunate reality is that the only way that RADIUS servers
   could be compatible with such systems is for them to never send
   Message-Authenticator in responses.  However, doing so would open up
   significantly more systems to the BlastRADIUS attack.  As such, there
   is no attempt made to be compatible with implementations that fail to
   implement RADIUS correctly.

   The only way to secure those systems is to upgrade them.  Failing
   that, the administrators of those systems will need to accept the
   fact that their systems are vulnerable.

   The solution adopted by [I-D.ietf-radext-deprecating-radius] is to
   declare that clients or servers which discard packets containing
   Message-Authenticator are not compliant with the RADIUS
   specifications.  It is not acceptable to decrease the security of the
   RADIUS protocol in order to be compatible with insecure and non-
   compliant implementations.  That specification attempts to prevent
   such issues from happening in the future, by mandating behavior for
   unknown attributes in [I-D.ietf-radext-deprecating-radius] "Unknown
   Attributes".  There is no reason for an implementation to discard
   response a packet simply because it does not recognize an attribute
   in the packet.

add feature template

allow reading filenames from stdin

move "process one file" code into it's own routine

in preparation for reading filenames from stdin

allow rewrite of multiple files

in preparation for reading filenames from stdin

move purify tests to their own directory

minor cleanups

* don't run commands which are known to fail when '-p' is passed
  on the command line

* when multiple files are passed on the command-line, print out
  only the one file which had an error

finally is a return point

add conf flag backlog_on_failed_conn

which has no default value.  The behavior should really be specific
to a particular application, as RADIUS/UDP is likely different than
TACACS/TCP

allow "length=..." for octets / string, even when not in an array

fix typo

point to local documentation, and move email to a separate page

rename Extended-Vendor-Specific-{1.5} -- Vendor-Specific

because shorter names are better, and the names are qualified
by parent.  so all children of different attributes can use the
same name.

disable warnings for now

this should be static

explicitly initalize 'status'

while the common value for uninitialized memory is zero, it doesn't
have to be.  And the code definitely uses status before it is
explicitly initialized.

quiet compiler warning

quiet compiler warning

hoist more functionality from Make into unit_test_attribute

in preparation for running all of the unit tests in one program,
which should save 10+ seconds per run

allow unit_test_attribute to read multiple files

it sort of did it before, but it didn't really work.

* initialize static variables
* re-initialize static variables as needed
* add support for '-r dir/', where it writes a receipt file
  in that directory for each input file

rename test attribute

so that we don't give different names to the same number in the
unit test harness

fix compile warnings

only swap internal -> protocol for the first attribute in a group

so we can do

Tmp-Group-0 = { foo.bar.baz = x }

and "baz" won't be looked up in the protocol root

move variable initialization to quiet the compiler

produce useful error messages

it helps to close the output file when we're done with it

add API to see if a dictionary file is loaded

mainly for the unit tests

use consistent names and formatting for bit fields

v4 always has pthreads

remove EXT_DA_STACK

as it turns out, the da_stack was never initialized at the root,
and therefore was never set.  so the "cache da_stack" code was
never executed.

now that we have da->parent, we can remove the cached da_stack,
and start getting rid of the entire concept.

The da_stack is only used in the encoders, and even then many of
the encoder functions do little more than ensure it's updated
as we walk the cursor.

the only real value is in thing like the VSAs, where we have to
encode multiple layers of attributes.  So we could likely just
ignore the entire da_stack for most of the encoders, and only
create it in the few (VSA) things where it's needed.

EXT_CHILD is for children by number, and has no namespace

arguably we could unify the two structures, as a structural type
always has both.

catch the case where both operands may be NULL

@todo - we should really be passing the expected _output_ data
type in, but this change seems to be OK for now.

temporary patch which can be used for testing $(fork-bg ...)

once the functionality works, this file should be deleted.

create $(fork-bg ) function and glue it into the build system.

which mostly works, sort of.

It allows environent variables to be passed in.  It parses the
command-line options, including quoted strings.

But the interaction with GNU make is somewhat lacking.

changing src/tests/radiusd.mk to use it shows some oddities.

* we have to use $$(fork-bg ...) there, in order to delay the
  running of the fork until the target rule is run, not when the
  function is defined

* radiusd needs to get passed '-r', so that it reads from stdin for
  radmin.  And therefore when make exits, the input pipe should be
  closed, and (after the recent radmin changes), radiusd exits.
  Note that we must use pipe() and not socketpair().  A socketpair
  is a unix socket which sticks around after the process has
  exited.  In contrast, a pipe() is closed then the parent process
  exits.

* we can see if the exec failed, but we can't see if the program
  later exited with an error.  This could perhaps be fixed by
  adding another function $(fork-running KEY).  which would have
  to check if the stdout socket was writeable, and try to write
  one byte to it?  if we get ECONNRESET, then we know that the
  program has exited.

* $(fork-bg returns immediately, and not when the program is
  fully functional.  This means that radclient runs right away,
  even before the server is ready.  We should probably update the
  code to read data from the program.  If we can get at least one
  byte of data, then the program must be running.  If the read
  fails, then it's likely that the program has exited.

It's not clear right now how to add in those checks in a way that
is both easy to understand, and easy to implement in some gnu make
framework.

Perhaps we could push the tests over to a child thread, and have
it select(max,NULL,NULL,errorfds) to see if the socket has gone
away.  Than, it could flag the internal memory structure as
"child exited".

But that then doesn't provide a way for it to send some kind of
signal back to Make, so that it can run something which catches
the "failed to start program" error case.

tweak radmin messages

show when the radmin interface is starting and stopping.

give better errors when things go wrong

tweak using more evals, in preparation for moving to fork

fix typo

check for errors on dup/cloexec

they're rare, but are technically possible

move more code to macros

allow radmin to read/write to the console

if we're not running in debug mode, the various log APIs close
stdin/stdout/stderr in order to prevent exec'd programs from
mangling them.  However, this operation also mangles the file
descriptors which are needed by radmin.

So we dup the file descriptors, and tell radmin / readline to use
the new ones.

add fr_cloexec()

Add support for backticked expansions in legacy file formats, in certain situations

This lets us add dynamic values in certain situations.  Output from exec is limited to a single line (for now).

raduat: Switch to using arrays for file lists

raduat: Apparently there are issues with -a and -o?

raduat: Remove dup

raduat: Use arrays for role_types

raduat: WS

raduat: Add option to quietly skip tests for hosts we don't have cluster or role definitions for

raduat: Rename help function

raduat:  Print the actual default value for parallel

raduat: Allow custom splitting on FQDN.  Use a single var for cluster matching and as the destination for where we send test packets

raduat: Remove useless semicolon

raduat:  Clean up temporary files on exit

raduat: Use the computed file name

raduat: Fix redirection of output

raduat: Avoid setting a default role

raduat: Clusters should be the basename of the path not the entire path

raduat: "which" is apparently not portable...

raduat: Fix some quoting issues

clean up and simplify rules to build makefile libraries

simplify the build rules

remove unnecessary comments and examples.

move common definitions to a common.mk file

simplify the use of $(filter-out ...)

filter out "--rtlib=.." from the LDFLAGS.  This change prevents
linking errors when building with the sanitizers enabled.

remove reference to file that no longer exists

remove reference to v3

and point to local documentation

tweak the build instructions for v4

and remove all references to v3

update links and documentation

the logging functions need $(...) for them to be evaluated

and for some reason there are CRs added.  So delete those, too

mark unused attribute as unused

exit the server when the radmin interface hits EOF