Fix direct manipulation of boxes in xlat_builtin.c

Fix direct manipulation of boxes in radclient.c

Fix direct manipulation of boxes in compose.c

Fix direct manipulation of boxes in tmpl_eval.c

ignore blocks which are too big

i.e. greater than what we can represent in a compressed pointer

more "shut up compiler"

Fix tests

Clear the bio after creating a pair value from it

Do a better job of syncing up when we need to call the verification server

Previously if chain validation failed we _wouldn't_ generate attributes, but we _would_ call the virtual server.

initialize 'next' to shut up compiler

return errors from the start of the packet

lengths must be 63 or smaller

print out positive numbers

Decoder functions should write directly to fr_pair_list_t and not to a cursor

The cursors are mostly legacy since we moved to dlists, and for efficient lookups we cannot modify pair lists using dcursors as we need to keep the attr tree in sync.

more / fixed error tests

do additional validation in dns_label_decode()

don't decode raw dns_labels if they fail

instead let the parent create a raw struct / whatever

don't abort when decode_value() fails.

Instead, just treat the entire struct as being raw

GCC doesn't have `used-but-makred-unused`

Typo

Re-arrange certificate verification code so we check the chain certs too.

remove the 'instantiate' section, as it's no longer necessary

module bootstrap order was fixed in 3.0.9 (2015).

Loading of virtual modules can just be done by listing them in
the mods-enabled/ directory.  There's no need for a magic
"instantiate" section

Check for multiple self signed certs in certificate chains

v4: More changes to support moving LDAP to use trunks (#4257)

* Free LDAP query if it is cancelled

* Correct lookup values for supported LDAP extensions

* Remove unused clients.c

* Initialise tree of outstanding LDAP queries

* Define sync_ldap_query_t

A structure to support synchronous use of async ldap queries

* Define callbacks to support use of async LDAP queries in place of sync ones

A temporary set of wrapper functions before fully rewriting rlm_ldap to
be fully async

* Define SET_LDAP_CTRLS macro to copy LDAP server / client controls

* Define fr_ldap_trunk_search()

Temporary wrapper function to perform an async ldap search on a trunk
connection

* Define fr_ldap_trunk_modify()

Temporary wrapper function to perform an async ldap modification on a
trunk connection

more error cases

set maximum limit

Add Cambium dictionary (#4252)

Compiled from various sources and tidied up. Untested, but at least the
IANA enterprise number is valid...

Need to update the configure.ac file as well (#4254)

Add mellanox dict and resort vendor dict includes Closes #4225

v4: Ground work for moving LDAP connections to per thread trunks (#4248)

* Define fr_ldap_thread_t to hold thead specific data

* Define fr_ldap_thread_trunk_t to hold LDAP connection details

* Add fr_ldap_trunk_cmp() to compare two thread LDAP trunks

* Define mod_thread_instantiate and mod_thread_detach for rlm_ldap

* Define types of LDAP requests

* Define LDAP query result codes

* Define fr_ldap_query_t to store individual LDAP queries

* Add fr_ldap_query_cmp() to compare two fr_ldap_query_t

* Define fr_ldap_referral_t to hold parsed LDAP referrals while they are followed

A given LDAP resonse which contains referral details can consist of
multiple referral URLs all of which should be capable of returning the
same data.

We parse all of the URLs and firstly attempt to query a server that
already has an active trunk connection.

All the possible referral URLs may need to be parsed to find an active
connection.

If none of the referral URLs point to an active connection, then the
parsed data stored in this structure is used to create new connections,
rather than re-parsing.

* Define fr_ldap_referral_alloc and _fr_ldap_referral_free

fr_ldap_referrer_t contains a LDAPURLDesc which needs to be freed using
libldap function ldap_free_urldesc

* Define destructor for fr_ldap_query_t

Frees any remaining libldap allocated structures

* Define allocator for fr_ldap_query_t

* Add LDAP config options of referral_depth and idle_timeout

referral depth - maximum number of referrals to follow
idle_timeout - how log to keep unused LDAP connections open

* Add tree to hold outstanding LDAP queries to fr_ldap_connection_t

* Define callback for closing an idle LDAP trunk

* Add return code for when an LDAP query results in a referral

* Add lookup table to provide readable names of LDAP message types

* Thread connection specific config is not talloc'd

* Define ldap_trunk_connection_alloc() to allocate LDAP connections

* Define I/O callbacks for LDAP trunks

* Setup I/O callbacks requested by LDAP trunk connection

* Define callback for cancelling LDAP queries

* Define _ldap_referral_send - a trunk watcher function...

... for sending referral queries when a trunk becomes active.

This allows for referrals which have multiple potential URLs to follow
to launch a number of trunk connections and the first one to become
active will receive the query.

* Define fr_thread_ldap_trunk_state() to find the state of a LDAP trunk

Looked up by URI and bind DN

* Define fr_ldap_referral_follow() to parse referral URLs and despatch ...

... queries to chase the referrals

* Define fr_ldap_referral_next() to follow subsequent LDAP referrals if the ...

... first one followed returns an error.

* Define ldap_trunk_request_mux() for sending LDAP queries on trunk connections

* Define ldap_trunk_request_demux() to handle LDAP query responses

* Define fr_thread_ldap_trunk_get() to find / create an LDAP trunk...

... for the required host / bind dn

* Define fr_ldap_modify_async() to initiate async LDAP modifications

v4: Fixes for PostgreSQL 14 in CI (#4250)

* Handle PGRES_PIPELINE_SYNC and PGRES PIPELINE_ABORTED

* CI is now running PostgreSQL 14

We probably don't need the tmplist here...

Move pair child by num, and make it use internal functions instead of iterating over the pair list directly

User newer type check function

Shouldn't have been removed

Remove spurious new lines

Add fr_{lst, heap}_foreach() and tests thereof. (#4237)

Note that because we have to declare an fr_{lst, heap}_iter as well
as a variable of type pointer to the element type of the {lst, heap},
we must take the approach of fr_dlist_foreach_safe(). Correct uses
will thus look like they have unbalanced braces.

Remove a direct access to the element count in lists

s/head/order_head/ s/entry/order in pair code

This is to prepare for pair trees

pass length of data, not offset of label

let's check availability before dereferencing, m'kay?

doxygen

check for overflow before decoding anything

error tests from the fuzzer

typo

add fr_strerror() and FR_PROTO_TRACE

add fr_strerror()

minor cleanups

add "const"

add dns fuzzer files

with tmpl_afrom_attr_str when we're expecting an attribute, 0 is an invalid return code too

remove unused assignment

refresh dns_labels struct, instead of reallocating it

which cuts down on the leaks while fuzzing, but doesn't eliminate
them.

abstract "decode record" into common function

more unused variables

add a target to quickly debug fuzzer crashes

free the correct thing on decode error

and use the parent ctx for allocations of raw attributes,
instead of the child ctx

fix CI errors

add DNS to the fuzzer list

Miracles and magic.

set the new value.

this will be used after the server starts, because that's when
the callback is hit.  It won't (yet) be used in references
as the configuration files are being read.

set parsed before calling the callback function

use cf_pair_dup() to get parsed, filename, line, etc.

char **

Missed const

Add option to explicitly disable proxying for a rlm_rest section

Add global atexit functions

updates to allow for encoding nested VPs

don't bother resetting parent, it's not necessary

update expected output

reset to correct parent

remove extra whitespace

Bump macOS and hostap versions

Fix eapol_test picking up the wrong OpenSSL version?

Build eapol_test against OpenSSL 1.1.0

Building against 3.0 produces many errors and the resulting eapol_test utility seems to fail in mschapv2.  This is likely because it's not explicitly loading the "legacy" provider, and so md4 is not available.

Use OpenSSL 3.0 for macOS tests

Work around bug in OpenSSL 3.0 that causes handshakes to fail

Improve fr_tls_log_io_error

It now prints out the string identifier for the error, and produces debugging output for none fatal errors.

OpenSSL 3.0 PBKDF2 functions don't like zero iterations

Use newer EC_POINT_*affine_coordinates functions and EVP API in rlm_eap_pwd

Use EVP API for eap_fast_crypto.c

Use newer certificate functions to work with OpenSSL 3.0

Don't build engine.c if we're using OpenSSL 3.0

Update hmac_sha1 and hmac_md5 to use the EVP API

Calling the HMAC functions directly is deprecated in OpenSSL 3.0

Use EVP api in rlm_wimax

FIPS_mode() has been removed in OpenSSL 3.0

 Load "legacy" provider for MD4

RSA_SSLV23_PADDING is not available in OpenSSL 3.0

We didn't do anything with it anyway...

*OpenSSL 1.1.*

Explicitly install openssl for CI

Various log fixes

Set macosx-version-min to be the current version

Better names for log destination table

Standardise on _not_ returning an errcode from logging functions

rename L_DST_EXTRA to L_DST_FUNC

New logging init functions

Simpler user/group parsing

advance the correct buffer

this should be const

allow decoding part-way through a buffer

tests are in GMT, so print that