quiet coverity.   CID #1642987

further limit OID encoding

due to rules of first 2 fields are (x*40) + y, if the first
component is 0 or 1, then the second component has to be 0..39

If the first component is 2, then the second component can be
anything.

clean up decode OID.

Remove & from policy files

simplify encode OID and catch parse errors

so that when the OID string is not an OID string, it fails
rather than encoding "something"

move the basic type encoding to its own file

so that we test encoding of all of the data types before we
start testing more complex things.

Add "count" to all of the inputs, too

use DER names in dictionaries

and forbid more FreeRADIUS types earlier in the parsing process,
with better error messages.

convert to more standard DER names

use more descriptive error messages

add comments

do load-time checks, not run-time checks

if the run-time code assumes that "is_pair" is only for type
group, then enforce that when we load the dictionaries.

rearrange to make name and parent available to validation routines

so that the type / flag validation routines have more information
with which to make their decisions.

remove 'option=' where it can be determined automatically

set the attribute number before checking the type and flags

so that the validation functions can double-check the attribute
number.

update error messages with more information

let's use lowercase names for consistency

try to allow just 'option'

In many cases, DER defines something like

ATTRIBUTE foo 1 type option=1

this seems redundant.

We make provisions for allowing just 'option', which could then
take the option number from the attribute number.

However, the function dict_read_process_attribute() initializes
the attribute number _after_ processing the flags / type field.

Once that code has been tweaked to parse the attribute number
first, this new DER code will work.  At that point, the DER
dictionaries can be updated with the following Perl script:

perl -p -i -e 'next if !/^ATTR/;s/option=\d+/option/' share/dictionary/der/dictionary*

batten down the hatches a little more.

things which need values should really take the values

remove 'tagnum=' for flags.

it was being used as a synonym for 'option=', and was therefore
not needed.

also remove 'class=', though it's just commented out.
The only uses of it were at the same time as setting 'option=',
and the option parser already sets the class

limit 'der_type=foo' to compatible FreeRADIUS data types.

Except for serialNumber, which is der_type=integer, and FreeRADIUS
type 'octets'.  That's because the serial numbers are larger than
64 bits, and we really don't need to see them as decimal values.

Update the decoder to allow this case.  The encoder already
allowed it, so we update the encoder with a comment explaining
why it's allowed.

more cross-checks and error messages

use consistent uint64_t for max

don't use uint64_t for 8-bit tags

which also cleans up a lot of uses of PRIu64

more UINT8_MAX cleanups

lower FR_DER_TAG_MAX

there's no reason to make it UINT8_MAX, as we only support a
small number of tags.

Also update the arrays to use

array[FR_DER_TAG_MAX] = { ... }

instead of

array[] = { ..., [TAG_MAX] = false }

be more stringent on allowed values

don't check just the first character.

Only allow tag values which we can encode and decode

perhaps save a bit of space using single bits for booleans

minor cleanups

no need to say it's a tag "num".

it's an enum, and that's good enough

remove unused array

and make other array static

we know this can never fail

rework encode_len() to be even simpler

and add comments which explain the functionality

check return.  CID #1642925

quiet analyzer.  CID #1642927

the buffer is always big enough.

refactor encode_len.  Outcome of CID #1642928

the encode_len() function doesn't need to be passed a data length,
that information is already in the dbuff.

Refactor and rearrange the code.

len can be zero.  CID #1642930

use FUNCTION_RETURN() rather than function() CID #1642929

use DER types, now that we can use the DER names

allow protocol-specific data types to over-ride standard ones

make ubsan happy by removing duplication

fix ubsan warning about shifting signed numbers

arrays don't go in header files

use "der_type" and not "subtype"

along with some associated cleanups

add fuzzer for DER

added unit tests for DER

feat: Wrote DER decoder

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

enforce only int64 integers.

that's all the decoder/encoder can handle right now

Add DER encoder

feat: Wrote dictionaries for DER related things (certificates and CSR's)

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

feat: DER dictionary parser and validator

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

chore: Added DER to the list of fuzzer binary folders to ignore.

Signed-off-by: ethan-thompson <ethan.thompson@networkradius.com>

Simplify ldap.authenticate

The module now expects the DN to be found / populated prior to calling
ldap.authenticate.

This is consistent with other authentication methods which expect all
the data to be in the correct place before attempting authenticaiton.

Not all calls to fr_tls_call_push require the session cache

Add more VSAs.  Fixes #5511

Scheduled fuzzing: Update src/tests/fuzzer-corpus/cbor.tar

ignore auto-generated fuzzer_*.c files, too

remove pdf output

it hasn't worked for a long time.  If we need PDFs, then we should
use an Antora to PDF plugin

remove HTML output.

it was there temporarily before we moved to Antora.  Now that
antora works, the HTML can be deleted.

remove references to doc/raddb

regenerate

regenerate

ci: bump crossbuild up from ubuntu 20.04

ci: bump action version

ci: couple more fixes to docker-refresh job

ci: give docker refresh job ability to handle more than one os

add home_server_lifetime, and update docs

warn if the secret changes

Minor fixup to source port hunt & peck

hunt and peck for an open source port

only the replication modes allow for a single source socket

so XLAT_PROXY uses the normal code path

move src_port_start and src_port_end to FD BIO

so that other applications can use them too

these files shouldn't be here

or are no longer needed

let's comment these out by default

add and document src_port_start and src_port_end

which currently only work for mode=dynamic-proxy

add reuseport config, and use common function

notes on "connected" UDP sockets

Add extension parsing to LDAP map URIs

Add freeradiusClientRegion to LDAP schema

Add LDAP xlat test using server side extensions

Add check_attribute to sample ldap module config

Add ORDERING to freeradiusClientIdentifier

To allow for server side sorting

Invalid IP address family is an error

Define DO_NOT_RESPOND code for tls

Allows use of `handled` in verify certificate policies

update counters when nuking the pending list

reset the counter when there are no pending clients

tweak pending tracking

rate-limit complaints for injected packets

when we open a new connected UDP socket, the main socket might
still have some packets in the inbound kernel queue.  We normally
read those, and push them to the connected socket.  But if the
connected socket / message queue is full, then we complain loudly.

add more error messages

add IP address to timer message

Typo

Protect against too many extensions in LDAP URI

Terminate after each control is created

So error clearup, will find a terminated array of controls

Add parsing of vlv extension in LDAP URIs

Ensure ldap controls are freed on error

Use sbuff for parsing LDAP URI extensions

Ensure server controls start of NULL terminated

check rule exists

one more pass through messages for dynamic clients

qualify listener instance names a bit more cleanly

which doesn't matter now, but may matter when we need to have
better debug messages about them.

be more forgiving for debug messages