note "please don't use %{expr:..}"

add in-line expressions with add

clean up handling of Acct-Delay-Time

use new edit expressions, and check for sane Event-Timestamp

decode unknown extended VSAs as nested

decode WiMAX as nested

decode RADIUS structs as nested

decode extended VSAs as nested

remove migrate command

we no longer use it for anything.

always decode RADIUS VSAs as nested

not sure why this wasn't done before.  But now we're happy.

more comments on antora and asciidoc

no need for macro, just rename the struct fields

allow raw.Vendor-Specific = 0xabcdef

which parses it as a Vendor-Specific, then sees the 0x..., and
converts it to type 'octets'.

Note that the attribute MUST already be marked up as "raw"

set a default type size and length for unknown attributes

Which lets us create unknown vendors

don't print nested if parent is key field

make arp always decode as nested

remove pair_legacy_nested

Fix small leak in rlm_pap load (#5176)

remove flatten / unflatten APIs

remove "flatten" migration flags

always create Net attributes as nested

force all nested

ignore structural types

don't print nested types to environment variables

swap migration flag to always true

add fr_pair_delete_by_da_nested()

and use it in server macros.  This change allows the uses of
pair_delete_request() etc. to work properly with nested attributes

minor cleanups for EAP attributes and rearrangements

make EAP decode nested pairs

Handle empty lists.

Don't recurse, as that drops a literal \0 in the middle of the
output.  And also adds two spaces between the brackets.

the EAP tests depend on libfreeradius-eap-aka-sim

not libfreeradius-eap

explicitly encode all of the suboptions

We may want to revisit the behavior of &foo.[*].  Does it mean
only that level, or all children?

allow EAP-AKA-SIM to encode nested pairs.

The decoder is still not done.  That's next.

fix error.

It would be nice if OSX decided to rebuild things when code changed.

remove unused assignment

just look at the dict, instead of calling common ancestor

because if we check for a common ancestor between a da and the
dict root, we're just checking if the da is in the dict.

minor tweaks, and link into the main nav bar

Add coverity overview to developer documentation

Set pair list verified on initialization (true) and append (false)

CIDs: #1544620 through #1544624

add and use fr_pair_dcursor_child_iter_init()

all of the encoders previously just called fr_pair_dcursor_init()
for child cursors.  Which meant that the iterator could return
internal attributes.

The child cursor now uses the same iterator as the parent cursor.
This ensures that it only returns the correct encodable attributes
for this protocol.

NDEBUG...

add UNUSED

fix RADIUS for nested attribute encoding

the main difference is that we fix encode_extended() to correctly
handle nesting, and update the tests.  As a side effect, the
encode_extended() function now always requires nesting, and if
passed flat extended attributes, will return an encoding error.

We also fix up the fr_pair_cursor_to_network() function to remove
the flat vs nested hacks.  It now always expects nesting.

We also fix up fr_struct_to_network() to always expect nesting
for the trailing TLV in a struct.

hoist encode_cursor() function to common API

unify function prototypes

add RFC 7710

trust the dcursor, and don't check for flags.internal

allow for raw members of a struct

which can only occur when the raw VP is a direct child of the
parent struct.

reformat

just use tabs function instead of hand-rolling things

comment out assertion check

because it fails for update sections, where the vp being deleted
isn't parented from the list!

If we add the migration flags

-S rewrite_update=yes -S tmpl_tokenize_all_nested=yes

then the test passes.  We'll leave these checks disabled until
we either find and fix the issue (if we care) or until we enable
everything nested.

add / clear verified flag to pair lists

so that we avoid slowdowns with repeated recursion

return OOM on oom

we have talloc_const_free(), so just use that

clarify code so that we can find uses of a variable

remove unused function

pair_afrom_da() already copies the unknown da

try to quiet static analyzers

clean up in preparation for further raw cleanups

fr_dict_unknown_afrom_oid_substr() now continues from where the
previous parser left off.  The raw handling is now essentially
all out of the dictionaries

allow unknown attributes to be relative, too.

As part of a general cleanup and rearrangement, fix the code,
have less code, and make it more functional

switch encoders to use vp->vp_type

because vp_type could be different from da->type in some cases

fr_pair_to_unknown() -> fr_pair_raw_from_pair()

because all of the callers are creating a raw pair from malformed
data, and aren't creating an unknown pair.

more debugging, and return OOM on OOM

only free the the vp on the error path

if the first byte is non-zero, then the result is non-zero,
and we don't need to check it on all paths

don't bother checking chaddr size during decode

fr_dhcpv4_ok() checks if htype==1 && hlen==6, and fails if that
isn't true.

So either that test passed, or the caller didn't call fr_dhcpv4_ok()
to verify the packet.  In either case, there's no reason to do
additional validation here.

clear the value, to be consistent with other uses of free_value

don't clear the box, clear only the value.

hoist TLV checks to before creating the VP

because there's no point in creating the VP and then freeing it.

use fr_pair_raw_from_network() instead of hand-rolling it

define and use fr_dict_unknown_copy()

because we want to get rid of fr_pair_to_unknown().  The caller
should instead have created a raw attribute

don't need to check is_raw flag

because we now always set is_raw for unknowns, so it's enough to
check the is_unknown flag

hoist setting of "is raw" out of protocol decoders

and into the dictionary code so it's more centralized.

Another side effect is that unknown attributes are now always
"raw".  Which is likely what we should always have done anyways

hoist "is_raw" to be more public

There was already an "is_raw" field in the unresolved sub-structure
so just hoist it out, and use it instead of da->flags.is_raw

fix unused

use macros / functions instead of accessing fields directly

define and use vp_raw

In preparation for moving the "raw" flag out of the dictionaries

fix corner case  CID 1544258

use the correct name for the parnt type

Simplify fr_ldap_edir_get_password

Return an unlang_action_t from ldap bind auth functions

Ensure we free memory on errors

Handle rcode from previous async call

No need for p_result in async LDAP functions

It was only set on failure, and that is handled by the
UNLANG_ACTION_FAIL return code

Add max_request_time timer to unit_test_module

Typos

Ensure auth bind resume functions clear up after failed requests

Add callback for failed ldap auth binds

No need for request_free callback

bind_auth_ctx is parented of the trunk request so is freed automatically

Typo

always decode tacacs as nested

allow tacacs to encode nested attributes

typos

it's smarter to have clear-text unit tests

instead of encrypted ones.  We should also add unit tests for
encrypted packets, too

make pair_legacy_nested=true the default

EAP-SIM and TACACS+ do not yet handle nested attributes, so they
manually set the flag to false.

remove flatten / unflatten tests and keywords

they are no longer necessary, as we are moving to nested attributes

don't run unbound tests on OSX

it fails in CI, and we don't care enough to fix it

json: Add json escape

minor tweaks

tests for nested types

loop over nested extended types

VSAs can only contain internal attributes and VENDORs

the RADIUS protocol cannot encode attributes of type 'group'