Revert "as a temporary hack, just skip the LDAP tests"

This reverts commit 031246dbe0235f462f1b0d11a02a10c27474f111.

ldap: More fixes

Seems like we hang on an improperly configured LDAP instance with SSL

make Net.* mutable for tests, and delete them in json.encode

as a temporary hack, just skip the LDAP tests

this lets us move forward verifying that the other changes
don't break CI

remove old paircmp() tests

remove unused references to port

Packet-Dst-IP-Address --> Net.Dst.IP

this should be nested, too

force it

!* is so v3.  We do v4 now.

move to Net.*

move to using Net.* instead of Packet-*

remove Packet-* from module configuration

allow for per-module dictionaries

re-realize Net.*

and update the pairs test so we don't need to look at Net.*

Fix 'join' keyword test

now that unit_test_module creates Net.*. the test output has
changed.  So we update the test.

Fix 'concat' keyword test

ldap: Setup script fixes

Don't duplicate the ENTIRE script just to start a second LDAP instance.  Add paths for homebrew on ARM.  Kill existing slapd instances so we don't get errors about the database already existing.

ff

ldap: Just because there's a problem with group membership DOES NOT mean we should return notfound

ldap: Add support for custom access attribute negation values

Add support for using different profiles when the user is suspended, which is extremely common where suspension will place a user in a walled garden state.

remove unused label

we don't test detail here

we don't test the detail module here

this test doesn't need EAP

this test doesn't need accounting

these tests don't have to be Packet-Src-*

make unit_test_module use Net.*

and update the xlat tests to match

make radclient use Net.*

make dhcpclient use Net.*

Add notes 'Packet-*' to 'Net.*' on upgrade doc

Add calls for load/set 'Net.*' pairs from packet

use fr_pair_find_or_append_by_da()

add fr_pair_find_or_append_by_da()

it's used a lot more with nested attributes

add support for nested attributes

add set_immutable

add packet to Net.* and Net.* to packet functions

Define new 'Net.' attribute

Handle difference between TACACS and RADIUS MS-CHAP Response formats

Use consistent return values

More efficient tmpl only call_env evaluation

Change type to reduce casts

Allow tmpl to be at the start of call_env destination structure

A tmpl at the start of the structure will have offset 0, so make the "no
tmpl" offset -1.

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv4.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/radius.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/bfd.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/util.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tftp.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/vmps.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dns.tar

Scheduled fuzzing: Update src/tests/fuzzer-corpus/dhcpv6.tar

Ldif too

Re-Use freeRADIUSClientIdentifier as the RDN attribute

Build with libwbclient for rpm packages

Add "required" option to call_env subsections

Avoids broken configurations from crashing the server where subsections
contain required options, which otherwise would not be parsed

fix unit_test_module to actually check the results

and remove the dependency on the radius-only xlats

remove unnecessary variable

"can't parse" is "return 0"

one more Packet-Authentication-Vector

no local compiler errors, but CI complains

remove Packet-Authentication-Vector here, too

remove restrictions on attribute numbers

there are just too many attributes now which can go anywhere,
so these checks are significantly less useful

it helps to remove unused things

this is no longer virtual

it's only used for internal tests

replace Packet-Authentication-Vector

It's still used for radius_tp_decode_proto, but the attribute
is no longer a virtual one

s/vector/challenge/

it's only stupid RADIUS which puts the challenge into the packet
header / authentication vector

move CHAP encode to src/lib/util

because it's no longer a RADIUS protocol function

don't depend on CHAP length.  Use MD5 length.

It's all 16 octets, but this removes an unnecessary dependency
on CHAP

Add CHAP tests to TACACS

Add CHAP options to command line of tacacs_client

No need for tacacs_pap policy now rlm_chap uses call_env

Use a call_env with rlm_chap

Update TACACS test to call rlm_pap

No need for tacacs_pap policy now rlm_pap uses call_env

Use a call environment for rlm_pap

Use min_challenge_len when checking length of CHAP-Challenge

Convert %(chap_password:) to a module xlat so we can pass in the instance data

Add min_challenge_len to CHAP module config

Un-documented as it should only be changed to handle insane client
devices.

Add vector_len to fr_radius_encode_chap_password

To allow for variable length challenges

%{} vs %() is a dice roll

remove last vestiges of Virtual-Server

Dictionaries prefix are not longer used (#5165)

Let's normalize all dictionaries to not use Vendor name as a prefix.

remove unused Packet-Type

removed unused attribute and functions

Remove old virtual attributes

Module-Return-Code
Virtual-Server
Request-Processing-Stage

update examples, document them, etc.

add %{interpreter:...} for virtual attributes

Module-Return-Code
Virtual-Server
Request-Processing-Stage

the processing stage _should_ be things like "recv Access-Request".
Due to various re-architecture issues, it's now hard-coded by the
src/process functions to be the name of the protocol.

We probably want to fix that

typos

remove extraneous "break"

Fixup Doxygen comments

remove migration use_new_conditions

Dictionaries prefix are not longer used (#5163)

Use call env to evaluate password for LDAP bind

Makes module protocol agnostic for LDAP binds

SASL user binds do not need to look up the user DN

This means that if user binds use SASL, and the LDAP module has not
already been called to retrieve the user object, there is no need to
perform the initial lookup of the DN.

So, in the case that LDAP's sole purpose is to perform authentication
this reduces the number of LDAP calls made.

&User-Name is not actually used in LDAP bind auth

What actually happens is the user DN is looked up using the base and
filter, then the bind is performed as that DN.

Therefore, User-Name is not strictly needed - something else could be
identifying the user.

Set bind_pool start = 0 to reduce noise in LDAP test logs

Use ldap_url_desc2str for building referral host uris

To be consistent with other construction of host URIs

Assess LDAP map to set expect_password if a password is being retrieved

Original setting of this got lost in move of ldap map code in 2017...

SASL bind doesn't use the DN

Add notes on LDAP group membership xlat to upgrade doc

Ensure we print the log entry with either error or fmt populated