add %{interpreter:...} for virtual attributes

Module-Return-Code
Virtual-Server
Request-Processing-Stage

the processing stage _should_ be things like "recv Access-Request".
Due to various re-architecture issues, it's now hard-coded by the
src/process functions to be the name of the protocol.

We probably want to fix that

typos

remove extraneous "break"

Fixup Doxygen comments

remove migration use_new_conditions

Dictionaries prefix are not longer used (#5163)

Use call env to evaluate password for LDAP bind

Makes module protocol agnostic for LDAP binds

SASL user binds do not need to look up the user DN

This means that if user binds use SASL, and the LDAP module has not
already been called to retrieve the user object, there is no need to
perform the initial lookup of the DN.

So, in the case that LDAP's sole purpose is to perform authentication
this reduces the number of LDAP calls made.

&User-Name is not actually used in LDAP bind auth

What actually happens is the user DN is looked up using the base and
filter, then the bind is performed as that DN.

Therefore, User-Name is not strictly needed - something else could be
identifying the user.

Set bind_pool start = 0 to reduce noise in LDAP test logs

Use ldap_url_desc2str for building referral host uris

To be consistent with other construction of host URIs

Assess LDAP map to set expect_password if a password is being retrieved

Original setting of this got lost in move of ldap map code in 2017...

SASL bind doesn't use the DN

Add notes on LDAP group membership xlat to upgrade doc

Ensure we print the log entry with either error or fmt populated

Better error message

and again "shut the heck up"

more "shut up static analysis"

update doc notes

who killed the dinosaurs?

We did!

The only paircmp() API is finally gone.  Good riddance to bad rubbish.

re-enable regex tests for files module

and fix code to match

typo

shut up static analyzer

shut up static analyzer

allow and handled regexes

Revert "Attempt to keep fr_nbo_to_foo() from tainting the pointer (#5156)"

This reverts commit 6bcdb8a7200cab4d185a9e73a823944983c15a8f.

this made no difference to Coverity

Revert "Skip fr_assert() for static analysis (CID #1414423)"

This reverts commit 28aae6fc257004cb24473934657436466d59dd22.

remove note that regexes aren't supported.

add fr_regex_cmp_op()

as a mirror to fr_value_box_cmp_op(), and which is called from
that function.

If the LHS isn't a string / octets, the LHS is printed to an
intermediate buffer, and that is used for the regex.

Skip fr_assert() for static analysis (CID #1414423)

For static analysis, fr_assert() is plain assert...but otherwise,
for non-debugging versions, it just logs. That means that to
coverity, the mutex won't be unlocked, while in production it
will always be unlocked.

Aruba(dictionary): Update dicto from ClearPass 6.11.4

make the files module work (mostly)

Regular expressions are not supported.

Arguably the module actually supported inter-attribute comparisons,
we just never tried that?

remove old condition code

remove last potential call to cond_tokenize

We can then remove all of the old condition code

update unit tests to only use new conditions

which resulted in a number of changes

* the xlats need to be instantiated (and they're not), so we can't
  print regexes.  As a reuslt, regex parsing tests are omitted

* escape tests are omitted, as the old code automatically purifies
  them, and the new ones don't do that

* the only code purifies a lot of things automatically.  The new
  code doesn't, so many tests changed

* the old code reordered conditions to put the attribute on the LHS
  the new code doesn't.

* the old code printed many casts, which are suppressed in the
  new code

* the old code printed rcodes and existence checks as-is.  The new
  code printes them as functions.  If we care to fix this, we can
  add a "print" callback which just prints them in the correct
  format.  However, because the xlats aren't instantiated, the
  print routine won't really work the way we expect.

* the output files have a bunch of "@todo" sprinkled through them
  these are things which could likely be fixed without too much
  work, but which aren't critical, and don't affect behavior

there's no longer any cond_t in the "if" block

inst->xlat may not exist in some circumstances

remove use_new_conditions flag, and start hard-coding it

the command-line parameter is still accepted for compatibility,
but it is ignored.

don't force use_new_conditions = false

dict_def can be NULL for unit tests

set dict for functions we alloc

copy dict when copying functions

make error message clearer.

We also have an issue where 'cp' may be NULL, and it still calls
cf_log_err(cp, ...).  But that will be another fix

can't be passing NULL parameters, including dict_def

we don't need !!!!!!!!

let's set the configuration flag

always use new conditions

Let's set a simple flag to see if anything breaks.  That way if
something bad does happen, we only have to revert one line of code.

If everything works. we can then start on the longer process of
removing all of the old condition code.

force new conditions

it helps to check the correct return code

Revert "just call value_box_cmp_op()"

This reverts commit 922064282139d6d30b60e108ee68cf81d55bf156.

seems to result in talloc failures?  It's not clear why, but in
the interest of moving forward in other places, we'll just revert
this

typos

paircmp works with new conditions

merge paircmp tests

move paircmp() to rlm_sql

and drastically simplify it.  The behavior is similar enough for
most cases, except:

* regular expression operators are no longer supported.  It's not
  hard to re-add them.  As they're not needed right now, they can
  be temporarily removed

* virtual attributes like Packet-Src-IP-Address are not supported
  Again, this isn't terribly difficult to re-add.  But once the
  Packet-* attributes are moved to Net.* attributes, then any
  virtual attribute comparisons become much less useful.

  The remainder are Virtual-Server, Request-Processing-Stage,
  and Module-Return-Code.  Those could arguably all be moved to
  realized attributes in the control list.  And be made immutable,
  so that "unlang" can't change them.

just call value_box_cmp_op()

added RFC 9445 dictionary

remove Client-Shortname and replace with %{client:shortname}

Packet-Type is no longer virtual

Packet-Type is a real attribute here, too

we now always use one function: generic_cmp()

Packet-Type is now always a real attribute

which means that we don't need a virtual attribute callback for it.

remove xlat wrapper for paircmp

minro cleanups

remove "firstonly"

remove "from" parameter

remove instance from paircmp()

we no longer need paircmp_unregister_instance()

no modules have registered paircmp() functions

clarifications

Attempt to keep fr_nbo_to_foo() from tainting the pointer (#5156)

Related CIDs: #12433443, #1448182, #1520415, #1503937, #1503914

Coverity claims the fr_nbo_to_foo() functions taint the pointer
passed to it. Thereafter, any data accessed via that pointer is
considered tainted, and any copy of the pointer has the same
issue.

Something like this (copying the passed pointer to a local--with
any optimization, register coalescence will mean this has zero
overhead, BTW--is the only thing that comes to mind to work around
the issue.

remove test paircmp, and this paircmp_register_by_name

remove Client-IP-Address, and replace with Packet-Src-IP-Address

this is made more problematic by the fact that DHCPv4 defines its
own Client-IP-Address, which is something different.

And there are also FreeRADIUS-Client-IP-Address for dynamic clients,
and FreeRADIUS-Stats-Client-IP-Address for statistics.  Both of
those should be replaced with better names, and nested TLVs

regenerate from updated source

typo

move winbind to %{winbind.group:...}

try to shut up scanner

typos and word smithing

be nice to people

create proper nested ctx

No need for an intermediary variable

Always use expanded "if" condition

Makes debug output correct when variables are referenced in conditions.

add missing return

I wish to write an "Ode to C compilers".  It will be composed
moslty of curse words.

it helps to define the group attribute

as paircmp no longer does that for us

convert Unix-Group to xlat

pass in correct value

Why won't the local compiler complain?

remove old paircmp, and update docs to match

use real names for counter start / end

convert horrific %b and %e to real attributes

typo

add and document cache_groups

remove paircmp() callback for SQL-Group

Fix remaining uninitialized scalar values (CID #1503958, #1504020) (#5150)

The latter issue was interesting; the dbuff is set to use ether.addr,
but fr_value_box_ethernet_addr() is passed &ether, which looks like
it will put random garbage in the value box until you notice that
the address is the only member of the type. We'll see whether coverity
considers (fr_ethernet_t * const) fr_dbuff_start(&dbuff) a dangerous
downcast (whatever that means in C) and still complains. I hope not,
because the only reason that comes to mind for it is alignment issues,
which shouldn't happen here.

Change fr_vlog_perror() behavior in what might be an edge case (#5153)

As things stand, if the error stack is non-empty and fmt is null,
the copy of f_rules->first_prefix to sbuff won't make any
difference.

Test LDAP xlat and map using ldapi:// scheme

Use ldap_url_desc2str to canonify LDAP host URI

Gives consistent host URI strings for looking up trunk connections.

Also appears to catch some invalid URIs which ldap_url_parse does not -
e.g. ldap://%2Ftmp%2fldap/...

Add LDAP test using ldapi:// scheme

Set LDAP servers start to 0 in tests

Reduces noise in logs as only the relevant server connection starts

Add LDAP test using SASL for user auth binds

ldap_debug is no longer in module config

Correctly parent value boxes when concatenating

Correctly escape LDAP uri in map