Scheduled fuzzing: Update src/tests/fuzzer-corpus/tacacs.tar

Add rlm_crl docs from sample config

Update docs from raddb changes

Document %ldap.uri.attr_option

Add tests of %ldap.uri.attr_option

Add %ldap.uri.attr_option

Pacify Coverity (CID #1648447)

Check return value (CID #1648446)

Check return code from base CRL lookup

rlm_crl requires OpenSSL to build

Add rlm_crl to RHEL packaging

Allow soft failure when ldap expansion is not configured

When a base CRL expires, expire the deltas

Since deltas are changes from a base, they need to be re-fetched when
the base changes

Limit extracted CDP to those covering all reasons

We want the full picture for doing CRL checks - so no need to handle
segmented CRLs.

RFC5280 page 47:

When a conforming CA includes a cRLDistributionPoints extension in a
certificate, it MUST include at least one DistributionPoint that points
to a CRL that covers the certificate for all reasons.

Add crlNumber to dummy CRL

Add notes on CDP with ldap:/// prefix

Check for delta CRL in crl_check_serial

And fetch the delta if we don't already have it.

Return found crl entry from crl_check_serial

So base CRL can be referenced when fetching a delta

Having retrieved a base CRL, check the delta if the CRL has it defined

Deltas can have more than one URI for HA.
If none of the delta CRLs are available then re-use the same mechanism
to fetch one.

Allow different forced expiry interval for delta CRLs

Typically delta CRLs are published more frequently than base ones, so
may require a shorter forced expiry interval.

Use reference to base_crl to indicate we're reading data from a delta

Correct comment

Add a status to rlm_crl_ctx_t to track which type of CRL is being handled

CRL reason "remove from CRL" is different from not found

It is an override that occurs in delta CRLs - whereas if a serial is not
found in a delta, the base should be checked.

Restructure processing of multiple CRL distrubution points

When a certificate lists multiple CRL distribution points (that cover
all revokation reasons) then they are different methods to retrieve the
same CRL.

If we have one CRL downloaded, then that can be used.

If none exist then try to retrieve from each of the distribution points
until one succeeds.

Fix comment

Add verification of CRL signatures

Allow per scheme expansions for CRL retrieval

Extract URIs from Freshest CRL extension

Which tells us that the CRL has delta updates

Extract and store CRL number

Needed to verify that delta CRLs are for the correct base

Add early_refresh option to rlm_crl

Time interval before nextUpdate at which the CRL will be renewed.

Add application/x-pkcs7-crl to known Content-Type values

Allows rlm_rest to download CRLs without spurious warnings

Use nextUpdate from CRL to set expiry timer

If it is less than the time which would result from `force_expiry`

Free crl when it's expired

crl->ev needs to hold the expiry timer event

Make sure errors are printed

Correct handling of X509_CRL_get0_by_serial

The docs misleadingly use the word "failure" for the return value 0.
What that means is failure to find the certificate, i.e. the certificate
is not in the CRL list - not a failure in the software.

Add conf parser to get force_expiry value

We remove the data from the tree, not its node member

Reference module instance in crl

Insert CRL into tree

Module instance data is const

Talloc the crl off the tree it will live in

Use pair_update_request so we only have one CRL.CDP-URL instance

crl option is required

Otherwise we don't know how to download CRLs

Correct autoload variable names

Fill out sample rlm_crl module config

Extract CRL distribution points from certificates

Set CALL_ENV_FLAG_ATTRIBUTE where we want attribute references

Populate rctx if it's missing

Instance mutable data needs NULL talloc ctx

And freeing in mod_detach

The default case statement meant we always returned... but I guess the compiler isn't smart enough to realise that.

Basic CRL module

Re-encode serial as DER

Delete data when we've been told to

add Captive-Portal from RFC 8910 (old 3679)

Add Interface to Net tlv

Allows policy decisions based on the interface a packet was received on.
Especially useful for multi-interface DHCPv4 servers handling broadcast
packets where src IP is always 0.0.0.0 and dest IP is always
255.255.255.255.

add new values.  Fixes PR #5590

don't return, so we can do unblocked stuff.  CID #1648287

tweaks and fixes

docs: buildfix-howto-reference - updated xref links and nav files to point to correct locations.

add missing documents

add comment about InkBridge

use proper return code

check return.  CID #1647997

dict_def may be NULL.  CID #1646935

don't return an FD when reading a LISTEN bio

the caller should call fr_bio_fd_accept() instead

ENOTCONN is an allowed error for connected UDP sockets

clean up connected UDP sockets

further research shows that they are, in fact, connected.

Pacify Coverity (CID #1647997)

Look for Relay-Agent-Information in the Offer, now we add it automagically

Help users by copying DHCPv4 option 82 from request to reply

To align with RFC3046

Packet type is set correclty by the DHCPv4 process module

change spelling of pbkdf2 files from pbkfd2 (#5593)

Pacify Coverity (CID #1646843)

Test that sqlippool does not clobber existing assigned address

Don't attempt to concat if the target type is void

The box will never be FR_TYPE_VOID - it just means we want whatever
we're given.

Add FreeRADIUS to brotli and common rpm package summaries

To be consistent with other packages and give clearer search results

Use enum syntax to set DUID

Use the test port referenced in the comment

Add -b option to radtest

Add more notes on Python attriubte access

Correct comments

Pacify Coverity (CID #1647938)

Bump clang version used on macOS

We already use clang 18 on Linux

Convert FTP references to HTTPS for the same

Update rlm_sql docs from raddb

Update rlm_perl docs from raddb

Reduce complexity

Pacify Coverity (CID #1646844)

Overview of new Perl attribute list access / manipulation in upgrade doc

Spelling

Pacify Coverity (CID #1646862)

Allow fr_lua_get_field to be called with request == NULL (CID #1646787)

Add tests of the Perl tied hash functions

Add some tests of invalid attribute access

Add tests of Perl array operations

Rename radiusd module to freeradius

To be consistent with Python / Lua

Update example.pl to match new attribute access / setting

And align subroutine names with v4 RADIUS section names

Update Perl tests for new attribute access / setting methods