don't do encode(parser(print(da))).

it's more code, and is much less efficient.

the boolean "true" encoding is fixed, and can be hard-coded

parsing OID from string

clean up handling of raw attributes

we are able to decode mand encode raw options, while keeping the
class and option number.

Pretty much everything else is a gamble. :(

foo

over-ride "raw.Foo = { ... }"

use the original data type, and not a hard-coded TLV

the parser can't tell the difference between "raw.1 = {...}"
and "raw.Foo = {...}", so we just fix the data type after the
fact.

make diff output easier to read

remove wrapper wrapper functions

simplify sorting of sets

so that there's less "back and forth"

Also the number of children might not be the same as the
number of _encodeable_ children, especially if the set is a group,
and there are internal attributes in the group

As a result, we set the max to the number of possible children,
and then loop until we've encoded all of the children

simplify sorting of sets

there's no need to use markers, pointers will do.

there's no need to track marker in encode_value(), as the set
code can do that

encode_choice() is really encode all children

so we call it from multiple places to reduce code duplication

no need to loop over the children

now that we've fixed fr_pair_cursor_to_network()

just encode everything which matches the cursor

the iterator is responsible for doing the right thing.

The depth checks don't work with groups which have refs

move default to der_attr_flags_t

which means that the default value is in attr_flags

allow 'class=private' and 'class=enterprise'

remove duplicate

don't hard-code CONTEXT class.

which allows for PRIVATE and ENTERPRISE

enforce locations where 'option' and 'optional' are used

They can only be used in SEQUENCE and SET, and not in any other
type of DER or FreeRADIUS data type

note that not all docs are up to date for v4

Rearrange debugging documentation

clean up documentation.

Add new howto pages.

Add best practices document

Organize virtual servers by protocol

remove many virtual servers which were old, unused, and wrong

rearrange fr_der_decode_pair_dbuff

to do sanity checks before doing anything else, and to remove
duplicate code around creating default values.

add more options

Strategy only applies if there is a build matrix

Add scheduled call to Documenation CI action

Since most commits to `master` are merges from developer's branches, the
job was never running in `master` and so docs were not getting
published.

Fully update parent client when connected dynamic clients are approved

Without this, subsequent clones of the parent will be missing data.

hoist checks out of the hot path

and use consistent names

Terminology updates and consistency

remove accidentally committed file

there's no need to check the restriction types at run time

either there's one value (is_sequence_of=foo).

or it's a CHOICE, and all of the children are numbered options.
In which case we don't care what the values are.  If they exist,
we will find them, or they won't exist, and we will decode them
as raw octets

move DEFINE ...option=N to ATTRIBUTE ... N ...option

which is a little more consistent

update the restriction flags in more cases

and correct how we set them.

hoist decode_oid_and_value() to its own function

which avoids the sequence / set decoder checking for the flag.

rename the is_pair flag to is_oid_and_value, which is clearer.
rename other functions to match

typos

use fr_strerror_*_push() more consistently

which helps to figure out just where the error is.

The DER data is _deeply_ nested.  If we just say

failed decoding boolean

then the poor user has no idea which boolean it is.  Giving a
little bit of extra context goes a long way to having someone
figure out where the error is.

hoist expected tag into the decode_hdr() function

rearrange / redo decode x509extensions functiono

more sanity checks, and less "back and forth" decoding with
markers

clean up extension decoding

hoist "set length" to before calling any decode function

clean up OID decoding

move OID decoding to wrapper function

to avoid conditions in the hot path

add flags->is_option

and clean up decoding of option vs tag.  Sometimes it might not
have done the right thing

Add fallthrough to LDAP tests

Add fallthrough options to sample LDAP module config

Add fallthrough attributes to RADIUS and TACACS profile schemas

Check and fallthrough attributes are needed for autz profile processing

Add fallthrough handling to LDAP profiles

Free condition results early

Add fallthrough_attr to LDAP query

Add profile fallthrough options to rlm_ldap

add encoder, decoder, and tests for combo-ip

options have to have class Context

don't print timeout

ensure that sets are only TLVs

nothing in the standard dictionaries uses SETs as groups.
They're groups only in the test dictionaries.  And there is no
encoding difference between SET of tlv and SET of group.

more checks on attributes

disallow duplicates for choices and sequences of choices

enforce parent set of / sequence of

set restrictions in preparation for doing less of this at run-time

hoist the attr_ref_set() to before calling attr_valid()

so that the validation routine can check the refs

FreeRADIUS type 'struct' is always a bit string

Because (for now) all of the dictionary entries are packed bits

A struct CANNOT be a sequence or a set, as our structs are always
packed fields, without any headers.

Perhaps in the future a struct could be an octetstring, which would
then be an opaque data type which is carried within DER.

add assertions to check for bad dictionaries

typo in AF_INET6

tweak error messages

print out the dictionary name, too

Allow status check "update" section without a list

As per the example in the sample module config

Use a struct to contain LDAP profile options

to match `user` and `group`

Clarify SQLite returns error 14 "Can't open file"

print a better message if the file exists, or is not readable

use fr_strerror_printf() instead of immediate ERROR

tweak encode IP prefix

encode and decode IPv4 and IPv6 prefixes

Add encode / decode of ipv4add and ipv6addr

RFC 3779 defines a format for IP addresses, and IP prefixes

Track number of LDAP profiles applied

So that %ldap.profile() only returns true if at least one is applied.

The use of check_attribute to control application of LDAP profiles can
mean that the query succeeds and returns objects, but none of them get
applied - which should be treated equivalent to the query not returning
any objects

Correct comment about ASCII GETDATA response

The status is driven from the FreeRADIUS packet type.

Authorization status is automatically set from the packet type

Instances of the same attribute should be together

Restore accidentally deleted tacacsCommand

Patches care about whitespace

Fix up Debian patch

Until the main config gets re-named

Add profile priority / condition attrs to TACACS profiles in LDAP schema

allocation may fail.  CID #1643157

update tests for encoding raw DER values

copy protocol extensions for unknown / raw attributes

which lets the der encoder create "raw" fields with the
correct DER tag.

check child da flags for is_raw

and rename child_vp --> child

tweak error message

cache flags

so we don't get the extension multiple times for each attribute
that we encode.

add support for optional flag and update the dictionaries

more cleanups

* use "clone=..." for more things
* use "value" instead of "value-thing"
* use "attribute" instead of "attribute-thing"
* change names to match the specs

allow attributes named 'value'

cleanups

* lowercase most of the hex in the tests

* start documenting the DER types

* move all RelativeDistinguishedName to "clone="

  which then changes the output of the tests, as the copied
  versions differed in case, and sometimes in contents

ensure that groups have a ref extension

refs can't be NULL

the underlying "da" may have already been freed

if it was re-written

make error message clearer

Require '.' or '@' in references

which ends up being a lot clearer than

DEFINE foo bar clone=foo

where the DEFINE is in a child context via BEGIN/END, and the
'clone' ref is in the root context

Update all of the dictionaries to match.

As a bonus, dict_protocol_reference() can now distinguish the
cases of "error" from "reference not found"

Update the antora documentation to match.  Create a new
reference page which contains all of the documentation for
references.

add fr_sbuff_eof(), which is easy to remember

add and use "has_fixup" flag.

When we copy an attribute, we need to check if it has pending
fixups.  If so, we can't copy it.  This gives the admin a
descriptive error, rather than having something go wrong later.

This situation happens when we're cloning an attribute that has
children, and those children have fixups.

A more in-depth fix would be to move the fixup lists to the
fr_dict_t.  The cloned attribute could then add itself to a
separate "clone after fixups" list.  So the clone could be applied
last, after all of the fixups have been applied.

Part of the fix is checking for pending fixups and complaining.
More of the fix is setting "ref=..." immediately, if it can be
resolved.  That way we avoid many pending fixups.

typo

ensure oid_and_value references OID-Tree

ensure that attribute references exist

only leaf types can have values defined

double-check more corner cases

and update dicts to match.

add more OIDs and update the tests