hoist decode_oid_and_value() to its own function

which avoids the sequence / set decoder checking for the flag.

rename the is_pair flag to is_oid_and_value, which is clearer.
rename other functions to match

typos

use fr_strerror_*_push() more consistently

which helps to figure out just where the error is.

The DER data is _deeply_ nested.  If we just say

failed decoding boolean

then the poor user has no idea which boolean it is.  Giving a
little bit of extra context goes a long way to having someone
figure out where the error is.

hoist expected tag into the decode_hdr() function

rearrange / redo decode x509extensions functiono

more sanity checks, and less "back and forth" decoding with
markers

clean up extension decoding

hoist "set length" to before calling any decode function

clean up OID decoding

move OID decoding to wrapper function

to avoid conditions in the hot path

add flags->is_option

and clean up decoding of option vs tag.  Sometimes it might not
have done the right thing

Add fallthrough to LDAP tests

Add fallthrough options to sample LDAP module config

Add fallthrough attributes to RADIUS and TACACS profile schemas

Check and fallthrough attributes are needed for autz profile processing

Add fallthrough handling to LDAP profiles

Free condition results early

Add fallthrough_attr to LDAP query

Add profile fallthrough options to rlm_ldap

add encoder, decoder, and tests for combo-ip

options have to have class Context

don't print timeout

ensure that sets are only TLVs

nothing in the standard dictionaries uses SETs as groups.
They're groups only in the test dictionaries.  And there is no
encoding difference between SET of tlv and SET of group.

more checks on attributes

disallow duplicates for choices and sequences of choices

enforce parent set of / sequence of

set restrictions in preparation for doing less of this at run-time

hoist the attr_ref_set() to before calling attr_valid()

so that the validation routine can check the refs

FreeRADIUS type 'struct' is always a bit string

Because (for now) all of the dictionary entries are packed bits

A struct CANNOT be a sequence or a set, as our structs are always
packed fields, without any headers.

Perhaps in the future a struct could be an octetstring, which would
then be an opaque data type which is carried within DER.

add assertions to check for bad dictionaries

typo in AF_INET6

tweak error messages

print out the dictionary name, too

Allow status check "update" section without a list

As per the example in the sample module config

Use a struct to contain LDAP profile options

to match `user` and `group`

Clarify SQLite returns error 14 "Can't open file"

print a better message if the file exists, or is not readable

use fr_strerror_printf() instead of immediate ERROR

tweak encode IP prefix

encode and decode IPv4 and IPv6 prefixes

Add encode / decode of ipv4add and ipv6addr

RFC 3779 defines a format for IP addresses, and IP prefixes

Track number of LDAP profiles applied

So that %ldap.profile() only returns true if at least one is applied.

The use of check_attribute to control application of LDAP profiles can
mean that the query succeeds and returns objects, but none of them get
applied - which should be treated equivalent to the query not returning
any objects

Correct comment about ASCII GETDATA response

The status is driven from the FreeRADIUS packet type.

Authorization status is automatically set from the packet type

Instances of the same attribute should be together

Restore accidentally deleted tacacsCommand

Patches care about whitespace

Fix up Debian patch

Until the main config gets re-named

Add profile priority / condition attrs to TACACS profiles in LDAP schema

allocation may fail.  CID #1643157

update tests for encoding raw DER values

copy protocol extensions for unknown / raw attributes

which lets the der encoder create "raw" fields with the
correct DER tag.

check child da flags for is_raw

and rename child_vp --> child

tweak error message

cache flags

so we don't get the extension multiple times for each attribute
that we encode.

add support for optional flag and update the dictionaries

more cleanups

* use "clone=..." for more things
* use "value" instead of "value-thing"
* use "attribute" instead of "attribute-thing"
* change names to match the specs

allow attributes named 'value'

cleanups

* lowercase most of the hex in the tests

* start documenting the DER types

* move all RelativeDistinguishedName to "clone="

  which then changes the output of the tests, as the copied
  versions differed in case, and sometimes in contents

ensure that groups have a ref extension

refs can't be NULL

the underlying "da" may have already been freed

if it was re-written

make error message clearer

Require '.' or '@' in references

which ends up being a lot clearer than

DEFINE foo bar clone=foo

where the DEFINE is in a child context via BEGIN/END, and the
'clone' ref is in the root context

Update all of the dictionaries to match.

As a bonus, dict_protocol_reference() can now distinguish the
cases of "error" from "reference not found"

Update the antora documentation to match.  Create a new
reference page which contains all of the documentation for
references.

add fr_sbuff_eof(), which is easy to remember

add and use "has_fixup" flag.

When we copy an attribute, we need to check if it has pending
fixups.  If so, we can't copy it.  This gives the admin a
descriptive error, rather than having something go wrong later.

This situation happens when we're cloning an attribute that has
children, and those children have fixups.

A more in-depth fix would be to move the fixup lists to the
fr_dict_t.  The cloned attribute could then add itself to a
separate "clone after fixups" list.  So the clone could be applied
last, after all of the fixups have been applied.

Part of the fix is checking for pending fixups and complaining.
More of the fix is setting "ref=..." immediately, if it can be
resolved.  That way we avoid many pending fixups.

typo

ensure oid_and_value references OID-Tree

ensure that attribute references exist

only leaf types can have values defined

double-check more corner cases

and update dicts to match.

add more OIDs and update the tests

note for more corner cases to fix

decode unknown children, instead of erroring out

rename variable

it's the current attribute which is malformed and should be raw,
not the parent one

add qualifier && cpsuri, and update the tests

allow raw.1 = { ...}

define and use issuerAltName

check return code

is_oid_leaf is only for parent DER type 'sequence'

set and enforce minimum sizes

for a number of dictinary attributes

add 'size=MIN..MAX' and check it in more places

check for more corner cases on decoding

the tag should be what we expect, or at least be compatible with
what we expect.

On decoding set / sequence, ensure that we mark all input data
as consumed, even if we run out of children to decode.  That
way the decoder can move to the next DER item, instead of starting
to decode the next item from inside of the set / sequence.

In other words, we don't want the decoder wandering up and down
the eastern seaboard for three days, looking for Vancouver.

more MACRO_RETURN

narrow down string format dicts and tests

For now, we test encoding and decoding of strings by types.

Move conflicting tests to an "ignore" file.  Those tests define
the dictionary attribute as one DER type, and then do test
encode / decode as a different DER type

add tag compatible function

some attributes can be encoded in multiple ways, but will all
decode to the same FreeRADIUS data type.  Adding a function
allows us to be more flexible about the input data.

print out name instead of raw numbers

check max for allowed values, and set default if it's not set

sequence and set can never be structs

the FreeRADIUS type 'struct' is reserved for bit-packed fields.

reasons are bitstring

remove "is_choice"

iit's not used.  The dictionaries instead use type "choice", or
"sequence_of=choice"

other integer types aren't valid

move more run-time checks to asserts

the dictionary parser / validator already checks these things

move clean.coverage to coverage.mk

move validation checks from run-time to load-time

and tighten them up a little bit

tweak error checks and messages

consistently use program name

so that we don't have hard-coded "radiusd.conf" everywhere

Return reply packet type, not rcode

FAQ rework (33 questions) & troubleshooting guide (1st draft).
Build error fix - Concepts index xref resolved.

Updated faq, troubleshooting, added pages. Updated top-level nav file to include new entries.

Partials work for single-source publishing

remove more "&"

just use fr_dbuff_used().  CID #1642920

quiet coveritry re: bit shift.  CID #1642926

check return CID #1642924

limit tag value. CID #1642922