ITS#10279

ITS#10279 Let client notify when LDAP_DEBUG is disabled but -d specified

ITS#10307

ITS#10307 Initialise last if we use it later

Update and clarify replication docs

ITS#10302

ITS#10302 slapd-mdb: fix idcursor double-free in slapadd shutdown

Caused when calling tool_entry_modify to update ctxcsn after all adds are done.

ITS#10290

ITS#10290 Move syncrepl_modify_cb to the end of the list

The way op->orm_modlist is allocated by syncrepl_op_modify is not
compatible with slap_mods_free() and so callbacks from any overlays that
touch op->orm_modlist on the way down need a chance to undo their state
first as we go back up.

ITS#7080

ITS#7080 Do not reuse back-ldif's stack for controls

ITS#7080 Implement pre/postread for modrdn

ITS#7080 Do not munge path twice

ITS#10229

ITS#10229 Adjust ldap_result behaviour with LDAP_MSG_RECEIVED

ITS#10288

ITS#10288 autoca: fix olcAutoCAserverClass config

ITS#10226

ITS#10226 - Fix ldap.conf(5) formatting issues

Return to release engineering

Prep for release

ITS#10272

ITS#10272 Request all attributes from remote

Fixes a regression introduced in fc1bcaf9ded9410cd825112be8db994163c06b04
leaving us unable to check the full filter after we recreate the entry.

ITS#8047

ITS#8047 Fix TLS connection timeout handling

The test for async in ldap_int_tls_start was inverted, we already
support calling ldap_int_tls_connect repeatedly. And so long as
LBER_SB_OPT_NEEDS_* are managed correctly, the application should be
able to do the right thing.

Might require a new result code rather than reporposing
LDAP_X_CONNECTING for this.

ITS#10155

ITS#10155 manage option values more carefully

ITS#10263

ITS#10263 Reject modifications with invalid whitespace

ITS#10264

ITS#10264 Free NoD data we stored locally

ITS#10234

ITS#10234 Reinit retry state on refreshDone

ITS#10232

ITS#10232 Reset cs_refreshing on config delete

ITS#10248

ITS#10248 Regression test script

ITS#10248 Always generate a result on the original op

ITS#10249

ITS#10249 slapo-nestgroup: plug leak in nestgroup_memberFilter

ITS#10256

ITS#10256 cn=config: reject modify requests on cn=schema,cn=config

Add requests already handled it specially; corresponding treatment
for modify requests was missing. The docs have always stated that
cn=schema,cn=config is only for slapd's hardcoded schema so this
only affects users who don't read docs.

ITS#10253

ITS#10253 Fix incompatible pointer type with GnuTLS

ITS#10233

ITS#7400 - Fix exattr to exattrs option

ITS#10233 - fix idl intersection

The `mdb_idl_intersection()` and `wt_idl_intersection()` functions derived from back-bdb return wrong results.

expect:
[1, 3] ∩ [2] = []

actual:
[1, 3] ∩ [2] = [2]

also
- Add scope checking for back-wt
- fix compiler warning

ITS#10237

ITS#10237 back-ldap: fix usage of multi-precision add for op counters

ITS#10230 slapo-memberof: fix addcheck search to omit dynamic values

ITS#10235

ITS#10235 slapo-nestgroup: silence extraneous register_at message

ITS#10231

ITS#10231 slapadd: check for NULL suffix in error message

ITS#10230

ITS#10227

ITS#10227 Asyncmeta will not reset a connection if a bind operation fails with LDAP_OTHER, leaving the connection in invalid state

ITS#10219

ITS#10219 Modify of olcDisabled by removing and adding a value invokes db_open twice

Do not invoke db_open if the database is not actually disabled

ITS#10218

ITS#10218 Disabling and re-enabling an asyncmeta database via cn=config leaks memory

Make sure asyncmeta frees the pending operations structures, resets all connections, frees connection structures and stops the timeout-loop.

ITS#9827

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#9827 update Argon2 defaults

- switch to argon2id by default (from argon2i)
- use OWASP recommended parameters as defaults

This only affects builds that use libargon2, e.g. Debian, and
not builds that use libsodium as argon2id is already the
default there, and better parameters are used

References: https://bugs.openldap.org/show_bug.cgi?id=9827
Signed-off-by: François Kooman <fkooman@tuxed.net>

ITS#10224

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

Return to release engineering

Prep for release (2.6.8)

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

Prep for release

ITS#10216

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.

ITS#10209

ITS#10209 libldap: only use OPENSSL_INIT_NO_ATEXIT if it's defined

Fake OpenSSL clones like LibreSSL don't support it.

In general we will make no effort to support fake OpenSSL clones.

ITS#10214

ITS#10214 - Regenerate configure

ITS#10214 Reduce library dependencies

Currently, slapd links libsystemd to notify service state to systemd.
However, libsystemd link several unnecessary libraries, which increases security risks.
The systemd documentation provides a method to send state notifications to systemd using a simple protocol without the need to link against libsystemd.

https://www.freedesktop.org/software/systemd/man/devel/sd_notify.html

ITS#9921

ITS#9921 fix vlvResult comment

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

ITS#10212

ITS#10198

ITS#10208

ITS#10084 Switch MECH default away from DIGEST-MD5

ITS#10211

ITS#10211 slapd: Fix peercred uid and gid format

uid and gid are unsigned int and so should be formatted as such when
creating the authid string.

ITS#10206

ITS#10206 Include <kadm5/private.h> for kadm5_s_init_with_password_ctx

ITS#10204

ITS#10204 slapo-constraint: fix double-free on invalid attr

ITS#10197

ITS#10197 Back-meta and back-asyncmeta add a new target structure and increase the number of targets even if uri parsing fails

Reproducible when adding a new target via cn=config

ITS#10183

ITS#10183 ldapmodify: add jump to lineno option

ITS#10212 LMDB: better fix

ITS#10212 LMDB: init txnid for read-only DBs

ITS#10207 - regenerate configure