ITS#10265 Allow runtime reconfig of olcBkLloadListen

ITS#7249 Disallow memberof-addcheck when memberof is global

ITS#7249 Let backend_attribute know who's calling it

ITS#10279 Let client notify when LDAP_DEBUG is disabled but -d specified

ITS#10307 Initialise last if we use it later

Update and clarify replication docs

ITS#10160 - Add "neguri" and "negset" constraint types to slapo-constraint

ITS#10302 slapd-mdb: fix idcursor double-free in slapadd shutdown

Caused when calling tool_entry_modify to update ctxcsn after all adds are done.

ITS#9186 Add deferred ops statistics counters

ITS#10290 Move syncrepl_modify_cb to the end of the list

The way op->orm_modlist is allocated by syncrepl_op_modify is not
compatible with slap_mods_free() and so callbacks from any overlays that
touch op->orm_modlist on the way down need a chance to undo their state
first as we go back up.

ITS#9186 Add a counter to cn=Listener to track total number of established connections since startup

ITS#7080 Do not reuse back-ldif's stack for controls

ITS#7080 Implement pre/postread for modrdn

ITS#7080 Do not munge path twice

ITS#10229 Adjust ldap_result behaviour with LDAP_MSG_RECEIVED

ITS#10288 autoca: fix olcAutoCAserverClass config

ITS#10226 - Fix ldap.conf(5) formatting issues

ITS#10272 Request all attributes from remote

Fixes a regression introduced in fc1bcaf9ded9410cd825112be8db994163c06b04
leaving us unable to check the full filter after we recreate the entry.

ITS#10155 manage option values more carefully

ITS#8047 Fix TLS connection timeout handling

The test for async in ldap_int_tls_start was inverted, we already
support calling ldap_int_tls_connect repeatedly. And so long as
LBER_SB_OPT_NEEDS_* are managed correctly, the application should be
able to do the right thing.

Might require a new result code rather than reporposing
LDAP_X_CONNECTING for this.

ITS#10263 Reject modifications with invalid whitespace

ITS#9393 Expose and document ldap_pvt_put_filter

ITS#9042 Log modify values under STATS2

ITS#9914 Add OS pagesize to the back-mdb monitor information

Page size is now provided with the olmMDBPageSize attribute.

ITS#10264 Free NoD data we stored locally

ITS#10234 Reinit retry state on refreshDone

ITS#10232 Reset cs_refreshing on config delete

ITS#7982 Log TLS proto+cipher suite on client side

ITS#10248 Regression test script

ITS#10248 Always generate a result on the original op

ITS#10249 slapo-nestgroup: plug leak in nestgroup_memberFilter

ITS#10256 cn=config: reject modify requests on cn=schema,cn=config

Add requests already handled it specially; corresponding treatment
for modify requests was missing. The docs have always stated that
cn=schema,cn=config is only for slapd's hardcoded schema so this
only affects users who don't read docs.

ITS#10253 Fix incompatible pointer type

ITS#10247 libldap: add ldap_url_check_ext() to check URL extensions

And check validity earlier, in ldap_initialize() and ldap_init_fd().

ITS#10247 libldap: reject unrecognized critical URL extensions

ITS#10251 cast sa when passed to getsockname

ITS#7400 - Fix exattr to exattrs option

ITS#10242 Record rid in operation related logs

fix idl intersection ITS#10233

The `mdb_idl_intersection()` and `wt_idl_intersection()` functions derived from back-bdb return wrong results.

expect:
[1, 3] ∩ [2] = []

actual:
[1, 3] ∩ [2] = [2]

also
- Add scope checking for back-wt
- fix compiler warning

ITS#10237 fix prev commit

ITS#10237 back-ldap: fix usage of multi-precision add for op counters

ITS#10235 slapo-nestgroup: silence extraneous register_at message

ITS#10231 slapadd: check for NULL suffix in error message

ITS#10230 slapo-memberof: fix addcheck search to omit dynamic values

ITS#10227 Asyncmeta will not reset a connection if a bind operation fails with LDAP_OTHER, leaving the connection in invalid state

ITS#10219 Modify of olcDisabled by removing and adding a value invokes db_open twice

Do not invoke db_open if the database is not actually disabled

ITS#10218 Disabling and re-enabling an asyncmeta database via cn=config leaks memory

Make sure asyncmeta frees the pending operations structures, resets all connections, frees connection structures and stops the timeout-loop.

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

Merge remote-tracking branch 'origin/mdb.RE/0.9'

Prep for release

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.

ITS#10209 libldap: only use OPENSSL_INIT_NO_ATEXIT if it's defined

Fake OpenSSL clones like LibreSSL don't support it.

In general we will make no effort to support fake OpenSSL clones.

ITS#10214 - Regenerate configure

refactoring

- remove __attribute__ destructor
- use sendto instead of connect/write

ITS#10214 Reduce library dependencies

Currently, slapd links libsystemd to notify service state to systemd.
However, libsystemd link several unnecessary libraries, which increases security risks.
The systemd documentation provides a method to send state notifications to systemd using a simple protocol without the need to link against libsystemd.

https://www.freedesktop.org/software/systemd/man/devel/sd_notify.html

Merge remote-tracking branch 'origin/mdb.RE/0.9'

Merge remote-tracking branch 'origin/mdb.RE/0.9'

ITS#10212

ITS#10198

ITS#10212 LMDB: better fix

ITS#10211 slapd: Fix peercred uid and gid format

uid and gid are unsigned int and so should be formatted as such when
creating the authid string.

ITS#10206 Include <kadm5/private.h> for kadm5_s_init_with_password_ctx

ITS#10212 LMDB: init txnid for read-only DBs

ITS#10207 - regenerate configure

ITS#10207 configure.ac: fix typo from ITS#10177

ITS#10204 slapo-constraint: fix double-free on invalid attr

ITS#10197 Back-meta and back-asyncmeta add a new target structure and increase the number of targets even if uri parsing fails

Reproducible when adding a new target via cn=config

ITS#10183 ldapmodify: add jump to lineno option

ITS#10202 - Regenerate configure

ITS#10202 slapd fails to start if compiled with --enable-overlays=yes

ITS#10193 Asyncmeta starts more than one timeout loop per database and slaptest crashes

ITS#10163, ITS#10201 - Regenerate configure

ITS#10163 More configure munging

Streamline configuration of slapd modules. Just use the
appropriate OL_ARG_ENABLE_xx, then almost no other edits
will be needed in configure.ac when adding new modules.

Backends will still have to add their Makefile to the
AC_CONFIG_FILES() list.

ITS#10198 Win32 mdb_strerror - stop passing "ignored" parameter

The M$ docs say the parameter is ignored, but it actually isn't,
and will cause a SEGV if the pointed memory isn't an init'd va_list.

Happy New Year!

ITS#9037

ITS#10189 - Remove extraneous #endif

ITS#9037 mdb_page_search: fix error code when DBI record is missing

Use the more relevant MDB_BAD_DBI instead of MDB_NOTFOUND error code

ITS#10161 Add nestgroup overlay

ITS#10188 autogroup: allow groups to be members of other groups

But doesn't support recursion - modifications on one autogroup
will not trigger further updates on other autogroups that reference it.

ITS#10188 autogroup: cleanup autogroup_response

Minor restructuring

ITS#10185 autogroup: fix missing mutex_unlock

Broken in 95e7a7be16a3fc751f1ad4c210e69c37ad96f69b

ITS#10185 autogroup: check for invalid memberURL filter

ITS#10185 autogroup: plug memleak when deleting a group

ITS#10185 autogroup: use dnIsSuffixScope to check DN membership

Also break out of some loops after getting a matching result

ITS#10185 autogroup: don't process deletes until after op succeeds

ITS#10185 autogroup: must populate dyngroup members on Add

The dynamic members should be populated up front, before passing the Add op
to the backend. The original code did both group and member processing up
front; the ITS#6970 patch moved both to the response callback. Only the
member processing should have been moved.

ITS#10186 overlay response callbacks should ignore op->o_abandon

ITS#10182 slapo-alias: check for static operational attrs too

ITS#10044 dynlist: check for abandon in search2resp

ITS#10172 logging: report errors when rotation fails

ITS#10177 fix back-perl build for clang15 or later

Remove problematic and unnecessary compile flags.

slapo-autogroup: update Makefile to install manpage

ITS#7400 slapo-memberof: delete note about deprecation

ITS#9952 TLS/OpenSSL: disable use of atexit()

This will only have any effect if libldap is the first caller to
initialize OpenSSL, but that should be all that matters when libldap
is part of a dynmically loaded module. It prevents the crash in the
example cases given.

ITS#10179 back-asyncmeta(5) man page incorrectly mentions rewrite

back-asyncmeta does not currently support the rewrite engine.

ITS#10164 back-meta hangs when used with dynlist overlay

Make sure every proxied operation has a separate candidates structure.

Revert "ITS#9952 libldap: use atexit for TLS teardown"

This reverts commit 337455eb3a66176cc3f66d2c663a72cc7b4178bd.
The change was non-portable, caused ITS#10176. OpenSSL 3 is
broken and should be fixed.