ITS#9827

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#9827 update Argon2 defaults

- switch to argon2id by default (from argon2i)
- use OWASP recommended parameters as defaults

This only affects builds that use libargon2, e.g. Debian, and
not builds that use libsodium as argon2id is already the
default there, and better parameters are used

References: https://bugs.openldap.org/show_bug.cgi?id=9827
Signed-off-by: François Kooman <fkooman@tuxed.net>

ITS#10224

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

Return to release engineering

Prep for release (2.6.8)

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

Prep for release

ITS#10216

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.

ITS#10209

ITS#10209 libldap: only use OPENSSL_INIT_NO_ATEXIT if it's defined

Fake OpenSSL clones like LibreSSL don't support it.

In general we will make no effort to support fake OpenSSL clones.

ITS#10214

ITS#10214 - Regenerate configure

ITS#10214 Reduce library dependencies

Currently, slapd links libsystemd to notify service state to systemd.
However, libsystemd link several unnecessary libraries, which increases security risks.
The systemd documentation provides a method to send state notifications to systemd using a simple protocol without the need to link against libsystemd.

https://www.freedesktop.org/software/systemd/man/devel/sd_notify.html

ITS#9921

ITS#9921 fix vlvResult comment

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_6

ITS#10212

ITS#10198

ITS#10208

ITS#10084 Switch MECH default away from DIGEST-MD5

ITS#10211

ITS#10211 slapd: Fix peercred uid and gid format

uid and gid are unsigned int and so should be formatted as such when
creating the authid string.

ITS#10206

ITS#10206 Include <kadm5/private.h> for kadm5_s_init_with_password_ctx

ITS#10204

ITS#10204 slapo-constraint: fix double-free on invalid attr

ITS#10197

ITS#10197 Back-meta and back-asyncmeta add a new target structure and increase the number of targets even if uri parsing fails

Reproducible when adding a new target via cn=config

ITS#10183

ITS#10183 ldapmodify: add jump to lineno option

ITS#10212 LMDB: better fix

ITS#10212 LMDB: init txnid for read-only DBs

ITS#10207 - regenerate configure

ITS#10207 configure.ac: fix typo from ITS#10177

ITS#10161 - regenerate configure

ITS#10161 - Add BUILD_NESTGROUP required for testsuite

ITS#10161 - Add missing testsuite bits

ITS#10161 - regenerate configure

ITS#10161

ITS#10161 Add nestgroup overlay

ITS#10193

ITS#10193 Asyncmeta starts more than one timeout loop per database and slaptest crashes

ITS#10198 Win32 mdb_strerror - stop passing "ignored" parameter

The M$ docs say the parameter is ignored, but it actually isn't,
and will cause a SEGV if the pointed memory isn't an init'd va_list.

ITS#10103, ITS#!014, ITS#10182

ITS#10182 slapo-alias: check for static operational attrs too

ITS#10104 Add slapo-alias to contrib

ITS#10103 Fix contrib module OIDs

Happy New Year!

ITS#10185, ITS#10188

ITS#10188 autogroup: allow groups to be members of other groups

But doesn't support recursion - modifications on one autogroup
will not trigger further updates on other autogroups that reference it.

ITS#10188 autogroup: cleanup autogroup_response

Minor restructuring

ITS#10185 autogroup: fix missing mutex_unlock

Broken in 95e7a7be16a3fc751f1ad4c210e69c37ad96f69b

ITS#10185 autogroup: check for invalid memberURL filter

ITS#10185 autogroup: plug memleak when deleting a group

ITS#10185 autogroup: use dnIsSuffixScope to check DN membership

Also break out of some loops after getting a matching result

ITS#10185 autogroup: don't process deletes until after op succeeds

ITS#10185 autogroup: must populate dyngroup members on Add

The dynamic members should be populated up front, before passing the Add op
to the backend. The original code did both group and member processing up
front; the ITS#6970 patch moved both to the response callback. Only the
member processing should have been moved.

ITS#10186

ITS#10186 overlay response callbacks should ignore op->o_abandon

slapo-autogroup: update Makefile to install manpage

ITS#10044

ITS#10044 dynlist: check for abandon in search2resp

ITS#10172

ITS#10172 logging: report errors when rotation fails

ITS#10177

ITS#10177 fix back-perl build for clang15 or later

Remove problematic and unnecessary compile flags.

ITS#7400

ITS#7400 slapo-memberof: delete note about deprecation

ITS#7400

ITS#9952

ITS#9952 TLS/OpenSSL: disable use of atexit()

This will only have any effect if libldap is the first caller to
initialize OpenSSL, but that should be all that matters when libldap
is part of a dynmically loaded module. It prevents the crash in the
example cases given.

Revert "ITS#9952 libldap: use atexit for TLS teardown"

This reverts commit 337455eb3a66176cc3f66d2c663a72cc7b4178bd.
The change was non-portable, caused ITS#10176. OpenSSL 3 is
broken and should be fixed.

ITS#9037

ITS#9037 mdb_page_search: fix error code when DBI record is missing

Use the more relevant MDB_BAD_DBI instead of MDB_NOTFOUND error code

minor cleanup

ITS#10179

ITS#10179 back-asyncmeta(5) man page incorrectly mentions rewrite

back-asyncmeta does not currently support the rewrite engine.

ITS#10164

ITS#10164 back-meta hangs when used with dynlist overlay

Make sure every proxied operation has a separate candidates structure.

ITS#10173

ITS#10173 Populate li_minCSN on conversion

ITS#10171

ITS#10171 - Explicitly cast private values

Fixes issues with -Werror=incompatible-pointer-types

Signed-off-by: Stephen Gallagher <sgallagh@redhat.com>

ITS#10170

ITS#10170 accesslog: skip response if not fully initialized yet

ITS#10167

ITS#7400 memberof: note consumers must use exattr

to exclude the memberof attribute from replication

ITS#10167 slapo-memberof: add addcheck option

Check memberships of newly added entries.

ITS#9823 Move to a place that is better associated with accesslog

slapo-autogroup: fix typo in Debug msg

Made in 1cf39a8568fb9b64518aaa7618e20e8cf7084006

slapo-autogroup: fix typo in Debug msg

Was present in original commit 946e8591088b557cbd326a904c138d910a7b9f9e

ITS#10165

ITS#10165 back-meta fails to bind to target when proxying an internal operation

ITS#10166