ITS#7981 Move default hash selection to slap_passwd_hash_type

ITS#9343 Fix uninitialised variable

ITS#10169 Allow a Compare against oathSecret

ITS#10347 Be explicit about managing attr_bv storage

ITS#10345 Remove spurious strdup

ITS#10349 Do not leak memberof_t

ITS#10349 Free bv_effective if unused

ITS#10348 Relase memory allocated from ch_malloc in 2 error handling branches.

ITS#10343 Fix a memory leak in function slap_uuidstr_from_normalized

ITS#10344 Ensure the first argument passed to ber_dupbv_x is not NULL.

ITS#10356 libldap: implement LDAP_OPT_REFHOPLIMIT

ITS#10330 keep socket non-blocking during polling in ldap_int_tls_start

During TLS negotiation, if a timeout is set, ldap_int_tls_start sets the
socket to non-blocking and calls ldap_int_poll in a loop if
ldap_int_tls_connect does not succeed the first time it is called.

However, ldap_int_poll sets the socket back to blocking and we currently
do not set it back to non-blocking. This means that a subsequent call to
ldap_int_tls_connect may hang and the configured timeout will not be
enforced. To fix this, we now set the socket back to non-blocking after
ldap_int_poll is called.

ITS#10330 do not poll socket in ldap_int_tls_start if no timeout set

This probably had no effect, but is unnecessary.

ITS#10335 ldapsearch: fix handling of -LL in print_reference()

print_reference() was printing comments even when disabled with -LL option.

ITS#10338 Add olcConstraintAllowEmpty

ITS#10339 Do not reuse freed memory

ITS#10301 Send assert control with forwarded mods if configured

ITS#9186 Implement result code counters

ITS#10336 slapd-mdb: fix delete on empty DB

Don't assume parent of target entry will always exist.

ITS#10297 Defer hostname resolution til first use

ITS#10140 Add microsecond timestamp format for local file logging

ITS#10331 Add helpful error messages for usage errors

ITS#10328 librewrite: fix substitution cleanup

ITS#10327 Allow lockless config_back_search() during server pause

The assumption is that the only reason it is allowed to run at this
point is that it is called from the reconfiguration context anyway.

ITS#10325 slapd-dsaschema: Use assigned OIDs

ITS#10325 slapo-variant: Use assigned OIDs

ITS#10323 Apply olcBkLloadStartTLS runtime changes directly

ITS#10320 autogroup: mark internal searches

Avoid any other overlays munging autogroup's searches

ITS#10168 back-mdb: cleanup index setup

Nop index setup when index config resulted in no configured indices

ITS#10326 mbedtls: always call mbedtls_ssl_set_hostname()

Even if hostname is NULL, the library requires this be called once.
If non-NULL, mbedtls may do a hostname check which is redundant
since libldap does its own check.

ITS#10299 slapacl(8): fix dry-run description

ITS#10299 slapacl: use dummy entry_get in dry-run mode

ITS#9934 slapd-config(5) add new TLS cert/key settings

ITS#10020 slapo-dynlist(5) note static objectclasses can only be used once

ITS#10270 slapo-pcache: negative cache entries are not loaded when pcachePersist is on

ITS#10270 slapo-pcache: queries with ttr/x-refresh are not loaded when pcachePersist is on

ITS#10270 slapo-pcache: ttr was not being applied to negatively cached entries

ITS#10163 - Regenerate configure

Add missing olcFrontendConfig to example

ITS#10312 Explicitly allow FALSE in 'subordinate'

ITS#10163 Add missed otp overlay to configure.ac

ITS#9367 back-mdb: add encryption support

Enabled if MDB_ENCRYPT is defined, which is currently only in mdb.master3.

ITS#10309 Check for strdup allocation failures

ITS#10310 pw-pbkdf2: make iterations configurable

ITS#10266 Adding a test script

ITS#10266 Linked clients should also be tagged for closing

ITS#10266 Adopt broader RFC4511 NoD interpretation, receiving side

ITS#10265 Allow runtime reconfig of olcBkLloadListen

ITS#7249 Disallow memberof-addcheck when memberof is global

ITS#7249 Let backend_attribute know who's calling it

ITS#10279 Let client notify when LDAP_DEBUG is disabled but -d specified

ITS#10307 Initialise last if we use it later

Update and clarify replication docs

ITS#10160 - Add "neguri" and "negset" constraint types to slapo-constraint

ITS#10302 slapd-mdb: fix idcursor double-free in slapadd shutdown

Caused when calling tool_entry_modify to update ctxcsn after all adds are done.

ITS#9186 Add deferred ops statistics counters

ITS#10290 Move syncrepl_modify_cb to the end of the list

The way op->orm_modlist is allocated by syncrepl_op_modify is not
compatible with slap_mods_free() and so callbacks from any overlays that
touch op->orm_modlist on the way down need a chance to undo their state
first as we go back up.

ITS#9186 Add a counter to cn=Listener to track total number of established connections since startup

ITS#7080 Do not reuse back-ldif's stack for controls

ITS#7080 Implement pre/postread for modrdn

ITS#7080 Do not munge path twice

ITS#10229 Adjust ldap_result behaviour with LDAP_MSG_RECEIVED

ITS#10288 autoca: fix olcAutoCAserverClass config

ITS#10226 - Fix ldap.conf(5) formatting issues

ITS#10272 Request all attributes from remote

Fixes a regression introduced in fc1bcaf9ded9410cd825112be8db994163c06b04
leaving us unable to check the full filter after we recreate the entry.

ITS#10155 manage option values more carefully

ITS#8047 Fix TLS connection timeout handling

The test for async in ldap_int_tls_start was inverted, we already
support calling ldap_int_tls_connect repeatedly. And so long as
LBER_SB_OPT_NEEDS_* are managed correctly, the application should be
able to do the right thing.

Might require a new result code rather than reporposing
LDAP_X_CONNECTING for this.

ITS#10263 Reject modifications with invalid whitespace

ITS#9393 Expose and document ldap_pvt_put_filter

ITS#9042 Log modify values under STATS2

ITS#9914 Add OS pagesize to the back-mdb monitor information

Page size is now provided with the olmMDBPageSize attribute.

ITS#10264 Free NoD data we stored locally

ITS#10234 Reinit retry state on refreshDone

ITS#10232 Reset cs_refreshing on config delete

ITS#7982 Log TLS proto+cipher suite on client side

ITS#10248 Regression test script

ITS#10248 Always generate a result on the original op

ITS#10249 slapo-nestgroup: plug leak in nestgroup_memberFilter

ITS#10256 cn=config: reject modify requests on cn=schema,cn=config

Add requests already handled it specially; corresponding treatment
for modify requests was missing. The docs have always stated that
cn=schema,cn=config is only for slapd's hardcoded schema so this
only affects users who don't read docs.

ITS#10253 Fix incompatible pointer type

ITS#10247 libldap: add ldap_url_check_ext() to check URL extensions

And check validity earlier, in ldap_initialize() and ldap_init_fd().

ITS#10247 libldap: reject unrecognized critical URL extensions

ITS#10251 cast sa when passed to getsockname

ITS#7400 - Fix exattr to exattrs option

ITS#10242 Record rid in operation related logs

fix idl intersection ITS#10233

The `mdb_idl_intersection()` and `wt_idl_intersection()` functions derived from back-bdb return wrong results.

expect:
[1, 3] ∩ [2] = []

actual:
[1, 3] ∩ [2] = [2]

also
- Add scope checking for back-wt
- fix compiler warning

ITS#10237 fix prev commit

ITS#10237 back-ldap: fix usage of multi-precision add for op counters

ITS#10235 slapo-nestgroup: silence extraneous register_at message

ITS#10231 slapadd: check for NULL suffix in error message

ITS#10230 slapo-memberof: fix addcheck search to omit dynamic values

ITS#10227 Asyncmeta will not reset a connection if a bind operation fails with LDAP_OTHER, leaving the connection in invalid state

ITS#10219 Modify of olcDisabled by removing and adding a value invokes db_open twice

Do not invoke db_open if the database is not actually disabled

ITS#10218 Disabling and re-enabling an asyncmeta database via cn=config leaks memory

Make sure asyncmeta frees the pending operations structures, resets all connections, frees connection structures and stops the timeout-loop.

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

Merge remote-tracking branch 'origin/mdb.RE/0.9'

Prep for release

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.