ITS#10219 Modify of olcDisabled by removing and adding a value invokes db_open twice

Do not invoke db_open if the database is not actually disabled

ITS#9827

ITS#9827 - Use 7MB memory/5 iterations as default

This has the same protections as 19MB/2 iterations, but requires less system memory

ITS#9827 update Argon2 defaults

- switch to argon2id by default (from argon2i)
- use OWASP recommended parameters as defaults

This only affects builds that use libargon2, e.g. Debian, and
not builds that use libsodium as argon2id is already the
default there, and better parameters are used

References: https://bugs.openldap.org/show_bug.cgi?id=9827
Signed-off-by: François Kooman <fkooman@tuxed.net>

ITS#10224

ITS#10224 libldap: check for OpenSSL EVP_Digest* failure

ITS#10223

ITS#10223 libldap: check for OpenSSL SSL_CTX_set_ciphersuites failure

ITS#10221

ITS#10221 - Regenerate configure

ITS#10221 - Remove extraneous quote

Return to release engineering

Prep for release (2.5.18)

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

Prep for release

ITS#10216

ITS#10216 libldap: fix OpenSSL channel binding digest

The OBJ_find_ API is undocumented but this is what OpenSSL libcrypto does itself.

ITS#10209

ITS#10209 libldap: only use OPENSSL_INIT_NO_ATEXIT if it's defined

Fake OpenSSL clones like LibreSSL don't support it.

In general we will make no effort to support fake OpenSSL clones.

ITS#10214

ITS#10214 - regenerate configure

ITS#10214 Reduce library dependencies

Currently, slapd links libsystemd to notify service state to systemd.
However, libsystemd link several unnecessary libraries, which increases security risks.
The systemd documentation provides a method to send state notifications to systemd using a simple protocol without the need to link against libsystemd.

https://www.freedesktop.org/software/systemd/man/devel/sd_notify.html

ITS#9921

ITS#9921 fix vlvResult comment

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

ITS#10212

ITS#10198

ITS#10208

ITS#10084 Switch MECH default away from DIGEST-MD5

ITS#10211

ITS#10211 slapd: Fix peercred uid and gid format

uid and gid are unsigned int and so should be formatted as such when
creating the authid string.

ITS#10206

ITS#10206 Include <kadm5/private.h> for kadm5_s_init_with_password_ctx

ITS#10212 LMDB: better fix

ITS#10212 LMDB: init txnid for read-only DBs

ITS#10198 Win32 mdb_strerror - stop passing "ignored" parameter

The M$ docs say the parameter is ignored, but it actually isn't,
and will cause a SEGV if the pointed memory isn't an init'd va_list.

Happy New Year!

ITS#10186

ITS#10186 overlay response callbacks should ignore op->o_abandon

ITS#10044

ITS#10044 dynlist: check for abandon in search2resp

ITS#10177

ITS#10177 fix back-perl build for clang15 or later

Remove problematic and unnecessary compile flags.

ITS#9952

ITS#9952 TLS/OpenSSL: disable use of atexit()

This will only have any effect if libldap is the first caller to
initialize OpenSSL, but that should be all that matters when libldap
is part of a dynmically loaded module. It prevents the crash in the
example cases given.

Revert "ITS#9952 libldap: use atexit for TLS teardown"

This reverts commit 337455eb3a66176cc3f66d2c663a72cc7b4178bd.
The change was non-portable, caused ITS#10176. OpenSSL 3 is
broken and should be fixed.

ITS#9037

ITS#9037 mdb_page_search: fix error code when DBI record is missing

Use the more relevant MDB_BAD_DBI instead of MDB_NOTFOUND error code

ITS#10170

ITS#10170 accesslog: skip response if not fully initialized yet

ITS#10179

ITS#10179 back-asyncmeta(5) man page incorrectly mentions rewrite

back-asyncmeta does not currently support the rewrite engine.

ITS#10164

ITS#10164 back-meta hangs when used with dynlist overlay

Make sure every proxied operation has a separate candidates structure.

ITS#10173

ITS#10173 Populate li_minCSN on conversion

ITS#10171

ITS#10171 - Explicitly cast private values

Fixes issues with -Werror=incompatible-pointer-types

Signed-off-by: Stephen Gallagher <sgallagh@redhat.com>

ITS#9823 Move to a place that is better associated with accesslog

slapo-autogroup: fix typo in Debug msg

Was present in original commit 946e8591088b557cbd326a904c138d910a7b9f9e

ITS#10165

ITS#10165 back-meta fails to bind to target when proxying an internal operation

ITS#10166

ITS#10166 slapi: fix plugin.c plugin_pblock_new() usage

Broken in 9142da8eaf691720f7d6288954250ef085bd3da0

Return to engineering

Prep for release (2.5.17)

ITS#10139

ITS#10139 back-config: Honour disclose in matchedDN handling

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

Prep for release

ITS#10025

ITS#10025 slapo-dynlist: add option to disable filter support

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

ITS#10125: fix bad merge

From ac011b2c5a14d665b5756d8a7435627ffc508855

ITS#10059

ITS#10059 - Add configuration example for slapo-homedir(5)

ITS#10153

ITS#10153 - slapd(8) describe -T modify (slapmodify)

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_5

ITS#10110

ITS#10110 Do not skip backover for result entries

ITS#10135

ITS#10135 dynlist: fix search2resp callback context

ITS#10130

ITS#10130 Several callers of getpassphrase() ignore NULL returns

ITS#10109

ITS#10109 Pass operation to slap_get_csn()

ITS#10137

ITS#10137 LMDB: Allow users to define MDB_IDL_LOGN

ITS#10145

ITS#10145 ldap_url_parse_ext: fail earlier on bad URL enclosure

ITS#10144

ITS#10144 libldap: RDNs must contain at least 1 AVA

ITS#10129

ITS#10129 Fix lloadd.conf manpage

ITS#10124

ITS#10124 libldap: fix dhparam init with OpenSSL 3.x

ITS#9378, ITS#10125

ITS#10125 mdb_load: fix cursor reinit in Append mode

ITS#10089 Fix acl logging