ITS#9054, #9318 document new TLS options in slapd

ITS#9135

ITS#9135 fix index error on collapsed range

ITS#9282 - Fix hard coded backend

ITS#9054 fix typo

ITS#9328

ITS#9328 cldap: check for error on connected socket

libldap doesn't use a connected socket for UDP sessions, but 3rd
parties can, passed in with ldap_init_fd().

Fix missing getopt check for the argument "N"

ITS#9329 Re-fix merge_state

A bit uglier but more straightforward.

ITS#9249

ITS#9249 librewrite: fix malloc/free corruption

If substitution parsing fails, would attempt to free a mapping
that hadn't been allocated yet.

Also, on failure, caller in saslauthz would attempt to free a
rwinfo struct that hadn't been allocated.

ITS#9329

ITS#9329 syncrepl: fix regression from ITS#9282

ITS#9324

ITS#9324 syncrepl: don't wait forever in Refresh mode

Just poll for available data, same as Persist mode.
Clarify retry/return states from do_syncrep2

ITS#9318, ITS#9054

ITS#9054, #9318 add new TLS options to slapd bindconf

For use with back-ldap/back-meta/syncrepl/etc

ITS#9318 add TLS_REQSAN option

Add an option to specify how subjectAlternativeNames should be
handled when validating the names in a server certificate.

ITS#9054 Add support for multiple EECDH curves

Requires OpenSSL 1.0.2 or newer

ITS#7595 more for LDAP_OPT_X_TLS_ECNAME

Update ldap_get_option(3) for LDAP_OPT_X_TLS_ECNAME

Return to release-engineering for 2.4.52

OpenLDAP 2.4.51 release

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_4

Release 0.9.26

ITS#9309 fix exit status on prev commit

ITS#9309 test rejection of redundant ppolicy config

ITS#9309

For ITS#9309 fix check for duplicate overlays

and pass error message back to frontend

ITS#9309 don't allow ppolicy to be configured more than once on a backend

ITS#9279 - Add draft for vchu-ldap-pwd-policy

ITS#9263

ITS#7344 fix test064-constraint

Remove bash-isms

Fix previous commit on CHANGES for ITS#9308 to correct location

ITS#9308

ITS#9308 - ensure "i" is initialized

ITS#9279 test Netscape password expiration controls

and do some LDIF cleanup

ITS#9279 Handle Netscape controls in client tools

ITS#9279 Netscape passwordExp controls came from draft-vchu-ldap-pwd-policy

ITS#9279 fix Netscape password_expired control

ITS#9302

ITS#9302 fix pwdFailireTime mutex scope

ITS#9302 ppolicy: avoid pwdFailureTime race condition

ITS#9294, ITS#9295

ITS#9295 use replace on single-valued attrs

For delta-sync as well as regular sync

ITS#9279 Send Netscape expired control as a bare string

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_4

ITS#9278

Merge remote-tracking branch 'origin/mdb.RE/0.9' into OPENLDAP_REL_ENG_2_4

ITS#9262

ITS#9262 check referral

More for ITS#9275 and term cleanup

Issue#9282

ITS#9282 Check entries are covered by new contextCSN before deletion

ITS#9282 Build a complete cookie for the search

ITS#9282 regression test

ITS#9279

Issue#9279 - Add comments with links to upstream docs from Oracle

ITS#9279 Implement Netscape password policy controls in ppolicy

ITS#9279 Expose Netscape password policy controls in libldap

ITS#9287

ITS#9287 use getaddrinfo for ldap_pvt_get_fqdn

If getaddrinfo is available, should use it here

Issue#9289

Issue#9289 - Update URL from DMOZ to Curlie

ITS#9285

ITS#9285 don't hide ppolicy control

ITS#9275 -- Update wording to remove slave and master terms, consolidate on provider/consumer

Silence stupid fallthru warning

ITS#9278 fix robust mutex cleanup for FreeBSD

FreeBSD 11 supports robust process-shared POSIX mutexes,
but requires them to be explicitly destroyed before munmap

Issue#9248

Issue#9248 - Fix default prefix value

ITS#9271

ITS#9271 Document ldap_parse_intermediate

Another typo fix in CHANGES file

Fix minor typo in CHANGES file

ITS#7573

ITS#7573 Fix back-perl dynamic config with threaded slapd

ITS#9227

ITS#9227 fix attr / opattr detection in prev commit

ITS#9227 syncrepl: don't delete non-replicated attrs

add missing line for back_mdb

ITS#8650 is really fixed now...

ITS#8650 - Fix Debug usage to follow RE24 format

Return to RE

Increase timeout for RE24 to 2 hours due to bdb/hdb tests taking so long

Set 2.4.50 release

ITS#9202

ITS#9202 limit depth of nested filters

Using a hardcoded limit for now; no reasonable apps
should ever run into it.

ITS#9230

ITS#9230 - Update man page information on the truncate option for RE24.

ITS#9233, ITS#8575, ITS#9203, ITS#9206

ITS#9203 Remove default values from slapd-pw-argon2.5

The defaults vary by crypto library and possibly even version, so it's
not worth trying to keep them accurate.

ITS#9206 Use argon2id default values explicitly

ITS#9206 Convert libsodium default memlimit to KiB

ITS#9206 Initialize libsodium before calling its functions

ITS#9206 contrib/passwd/argon2: consolidate libsodium implementation

* use 'crypto_pwhash_str_alg(..., crypto_pwhash_ALG_ARGON2ID13)' to set
  the algorithm to Argon2.
  According to libsodium's documentation, the original 'crypto_pwhash_str()'
  only guarantees a "memory-hard, CPU-intensive hash function", but not
  necessarily Argon2.  Although in released versions of libsodium Argon2 is
  the only implemented backend, this may chane in the future.
* multiply the 'memory' parameter by 1024 to align it with the libargon2
  implementation. The objective is to have consistent configuration in
  OpenLDAP's pw-argon2 module no matter what backend implementation is used.

Signed-off-by: Peter Marschall <peter@adpm.de>

ITS#9203 slapd-argon2 -> pw-argon2

Based on initial patch by Peter Marschall.

ITS#9203 contrib/passwd/argon2: add manual page

Add manual page slapd-pw-argon2.5 and make sure it gets installed.

Signed-off-by: Peter Marschall <peter@adpm.de>

ITS#8575 Accept parameters for hashing new passwords

ITS#8575 Add a libsodium based implementation

ITS#8575 Implement argon2 password hashing as a module

This change implements argon2, which won the Password Hashing
Competition (https://password-hashing.net/) as a contrib-module in order
to provide a modern password hashing alternative in openldap. The
currently available password hashing algorithms are relatively old, and
modern hardware, especially GPUs can compute quite a few (ranging from
tens of thousands to millions) of hashes per second. Argon2 was designed
to withstand such attacks.

This implementation uses the default work factors used in the argon2
command line client, but the resulting hashes are stored in a way that
would allow retroactive changes to these values, or even exposing them
as configuration in the module.