ITS#7061 only return requested attrs in sssvlv response

Replaces commit 8eecc9a017584ea0b56b25f0e4750e3b16929de6

ITS#6763,7053

ITS#6763,7053 Cleanup after sending entry/searchref.

slap_send_search_entry(), slap_send_search_reference(): Never skip
the cleanup code.  Sending an entry did on sizeLimitExceeded/busy.
Sending a ref dropped rs_flush_entry() on error.

slaptest checks a configuration, not necessarily slapd.conf

ITS#7066 Reworked fix

Seems simpler this way. No need for a back-config specific
bi_access_allowed() handler.

plugged mem-leak introduced by last commit

more for ITS#7066

Delete non-release file

This ought to have been here a long time ago

ITS#7066

ITS#7066 reworked default deny ACL for cn=config

Dynamically adding ACL for cn=config didn't work correctly, when no
ACLs where present for that database upon startup. Delete the last
ACL from the DB could also lead to unexpected results.

ITS#7059

ITS#7059 replace previous patch

Bug was caused by postalAddressNormalize sending 0-length values
to UTF8StringNormalize.

Fix UTF8StringNormalize overrun on zero-length string

Detected by valgrind

ITS#7006

ITS#7006 fix MozNSS wildcard cert match

ITS#7034

ITS#7034 use mutex for connection handshake when using PEM nss

PEM nss is not thread safe when establishing the initial connection
using SSL_ForceHandshake.  Create a new mutex - tlsm_pem_mutex - to
protect this function call.
The call to SSL_ConfigServerSessionIDCache() is not thread-safe - move it
to the init section and protect it with the init mutex.

ITS#7040

ITS#7040 don't complain about other server's CSNs

Only worry if consumer has newer state for our SID. Fixes breakage
caused by ITS#6606.

ITS#7037

ITS#7037 restart consumer on Persist errors

Consumer should never get NO_SUCH_OBJECT for an Add to the underlying DB
during Persist phase.

ITS#7037 fix syncrepl_add_glue for empty suffix

ITS#7051

ITS#7051 fix GNUtls cert dn parse

ITS#7052

ITS#7052 syncrepl deletes need a non-empty CSN

Must not let the underlying DB generate its own.

back-bdb/back-mdb IDL cleanup.

Parenthesize macros.  Microoptimize IDL search.  Use RANGE_<FIRST/LAST>
when IDL is known to be a range.

Cleanup ISO C compatibility for recent commits

Support single parameter substitution in filter

deltasync test tweaks

Check replication success before stopping consumer.
Set retry/interval to make sure consumer reconnects after provider restart.

Add a few NULL checks to defend against dumb API checkers.

Unfortunately automated checkers don't seem to read the documentation
for how APIs are expected to be used, and the C declaration syntax
isn't expressive enough to encode the documented usage.

ITS#7039

fix uninit'ed vars (ITS#7039)

ITS#6925

silence warning

import ITS#6925 patch; fix peeraddr variable name clash in LDAP_CONNECTIONLESS code; fix scope of addr[] when inet_ntop(3) is used

Fix log parsing, broken by 8d74f71

tests/data/: #bdb,hdb# -> #maindb/indexdb#.

Done for keywords index,limits.  (Also do 'mode' if there were any cases.)
Change generated by:  perl -i -pw0777e '
  INIT { $q=qr/\#(?:[bh]|index|main)db\#/im; $k=qr/(?:index|limits|mode)\b/ }
  0 while s/^$q($k.*\n)((?:$q.*\n)*?)\n?$q\1/\#maindb\#$1$2/imo;
  s/^\#maindb\#index/\#indexdb\#index/igm;
' tests/data/*.* tests/data/regressions/*/*.*

tests: Add $MAINDB, $INDEXDB for [bhn]db tests.

Simplifies tests for the DB storage backends.
Adds indexing etc to ndb in some cases, to match bdb/hdb.
This also fixes some broken back-null/back-ldif settings.

Fix loglevel <integer> to be loglevel <level> to match reality (and olcLogLevel description too!)

Also track skipped (non-executable) tests

Add NOEXIT envvar to run all tests and tally failures

ITS#7035

ITS#7035 don't loop forever in wait4msg

ITS#7073

Relax entry_header, zero-length entries are valid.

Fix moduleload path

ITS#7030

ITS#7030 fix overlay_insert() with specific index

ITS#6983

ITS#6983 fix duplicate entry in HDB subtree IDL

ITS#7014
ITS#7022
ITS#7023
ITS#7028

ITS#7028 man: ldap_sync(3) ldap_sync_destroy type

ITS#7028 man: slapo-unique(5) quoting keywords

ITS#7023 document TLSCACertificateFile in the man page as it is in the Admin Guide

ITS#7022 cleanup prev commit

ITS#7022 NSS_Init* functions are not thread safe

The NSS_InitContext et. al, and their corresponding shutdown functions,
are not thread safe.  There can only be one thread at a time calling
these functions.  Protect the calls with a mutex.  Create the mutex
using a PR_CallOnce to ensure that the mutex is only created once and
not used before created.  Move the registration of the nss shutdown
callback to also use a PR_CallOnce.  Removed the call to
SSL_ClearSessionCache() because it is always called at shutdown, and we must
not call it more than once.

ITS#7014 TLS: don't check hostname if reqcert is 'allow'

If server certificate hostname does not match the server hostname,
connection is closed even if client has set TLS_REQCERT to 'allow'. This
is wrong - the documentation says, that bad certificates are being
ignored when TLS_REQCERT is set to 'allow'.

More abandon paranoia

Don't replicate refint repair ops

error messages from ldapsearch changed

further cleanup of ldapsearch response

referral is a legitimate result

make sure size limits are passed to ldapsearch

ITS#7021

add notes about pwdAllowUserChange (more about ITS#7021)

according to draft-behera, this attribute only affects password modifies by self (ITS#7021)

For #6982 fix a66fb16

ITS#7017

fix TTL tolerance (ITS#7017, patch by jvcelak@redhat.com)

ITS#7016

make sure frontend gets the {-1} (ITS#7016)

hack for #6982 - keep o_abandon set in op_free

Revert "More for ITS#6892"

This reverts commit 3cb2ca8bbd1ec8da8f27a608deefc7a2d45aa538.
Patch has no benefit

ITS#6892 again

More for ITS#6892

ITS#7018

host part of unique URI must be empty (ITS#7018)

ITS#7015

cleanup slapd.ldif; install it (ITS#7015)

typo in comment

use ldap_search_ext(timelimit) instead of ldap_set_option(LDAP_OPT_TIMELIMIT) (related to ITS#7009)

ITS#7009

honor TIMEOUT when appropriate (ITS#7009); also honor timelimit (was broken)

ITS#7012

make sure 2-arg statements have exactly 2 args (related to ITS#7012)

TLS config statements always need an argument (related to ITS#7012)

ITS#6999

ITS#6999 fix syncrepl timeout in refreshAndPersist

ITS#7001
ITS#7002

ITS#7002 MozNSS: fix VerifyCert allow/try behavior

If the olcTLSVerifyClient is set to a value other than "never", the server
should request that the client send a client certificate for possible use
with client cert auth (e.g. SASL/EXTERNAL).
If set to "allow", if the client sends a cert, and there are problems with
it, the server will warn about problems, but will allow the SSL session to
proceed without a client cert.
If set to "try", if the client sends a cert, and there are problems with
it, the server will warn about those problems, and shutdown the SSL session.
If set to "demand" or "hard", the client must send a cert, and the server
will shutdown the SSL session if there are problems.
I added a new member of the tlsm context structure - tc_warn_only - if this
is set, tlsm_verify_cert will only warn about errors, and only if TRACE
level debug is set.  This allows the server to warn but allow bad certs
if "allow" is set, and warn and fail if "try" is set.

ITS#7001 MozNSS: free the return of tlsm_find_and_verify_cert_key

If tlsm_find_and_verify_cert_key finds the cert and/or key, and it fails
to verify them, it will leave them allocated for the caller to dispose of.
There were a couple of places that were not disposing of the cert and key
upon error.

ITS#7000

ITS#7000 fix bad patch in ITS#6472

ITS#6992,ITS#6998,ITS#7003

ITS#7003 fix typo

ITS#6998 MozNSS: when cert not required, ignore issuer expiration

When server certificate is not required in a TLS session (e.g.
TLS_REQCERT is set to 'never'), ignore expired issuer certificate error
and do not terminate the connection.

blind fix build on solaris native compilers (ITS#6992)

Only return requested attrs in sssvlv response

ITS#6985 fix sssvlv target offset, ordering match