ACL CHANGES:
  by <who> <access> changed to by <who>+ <access> (joined with AND)
  added peername=<regex> sockname=<regex> url=<regex>
  removed addr=<regex> (use peername instead).
replace dn_upcase with str2upper and str2lower.  Use where needed.

Unhex url extensions.

Partial support for a new option to help debug TLS connections,
not yet user-settable.  Defaults "on" for now.
Partial support for temporary RSA keys, skeleton for DH.
Add call to X509V3_add_standard_extensions() on init, mod_ssl
does this too, but I am unsure about what it does.
Move management of client CA certificates to a new routine, since
it is going to get more complex than the current code.

ITS#180: add note about server-side maximal size/time limits.

Import date parser from libldap

Fix misplaced paragraph tag

set tls_port to zero if !defined(HAVE_TLS) to satisfy assert in slapd_daemon_init

Backout the input exhaustion change, it loops.  Still looking for
the right way.

use rd instead of i looking for listeners (line 848)

Some content for tls_verify_cb where parts of our policy should
be implemented.

The rest of this change mostly contains random ideas taken from
mod_ssl.  The purpose is to get the repository in sync with the
code I am testing.  I still can't manage to make Netscape send
its certificate to slapd, though it works with Apache/mod_ssl
(with the same certificates).  Trying s_client against both
does not shed any light.  If anyone manages to make it work,
please let us know.

Add support for TLSVerifyClient.

Move the input data exhaustion loop to connection.c from daemon.c

Move the input data exhaustion loop to connection.c from daemon.c
Let transport (TLS or somesuch) force reading or writing on
sockets even if the higher layers think otherwise.

If we did gethostbyname, we need no further address manipulation.

We were freeing lud_dn when when lud_host was meant, leading to
arena corruption.

Don't call Debug inside a signal handler

Add -mthreads for AIX gcc.

Rebuild configure using:
latest autoconf (from AnonCVS)
aclocal from latest automake (from AnonCVS)
libtool 1.3.3

Update slapd(8) with new -h option.

s/struct entry/Entry/

s/backend_db/slap_backend_db/

Fix new URL startup code.

Update LDAP_URL_ERR_ handling.

Namespace changes
  added slap_ and ldbm_ to many structures
  added typedefs to many structures
  used typedefs
New main.c argument parsing with ldap url support (replacing -a address).
New sockaddr_in handling and support for multiple listeners.

Implement RFC2255 URL format.

s/time(0)/time(NULL)/

Updates from libtool 1.3.3

Replace install-sh with Autoconf 2.13 distributed version (from MIT).

Versions from Autoconf CVS repository (stable branch).

Replace config.guess/.sub with versions from Autoconf 2.13.

make ldap.ld_lberoptions unsigned, like berelement.ber_options

Introduce got_<gid,uid> (the r1.4 change misbehaved with -user <root>).
Also free <user> in !HAVE_GETPWUID case.

Import patches mistakenly applied to OPENLDAP_DEVEL_REFERRALS.
ldap_modify: delete of last attribute value should delete attribute (ITS#229)
thr_nt: use sleep to yield

fix substring_comp_candidates logic if intersection of candidates
is ever empty.  See ITS#228.

(re)introduce o_connid such that STATS doesn't need c_mutex (which it
didn't bother to acquire)...

Document -T and -P

Document a few TLS options that do something.

Add comment that socklen_t should be used

Add comment thatPass socklen_t* instead of int* to getsockopt, accept, getpeername, recvfrom

Look on connection_read() if it returns positive so it has a chance
to exhaust all protocol units received from the transport layer.
I think this is the necessary fix for the TLS-data-ready/
socket-not-ready issue, but I have not experimented that problem
yet, so I am unsure about its effectiveness.
Now, do we need something like that for connection_write?  How would
we go about implementing it?

Clear c_needs_tls_acccept on ldap_pvt_tls_accept errors

Pass socklen_t* instead of int* to getsockopt, accept, getpeername, recvfrom

Fix typo in last commit.

Don't use non-portable "ln -s -f".

Move calls to ldap_pvt_tls_accept to connection_read instead of
connection_init so that we get into the select() logic.
Make use of new flags in the connection.
BTW, and before I forget, it sort of works.  I have connected with
a Netscape client using a secure connection and did a failed
search (my test database is empty), but the trace looked correct.
Make sure you have your CA certificate in your Netscape preinstalled.
Otherwise, the connection fails with error 0xFFFFFFFF that is rather
uninformative.

We were not remembering the allocated SSL thing in the Sockbuf.
Set flags without relying on errno (this change may be gratuitous
or wrong).

Two new flags in Connection.  One to indicate that it is a raw TLS
section (that is, not SASL).  The second to indicate that we need to
do SSL_accept on this connection.

Fix syntax oid for type 2.16.840.1.113730.3.1.34 (ref)

Definitely, 'dn' and 'distinguishedName' are different things.  The
former is a pseudo attribute type used internally by slapd to represent
the distinguished name of an entry and its existance should not be
visible.  The latter is an "abstract" attribute type that is not meant
to exist in practice except as supertype of other dn-valued types.
So, the definition of attribute type 2.5.4.49 has been changed to be
just distinguishedName.  Work on the OPENLDAP_DEVEL_SCHEMA branch will
treat pseudo attributes especially and will not be visible to the
clients.

We should stop using SSL to refer to TLS.  This is a first step.

Add use ldap_*_ext() routines in clients project.
Remove server side controls.
Add Digest-MD5 project.

Import experimental referral implementation from OPENLDAP_DEVEL_REFERRALS.
Includes support for update referral for each replicated backend.
Reworked replication test to use update referral.
Includes major rewrite of response encoding codes (result.c).
Includes reworked alias support and eliminates old suffix alias codes
(can be emulated using named alias).
Includes (untested) support for the Manage DSA IT control.
Works in LDAPv2 world.  Still testing in LDAPv3 world.
Added default referral (test009) test.

Backend lock wasn't being released properly.

Initialize the TLS environment *after* reading the config files.

Parse more TLS options in slapd.conf

Set ciphers from slapd.conf.
More error checking and reporting.
Slowly getting there, SSL_accept succeeds now, but connection breaks
immediately after that (my glue logic with slapd is broken).

More options for TLS

Add missing arg to Debug macro call

A couple of options for TLS configuration.  Still a conflict here,
the default context is initialized before the config file is read,
so the locations are not know at context initialization.

New routine tls_report_error to analyze errors from OpenSSL
Change temporarily the default protocol from TLSv1 to SSLv3 with
fallback to SSLv2.  This seems necessary for slapd to accept connections
from Netscape.
Try to set the cipher list in the default context.  Does not semm to
work yet.

Remove duplicate 'static'

fix typo in rm command

Get rid of two compilation warnings.  One is thought to be properly
taken care of.  The second, however, on remove_old_locks is unclear.

Parsing of flag -T was falling through to the default case.
Init the TLS environment if necessary.  Lots of things needed here,
in particular, preparing properly the default context.

connection_init now takes one more argument that indicates whether to
use TLS right away or not on that connection.

Update configure due to Hallvard's openldap.m4 change

Match xrpcomp change in devel

Only bind on TLS port if explicitly requested with -T, otherwise all
kind of conflicts happen when running tests.

Bind and listen on TLS port too

Extend slapd_args with TLS info

Define LDAP_TLS_PORT as 636, the default port for LDAP over raw TLS

Fix typo in socklen_t comment (signal.h -> sys/types.h and sys/socket.h)

Fix detection of socklen_t
Rebuild configure to reflect that

Newer versions of OpenSSL install headers in $prefix/include/openssl...

Deal with sb_trans_needs_read and sb_trans_needs_write

Add a couple of control flags to sockbufs and macros to test them.

Get and set TLS options

Rebuild configure with TLS changes

First version with TLS.  Untested.

First version with TLS. Untested.

Options for TLS

Add tls.c
Add use of TLS_LIBS so that test tools compile

Add tls.c
Add use of TLS_LIBS so that test tools compile

Add option definitions for TLS

Use $(TLS_LIBS)

Pass TLS_LIBS to the Makefile's.

Our check for SSLeay_add_ssl_algorithms fails with modern versions of
OpenSSL since it has been made a preprocessor macro.  Please review
this change to do the right thing w.r.t. rsaref.

Include $(TLS_LIBS)

Include TLS_LIBS

First version of TLS glue for SSLeay/OpenSSL originally written by
Bart Hartgers.  Untested.

Add configure support for 'socklen_t' as provided by Hallvard.

Support old c_plusplus...

Use assert instead of private Assert macro

Eliminate htonl(unsigned_long_arg), which is wrong on 64-bit OSF1/alpha

Fix debug message.

Fix LDAP_CONST->const in explode_name(), it failed when LDAP_CONST was empty.

Fix LDAP_CONNECTIONLESS code rot

Fix NULLxxx -> NULL

Forced commit to correct previous log, files were not changed:

Create ldap_int_tblsize and ldap_int_ip_init().
Initialize from ldap_int_initialize().

ldap-int.h