Merge openldap (2.4.44+dfsg-2+rpi1) import into refs/heads/workingbranch

Merge openldap (2.4.44+dfsg-2) import into refs/heads/workingbranch

Merge openldap (2.4.44+dfsg-1) import into refs/heads/workingbranch

Merge openldap (2.4.42+dfsg-2) import into refs/heads/workingbranch

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

ITS6035-olcauthzregex-needs-restart

Gbp-Pq: Name ITS6035-olcauthzregex-needs-restart.patch

no-bdb-ABI-second-guessing

Gbp-Pq: Name no-bdb-ABI-second-guessing

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

no-AM_INIT_AUTOMAKE

Gbp-Pq: Name no-AM_INIT_AUTOMAKE

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

pw-sha2-makefile

Gbp-Pq: Name pw-sha2-makefile

lastbind-makefile-manpage

Gbp-Pq: Name lastbind-makefile-manpage

lastbind-makefile

Gbp-Pq: Name lastbind-makefile

autogroup-makefile

Gbp-Pq: Name autogroup-makefile

contrib/smbk5pwd: add man page, install it too

Add a manual page slapo-smbk5pwd.5 and update smbk5pwd's Makefile to
install the new manual page.

This patch is derived from the corresponding patch upstreamed in ITS#8205

Gbp-Pq: Name smbk5pwd-makefile-manpage

smbk5pwd-makefile

Gbp-Pq: Name smbk5pwd-makefile

contrib-modules-use-dpkg-buildflags

Gbp-Pq: Name contrib-modules-use-dpkg-buildflags

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

libldap-symbol-versions

Add symbol versioning to the public LDAP libraries.  This is required for
library transitions, such as the current transition from 2.1 to 2.4,
since programs will sometimes have both libraries loaded by different
dependency chains during the transition.

Not yet contributed upstream.

Upstream ITS #5365 filed requesting symbol versioning for libldap and
libber.

Gbp-Pq: Name libldap-symbol-versions

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

evolution-ntlm

Patch from evolution-exchange (2.10.3).  The ldap_ntlm_bind function is
actually called by evolution-data-server, checked at version 1.12.2.
Without this patch, the Exchange addressbook integration uses simple binds
with cleartext passwords.

Russ checked with openldap-software for upstream's opinion on this patch
on 2007-12-21.  Upstream had never received it as a patch submission and
given that it's apparently only for older Exchange servers that can't do
SASL and DIGEST-MD5, it's not very appealing.

Bug#457374 filed against evolution-data-server asking if this support is
still required on 2007-12-21.

Gbp-Pq: Name evolution-ntlm

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

openldap (2.4.44+dfsg-2+rpi1) stretch-staging; urgency=medium

  [changes brought forward from 2.4.42+dfsg-1+rpi1 by Peter Michael Green <plugwash@raspbian.org> at Mon, 31 Aug 2015 16:17:47 +0000]
  * Disable testsuite.

[dgit import unpatched openldap 2.4.44+dfsg-2+rpi1]

Import openldap_2.4.44+dfsg-2+rpi1.debian.tar.xz

[dgit import tarball openldap 2.4.44+dfsg-2+rpi1 openldap_2.4.44+dfsg-2+rpi1.debian.tar.xz]

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

ITS6035-olcauthzregex-needs-restart

Gbp-Pq: Name ITS6035-olcauthzregex-needs-restart.patch

no-bdb-ABI-second-guessing

Gbp-Pq: Name no-bdb-ABI-second-guessing

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

no-AM_INIT_AUTOMAKE

Gbp-Pq: Name no-AM_INIT_AUTOMAKE

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

pw-sha2-makefile

Gbp-Pq: Name pw-sha2-makefile

lastbind-makefile-manpage

Gbp-Pq: Name lastbind-makefile-manpage

lastbind-makefile

Gbp-Pq: Name lastbind-makefile

autogroup-makefile

Gbp-Pq: Name autogroup-makefile

contrib/smbk5pwd: add man page, install it too

Add a manual page slapo-smbk5pwd.5 and update smbk5pwd's Makefile to
install the new manual page.

This patch is derived from the corresponding patch upstreamed in ITS#8205

Gbp-Pq: Name smbk5pwd-makefile-manpage

smbk5pwd-makefile

Gbp-Pq: Name smbk5pwd-makefile

contrib-modules-use-dpkg-buildflags

Gbp-Pq: Name contrib-modules-use-dpkg-buildflags

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

libldap-symbol-versions

Add symbol versioning to the public LDAP libraries.  This is required for
library transitions, such as the current transition from 2.1 to 2.4,
since programs will sometimes have both libraries loaded by different
dependency chains during the transition.

Not yet contributed upstream.

Upstream ITS #5365 filed requesting symbol versioning for libldap and
libber.

Gbp-Pq: Name libldap-symbol-versions

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

evolution-ntlm

Patch from evolution-exchange (2.10.3).  The ldap_ntlm_bind function is
actually called by evolution-data-server, checked at version 1.12.2.
Without this patch, the Exchange addressbook integration uses simple binds
with cleartext passwords.

Russ checked with openldap-software for upstream's opinion on this patch
on 2007-12-21.  Upstream had never received it as a patch submission and
given that it's apparently only for older Exchange servers that can't do
SASL and DIGEST-MD5, it's not very appealing.

Bug#457374 filed against evolution-data-server asking if this support is
still required on 2007-12-21.

Gbp-Pq: Name evolution-ntlm

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

openldap (2.4.44+dfsg-2) unstable; urgency=medium

  [ Ryan Tandy ]
  * Update Standards-Version to 3.9.8; no changes required.
  * Enable dh_makeshlibs for libldap-2.4-2. Remove libldap-2.4-2.postinst, now
    replaced by the automatic ldconfig trigger.
  * Don't execute slapd's override_dh_install when building only
    arch-independent packages. (Closes: #845506)
  * Override lintian false positives on slapd.README.Debian,
    slapd-smbk5pwd.postinst, and slapd-smbk5pwd triggering ldconfig.
  * Perform permissions changes in override_dh_fixperms instead of in
    override_dh_install.
  * Remove manual chmod of schema files since dh_fixperms sets correct
    permissions automatically.
  * Fix slapd-smbk5pwd failing to upgrade when there are no instances of the
    overlay configured.

  [ Helmut Grohne ]
  * Fix FTCBFS: Pass CC to make explicitly. (Closes: #839251)

[dgit import unpatched openldap 2.4.44+dfsg-2]

Import openldap_2.4.44+dfsg-2.debian.tar.xz

[dgit import tarball openldap 2.4.44+dfsg-2 openldap_2.4.44+dfsg-2.debian.tar.xz]

set-maintainer-name

Gbp-Pq: Name set-maintainer-name

Import openldap_2.4.44+dfsg.orig.tar.gz

[dgit import orig openldap_2.4.44+dfsg.orig.tar.gz]

ITS6035-olcauthzregex-needs-restart

Gbp-Pq: Name ITS6035-olcauthzregex-needs-restart.patch

no-bdb-ABI-second-guessing

Gbp-Pq: Name no-bdb-ABI-second-guessing

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

no-AM_INIT_AUTOMAKE

Gbp-Pq: Name no-AM_INIT_AUTOMAKE

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

pw-sha2-makefile

Gbp-Pq: Name pw-sha2-makefile

lastbind-makefile-manpage

Gbp-Pq: Name lastbind-makefile-manpage

lastbind-makefile

Gbp-Pq: Name lastbind-makefile

autogroup-makefile

Gbp-Pq: Name autogroup-makefile

contrib/smbk5pwd: add man page, install it too

Add a manual page slapo-smbk5pwd.5 and update smbk5pwd's Makefile to
install the new manual page.

This patch is derived from the corresponding patch upstreamed in ITS#8205

Gbp-Pq: Name smbk5pwd-makefile-manpage

smbk5pwd-makefile

Gbp-Pq: Name smbk5pwd-makefile

contrib-modules-use-dpkg-buildflags

Gbp-Pq: Name contrib-modules-use-dpkg-buildflags

do-not-second-guess-sonames

Rip out code that second-guesses the libsasl soname / Debian shlibs.  If
cyrus sasl upstream is breaking the ABI, this needs to be fixed upstream
there, not kludged around upstream here!

Debian bug #546885

Upstream ITS #6302 filed.

Gbp-Pq: Name do-not-second-guess-sonames

getaddrinfo-is-threadsafe

OpenLDAP upstream conservatively assumes that certain resolver functions
(getaddrinfo, getnameinfo, res_query, dn_expand) are not re-entrant; but we
know that the glibc implementations of these functions are thread-safe, so
we should bypass the use of this mutex.  This fixes a locking problem when
an application uses libldap and libnss-ldap is also used for hosts
resolution.

Closes Debian bug #340601.

Not suitable for forwarding upstream; might be made suitable by adding a
configure-time check for glibc and disabling the mutex only on known
thread-safe implementations.

Gbp-Pq: Name getaddrinfo-is-threadsafe

libldap-symbol-versions

Add symbol versioning to the public LDAP libraries.  This is required for
library transitions, such as the current transition from 2.1 to 2.4,
since programs will sometimes have both libraries loaded by different
dependency chains during the transition.

Not yet contributed upstream.

Upstream ITS #5365 filed requesting symbol versioning for libldap and
libber.

Gbp-Pq: Name libldap-symbol-versions

sasl-default-path

Add /etc/ldap/sasl2 to the SASL configuration search path.

Not submitted upstream.  Somewhat Debian-specific and probably not of
interest upstream.

Gbp-Pq: Name sasl-default-path

index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

evolution-ntlm

Patch from evolution-exchange (2.10.3).  The ldap_ntlm_bind function is
actually called by evolution-data-server, checked at version 1.12.2.
Without this patch, the Exchange addressbook integration uses simple binds
with cleartext passwords.

Russ checked with openldap-software for upstream's opinion on this patch
on 2007-12-21.  Upstream had never received it as a patch submission and
given that it's apparently only for older Exchange servers that can't do
SASL and DIGEST-MD5, it's not very appealing.

Bug#457374 filed against evolution-data-server asking if this support is
still required on 2007-12-21.

Gbp-Pq: Name evolution-ntlm

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

openldap (2.4.44+dfsg-1) unstable; urgency=medium

  [ Ryan Tandy ]
  * New upstream release.
    - Fixed ppolicy not unlocking policy entry after initialization failure
      (ITS#7537) (Closes: #702414)
  * Drop ITS8240-remove-obsolete-assert.patch, included upstream.
  * Update debian/schema/ppolicy.schema to add the pwdMaxRecordedFailure
    attribute.
  * Update libldap-2.4-2.symbols with new ldap_build_*_req symbols.
  * Mark the build target in debian/rules as phony, since the upstream source
    includes a build/ directory.
  * Correct the list of files to be cleaned for the pw-sha2 contrib module.
  * Fix a typo (slpad -> slapd) in the Catalan debconf translation.
  * Disable OpenSLP support and remove libslp-dev from Build-Depends.
    (Closes: #815364)
  * Ensure /var/run/slapd exists when starting slapd, even if the pid file is
    somewhere else. Thanks to Dave Beach for the report. (Closes: #815571)
  * Create the pidfile directory when starting slapd, but not when running the
    init script in other modes.
  * Remove support for enabling the obsolete LDAPv2 protocol via debconf.
  * debian/copyright: Update the OpenLDAP copyright and license.
  * debian/control: Update VCS URIs to the modern canonical form.
  * Override Lintian errors about schema files derived from RFC documents.
    Copyrightable content has been removed from these files; however, the
    copyright notices have been retained to preserve attribution.
  * On upgrade, if the cn=config database contains the ppolicy schema, add the
    new pwdMaxRecordedFailure attribute to it.
  * Add debian/patches/set-maintainer-name to omit the builder's username and
    working directory from version strings and thereby make the build
    reproducible. Thanks to Daniel Shahaf for the patch. (Closes: #833179)
  * Build smbk5pwd without Kerberos support and drop the build-dependency on
    heimdal. (Closes: #836885)
  * On upgrade, comment the krb5 setting on any instances of the smbk5pwd
    overlay in slapd.conf. Require cn=config users to disable krb5 manually
    before upgrading.

  [ Helmut Grohne ]
  * Fix policy 8.2 violation (Closes: #330695)
    + Move /etc/ldap/ldap.conf and manpage to new package libldap-common.

[dgit import unpatched openldap 2.4.44+dfsg-1]

Import openldap_2.4.44+dfsg-1.debian.tar.xz

[dgit import tarball openldap 2.4.44+dfsg-1 openldap_2.4.44+dfsg-1.debian.tar.xz]

ITS#8240 remove obsolete assert

Gbp-Pq: Name ITS8240-remove-obsolete-assert.patch

ITS6035-olcauthzregex-needs-restart

Gbp-Pq: Name ITS6035-olcauthzregex-needs-restart.patch

heimdal-fix

Gbp-Pq: Name heimdal-fix

no-bdb-ABI-second-guessing

Gbp-Pq: Name no-bdb-ABI-second-guessing

Switch to lt_dlopenadvise() so back_perl can be opened with RTLD_GLOBAL. Open all modules with RTLD_GLOBAL, needed so that back_perl can load non-trivial Perl extensions that require symbols from back_perl.so itself.

Gbp-Pq: Name switch-to-lt_dlopenadvise-to-get-RTLD_GLOBAL-set.diff

no-AM_INIT_AUTOMAKE

Gbp-Pq: Name no-AM_INIT_AUTOMAKE

fix-build-top-mk

Gbp-Pq: Name fix-build-top-mk

add-tlscacert-option-to-ldap-conf

Gbp-Pq: Name add-tlscacert-option-to-ldap-conf

ldap-conf-tls-cacertdir

Gbp-Pq: Name ldap-conf-tls-cacertdir

pw-sha2-makefile

Gbp-Pq: Name pw-sha2-makefile

lastbind-makefile-manpage

Gbp-Pq: Name lastbind-makefile-manpage

lastbind-makefile

Gbp-Pq: Name lastbind-makefile

autogroup-makefile

Gbp-Pq: Name autogroup-makefile

contrib/smbk5pwd: add man page, install it too

Add a manual page slapo-smbk5pwd.5 and update smbk5pwd's Makefile to
install the new manual page.

This patch is derived from the corresponding patch upstreamed in ITS#8205

Gbp-Pq: Name smbk5pwd-makefile-manpage