index-files-created-as-root

Document in the man page that slapindex should be run as the same user
as slapd, and print a warning if it's run as root (since Debian defaults
to running slapd as openldap).

Not suitable for upstream in this form.  This patch needs to be reworked
to check the BerkeleyDB database ownership and only warn if running as
root with a database that's not owned by root.

Upstream ITS #5356 filed requesting better handling of this.  Current
upstream discussion leans towards putting the check into the database
backend and aborting if slapd is run as a different user than the database
owner, which is an even better fix.

Gbp-Pq: Name index-files-created-as-root

wrong-database-location

Move the default slapd database location to /var/lib/ldap instead of
/var/openldap-data.

Debian-specific.

Gbp-Pq: Name wrong-database-location

ldapi-socket-place

Move the ldapi socket to /var/run/slapd from /var/run, since /var/run
is only writable by root and slapd runs as openldap.

Debian-specific.

Gbp-Pq: Name ldapi-socket-place

slapi-errorlog-file

The slapi error log file defaults to /var/errors given our setting
of --localstatedir.  Move it to /var/log/slapi-errors instead.

Debian-specific.

Gbp-Pq: Name slapi-errorlog-file

evolution-ntlm

Patch from evolution-exchange (2.10.3).  The ldap_ntlm_bind function is
actually called by evolution-data-server, checked at version 1.12.2.
Without this patch, the Exchange addressbook integration uses simple binds
with cleartext passwords.

Russ checked with openldap-software for upstream's opinion on this patch
on 2007-12-21.  Upstream had never received it as a patch submission and
given that it's apparently only for older Exchange servers that can't do
SASL and DIGEST-MD5, it's not very appealing.

Bug#457374 filed against evolution-data-server asking if this support is
still required on 2007-12-21.

Gbp-Pq: Name evolution-ntlm

man-slapd

Patch the slapd man page to not refer to a header file that isn't
installed with the slapd package and to reference the correct path
for slapd.

Debian-specific.

Gbp-Pq: Name man-slapd

openldap (2.4.44+dfsg-1) unstable; urgency=medium

  [ Ryan Tandy ]
  * New upstream release.
    - Fixed ppolicy not unlocking policy entry after initialization failure
      (ITS#7537) (Closes: #702414)
  * Drop ITS8240-remove-obsolete-assert.patch, included upstream.
  * Update debian/schema/ppolicy.schema to add the pwdMaxRecordedFailure
    attribute.
  * Update libldap-2.4-2.symbols with new ldap_build_*_req symbols.
  * Mark the build target in debian/rules as phony, since the upstream source
    includes a build/ directory.
  * Correct the list of files to be cleaned for the pw-sha2 contrib module.
  * Fix a typo (slpad -> slapd) in the Catalan debconf translation.
  * Disable OpenSLP support and remove libslp-dev from Build-Depends.
    (Closes: #815364)
  * Ensure /var/run/slapd exists when starting slapd, even if the pid file is
    somewhere else. Thanks to Dave Beach for the report. (Closes: #815571)
  * Create the pidfile directory when starting slapd, but not when running the
    init script in other modes.
  * Remove support for enabling the obsolete LDAPv2 protocol via debconf.
  * debian/copyright: Update the OpenLDAP copyright and license.
  * debian/control: Update VCS URIs to the modern canonical form.
  * Override Lintian errors about schema files derived from RFC documents.
    Copyrightable content has been removed from these files; however, the
    copyright notices have been retained to preserve attribution.
  * On upgrade, if the cn=config database contains the ppolicy schema, add the
    new pwdMaxRecordedFailure attribute to it.
  * Add debian/patches/set-maintainer-name to omit the builder's username and
    working directory from version strings and thereby make the build
    reproducible. Thanks to Daniel Shahaf for the patch. (Closes: #833179)
  * Build smbk5pwd without Kerberos support and drop the build-dependency on
    heimdal. (Closes: #836885)
  * On upgrade, comment the krb5 setting on any instances of the smbk5pwd
    overlay in slapd.conf. Require cn=config users to disable krb5 manually
    before upgrading.

  [ Helmut Grohne ]
  * Fix policy 8.2 violation (Closes: #330695)
    + Move /etc/ldap/ldap.conf and manpage to new package libldap-common.

[dgit import unpatched openldap 2.4.44+dfsg-1]

Import openldap_2.4.44+dfsg.orig.tar.gz

[dgit import orig openldap_2.4.44+dfsg.orig.tar.gz]

Import openldap_2.4.44+dfsg-1.debian.tar.xz

[dgit import tarball openldap 2.4.44+dfsg-1 openldap_2.4.44+dfsg-1.debian.tar.xz]