The Identity, Policy and Audit system
CentOS Sources
2016-11-03 21794d962b6b1bac5acfb825e6e35454eeb4d1bc
commit | author | age
e3ffab 1 # Define ONLY_CLIENT to only make the ipa-admintools, ipa-client and ipa-python
CS 2 # subpackages
99b6f7 3 %{!?ONLY_CLIENT:%global ONLY_CLIENT 0}
CB 4
403b09 5 %if 0%{?rhel}
CS 6 %global with_python3 0
7 %else
8 %global with_python3 1
9 %endif
10
e3ffab 11 # RHEL spec file only: START
99b6f7 12 %ifarch x86_64 %{ix86}
CB 13 # Nothing, we want to force just building client on non-Intel
14 %else
15 %global ONLY_CLIENT 1
16 %endif
403b09 17 %global VERSION 4.4.0
e3ffab 18 # RHEL spec file only: END
99b6f7 19
e3ffab 20 %global alt_name freeipa
CS 21 %if 0%{?rhel}
d73e7d 22 %global samba_version 4.2.10-1
403b09 23 %global selinux_policy_version 3.13.1-70
CS 24 %global slapi_nis_version 0.56.0-4
e3ffab 25 %else
403b09 26 %global samba_version 2:4.0.5-1
CS 27 %global selinux_policy_version 3.13.1-158.4
28 %global slapi_nis_version 0.56.1
9991ea 29 %endif
CB 30
590d18 31 %define krb5_base_version %(LC_ALL=C rpm -q --qf '%%{VERSION}' krb5-devel | grep -Eo '^[^.]+\.[^.]+')
CS 32
e3ffab 33 %global plugin_dir %{_libdir}/dirsrv/plugins
590d18 34 %global etc_systemd_dir %{_sysconfdir}/systemd/system
e3ffab 35 %global gettext_domain ipa
CS 36 %if 0%{?rhel}
37 %global platform_module rhel
38 %else
39 %global platform_module fedora
40 %endif
41
42 %define _hardened_build 1
43
99b6f7 44 Name:           ipa
403b09 45 Version:        4.4.0
CS 46 Release:        12%{?dist}
99b6f7 47 Summary:        The Identity, Policy and Audit system
CB 48
49 Group:          System Environment/Base
50 License:        GPLv3+
51 URL:            http://www.freeipa.org/
52 Source0:        http://www.freeipa.org/downloads/src/freeipa-%{VERSION}.tar.gz
e3ffab 53 # RHEL spec file only: START: Change branding to IPA and Identity-Management
21794d 54 #Source1:        header-logo.png
CS 55 #Source2:        login-screen-background.jpg
56 #Source3:        login-screen-logo.png
57 #Source4:        product-name.png
e3ffab 58 # RHEL spec file only: END: Change branding to IPA and Identity-Management
99b6f7 59 BuildRoot:      %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
CB 60
e3ffab 61 # RHEL spec file only: START
403b09 62 Patch0001:      0001-Fix-incorrect-check-for-principal-type-when-evaluati.patch
CS 63 Patch0002:      0002-uninstall-untrack-lightweight-CA-certs.patch
64 Patch0003:      0003-ipa-nis-manage-Use-server-API-to-retrieve-plugin-sta.patch
65 Patch0004:      0004-ipa-compat-manage-use-server-API-to-retrieve-plugin-.patch
66 Patch0005:      0005-ipa-advise-correct-handling-of-plugin-namespace-iter.patch
67 Patch0006:      0006-kdb-check-for-local-realm-in-enterprise-principals.patch
68 Patch0007:      0007-Enable-vault-commands-on-client.patch
69 Patch0008:      0008-vault-add-set-the-default-vault-type-on-the-client-s.patch
70 Patch0009:      0009-caacl-expand-plugin-documentation.patch
71 Patch0010:      0010-host-find-do-not-show-SSH-key-by-default.patch
72 Patch0011:      0011-Removed-unused-method-parameter-from-migrate-ds.patch
73 Patch0012:      0012-Preserve-user-principal-aliases-during-rename-operat.patch
74 Patch0013:      0013-messages-specify-message-type-for-ResultFormattingEr.patch
75 Patch0014:      0014-schema-Fix-subtopic-topic-mapping.patch
76 Patch0015:      0015-DNS-install-Ensure-that-DNS-servers-container-exists.patch
77 Patch0016:      0016-Heap-corruption-in-ipapwd-plugin.patch
78 Patch0017:      0017-Use-server-API-in-com.redhat.idm.trust-fetch-domains.patch
79 Patch0018:      0018-frontend-copy-command-arguments-to-output-params-on-.patch
80 Patch0019:      0019-Show-full-error-message-for-selinuxusermap-add-hostg.patch
81 Patch0020:      0020-allow-value-output-param-in-commands-without-primary.patch
82 Patch0021:      0021-server-uninstall-fails-to-remove-krb-principals.patch
83 Patch0022:      0022-expose-secret-option-in-radiusproxy-commands.patch
84 Patch0023:      0023-prevent-search-for-RADIUS-proxy-servers-by-secret.patch
85 Patch0024:      0024-trust-add-handle-all-raw-options-properly.patch
86 Patch0025:      0025-unite-log-file-name-of-ipa-ca-install.patch
87 Patch0026:      0026-Host-del-fix-behavior-of-updatedns-and-PTR-records.patch
88 Patch0027:      0027-help-Add-dnsserver-commands-to-help-topic-dns.patch
89 Patch0028:      0028-DNS-Locations-fix-update-system-records-unpacking-er.patch
90 Patch0029:      0029-Fix-session-cookies.patch
91 Patch0030:      0030-Use-copy-when-replacing-files-to-keep-SELinux-contex.patch
92 Patch0031:      0031-baseldap-Fix-MidairCollision-instantiation-during-en.patch
93 Patch0032:      0032-Create-indexes-for-krbCanonicalName-attribute.patch
94 Patch0033:      0033-harden-the-check-for-trust-namespace-overlap-in-new-.patch
95 Patch0034:      0034-Revert-Enable-vault-commands-on-client.patch
96 Patch0035:      0035-client-fix-hiding-of-commands-which-lack-server-supp.patch
97 Patch0036:      0036-Minor-fix-in-ipa-replica-manage-MAN-page.patch
98 Patch0037:      0037-compat-fix-ping-call.patch
99 Patch0038:      0038-replica-install-Fix-domain.patch
100 Patch0039:      0039-idrange-fix-unassigned-global-variable.patch
101 Patch0040:      0040-re-set-canonical-principal-name-on-migrated-users.patch
102 Patch0041:      0041-Do-not-initialize-API-in-ipa-client-automount-uninst.patch
103 Patch0042:      0042-Correct-path-to-HTTPD-s-systemd-service-directory.patch
104 Patch0043:      0043-vault-Catch-correct-exception-in-decrypt.patch
105 Patch0044:      0044-Increase-default-length-of-auto-generated-passwords.patch
106 Patch0045:      0045-vault-add-missing-salt-option-to-vault_mod.patch
107 Patch0046:      0046-Fix-ipa-hbactest-output.patch
108 Patch0047:      0047-install-fix-external-CA-cert-validation.patch
109 Patch0048:      0048-caacl-fix-regression-in-rule-instantiation.patch
110 Patch0049:      0049-Update-ipa-replica-install-documentation.patch
111 Patch0050:      0050-ipa-kdb-Fix-unit-test-after-packaging-changes-in-krb.patch
112 Patch0051:      0051-Improvements-for-the-ipa-cacert-manage-man-and-help.patch
113 Patch0052:      0052-Revert-spec-add-conflict-with-bind-chroot-to-freeipa.patch
114 Patch0053:      0053-Fix-unicode-characters-in-ca-and-domain-adders.patch
115 Patch0054:      0054-ipa-backup-backup-etc-tmpfiles.d-dirsrv-instance-.co.patch
116 Patch0055:      0055-client-RPM-require-initscripts-to-get-domainname.ser.patch
117 Patch0056:      0056-parameters-move-the-confirm-kwarg-to-Param.patch
118 Patch0057:      0057-client-add-missing-output-params-to-client-side-comm.patch
119 Patch0058:      0058-server-install-Fix-hostname-option-to-always-overrid.patch
120 Patch0059:      0059-install-Call-hostnamectl-set-hostname-only-if-hostna.patch
121 Patch0060:      0060-schema-Speed-up-schema-cache.patch
122 Patch0061:      0061-frontend-Change-doc-summary-topic-and-NO_CLI-to-clas.patch
123 Patch0062:      0062-schema-Introduce-schema-cache-format.patch
124 Patch0063:      0063-schema-Generate-bits-for-help-load-them-on-request.patch
125 Patch0064:      0064-help-Do-not-create-instances-to-get-information-abou.patch
126 Patch0065:      0065-Fix-ipa-caalc-add-service-error-message.patch
127 Patch0066:      0066-Don-t-show-force-ntpd-option-in-replica-install.patch
128 Patch0067:      0067-DNS-server-upgrade-do-not-fail-when-DNS-server-did-n.patch
129 Patch0068:      0068-DNS-allow-to-add-forward-zone-to-already-broken-sub-.patch
130 Patch0069:      0069-cert-speed-up-cert-find.patch
131 Patch0070:      0070-cert-do-not-crash-on-invalid-data-in-cert-find.patch
132 Patch0071:      0071-Add-warning-about-only-one-existing-CA-server.patch
133 Patch0072:      0072-Set-servers-list-as-default-facet-in-topology-facet-.patch
134 Patch0073:      0073-schema-cache-Do-not-reset-ServerInfo-dirty-flag.patch
135 Patch0074:      0074-schema-cache-Do-not-read-fingerprint-and-format-from.patch
136 Patch0075:      0075-Access-data-for-help-separately.patch
137 Patch0076:      0076-frontent-Add-summary-class-property-to-CommandOverri.patch
138 Patch0077:      0077-schema-cache-Read-server-info-only-once.patch
139 Patch0078:      0078-schema-cache-Store-API-schema-cache-in-memory.patch
140 Patch0079:      0079-client-Do-not-create-instance-just-to-check-isinstan.patch
141 Patch0080:      0080-schema-cache-Read-schema-instead-of-rewriting-it-whe.patch
142 Patch0081:      0081-schema-check-Check-current-client-language-against-c.patch
143 Patch0082:      0082-Fail-on-topology-disconnect-last-role-removal.patch
144 Patch0083:      0083-server-install-do-not-prompt-for-cert-file-PIN-repea.patch
145 Patch0084:      0084-service-add-flag-to-allow-S4U2Self.patch
146 Patch0085:      0085-Add-trusted-to-auth-as-user-checkbox.patch
147 Patch0086:      0086-Added-new-authentication-method.patch
148 Patch0087:      0087-schema-cache-Fallback-to-en_us-when-locale-is-not-av.patch
149 Patch0088:      0088-cert-revoke-fix-permission-check-bypass-CVE-2016-540.patch
150 Patch0089:      0089-Fix-container-owner-should-be-able-to-add-vault.patch
151 Patch0090:      0090-ipaserver-dcerpc-reformat-to-make-the-code-closer-to.patch
152 Patch0091:      0091-trust-automatically-resolve-DNS-trust-conflicts-for-.patch
153 Patch0092:      0092-trust-make-sure-external-trust-topology-is-correctly.patch
154 Patch0093:      0093-trust-make-sure-ID-range-is-created-for-the-child-do.patch
155 Patch0094:      0094-ipa-kdb-simplify-trusted-domain-parent-search.patch
156 Patch0095:      0095-Remove-Custodia-server-keys-from-LDAP.patch
157 Patch0096:      0096-Handled-empty-hostname-in-server-del-command.patch
158 Patch0097:      0097-Secure-permissions-of-Custodia-server.keys.patch
159 Patch0098:      0098-Require-httpd-2.4.6-31-with-mod_proxy-Unix-socket-su.patch
160 Patch0099:      0099-Fix-ipa-server-install-in-pure-IPv6-environment.patch
161 Patch0100:      0100-support-multiple-uid-values-in-schema-compatibility-.patch
162 Patch0101:      0101-custodia-include-known-CA-certs-in-the-PKCS-12-file-.patch
163 Patch0102:      0102-otptoken-permission-Convert-custom-type-parameters-o.patch
164 Patch0103:      0103-Raise-DuplicatedEnrty-error-when-user-exists-in-dele.patch
165 Patch0104:      0104-cert-add-missing-param-values-to-cert-find-output.patch
166 Patch0105:      0105-rpcserver-assume-version-1-for-unversioned-command-c.patch
167 Patch0106:      0106-custodia-force-reconnect-before-retrieving-CA-certs-.patch
168 Patch0107:      0107-rpcserver-fix-crash-in-XML-RPC-system-commands.patch
169 Patch0108:      0108-compat-Save-server-s-API-version-in-for-pre-schema-s.patch
170 Patch0109:      0109-compat-Fix-ping-command-call.patch
171 Patch0110:      0110-Fix-man-page-ipa-replica-manage-remove-duplicate-c-o.patch
172 Patch0111:      0111-cert-include-CA-name-in-cert-command-output.patch
173 Patch0112:      0112-Fix-CA-ACL-Check-on-SubjectAltNames.patch
174 Patch0113:      0113-do-not-use-trusted-forest-name-to-construct-domain-a.patch
175 Patch0114:      0114-Always-fetch-forest-info-from-root-DCs-when-establis.patch
176 Patch0115:      0115-factor-out-populate_remote_domain-method-into-module.patch
177 Patch0116:      0116-Always-fetch-forest-info-from-root-DCs-when-establis.patch
178 Patch0117:      0117-cli-use-full-name-when-executing-a-command.patch
179 Patch0118:      0118-Use-RSA-OAEP-instead-of-RSA-PKCS-1-v1.5.patch
180 Patch0119:      0119-Fix-ipa-certupdate-for-CA-less-installation.patch
181 Patch0120:      0120-Track-lightweight-CAs-on-replica-installation.patch
182 Patch0121:      0121-dns-normalize-record-type-read-interactively-in-dnsr.patch
183 Patch0122:      0122-dns-prompt-for-missing-record-parts-in-CLI.patch
184 Patch0123:      0123-dns-fix-crash-in-interactive-mode-against-old-server.patch
185 Patch0124:      0124-schema-cache-Store-and-check-info-for-pre-schema-ser.patch
186 Patch0125:      0125-Fix-parse-errors-with-link-local-addresses.patch
187 Patch0126:      0126-Add-support-for-additional-options-taken-from-table-.patch
188 Patch0127:      0127-WebUI-Fix-showing-certificates-issued-by-sub-CA.patch
189 Patch0128:      0128-WebUI-add-support-for-sub-CAs-while-revoking-certifi.patch
190 Patch0129:      0129-cert-fix-cert-find-certificate-when-the-cert-is-not-.patch
191 Patch0130:      0130-Make-host-service-cert-revocation-aware-of-lightweig.patch
192 Patch0131:      0131-Fix-regression-introduced-in-ipa-certupdate.patch
193 Patch0132:      0132-Start-named-during-configuration-upgrade.patch
194 Patch0133:      0133-Catch-DNS-exceptions-during-emptyzones-named.conf-up.patch
195 Patch0134:      0134-trust-fetch-domains-contact-forest-DCs-when-fetching.patch
99b6f7 196
CB 197 Patch1001:      1001-Hide-pkinit-functionality-from-production-version.patch
198 Patch1002:      1002-Remove-pkinit-plugin.patch
199 Patch1003:      1003-Remove-pkinit-references-from-tool-man-pages.patch
200 Patch1004:      1004-Change-branding-to-IPA-and-Identity-Management.patch
201 Patch1005:      1005-Remove-pylint-from-build-process.patch
202 Patch1006:      1006-Remove-i18test-from-build-process.patch
e3ffab 203 Patch1007:      1007-Do-not-build-tests.patch
CS 204 Patch1008:      1008-RCUE.patch
403b09 205 Patch1009:      1009-Revert-Increased-mod_wsgi-socket-timeout.patch
CS 206 Patch1010:      1010-WebUI-add-API-browser-is-tech-preview-warning.patch
21794d 207 Patch1011:      ipa-centos-branding.patch
e3ffab 208 # RHEL spec file only: END
10ca37 209
99b6f7 210 %if ! %{ONLY_CLIENT}
403b09 211 BuildRequires:  389-ds-base-devel >= 1.3.5.6
99b6f7 212 BuildRequires:  svrcore-devel
e3ffab 213 BuildRequires:  policycoreutils >= 2.1.14-37
99b6f7 214 BuildRequires:  systemd-units
e3ffab 215 BuildRequires:  samba-devel >= %{samba_version}
99b6f7 216 BuildRequires:  samba-python
CB 217 BuildRequires:  libtalloc-devel
218 BuildRequires:  libtevent-devel
219 %endif # ONLY_CLIENT
220 BuildRequires:  nspr-devel
221 BuildRequires:  nss-devel
222 BuildRequires:  openssl-devel
223 BuildRequires:  openldap-devel
590d18 224 BuildRequires:  krb5-devel >= 1.13
99b6f7 225 BuildRequires:  krb5-workstation
CB 226 BuildRequires:  libuuid-devel
227 BuildRequires:  libcurl-devel >= 7.21.7-2
228 BuildRequires:  xmlrpc-c-devel >= 1.27.4
229 BuildRequires:  popt-devel
230 BuildRequires:  autoconf
231 BuildRequires:  automake
232 BuildRequires:  m4
233 BuildRequires:  libtool
234 BuildRequires:  gettext
235 BuildRequires:  python-devel
236 BuildRequires:  python-ldap
237 BuildRequires:  python-setuptools
238 BuildRequires:  python-nss
403b09 239 BuildRequires:  python-cryptography >= 0.9
99b6f7 240 BuildRequires:  python-netaddr
403b09 241 BuildRequires:  python-gssapi >= 1.1.2
99b6f7 242 BuildRequires:  python-rhsm
CB 243 BuildRequires:  pyOpenSSL
e3ffab 244 # RHEL spec file only: DELETED: Remove pylint from build process
CS 245 # RHEL spec file only: DELETED: Remove i18test from build process
590d18 246 BuildRequires:  python-libipa_hbac
99b6f7 247 BuildRequires:  python-memcached
CB 248 BuildRequires:  python-lxml
249 BuildRequires:  python-pyasn1 >= 0.0.9a
e3ffab 250 BuildRequires:  python-qrcode-core >= 5.0.0
CS 251 BuildRequires:  python-dns >= 1.11.1-2
99b6f7 252 BuildRequires:  libsss_idmap-devel
403b09 253 BuildRequires:  libsss_nss_idmap-devel >= 1.14.0
e3ffab 254 BuildRequires:  java-headless
031d60 255 BuildRequires:  rhino
99b6f7 256 BuildRequires:  libverto-devel
CB 257 BuildRequires:  systemd
258 BuildRequires:  libunistring-devel
e3ffab 259 # RHEL spec file only: START
99b6f7 260 BuildRequires:  diffstat
e3ffab 261 # RHEL spec file only: END
CS 262 BuildRequires:  python-lesscpy
590d18 263 BuildRequires:  python-yubico >= 1.2.3
CS 264 BuildRequires:  openssl-devel
403b09 265 BuildRequires:  pki-base >= 10.3.3-7
590d18 266 # RHEL spec file only: DELETED: Do not build tests
CS 267 BuildRequires:  python-kdcproxy >= 0.3
403b09 268 BuildRequires:  python-six
CS 269 BuildRequires:  python-jwcrypto
270 BuildRequires:  custodia
271 BuildRequires:  libini_config-devel >= 1.2.0
272 BuildRequires:  dbus-python
273 BuildRequires:  python-netifaces >= 0.10.4
274
275 # Build dependencies for unit tests
276 BuildRequires:  libcmocka-devel
277 BuildRequires:  nss_wrapper
278 # Required by ipa_kdb_tests
279 BuildRequires:  %{_libdir}/krb5/plugins/kdb/db2.so
280
281 %if 0%{?with_python3}
282 BuildRequires:  python3-devel
283 %endif  # with_python3
99b6f7 284
CB 285 %description
403b09 286 IPA is an integrated solution to provide centrally managed Identity (users,
CS 287 hosts, services), Authentication (SSO, 2FA), and Authorization
288 (host access control, SELinux user roles, services). The solution provides
289 features for further integration with Linux based clients (SUDO, automount)
290 and integration with Active Directory based infrastructures (Trusts).
291
99b6f7 292
CB 293 %if ! %{ONLY_CLIENT}
403b09 294
99b6f7 295 %package server
CB 296 Summary: The IPA authentication server
297 Group: System Environment/Base
403b09 298 Requires: %{name}-server-common = %{version}-%{release}
99b6f7 299 Requires: %{name}-client = %{version}-%{release}
CB 300 Requires: %{name}-admintools = %{version}-%{release}
403b09 301 Requires: %{name}-common = %{version}-%{release}
CS 302 Requires: python2-ipaserver = %{version}-%{release}
303 Requires: 389-ds-base >= 1.3.5.6
99b6f7 304 Requires: openldap-clients > 2.4.35-4
CB 305 Requires: nss >= 3.14.3-12.0
306 Requires: nss-tools >= 3.14.3-12.0
590d18 307 Requires(post): krb5-server >= %{krb5_base_version}, krb5-server < %{krb5_base_version}.100
99b6f7 308 Requires: krb5-pkinit-openssl
CB 309 Requires: cyrus-sasl-gssapi%{?_isa}
310 Requires: ntp
403b09 311 Requires: httpd >= 2.4.6-31
99b6f7 312 Requires: mod_wsgi
403b09 313 Requires: mod_auth_gssapi >= 1.4.0
9991ea 314 Requires: mod_nss >= 1.0.8-26
e3ffab 315 Requires: python-ldap >= 2.4.15
403b09 316 Requires: python-gssapi >= 1.1.2
99b6f7 317 Requires: acl
CB 318 Requires: memcached
319 Requires: python-memcached
320 Requires: systemd-units >= 38
590d18 321 Requires(pre): shadow-utils
99b6f7 322 Requires(pre): systemd-units
CB 323 Requires(post): systemd-units
e3ffab 324 Requires: selinux-policy >= %{selinux_policy_version}
590d18 325 Requires(post): selinux-policy-base >= %{selinux_policy_version}
403b09 326 Requires: slapi-nis >= %{slapi_nis_version}
CS 327 Requires: pki-ca >= 10.3.3-7
328 Requires: pki-kra >= 10.3.3-7
99b6f7 329 Requires(preun): python systemd-units
CB 330 Requires(postun): python systemd-units
331 Requires: zip
e3ffab 332 Requires: policycoreutils >= 2.1.14-37
99b6f7 333 Requires: tar
590d18 334 Requires(pre): certmonger >= 0.78
403b09 335 Requires(pre): 389-ds-base >= 1.3.5.6
e3ffab 336 Requires: fontawesome-fonts
CS 337 Requires: open-sans-fonts
e0ab38 338 Requires: openssl >= 1:1.0.1e-42
590d18 339 Requires: softhsm >= 2.0.0rc1-1
CS 340 Requires: p11-kit
341 Requires: systemd-python
342 Requires: %{etc_systemd_dir}
343 Requires: gzip
403b09 344 Requires: oddjob
e3ffab 345
403b09 346 Provides: %{alt_name}-server = %{version}
e3ffab 347 Conflicts: %{alt_name}-server
CS 348 Obsoletes: %{alt_name}-server < %{version}
349
350 # RHEL spec file only: DELETED
99b6f7 351
590d18 352 # upgrade path from monolithic -server to -server + -server-dns
CS 353 Obsoletes: %{name}-server <= 4.2.0-2
99b6f7 354
CB 355 # Versions of nss-pam-ldapd < 0.8.4 require a mapping from uniqueMember to
356 # member.
357 Conflicts: nss-pam-ldapd < 0.8.4
9991ea 358
e3ffab 359 # RHEL spec file only: START: Do not build tests
9991ea 360 # ipa-tests subpackage was moved to separate srpm
CB 361 Conflicts: ipa-tests < 3.3.3-9
e3ffab 362 # RHEL spec file only: END: Do not build tests
99b6f7 363
403b09 364 # RHEL spec file only: START
CS 365 # https://bugzilla.redhat.com/show_bug.cgi?id=1296140
366 Obsoletes: redhat-access-plugin-ipa
367 Conflicts: redhat-access-plugin-ipa
368 # RHEL spec file only: END
369
99b6f7 370 %description server
403b09 371 IPA is an integrated solution to provide centrally managed Identity (users,
CS 372 hosts, services), Authentication (SSO, 2FA), and Authorization
373 (host access control, SELinux user roles, services). The solution provides
374 features for further integration with Linux based clients (SUDO, automount)
375 and integration with Active Directory based infrastructures (Trusts).
376 If you are installing an IPA server, you need to install this package.
377
378
379 %package -n python2-ipaserver
380 Summary: Python libraries used by IPA server
381 Group: System Environment/Libraries
382 BuildArch: noarch
383 Provides: python-ipaserver = %{version}-%{release}
384 Requires: %{name}-server-common = %{version}-%{release}
385 Requires: %{name}-common = %{version}-%{release}
386 Requires: python2-ipaclient = %{version}-%{release}
387 Requires: python-ldap >= 2.4.15
388 Requires: python-gssapi >= 1.1.2
389 Requires: python-sssdconfig
390 Requires: python-pyasn1
391 Requires: dbus-python
392 Requires: python-dns >= 1.11.1-2
393 Requires: python-kdcproxy >= 0.3
394 Requires: rpm-libs
395
396 %description -n python2-ipaserver
397 IPA is an integrated solution to provide centrally managed Identity (users,
398 hosts, services), Authentication (SSO, 2FA), and Authorization
399 (host access control, SELinux user roles, services). The solution provides
400 features for further integration with Linux based clients (SUDO, automount)
401 and integration with Active Directory based infrastructures (Trusts).
402 If you are installing an IPA server, you need to install this package.
403
404
405 %package server-common
406 Summary: Common files used by IPA server
407 Group: System Environment/Base
408 BuildArch: noarch
409 Requires: %{name}-client-common = %{version}-%{release}
410 Requires: httpd >= 2.4.6-31
411 Requires: systemd-units >= 38
412 Requires: custodia
413
414 Provides: %{alt_name}-server-common = %{version}
415 Conflicts: %{alt_name}-server-common
416 Obsoletes: %{alt_name}-server-common < %{version}
417
418 %description server-common
419 IPA is an integrated solution to provide centrally managed Identity (users,
420 hosts, services), Authentication (SSO, 2FA), and Authorization
421 (host access control, SELinux user roles, services). The solution provides
422 features for further integration with Linux based clients (SUDO, automount)
423 and integration with Active Directory based infrastructures (Trusts).
424 If you are installing an IPA server, you need to install this package.
99b6f7 425
CB 426
590d18 427 %package server-dns
CS 428 Summary: IPA integrated DNS server with support for automatic DNSSEC signing
429 Group: System Environment/Base
403b09 430 BuildArch: noarch
590d18 431 Requires: %{name}-server = %{version}-%{release}
403b09 432 Requires: bind-dyndb-ldap >= 10.0
590d18 433 %if 0%{?fedora} >= 21
CS 434 Requires: bind >= 9.9.6-3
435 Requires: bind-utils >= 9.9.6-3
436 Requires: bind-pkcs11 >= 9.9.6-3
437 Requires: bind-pkcs11-utils >= 9.9.6-3
438 %else
439 Requires: bind >= 9.9.4-21
440 Requires: bind-utils >= 9.9.4-21
441 Requires: bind-pkcs11 >= 9.9.4-21
442 Requires: bind-pkcs11-utils >= 9.9.4-21
443 %endif
444 Requires: opendnssec >= 1.4.6-4
445
403b09 446 Provides: %{alt_name}-server-dns = %{version}
590d18 447 Conflicts: %{alt_name}-server-dns
CS 448 Obsoletes: %{alt_name}-server-dns < %{version}
449
450 # upgrade path from monolithic -server to -server + -server-dns
451 Obsoletes: %{name}-server <= 4.2.0-2
452
453 %description server-dns
454 IPA integrated DNS server with support for automatic DNSSEC signing.
455 Integrated DNS server is BIND 9. OpenDNSSEC provides key management.
456
457
99b6f7 458 %package server-trust-ad
CB 459 Summary: Virtual package to install packages required for Active Directory trusts
460 Group: System Environment/Base
403b09 461 Requires: %{name}-server = %{version}-%{release}
CS 462 Requires: %{name}-common = %{version}-%{release}
99b6f7 463 Requires: samba-python
e3ffab 464 Requires: samba >= %{samba_version}
99b6f7 465 Requires: samba-winbind
CB 466 Requires: libsss_idmap
590d18 467 Requires: python-libsss_nss_idmap
CS 468 Requires: python-sss
99b6f7 469 # We use alternatives to divert winbind_krb5_locator.so plugin to libkrb5
CB 470 # on the installes where server-trust-ad subpackage is installed because
471 # IPA AD trusts cannot be used at the same time with the locator plugin
472 # since Winbindd will be configured in a different mode
473 Requires(post): %{_sbindir}/update-alternatives
474 Requires(post): python
475 Requires(postun): %{_sbindir}/update-alternatives
476 Requires(preun): %{_sbindir}/update-alternatives
e3ffab 477
403b09 478 Provides: %{alt_name}-server-trust-ad = %{version}
e3ffab 479 Conflicts: %{alt_name}-server-trust-ad
CS 480 Obsoletes: %{alt_name}-server-trust-ad < %{version}
99b6f7 481
CB 482 %description server-trust-ad
483 Cross-realm trusts with Active Directory in IPA require working Samba 4
484 installation. This package is provided for convenience to install all required
485 dependencies at once.
486
487 %endif # ONLY_CLIENT
488
489
490 %package client
491 Summary: IPA authentication for use on clients
492 Group: System Environment/Base
403b09 493 Requires: %{name}-client-common = %{version}-%{release}
CS 494 Requires: %{name}-common = %{version}-%{release}
495 Requires: python2-ipaclient = %{version}-%{release}
99b6f7 496 Requires: python-ldap
CB 497 Requires: cyrus-sasl-gssapi%{?_isa}
498 Requires: ntp
499 Requires: krb5-workstation
500 Requires: authconfig
501 Requires: pam_krb5
403b09 502 Requires: curl
CS 503 # NIS domain name config: /usr/lib/systemd/system/*-domainname.service
504 Requires: initscripts
99b6f7 505 Requires: libcurl >= 7.21.7-2
CB 506 Requires: xmlrpc-c >= 1.27.4
403b09 507 Requires: sssd >= 1.14.0
590d18 508 Requires: python-sssdconfig
CS 509 Requires: certmonger >= 0.78
99b6f7 510 Requires: nss-tools
CB 511 Requires: bind-utils
512 Requires: oddjob-mkhomedir
403b09 513 Requires: python-gssapi >= 1.1.2
99b6f7 514 Requires: libsss_autofs
CB 515 Requires: autofs
516 Requires: libnfsidmap
517 Requires: nfs-utils
518 Requires(post): policycoreutils
e3ffab 519
403b09 520 Provides: %{alt_name}-client = %{version}
e3ffab 521 Conflicts: %{alt_name}-client
CS 522 Obsoletes: %{alt_name}-client < %{version}
99b6f7 523
CB 524 %description client
403b09 525 IPA is an integrated solution to provide centrally managed Identity (users,
CS 526 hosts, services), Authentication (SSO, 2FA), and Authorization
527 (host access control, SELinux user roles, services). The solution provides
528 features for further integration with Linux based clients (SUDO, automount)
529 and integration with Active Directory based infrastructures (Trusts).
530 If your network uses IPA for authentication, this package should be
531 installed on every client machine.
532
533
534 %package -n python2-ipaclient
535 Summary: Python libraries used by IPA client
536 Group: System Environment/Libraries
537 BuildArch: noarch
538 Provides: python-ipaclient = %{version}-%{release}
539 Requires: %{name}-client-common = %{version}-%{release}
540 Requires: %{name}-common = %{version}-%{release}
541 Requires: python2-ipalib = %{version}-%{release}
542 Requires: python-dns >= 1.11.1-2
543
544 %description -n python2-ipaclient
545 IPA is an integrated solution to provide centrally managed Identity (users,
546 hosts, services), Authentication (SSO, 2FA), and Authorization
547 (host access control, SELinux user roles, services). The solution provides
548 features for further integration with Linux based clients (SUDO, automount)
549 and integration with Active Directory based infrastructures (Trusts).
550 If your network uses IPA for authentication, this package should be
551 installed on every client machine.
552
553
554 %if 0%{?with_python3}
555
556 %package -n python3-ipaclient
557 Summary: Python libraries used by IPA client
558 Group: System Environment/Libraries
559 BuildArch: noarch
560 Requires: %{name}-client-common = %{version}-%{release}
561 Requires: %{name}-common = %{version}-%{release}
562 Requires: python3-ipalib = %{version}-%{release}
563 Requires: python3-dns >= 1.11.1
564
565 %description -n python3-ipaclient
566 IPA is an integrated solution to provide centrally managed Identity (users,
567 hosts, services), Authentication (SSO, 2FA), and Authorization
568 (host access control, SELinux user roles, services). The solution provides
569 features for further integration with Linux based clients (SUDO, automount)
570 and integration with Active Directory based infrastructures (Trusts).
571 If your network uses IPA for authentication, this package should be
572 installed on every client machine.
573
574 %endif  # with_python3
575
576
577 %package client-common
578 Summary: Common files used by IPA client
579 Group: System Environment/Base
580 BuildArch: noarch
581
582 Provides: %{alt_name}-client-common = %{version}
583 Conflicts: %{alt_name}-client-common
584 Obsoletes: %{alt_name}-client-common < %{version}
585
586 %description client-common
587 IPA is an integrated solution to provide centrally managed Identity (users,
588 hosts, services), Authentication (SSO, 2FA), and Authorization
589 (host access control, SELinux user roles, services). The solution provides
590 features for further integration with Linux based clients (SUDO, automount)
591 and integration with Active Directory based infrastructures (Trusts).
592 If your network uses IPA for authentication, this package should be
593 installed on every client machine.
99b6f7 594
CB 595
596 %package admintools
597 Summary: IPA administrative tools
598 Group: System Environment/Base
403b09 599 BuildArch: noarch
CS 600 Requires: python2-ipaclient = %{version}-%{release}
99b6f7 601 Requires: python-ldap
CB 602
403b09 603 Provides: %{alt_name}-admintools = %{version}
e3ffab 604 Conflicts: %{alt_name}-admintools
CS 605 Obsoletes: %{alt_name}-admintools < %{version}
606
99b6f7 607 %description admintools
403b09 608 IPA is an integrated solution to provide centrally managed Identity (users,
CS 609 hosts, services), Authentication (SSO, 2FA), and Authorization
610 (host access control, SELinux user roles, services). The solution provides
611 features for further integration with Linux based clients (SUDO, automount)
612 and integration with Active Directory based infrastructures (Trusts).
613 This package provides command-line tools for IPA administrators.
99b6f7 614
403b09 615
CS 616 %package python-compat
617 Summary: Compatiblity package for Python libraries used by IPA
618 Group: System Environment/Libraries
619 BuildArch: noarch
620 Obsoletes: %{name}-python < 4.2.91
621 Provides: %{name}-python = %{version}-%{release}
622 Requires: %{name}-common = %{version}-%{release}
623 Requires: python2-ipalib = %{version}-%{release}
624
625 Provides: %{alt_name}-python-compat = %{version}
626 Conflicts: %{alt_name}-python-compat
627 Obsoletes: %{alt_name}-python-compat < %{version}
628
629 Obsoletes: %{alt_name}-python < 4.2.91
630 Provides: %{alt_name}-python = %{version}
631
632 %description python-compat
633 IPA is an integrated solution to provide centrally managed Identity (users,
634 hosts, services), Authentication (SSO, 2FA), and Authorization
635 (host access control, SELinux user roles, services). The solution provides
636 features for further integration with Linux based clients (SUDO, automount)
637 and integration with Active Directory based infrastructures (Trusts).
638 This is a compatibility package to accommodate %{name}-python split into
639 python2-ipalib and %{name}-common. Packages still depending on
640 %{name}-python should be fixed to depend on python2-ipaclient or
641 %{name}-common instead.
642
643
644 %package -n python2-ipalib
99b6f7 645 Summary: Python libraries used by IPA
CB 646 Group: System Environment/Libraries
403b09 647 BuildArch: noarch
CS 648 Conflicts: %{name}-python < 4.2.91
649 Provides: python-ipalib = %{version}-%{release}
650 Provides: python2-ipapython = %{version}-%{release}
651 Provides: python-ipapython = %{version}-%{release}
652 Provides: python2-ipaplatform = %{version}-%{release}
653 Provides: python-ipaplatform = %{version}-%{release}
654 Requires: %{name}-common = %{version}-%{release}
655 Requires: python-gssapi >= 1.1.2
99b6f7 656 Requires: gnupg
CB 657 Requires: keyutils
658 Requires: pyOpenSSL
e3ffab 659 Requires: python-nss >= 0.16
403b09 660 Requires: python-cryptography >= 0.9
99b6f7 661 Requires: python-lxml
CB 662 Requires: python-netaddr
590d18 663 Requires: python-libipa_hbac
e3ffab 664 Requires: python-qrcode-core >= 5.0.0
CS 665 Requires: python-pyasn1
666 Requires: python-dateutil
590d18 667 Requires: python-yubico >= 1.2.3
CS 668 Requires: python-sss-murmur
669 Requires: dbus-python
670 Requires: python-setuptools
403b09 671 Requires: python-six
CS 672 Requires: python-jwcrypto
673 Requires: python-cffi
674 Requires: python-ldap >= 2.4.15
675 Requires: python-requests
676 Requires: python-custodia
677 Requires: python-dns >= 1.11.1-2
678 Requires: python-netifaces >= 0.10.4
679 Requires: pyusb
e3ffab 680
403b09 681 Conflicts: %{alt_name}-python < %{version}
99b6f7 682
403b09 683 %description -n python2-ipalib
CS 684 IPA is an integrated solution to provide centrally managed Identity (users,
685 hosts, services), Authentication (SSO, 2FA), and Authorization
686 (host access control, SELinux user roles, services). The solution provides
687 features for further integration with Linux based clients (SUDO, automount)
688 and integration with Active Directory based infrastructures (Trusts).
689 If you are using IPA, you need to install this package.
690
691
692 %if 0%{?with_python3}
693
694 %package -n python3-ipalib
695 Summary: Python3 libraries used by IPA
696 Group: System Environment/Libraries
697 BuildArch: noarch
698 Provides: python3-ipapython = %{version}-%{release}
699 Provides: python3-ipaplatform = %{version}-%{release}
700 Requires: %{name}-common = %{version}-%{release}
701 Requires: python3-gssapi >= 1.1.2
702 Requires: gnupg
703 Requires: keyutils
704 Requires: python3-pyOpenSSL
705 Requires: python3-nss >= 0.16
706 Requires: python3-cryptography
707 Requires: python3-lxml
708 Requires: python3-netaddr
709 Requires: python3-libipa_hbac
710 Requires: python3-qrcode-core >= 5.0.0
711 Requires: python3-pyasn1
712 Requires: python3-dateutil
713 Requires: python3-yubico >= 1.2.3
714 Requires: python3-sss-murmur
715 Requires: python3-dbus
716 Requires: python3-setuptools
717 Requires: python3-six
718 Requires: python3-jwcrypto
719 Requires: python3-cffi
720 Requires: python3-pyldap >= 2.4.15
721 Requires: python3-custodia
722 Requires: python3-requests
723 Requires: python3-dns >= 1.11.1
724 Requires: python3-netifaces >= 0.10.4
725 Requires: python3-pyusb
726
727 %description -n python3-ipalib
728 IPA is an integrated solution to provide centrally managed Identity (users,
729 hosts, services), Authentication (SSO, 2FA), and Authorization
730 (host access control, SELinux user roles, services). The solution provides
731 features for further integration with Linux based clients (SUDO, automount)
732 and integration with Active Directory based infrastructures (Trusts).
733 If you are using IPA with Python 3, you need to install this package.
734
735 %endif # with_python3
736
737
738 %package common
739 Summary: Common files used by IPA
740 Group: System Environment/Libraries
741 BuildArch: noarch
742 Conflicts: %{name}-python < 4.2.91
743
744 Provides: %{alt_name}-common = %{version}
745 Conflicts: %{alt_name}-common
746 Obsoletes: %{alt_name}-common < %{version}
747
748 Conflicts: %{alt_name}-python < %{version}
749
750 %description common
751 IPA is an integrated solution to provide centrally managed Identity (users,
752 hosts, services), Authentication (SSO, 2FA), and Authorization
753 (host access control, SELinux user roles, services). The solution provides
754 features for further integration with Linux based clients (SUDO, automount)
755 and integration with Active Directory based infrastructures (Trusts).
756 If you are using IPA, you need to install this package.
757
e3ffab 758
CS 759 # RHEL spec file only: DELETED: Do not build tests
760
99b6f7 761
CB 762 %prep
763 # RHEL spec file only: START
764 # Update timestamps on the files touched by a patch, to avoid non-equal
765 # .pyc/.pyo files across the multilib peers within a build, where "Level"
766 # is the patch prefix option (e.g. -p1)
767 # Taken from specfile for sssd and python-simplejson
768 UpdateTimestamps() {
769   Level=$1
770   PatchFile=$2
771
772   # Locate the affected files:
773   for f in $(diffstat $Level -l $PatchFile); do
774     # Set the files to have the same timestamp as that of the patch:
775     touch -r $PatchFile $f
776   done
777 }
778
779 %setup -n freeipa-%{VERSION} -q
780
781 for p in %patches ; do
782     %__patch -p1 -i $p
783     UpdateTimestamps -p1 $p
784 done
e3ffab 785
CS 786 # Red Hat's Identity Management branding
21794d 787 #cp %SOURCE1 install/ui/images/header-logo.png
CS 788 #cp %SOURCE2 install/ui/images/login-screen-background.jpg
789 #cp %SOURCE3 install/ui/images/login-screen-logo.png
790 #cp %SOURCE4 install/ui/images/product-name.png
99b6f7 791 # RHEL spec file only: END
403b09 792
99b6f7 793
CB 794 %build
e3ffab 795 # UI compilation segfaulted on some arches when the stack was lower (#1040576)
CS 796 export JAVA_STACK_SIZE="8m"
797
9991ea 798 export CFLAGS="%{optflags} $CFLAGS"
CB 799 export LDFLAGS="%{__global_ldflags} $LDFLAGS"
e3ffab 800 export SUPPORTED_PLATFORM=%{platform_module}
CS 801
99b6f7 802 # Force re-generate of platform support
e3ffab 803 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 804 rm -f ipapython/version.py
805 rm -f ipaplatform/services.py
806 rm -f ipaplatform/tasks.py
807 rm -f ipaplatform/paths.py
590d18 808 rm -f ipaplatform/constants.py
99b6f7 809 make version-update
403b09 810 cd client; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
99b6f7 811 %if ! %{ONLY_CLIENT}
0201d8 812 # RHEL SPEC file only: START: Force re-generation of the makefiles
CS 813 find daemons -name Makefile.in |egrep -v '(libotp|lockout|otp-counter|lasttoken)'|xargs rm -f
814 # RHEL SPEC file only: END: Force re-generation of the makefiles
99b6f7 815 cd daemons; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir} --with-openldap; cd ..
CB 816 cd install; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
817 %endif # ONLY_CLIENT
818
819 %if ! %{ONLY_CLIENT}
820 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} all
821 %else
822 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} client
823 %endif # ONLY_CLIENT
824
403b09 825
CS 826 %check
827 %if ! %{ONLY_CLIENT}
828 make %{?_smp_mflags} check VERBOSE=yes
829 %else
830 make %{?_smp_mflags} client-check VERBOSE=yes
831 %endif # ONLY_CLIENT
832
833
99b6f7 834 %install
CB 835 rm -rf %{buildroot}
e3ffab 836 export SUPPORTED_PLATFORM=%{platform_module}
99b6f7 837 # Force re-generate of platform support
e3ffab 838 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 839 rm -f ipapython/version.py
840 rm -f ipaplatform/services.py
841 rm -f ipaplatform/tasks.py
842 rm -f ipaplatform/paths.py
590d18 843 rm -f ipaplatform/constants.py
e3ffab 844 make version-update
99b6f7 845 %if ! %{ONLY_CLIENT}
CB 846 make install DESTDIR=%{buildroot}
403b09 847
CS 848 # RHEL spec file only: DELETED: Do not build tests
849
99b6f7 850 %else
CB 851 make client-install DESTDIR=%{buildroot}
852 %endif # ONLY_CLIENT
853
403b09 854 %if 0%{?with_python3}
CS 855 (cd ipalib && make PYTHON=%{__python3} IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} DESTDIR=%{buildroot} install)
856 (cd ipapython && make PYTHON=%{__python3} IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} DESTDIR=%{buildroot} install)
857 (cd ipaplatform && %{__python3} setup.py install --root %{buildroot})
858 (cd ipaclient && %{__python3} setup.py install --root %{buildroot})
859 %endif # with_python3
860
861 # Switch shebang of /usr/bin/ipa
862 # XXX: ipa cli is not stable enough for enabling py3 support, keep it in py2
863 # in any case
864 sed -i -e'1s/python\(3\|$\)/python2/' %{buildroot}%{_bindir}/ipa
865
866 %find_lang %{gettext_domain}
e3ffab 867
CS 868 mkdir -p %{buildroot}%{_usr}/share/ipa
99b6f7 869
CB 870 %if ! %{ONLY_CLIENT}
871 # Remove .la files from libtool - we don't want to package
872 # these files
873 rm %{buildroot}/%{plugin_dir}/libipa_pwd_extop.la
874 rm %{buildroot}/%{plugin_dir}/libipa_enrollment_extop.la
875 rm %{buildroot}/%{plugin_dir}/libipa_winsync.la
876 rm %{buildroot}/%{plugin_dir}/libipa_repl_version.la
877 rm %{buildroot}/%{plugin_dir}/libipa_uuid.la
878 rm %{buildroot}/%{plugin_dir}/libipa_modrdn.la
879 rm %{buildroot}/%{plugin_dir}/libipa_lockout.la
880 rm %{buildroot}/%{plugin_dir}/libipa_cldap.la
881 rm %{buildroot}/%{plugin_dir}/libipa_dns.la
882 rm %{buildroot}/%{plugin_dir}/libipa_sidgen.la
883 rm %{buildroot}/%{plugin_dir}/libipa_sidgen_task.la
884 rm %{buildroot}/%{plugin_dir}/libipa_extdom_extop.la
885 rm %{buildroot}/%{plugin_dir}/libipa_range_check.la
e3ffab 886 rm %{buildroot}/%{plugin_dir}/libipa_otp_counter.la
CS 887 rm %{buildroot}/%{plugin_dir}/libipa_otp_lasttoken.la
590d18 888 rm %{buildroot}/%{plugin_dir}/libtopology.la
99b6f7 889 rm %{buildroot}/%{_libdir}/krb5/plugins/kdb/ipadb.la
CB 890 rm %{buildroot}/%{_libdir}/samba/pdb/ipasam.la
891
892 # Some user-modifiable HTML files are provided. Move these to /etc
893 # and link back.
894 mkdir -p %{buildroot}/%{_sysconfdir}/ipa/html
895 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysrestore
896 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysupgrade
897 mkdir %{buildroot}%{_usr}/share/ipa/html/
898 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig.js \
899     %{buildroot}%{_usr}/share/ipa/html/ffconfig.js
900 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig_page.js \
901     %{buildroot}%{_usr}/share/ipa/html/ffconfig_page.js
902 ln -s ../../../..%{_sysconfdir}/ipa/html/ssbrowser.html \
903     %{buildroot}%{_usr}/share/ipa/html/ssbrowser.html
904 ln -s ../../../..%{_sysconfdir}/ipa/html/unauthorized.html \
905     %{buildroot}%{_usr}/share/ipa/html/unauthorized.html
906 ln -s ../../../..%{_sysconfdir}/ipa/html/browserconfig.html \
907     %{buildroot}%{_usr}/share/ipa/html/browserconfig.html
908
909 # So we can own our Apache configuration
910 mkdir -p %{buildroot}%{_sysconfdir}/httpd/conf.d/
911 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 912 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 913 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
CB 914 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
915 mkdir -p %{buildroot}%{_usr}/share/ipa/html/
916 /bin/touch %{buildroot}%{_usr}/share/ipa/html/ca.crt
917 /bin/touch %{buildroot}%{_usr}/share/ipa/html/kerberosauth.xpi
918 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.con
919 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.js
920 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb5.ini
921 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krbrealm.con
922 mkdir -p %{buildroot}%{_initrddir}
923 mkdir %{buildroot}%{_sysconfdir}/sysconfig/
924 install -m 644 init/ipa_memcached.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa_memcached
590d18 925 install -m 644 init/ipa-dnskeysyncd.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 926 install -m 644 init/ipa-ods-exporter.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-ods-exporter
927 install -m 644 daemons/dnssec/ipa-ods-exporter.socket %{buildroot}%{_unitdir}/ipa-ods-exporter.socket
928 install -m 644 daemons/dnssec/ipa-ods-exporter.service %{buildroot}%{_unitdir}/ipa-ods-exporter.service
929 install -m 644 daemons/dnssec/ipa-dnskeysyncd.service %{buildroot}%{_unitdir}/ipa-dnskeysyncd.service
e3ffab 930
CS 931 # dnssec daemons
932 mkdir -p %{buildroot}%{_libexecdir}/ipa/
590d18 933 install daemons/dnssec/ipa-dnskeysyncd %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysyncd
CS 934 install daemons/dnssec/ipa-dnskeysync-replica %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysync-replica
935 install daemons/dnssec/ipa-ods-exporter %{buildroot}%{_libexecdir}/ipa/ipa-ods-exporter
99b6f7 936
CB 937 # Web UI plugin dir
938 mkdir -p %{buildroot}%{_usr}/share/ipa/ui/js/plugins
403b09 939
CS 940 # DNSSEC config
941 mkdir -p %{buildroot}%{_sysconfdir}/ipa/dnssec
590d18 942
CS 943 # KDC proxy config (Apache config sets KDCPROXY_CONFIG to load this file)
944 mkdir -p %{buildroot}%{_sysconfdir}/ipa/kdcproxy/
945 install -m 644 install/share/kdcproxy.conf %{buildroot}%{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 946
CB 947 # NOTE: systemd specific section
e3ffab 948 mkdir -p %{buildroot}%{_tmpfilesdir}
CS 949 install -m 0644 init/systemd/ipa.conf.tmpfiles %{buildroot}%{_tmpfilesdir}/%{name}.conf
99b6f7 950 # END
CB 951
952 mkdir -p %{buildroot}%{_localstatedir}/run/
953 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa_memcached/
954 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa/
590d18 955 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa
CS 956 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/clientcaches
957 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/krbcache
99b6f7 958
CB 959 mkdir -p %{buildroot}%{_libdir}/krb5/plugins/libkrb5
960 touch %{buildroot}%{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
961
962 # NOTE: systemd specific section
963 mkdir -p %{buildroot}%{_unitdir}
590d18 964 mkdir -p %{buildroot}%{etc_systemd_dir}
99b6f7 965 install -m 644 init/systemd/ipa.service %{buildroot}%{_unitdir}/ipa.service
CB 966 install -m 644 init/systemd/ipa_memcached.service %{buildroot}%{_unitdir}/ipa_memcached.service
403b09 967 install -m 644 init/systemd/ipa-custodia.service %{buildroot}%{_unitdir}/ipa-custodia.service
99b6f7 968 # END
e3ffab 969 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa/backup
99b6f7 970 %endif # ONLY_CLIENT
CB 971
972 mkdir -p %{buildroot}%{_sysconfdir}/ipa/
973 /bin/touch %{buildroot}%{_sysconfdir}/ipa/default.conf
974 /bin/touch %{buildroot}%{_sysconfdir}/ipa/ca.crt
e3ffab 975 mkdir -p %{buildroot}%{_sysconfdir}/ipa/nssdb
99b6f7 976 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa-client/sysrestore
CB 977 mkdir -p %{buildroot}%{_sysconfdir}/bash_completion.d
978 install -pm 644 contrib/completion/ipa.bash_completion %{buildroot}%{_sysconfdir}/bash_completion.d/ipa
e3ffab 979
CS 980 %if ! %{ONLY_CLIENT}
99b6f7 981 mkdir -p %{buildroot}%{_sysconfdir}/cron.d
CB 982
983 (cd %{buildroot}/%{python_sitelib}/ipaserver && find . -type f  | \
984     sed -e 's,\.py.*$,.*,g' | sort -u | \
985     sed -e 's,\./,%%{python_sitelib}/ipaserver/,g' ) >server-python.list
e3ffab 986
CS 987 # RHEL spec file only: DELETED: Do not build tests
403b09 988
CS 989 mkdir -p %{buildroot}%{_sysconfdir}/ipa/custodia
990
99b6f7 991 %endif # ONLY_CLIENT
403b09 992
99b6f7 993
CB 994 %clean
995 rm -rf %{buildroot}
996
403b09 997
99b6f7 998 %if ! %{ONLY_CLIENT}
403b09 999
99b6f7 1000 %post server
CB 1001 # NOTE: systemd specific section
1002     /bin/systemctl --system daemon-reload 2>&1 || :
1003 # END
1004 if [ $1 -gt 1 ] ; then
1005     /bin/systemctl condrestart certmonger.service 2>&1 || :
1006 fi
403b09 1007 /bin/systemctl reload-or-try-restart dbus
CS 1008 /bin/systemctl reload-or-try-restart oddjobd
1009
99b6f7 1010
CB 1011 %posttrans server
403b09 1012 # don't execute upgrade and restart of IPA when server is not installed
e3ffab 1013 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
403b09 1014
99b6f7 1015 if [  $? -eq 0 ]; then
403b09 1016     # This must be run in posttrans so that updates from previous
CS 1017     # execution that may no longer be shipped are not applied.
1018     /usr/sbin/ipa-server-upgrade --quiet >/dev/null || :
1019
1020     # Restart IPA processes. This must be also run in postrans so that plugins
1021     # and software is in consistent state
1022     # NOTE: systemd specific section
1023
e3ffab 1024     /bin/systemctl is-enabled ipa.service >/dev/null 2>&1
CS 1025     if [  $? -eq 0 ]; then
1026         /bin/systemctl restart ipa.service >/dev/null 2>&1 || :
1027     fi
99b6f7 1028 fi
CB 1029 # END
1030
403b09 1031
99b6f7 1032 %preun server
CB 1033 if [ $1 = 0 ]; then
1034 # NOTE: systemd specific section
1035     /bin/systemctl --quiet stop ipa.service || :
1036     /bin/systemctl --quiet disable ipa.service || :
403b09 1037     /bin/systemctl reload-or-try-restart dbus
CS 1038     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1039 # END
CB 1040 fi
403b09 1041
99b6f7 1042
CB 1043 %pre server
1044 # Stop ipa_kpasswd if it exists before upgrading so we don't have a
1045 # zombie process when we're done.
1046 if [ -e /usr/sbin/ipa_kpasswd ]; then
1047 # NOTE: systemd specific section
1048     /bin/systemctl stop ipa_kpasswd.service >/dev/null 2>&1 || :
1049 # END
1050 fi
1051
403b09 1052
99b6f7 1053 %postun server-trust-ad
CB 1054 if [ "$1" -ge "1" ]; then
1055     if [ "`readlink %{_sysconfdir}/alternatives/winbind_krb5_locator.so`" == "/dev/null" ]; then
1056         %{_sbindir}/alternatives --set winbind_krb5_locator.so /dev/null
1057     fi
1058 fi
1059
403b09 1060
99b6f7 1061 %post server-trust-ad
CB 1062 %{_sbindir}/update-alternatives --install %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so \
1063         winbind_krb5_locator.so /dev/null 90
590d18 1064 /bin/systemctl reload-or-try-restart dbus
CS 1065 /bin/systemctl reload-or-try-restart oddjobd
403b09 1066
99b6f7 1067
CB 1068 %posttrans server-trust-ad
e3ffab 1069 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 1070 if [  $? -eq 0 ]; then
CB 1071 # NOTE: systemd specific section
1072     /bin/systemctl try-restart httpd.service >/dev/null 2>&1 || :
1073 # END
1074 fi
1075
403b09 1076
99b6f7 1077 %preun server-trust-ad
CB 1078 if [ $1 -eq 0 ]; then
1079     %{_sbindir}/update-alternatives --remove winbind_krb5_locator.so /dev/null
590d18 1080     /bin/systemctl reload-or-try-restart dbus
CS 1081     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1082 fi
e3ffab 1083
99b6f7 1084 %endif # ONLY_CLIENT
403b09 1085
99b6f7 1086
CB 1087 %post client
1088 if [ $1 -gt 1 ] ; then
1089     # Has the client been configured?
1090     restore=0
1091     test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1092
1093     if [ -f '/etc/sssd/sssd.conf' -a $restore -ge 2 ]; then
1094         if ! grep -E -q '/var/lib/sss/pubconf/krb5.include.d/' /etc/krb5.conf  2>/dev/null ; then
1095             echo "includedir /var/lib/sss/pubconf/krb5.include.d/" > /etc/krb5.conf.ipanew
1096             cat /etc/krb5.conf >> /etc/krb5.conf.ipanew
590d18 1097             mv -Z /etc/krb5.conf.ipanew /etc/krb5.conf
99b6f7 1098         fi
CB 1099     fi
e3ffab 1100
CS 1101     if [ -f '/etc/sysconfig/ntpd' -a $restore -ge 2 ]; then
1102         if grep -E -q 'OPTIONS=.*-u ntp:ntp' /etc/sysconfig/ntpd 2>/dev/null; then
1103             sed -r '/OPTIONS=/ { s/\s+-u ntp:ntp\s+/ /; s/\s*-u ntp:ntp\s*// }' /etc/sysconfig/ntpd >/etc/sysconfig/ntpd.ipanew
590d18 1104             mv -Z /etc/sysconfig/ntpd.ipanew /etc/sysconfig/ntpd
e3ffab 1105
CS 1106             /bin/systemctl condrestart ntpd.service 2>&1 || :
1107         fi
1108     fi
1109
403b09 1110     if [ $restore -ge 2 ]; then
CS 1111         python2 -c 'from ipapython.certdb import update_ipa_nssdb; update_ipa_nssdb()' >/var/log/ipaupgrade.log 2>&1
e3ffab 1112     fi
99b6f7 1113 fi
CB 1114
403b09 1115
CS 1116 %triggerin client -- openssh-server
99b6f7 1117 # Has the client been configured?
CB 1118 restore=0
1119 test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1120
1121 if [ -f '/etc/ssh/sshd_config' -a $restore -ge 2 ]; then
1122     if grep -E -q '^(AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys|PubKeyAgent /usr/bin/sss_ssh_authorizedkeys %u)$' /etc/ssh/sshd_config 2>/dev/null; then
1123         sed -r '
1124             /^(AuthorizedKeysCommand(User|RunAs)|PubKeyAgentRunAs)[ \t]/ d
1125         ' /etc/ssh/sshd_config >/etc/ssh/sshd_config.ipanew
1126
1127         if /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandUser=nobody'; then
1128             sed -ri '
1129                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1130                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandUser nobody/
1131             ' /etc/ssh/sshd_config.ipanew
1132         elif /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandRunAs=nobody'; then
1133             sed -ri '
1134                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1135                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandRunAs nobody/
1136             ' /etc/ssh/sshd_config.ipanew
1137         elif /usr/sbin/sshd -t -f /dev/null -o 'PubKeyAgent=/usr/bin/sss_ssh_authorizedkeys %u' -o 'PubKeyAgentRunAs=nobody'; then
1138             sed -ri '
1139                 s/^AuthorizedKeysCommand (.+)$/PubKeyAgent \1 %u/
1140                 s/^PubKeyAgent .*$/\0\nPubKeyAgentRunAs nobody/
1141             ' /etc/ssh/sshd_config.ipanew
1142         fi
1143
590d18 1144         mv -Z /etc/ssh/sshd_config.ipanew /etc/ssh/sshd_config
99b6f7 1145         chmod 600 /etc/ssh/sshd_config
CB 1146
1147         /bin/systemctl condrestart sshd.service 2>&1 || :
1148     fi
1149 fi
1150
403b09 1151
99b6f7 1152 %if ! %{ONLY_CLIENT}
403b09 1153
CS 1154 %files server
99b6f7 1155 %defattr(-,root,root,-)
403b09 1156 %doc README Contributors.txt
CS 1157 %license COPYING
e3ffab 1158 %{_sbindir}/ipa-backup
CS 1159 %{_sbindir}/ipa-restore
99b6f7 1160 %{_sbindir}/ipa-ca-install
590d18 1161 %{_sbindir}/ipa-kra-install
99b6f7 1162 %{_sbindir}/ipa-server-install
CB 1163 %{_sbindir}/ipa-replica-conncheck
1164 %{_sbindir}/ipa-replica-install
1165 %{_sbindir}/ipa-replica-prepare
1166 %{_sbindir}/ipa-replica-manage
1167 %{_sbindir}/ipa-csreplica-manage
1168 %{_sbindir}/ipa-server-certinstall
590d18 1169 %{_sbindir}/ipa-server-upgrade
99b6f7 1170 %{_sbindir}/ipa-ldap-updater
e3ffab 1171 %{_sbindir}/ipa-otptoken-import
99b6f7 1172 %{_sbindir}/ipa-compat-manage
CB 1173 %{_sbindir}/ipa-nis-manage
1174 %{_sbindir}/ipa-managed-entries
1175 %{_sbindir}/ipactl
1176 %{_sbindir}/ipa-upgradeconfig
1177 %{_sbindir}/ipa-advise
e3ffab 1178 %{_sbindir}/ipa-cacert-manage
590d18 1179 %{_sbindir}/ipa-winsync-migrate
e3ffab 1180 %{_libexecdir}/certmonger/dogtag-ipa-ca-renew-agent-submit
CS 1181 %{_libexecdir}/certmonger/ipa-server-guard
99b6f7 1182 %{_libexecdir}/ipa-otpd
e3ffab 1183 %dir %{_libexecdir}/ipa
590d18 1184 %{_libexecdir}/ipa/ipa-dnskeysyncd
CS 1185 %{_libexecdir}/ipa/ipa-dnskeysync-replica
1186 %{_libexecdir}/ipa/ipa-ods-exporter
1187 %{_libexecdir}/ipa/ipa-httpd-kdcproxy
403b09 1188 %{_libexecdir}/ipa/ipa-pki-retrieve-key
CS 1189 %dir %{_libexecdir}/ipa/oddjob
1190 %attr(0755,root,root) %{_libexecdir}/ipa/oddjob/org.freeipa.server.conncheck
1191 %config(noreplace) %{_sysconfdir}/dbus-1/system.d/org.freeipa.server.conf
1192 %config(noreplace) %{_sysconfdir}/oddjobd.conf.d/ipa-server.conf
1193 %dir %{_libexecdir}/ipa/certmonger
1194 %attr(755,root,root) %{_libexecdir}/ipa/certmonger/*
1195 # NOTE: systemd specific section
1196 %attr(644,root,root) %{_unitdir}/ipa.service
1197 %attr(644,root,root) %{_unitdir}/ipa-otpd.socket
1198 %attr(644,root,root) %{_unitdir}/ipa-otpd@.service
1199 %attr(644,root,root) %{_unitdir}/ipa-dnskeysyncd.service
1200 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.socket
1201 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.service
1202 # END
1203 %attr(755,root,root) %{plugin_dir}/libipa_pwd_extop.so
1204 %attr(755,root,root) %{plugin_dir}/libipa_enrollment_extop.so
1205 %attr(755,root,root) %{plugin_dir}/libipa_winsync.so
1206 %attr(755,root,root) %{plugin_dir}/libipa_repl_version.so
1207 %attr(755,root,root) %{plugin_dir}/libipa_uuid.so
1208 %attr(755,root,root) %{plugin_dir}/libipa_modrdn.so
1209 %attr(755,root,root) %{plugin_dir}/libipa_lockout.so
1210 %attr(755,root,root) %{plugin_dir}/libipa_cldap.so
1211 %attr(755,root,root) %{plugin_dir}/libipa_dns.so
1212 %attr(755,root,root) %{plugin_dir}/libipa_range_check.so
1213 %attr(755,root,root) %{plugin_dir}/libipa_otp_counter.so
1214 %attr(755,root,root) %{plugin_dir}/libipa_otp_lasttoken.so
1215 %attr(755,root,root) %{plugin_dir}/libtopology.so
1216 %attr(755,root,root) %{plugin_dir}/libipa_sidgen.so
1217 %attr(755,root,root) %{plugin_dir}/libipa_sidgen_task.so
1218 %attr(755,root,root) %{plugin_dir}/libipa_extdom_extop.so
1219 %attr(755,root,root) %{_libdir}/krb5/plugins/kdb/ipadb.so
1220 %{_mandir}/man1/ipa-replica-conncheck.1.gz
1221 %{_mandir}/man1/ipa-replica-install.1.gz
1222 %{_mandir}/man1/ipa-replica-manage.1.gz
1223 %{_mandir}/man1/ipa-csreplica-manage.1.gz
1224 %{_mandir}/man1/ipa-replica-prepare.1.gz
1225 %{_mandir}/man1/ipa-server-certinstall.1.gz
1226 %{_mandir}/man1/ipa-server-install.1.gz
1227 %{_mandir}/man1/ipa-server-upgrade.1.gz
1228 %{_mandir}/man1/ipa-ca-install.1.gz
1229 %{_mandir}/man1/ipa-kra-install.1.gz
1230 %{_mandir}/man1/ipa-compat-manage.1.gz
1231 %{_mandir}/man1/ipa-nis-manage.1.gz
1232 %{_mandir}/man1/ipa-managed-entries.1.gz
1233 %{_mandir}/man1/ipa-ldap-updater.1.gz
1234 %{_mandir}/man8/ipactl.8.gz
1235 %{_mandir}/man8/ipa-upgradeconfig.8.gz
1236 %{_mandir}/man1/ipa-backup.1.gz
1237 %{_mandir}/man1/ipa-restore.1.gz
1238 %{_mandir}/man1/ipa-advise.1.gz
1239 %{_mandir}/man1/ipa-otptoken-import.1.gz
1240 %{_mandir}/man1/ipa-cacert-manage.1.gz
1241 %{_mandir}/man1/ipa-winsync-migrate.1.gz
1242
1243
1244 %files -n python2-ipaserver -f server-python.list
1245 %defattr(-,root,root,-)
1246 %doc README Contributors.txt
1247 %license COPYING
1248 %{python_sitelib}/freeipa-*.egg-info
1249 %dir %{python_sitelib}/ipaserver
1250 %dir %{python_sitelib}/ipaserver/install
1251 %dir %{python_sitelib}/ipaserver/install/plugins
1252 %dir %{python_sitelib}/ipaserver/install/server
1253 %dir %{python_sitelib}/ipaserver/advise
1254 %dir %{python_sitelib}/ipaserver/advise/plugins
1255 %dir %{python_sitelib}/ipaserver/plugins
1256
1257
1258 %files server-common
1259 %defattr(-,root,root,-)
1260 %doc README Contributors.txt
1261 %license COPYING
590d18 1262 %ghost %verify(not owner group) %dir %{_sharedstatedir}/kdcproxy
CS 1263 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/kdcproxy
99b6f7 1264 %config(noreplace) %{_sysconfdir}/sysconfig/ipa_memcached
590d18 1265 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 1266 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-ods-exporter
1267 %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 1268 %dir %attr(0700,apache,apache) %{_localstatedir}/run/ipa_memcached/
CB 1269 %dir %attr(0700,root,root) %{_localstatedir}/run/ipa/
590d18 1270 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/
CS 1271 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/clientcaches/
1272 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/krbcache/
99b6f7 1273 # NOTE: systemd specific section
e3ffab 1274 %{_tmpfilesdir}/%{name}.conf
99b6f7 1275 %attr(644,root,root) %{_unitdir}/ipa_memcached.service
403b09 1276 %attr(644,root,root) %{_unitdir}/ipa-custodia.service
CS 1277 %ghost %attr(644,root,root) %{etc_systemd_dir}/httpd.d/ipa.conf
e3ffab 1278 # END
99b6f7 1279 %dir %{_usr}/share/ipa
CB 1280 %{_usr}/share/ipa/wsgi.py*
1281 %{_usr}/share/ipa/copy-schema-to-ca.py*
1282 %{_usr}/share/ipa/*.ldif
1283 %{_usr}/share/ipa/*.uldif
1284 %{_usr}/share/ipa/*.template
1285 %dir %{_usr}/share/ipa/advise
1286 %dir %{_usr}/share/ipa/advise/legacy
1287 %{_usr}/share/ipa/advise/legacy/*.template
590d18 1288 %dir %{_usr}/share/ipa/profiles
CS 1289 %{_usr}/share/ipa/profiles/*.cfg
99b6f7 1290 %dir %{_usr}/share/ipa/ffextension
CB 1291 %{_usr}/share/ipa/ffextension/bootstrap.js
1292 %{_usr}/share/ipa/ffextension/install.rdf
1293 %{_usr}/share/ipa/ffextension/chrome.manifest
1294 %dir %{_usr}/share/ipa/ffextension/chrome
1295 %dir %{_usr}/share/ipa/ffextension/chrome/content
1296 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth.js
1297 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth_overlay.xul
1298 %dir %{_usr}/share/ipa/ffextension/locale
1299 %dir %{_usr}/share/ipa/ffextension/locale/en-US
1300 %{_usr}/share/ipa/ffextension/locale/en-US/kerberosauth.properties
1301 %dir %{_usr}/share/ipa/html
1302 %{_usr}/share/ipa/html/ffconfig.js
1303 %{_usr}/share/ipa/html/ffconfig_page.js
1304 %{_usr}/share/ipa/html/ssbrowser.html
1305 %{_usr}/share/ipa/html/browserconfig.html
1306 %{_usr}/share/ipa/html/unauthorized.html
1307 %dir %{_usr}/share/ipa/migration
1308 %{_usr}/share/ipa/migration/error.html
1309 %{_usr}/share/ipa/migration/index.html
1310 %{_usr}/share/ipa/migration/invalid.html
1311 %{_usr}/share/ipa/migration/migration.py*
1312 %dir %{_usr}/share/ipa/ui
1313 %{_usr}/share/ipa/ui/index.html
1314 %{_usr}/share/ipa/ui/reset_password.html
e3ffab 1315 %{_usr}/share/ipa/ui/sync_otp.html
99b6f7 1316 %{_usr}/share/ipa/ui/*.ico
CB 1317 %{_usr}/share/ipa/ui/*.css
1318 %{_usr}/share/ipa/ui/*.js
e3ffab 1319 %dir %{_usr}/share/ipa/ui/css
CS 1320 %{_usr}/share/ipa/ui/css/*.css
9991ea 1321 %dir %{_usr}/share/ipa/ui/js
99b6f7 1322 %dir %{_usr}/share/ipa/ui/js/dojo
CB 1323 %{_usr}/share/ipa/ui/js/dojo/dojo.js
1324 %dir %{_usr}/share/ipa/ui/js/libs
1325 %{_usr}/share/ipa/ui/js/libs/*.js
1326 %dir %{_usr}/share/ipa/ui/js/freeipa
1327 %{_usr}/share/ipa/ui/js/freeipa/app.js
e3ffab 1328 %{_usr}/share/ipa/ui/js/freeipa/core.js
99b6f7 1329 %dir %{_usr}/share/ipa/ui/js/plugins
CB 1330 %dir %{_usr}/share/ipa/ui/images
e3ffab 1331 %{_usr}/share/ipa/ui/images/*.jpg
99b6f7 1332 %{_usr}/share/ipa/ui/images/*.png
CB 1333 %dir %{_usr}/share/ipa/wsgi
1334 %{_usr}/share/ipa/wsgi/plugins.py*
1335 %dir %{_sysconfdir}/ipa
1336 %dir %{_sysconfdir}/ipa/html
1337 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig.js
1338 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig_page.js
1339 %config(noreplace) %{_sysconfdir}/ipa/html/ssbrowser.html
1340 %config(noreplace) %{_sysconfdir}/ipa/html/unauthorized.html
1341 %config(noreplace) %{_sysconfdir}/ipa/html/browserconfig.html
1342 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
1343 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 1344 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 1345 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
590d18 1346 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/ipa-kdc-proxy.conf
403b09 1347 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/dnssec
99b6f7 1348 %{_usr}/share/ipa/ipa.conf
CB 1349 %{_usr}/share/ipa/ipa-rewrite.conf
1350 %{_usr}/share/ipa/ipa-pki-proxy.conf
590d18 1351 %{_usr}/share/ipa/kdcproxy.conf
99b6f7 1352 %ghost %attr(0644,root,apache) %config(noreplace) %{_usr}/share/ipa/html/ca.crt
CB 1353 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/kerberosauth.xpi
1354 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.con
1355 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.js
1356 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb5.ini
1357 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krbrealm.con
1358 %dir %{_usr}/share/ipa/updates/
1359 %{_usr}/share/ipa/updates/*
1360 %dir %{_localstatedir}/lib/ipa
e3ffab 1361 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/backup
99b6f7 1362 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysrestore
CB 1363 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysupgrade
1364 %attr(755,root,root) %dir %{_localstatedir}/lib/ipa/pki-ca
1365 %ghost %{_localstatedir}/lib/ipa/pki-ca/publish
e3ffab 1366 %ghost %{_localstatedir}/named/dyndb-ldap/ipa
403b09 1367 %dir %attr(0700,root,root) %{_sysconfdir}/ipa/custodia
CS 1368
590d18 1369
CS 1370 %files server-dns
403b09 1371 %defattr(-,root,root,-)
CS 1372 %doc README Contributors.txt
1373 %license COPYING
590d18 1374 %{_sbindir}/ipa-dns-install
CS 1375 %{_mandir}/man1/ipa-dns-install.1.gz
99b6f7 1376
403b09 1377
99b6f7 1378 %files server-trust-ad
403b09 1379 %defattr(-,root,root,-)
CS 1380 %doc README Contributors.txt
1381 %license COPYING
99b6f7 1382 %{_sbindir}/ipa-adtrust-install
CB 1383 %{_usr}/share/ipa/smb.conf.empty
1384 %attr(755,root,root) %{_libdir}/samba/pdb/ipasam.so
1385 %{_mandir}/man1/ipa-adtrust-install.1.gz
1386 %ghost %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
590d18 1387 %{_sysconfdir}/dbus-1/system.d/oddjob-ipa-trust.conf
CS 1388 %{_sysconfdir}/oddjobd.conf.d/oddjobd-ipa-trust.conf
403b09 1389 %%attr(755,root,root) %{_libexecdir}/ipa/oddjob/com.redhat.idm.trust-fetch-domains
99b6f7 1390
CB 1391 %endif # ONLY_CLIENT
1392
403b09 1393
99b6f7 1394 %files client
CB 1395 %defattr(-,root,root,-)
403b09 1396 %doc README Contributors.txt
CS 1397 %license COPYING
99b6f7 1398 %{_sbindir}/ipa-client-install
CB 1399 %{_sbindir}/ipa-client-automount
e3ffab 1400 %{_sbindir}/ipa-certupdate
99b6f7 1401 %{_sbindir}/ipa-getkeytab
CB 1402 %{_sbindir}/ipa-rmkeytab
1403 %{_sbindir}/ipa-join
1404 %{_mandir}/man1/ipa-getkeytab.1.gz
1405 %{_mandir}/man1/ipa-rmkeytab.1.gz
1406 %{_mandir}/man1/ipa-client-install.1.gz
1407 %{_mandir}/man1/ipa-client-automount.1.gz
e3ffab 1408 %{_mandir}/man1/ipa-certupdate.1.gz
99b6f7 1409 %{_mandir}/man1/ipa-join.1.gz
403b09 1410
CS 1411
1412 %files -n python2-ipaclient
1413 %defattr(-,root,root,-)
1414 %doc README Contributors.txt
1415 %license COPYING
1416 %dir %{python_sitelib}/ipaclient
1417 %{python_sitelib}/ipaclient/*.py*
1418 %{python_sitelib}/ipaclient/plugins/*.py*
1419 %{python_sitelib}/ipaclient/remote_plugins/*.py*
1420 %{python_sitelib}/ipaclient/remote_plugins/2_*/*.py*
1421 %{python_sitelib}/ipaclient-*.egg-info
1422
1423
1424 %if 0%{?with_python3}
1425
1426 %files -n python3-ipaclient
1427 %defattr(-,root,root,-)
1428 %doc README Contributors.txt
1429 %license COPYING
1430 %dir %{python3_sitelib}/ipaclient
1431 %{python3_sitelib}/ipaclient/*.py
1432 %{python3_sitelib}/ipaclient/__pycache__/*.py*
1433 %{python3_sitelib}/ipaclient/plugins/*.py
1434 %{python3_sitelib}/ipaclient/plugins/__pycache__/*.py*
1435 %{python3_sitelib}/ipaclient/remote_plugins/*.py
1436 %{python3_sitelib}/ipaclient/remote_plugins/__pycache__/*.py*
1437 %{python3_sitelib}/ipaclient/remote_plugins/2_*/*.py
1438 %{python3_sitelib}/ipaclient/remote_plugins/2_*/__pycache__/*.py*
1439 %{python3_sitelib}/ipaclient-*.egg-info
1440
1441 %endif # with_python3
1442
1443
1444 %files client-common
1445 %defattr(-,root,root,-)
1446 %doc README Contributors.txt
1447 %license COPYING
1448 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/
1449 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/default.conf
1450 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/ca.crt
1451 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/nssdb
1452 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/cert8.db
1453 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/key3.db
1454 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/secmod.db
1455 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/pwdfile.txt
1456 %ghost %config(noreplace) %{_sysconfdir}/pki/ca-trust/source/ipa.p11-kit
1457 %dir %{_usr}/share/ipa
1458 %dir %{_localstatedir}/lib/ipa-client
1459 %dir %{_localstatedir}/lib/ipa-client/sysrestore
99b6f7 1460 %{_mandir}/man5/default.conf.5.gz
403b09 1461
99b6f7 1462
CB 1463 %files admintools
1464 %defattr(-,root,root,-)
403b09 1465 %doc README Contributors.txt
CS 1466 %license COPYING
99b6f7 1467 %{_bindir}/ipa
CB 1468 %config %{_sysconfdir}/bash_completion.d
1469 %{_mandir}/man1/ipa.1.gz
1470
403b09 1471
CS 1472 %files python-compat
99b6f7 1473 %defattr(-,root,root,-)
403b09 1474 %doc README Contributors.txt
CS 1475 %license COPYING
1476
1477
1478 %files -n python2-ipalib
1479 %defattr(-,root,root,-)
1480 %doc README Contributors.txt
1481 %license COPYING
99b6f7 1482 %dir %{python_sitelib}/ipapython
CB 1483 %{python_sitelib}/ipapython/*.py*
590d18 1484 %dir %{python_sitelib}/ipapython/dnssec
CS 1485 %{python_sitelib}/ipapython/dnssec/*.py*
1486 %dir %{python_sitelib}/ipapython/install
1487 %{python_sitelib}/ipapython/install/*.py*
403b09 1488 %dir %{python_sitelib}/ipapython/secrets
CS 1489 %{python_sitelib}/ipapython/secrets/*.py*
99b6f7 1490 %dir %{python_sitelib}/ipalib
CB 1491 %{python_sitelib}/ipalib/*
e3ffab 1492 %dir %{python_sitelib}/ipaplatform
CS 1493 %{python_sitelib}/ipaplatform/*
99b6f7 1494 %{python_sitelib}/ipapython-*.egg-info
403b09 1495 %{python_sitelib}/ipalib-*.egg-info
e3ffab 1496 %{python_sitelib}/ipaplatform-*.egg-info
403b09 1497
CS 1498
1499 %files common -f %{gettext_domain}.lang
1500 %defattr(-,root,root,-)
1501 %doc README Contributors.txt
1502 %license COPYING
1503
1504
1505 %if 0%{?with_python3}
1506
1507 %files -n python3-ipalib
1508 %defattr(-,root,root,-)
1509 %doc README Contributors.txt
1510 %license COPYING
1511
1512 %{python3_sitelib}/ipapython/
1513 %{python3_sitelib}/ipalib/
1514 %{python3_sitelib}/ipaplatform/
1515 %{python3_sitelib}/ipapython-*.egg-info
1516 %{python3_sitelib}/ipalib-*.egg-info
1517 %{python3_sitelib}/ipaplatform-*.egg-info
1518
1519 %endif # with_python3
1520
e3ffab 1521
CS 1522 # RHEL spec file only: DELETED: Do not build tests
99b6f7 1523
1df45c 1524
403b09 1525 %changelog
21794d 1526 * Thu Nov 03 2016 CentOS Sources <bugs@centos.org> - 4.4.0-12.el7.centos
CS 1527 - Roll in CentOS Branding
1528
403b09 1529 * Fri Sep 16 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-12
CS 1530 - Resolves: #1373910 IPA server upgrade fails with DNS timed out errors.
1531 - Resolves: #1375269 ipa trust-fetch-domains throws internal error
1532
1533 * Tue Sep 13 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-11
1534 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
1535   - Fix regression introduced in ipa-certupdate
1536
1537 * Wed Sep  7 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-10
1538 - Resolves: #1355753 adding two way non transitive(external) trust displays
1539   internal error on the console
1540   - Always fetch forest info from root DCs when establishing two-way trust
1541   - factor out `populate_remote_domain` method into module-level function
1542   - Always fetch forest info from root DCs when establishing one-way trust
1543 - Resolves: #1356101 Lightweight sub-CA certs are not tracked by certmonger
1544   after `ipa-replica-install`
1545   - Track lightweight CAs on replica installation
1546 - Resolves: #1357488 ipa command stuck forever on higher versioned client with
1547   lower versioned server
1548   - compat: Save server's API version in for pre-schema servers
1549   - compat: Fix ping command call
1550   - schema cache: Store and check info for pre-schema servers
1551 - Resolves: #1363905 man page for ipa-replica-manage has a typo in -c flag
1552   - Fix man page ipa-replica-manage: remove duplicate -c option
1553     from --no-lookup
1554 - Resolves: #1367865 webui: cert_revoke should use --cacn to set correct CA
1555   when revoking certificate
1556   - cert: include CA name in cert command output
1557   - WebUI add support for sub-CAs while revoking certificates
1558 - Resolves: #1368424 Unable to view certificates issued by Sub CA in Web UI
1559   - Add support for additional options taken from table facet
1560   - WebUI: Fix showing certificates issued by sub-CA
1561 - Resolves: #1368557 dnsrecord-add does not prompt for missing record parts
1562   internactively
1563   - dns: normalize record type read interactively in dnsrecord_add
1564   - dns: prompt for missing record parts in CLI
1565   - dns: fix crash in interactive mode against old servers
1566 - Resolves: #1370519 Certificate revocation in service-del and host-del isn't
1567   aware of Sub CAs
1568   - cert: fix cert-find --certificate when the cert is not in LDAP
1569   - Make host/service cert revocation aware of lightweight CAs
1570 - Resolves: #1371901 Use OAEP padding with custodia
1571   - Use RSA-OAEP instead of RSA PKCS#1 v1.5
1572 - Resolves: #1371915 When establishing external two-way trust, forest root
1573   Administrator account is used to fetch domain info
1574   - do not use trusted forest name to construct domain admin principal
1575 - Resolves: #1372597 Incorrect CA ACL evaluation of SAN DNS names in
1576   certificate request
1577   - Fix CA ACL Check on SubjectAltNames
1578 - Resolves: #1373272 CLI always sends default command version
1579   - cli: use full name when executing a command
1580 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
1581   - Fix ipa-certupdate for CA-less installation
1582 - Resolves: #1373540 client-install with IPv6 address fails on link-local
1583   address (always)
1584   - Fix parse errors with link-local addresses
1585
1586 * Fri Sep  2 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-9
1587 - Resolves: #1081561 CA not start during ipa server install in pure IPv6 env
1588   - Fix ipa-server-install in pure IPv6 environment
1589 - Resolves: #1318169 Tree-root domains in a trusted AD forest aren't marked as
1590   reachable via the forest root
1591   - trust: make sure ID range is created for the child domain even if it exists
1592   - ipa-kdb: simplify trusted domain parent search
1593 - Resolves: #1335567 Update Warning in IdM Web UI API browser
1594   - WebUI: add API browser is tech preview warning
1595 - Resolves: #1348560 Mulitple domain Active Directory Trust conflict
1596   - ipaserver/dcerpc: reformat to make the code closer to pep8
1597   - trust: automatically resolve DNS trust conflicts for triangle trusts
80f874 1598 - Resolves: #1351593 CVE-2016-5404 ipa: Insufficient privileges check in
CS 1599   certificate revocation
1600   - cert-revoke: fix permission check bypass (CVE-2016-5404)
403b09 1601 - Resolves: #1353936 custodia.conf and server.keys file is world-readable.
CS 1602   - Remove Custodia server keys from LDAP
1603   - Secure permissions of Custodia server.keys
1604 - Resolves: #1358752 ipa-ca-install fails on replica when IPA server is
1605   converted from CA-less to CA-full
1606   - custodia: include known CA certs in the PKCS#12 file for Dogtag
1607   - custodia: force reconnect before retrieving CA certs from LDAP
1608 - Resolves: #1362333 ipa vault container owner cannot add vault
1609   - Fix: container owner should be able to add vault
1610 - Resolves: #1365546 External trust with root domain is transitive
1611   - trust: make sure external trust topology is correctly rendered
1612 - Resolves: #1365572 IPA server broken after upgrade
1613   - Require pki-core-10.3.3-7
1614 - Resolves: #1367864 Server assumes latest version of command instead of
1615   version 1 for old / 3rd party clients
1616   - rpcserver: assume version 1 for unversioned command calls
1617   - rpcserver: fix crash in XML-RPC system commands
1618 - Resolves: #1367773 thin client ignores locale change
1619   - schema cache: Fallback to 'en_us' when locale is not available
1620 - Resolves: #1368754 ipa server uninstall fails with Python "Global Name error"
1621   - Fail on topology disconnect/last role removal
1622 - Resolves: #1368981 ipa otptoken-add --type=hotp --key creates wrong OTP
1623   - otptoken, permission: Convert custom type parameters on server
1624 - Resolves: #1369414 ipa server-del fails with Python stack trace
1625   - Handled empty hostname in server-del command
1626 - Resolves: #1369761 ipa-server must depend on a version of httpd that support
1627   mod_proxy with UDS
1628   - Require httpd 2.4.6-31 with mod_proxy Unix socket support
1629 - Resolves: #1370512 Received ACIError instead of DuplicatedError in
1630   stageuser_tests
1631   - Raise DuplicatedEnrty error when user exists in delete_container
1632 - Resolves: #1371479 cert-find --all does not show information about revocation
1633   - cert: add missing param values to cert-find output
1634 - Renamed patch 1011 to 0100, as it was merged upstream
198fa5 1635
403b09 1636 * Wed Aug 17 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-8
CS 1637 - Resolves: #1298288 [RFE] Improve performance in large environments.
1638   - cert: speed up cert-find
1639 - Resolves: #1317379 [EXPERIMENTAL][RFE] Web UI: allow Smart Card
1640   authentication
1641   - service: add flag to allow S4U2Self
1642   - Add 'trusted to auth as user' checkbox
1643   - Added new authentication method
1644 - Resolves: #1353881 ipa-replica-install suggests about
1645   non-existent --force-ntpd option
1646   - Don't show --force-ntpd option in replica install
1647 - Resolves: #1354441 DNS forwarder check is too strict: unable to add
1648   sub-domain to already-broken domain
1649   - DNS: allow to add forward zone to already broken sub-domain
1650 - Resolves: #1356146 performance regression in CLI help
1651   - schema: Speed up schema cache
1652   - frontend: Change doc, summary, topic and NO_CLI to class properties
1653   - schema: Introduce schema cache format
1654   - schema: Generate bits for help load them on request
1655   - help: Do not create instances to get information about commands and topics
1656   - schema cache: Do not reset ServerInfo dirty flag
1657   - schema cache: Do not read fingerprint and format from cache
1658   - Access data for help separately
1659   - frontent: Add summary class property to CommandOverride
1660   - schema cache: Read server info only once
1661   - schema cache: Store API schema cache in memory
1662   - client: Do not create instance just to check isinstance
1663   - schema cache: Read schema instead of rewriting it when SchemaUpToDate
1664 - Resolves: #1360769 ipa-server-certinstall couldnt unlock private key file
1665   - server install: do not prompt for cert file PIN repeatedly
1666 - Resolves: #1364113 ipa-password: ipa: ERROR: RuntimeError: Unable to create
1667   cache directory: [Errno 13] Permission denied: '/home/test_user'
1668   - schema: Speed up schema cache
1669 - Resolves: #1366604 `cert-find` crashes on invalid certificate data
1670   - cert: do not crash on invalid data in cert-find
1671 - Resolves: #1366612 Middle replica uninstallation in line topology works
1672   without '--ignore-topology-disconnect'
1673   - Fail on topology disconnect/last role removal
1674 - Resolves: #1366626 caacl-add-service: incorrect error message when service
1675   does not exists
1676   - Fix ipa-caalc-add-service error message
1677 - Resolves: #1367022 The ipa-server-upgrade command failed when named-pkcs11
1678   does not happen to run during dnf upgrade
1679   - DNS server upgrade: do not fail when DNS server did not respond
1680 - Resolves: #1367759 [RFE] [webui] warn admin if there is only one IPA server
1681   with CA
1682   - Add warning about only one existing CA server
1683   - Set servers list as default facet in topology facet group
1684 - Resolves: #1367773 thin client ignores locale change
1685   - schema check: Check current client language against cached one
1686
1687 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-7
1688 - Resolves: #1361119 UPN-based search for AD users does not match an entry in
1689   slapi-nis map cache
1690   - support multiple uid values in schema compatibility tree
1691
1692 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-6
1693 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
1694   - Revert "spec: add conflict with bind-chroot to freeipa-server-dns"
1695 - Resolves: #1341249 Subsequent external CA installation fails
1696   - install: fix external CA cert validation
1697 - Resolves: #1353831 ipa-server-install fails in container because of
1698   hostnamectl set-hostname
1699   - server-install: Fix --hostname option to always override api.env values
1700   - install: Call hostnamectl set-hostname only if --hostname option is used
1701 - Resolves: #1356091 ipa-cacert-manage --help and man differ
1702   - Improvements for the ipa-cacert-manage man and help
1703 - Resolves: #1360631 ipa-backup is not keeping the
1704   /etc/tmpfiles.d/dirsrv-<instance>.conf
1705   - ipa-backup: backup /etc/tmpfiles.d/dirsrv-<instance>.conf
1706 - Resolves: #1361047 ipa-replica-install --help usage line suggests the replica
1707   file is needed
1708   - Update ipa-replica-install documentation
1709 - Resolves: #1361545 ipa-client-install starts rhel-domainname.service but does
1710   not rpm-require it
1711   - client: RPM require initscripts to get *-domainname.service
1712 - Resolves: #1364197 caacl: error when instantiating rules with service
1713   principals
1714   - caacl: fix regression in rule instantiation
1715 - Resolves: #1364310 ipa otptoken-add bytes object has no attribute confirm
1716   - parameters: move the `confirm` kwarg to Param
1717 - Resolves: #1364464 Topology graph: ca and domain adders shows question marks
1718   instead of plus icon
1719   - Fix unicode characters in ca and domain adders
1720 - Resolves: #1365083 Incomplete output returned for command ipa vault-add
1721   - client: add missing output params to client-side commands
1722 - Resolves: #1365526 build fails during "make check"
1723   - ipa-kdb: Fix unit test after packaging changes in krb5
1724
1725 * Fri Aug  5 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-5
1726 - Resolves: #1353829 traceback message seen in ipaserver-uninstall.log file.
1727   - Do not initialize API in ipa-client-automount uninstall
1728 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
1729   client changes
1730   - idrange: fix unassigned global variable
1731 - Resolves: #1360792 Migrating users doesn't update krbCanonicalName
1732   - re-set canonical principal name on migrated users
1733 - Resolves: #1362012 ipa hbactest produces error about cannot concatenate 'str'
1734   and 'bool' objects
1735   - Fix ipa hbactest output
1736 - Resolves: #1362260 ipa vault-mod no longer allows defining salt
1737   - vault: add missing salt option to vault_mod
1738 - Resolves: #1362312 ipa vault-retrieve internal error when using the wrong
1739   public key
1740   - vault: Catch correct exception in decrypt
1741 - Resolves: #1362537 ipa-server-install fails to create symlink from
1742   /etc/ipa/kdcproxy/ to /etc/httpd/conf.d/
1743   - Correct path to HTTPD's systemd service directory
1744 - Resolves: #1363756 Increase length of passwords generated by installer
1745   - Increase default length of auto generated passwords
1746
1747 * Fri Jul 29 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-4
1748 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
1749   aliases)
1750   - harden the check for trust namespace overlap in new principals
1751 - Resolves: #1351142 CLI is not using session cookies for communication with
1752   IPA API
1753   - Fix session cookies
1754 - Resolves: #1353888 Fix the help for ipa otp and other topics
1755   - help: Add dnsserver commands to help topic 'dns'
1756 - Resolves: #1354406 host-del updatedns options complains about missing ptr
1757   record for host
1758   - Host-del: fix behavior of --updatedns and PTR records
1759 - Resolves: #1355718 ipa-replica-manage man page example output differs actual
1760   command output
1761   - Minor fix in ipa-replica-manage MAN page
1762 - Resolves: #1358229 Traceback message should be fixed, seen while editing
1763   winsync migrated user information in Default trust view.
1764   - baseldap: Fix MidairCollision instantiation during entry modification
1765 - Resolves: #1358849 CA replica install logs to wrong log file
1766   - unite log file name of ipa-ca-install
1767 - Resolves: #1359130 ipa-server-install command fails to install IPA server.
1768   - DNS Locations: fix update-system-records unpacking error
1769 - Resolves: #1359237 AVC on dirsrv config caused by IPA installer
1770   - Use copy when replacing files to keep SELinux context
1771 - Resolves: #1359692 ipa-client-install join fail with traceback against
1772   RHEL-6.8 ipa-server
1773   - compat: fix ping call
1774 - Resolves: #1359738 ipa-replica-install --domain=<IPA primary domain> option
1775   does not work
1776   - replica-install: Fix --domain
1777 - Resolves: #1360778 Vault commands are available in CLI even when the server
1778   does not support them
1779   - Revert "Enable vault-* commands on client"
1780   - client: fix hiding of commands which lack server support
1781 - Related: #1281704 Rebase to softhsm 2.1.0
1782   - Remove the workaround for softhsm bug #1293340
1783 - Related: #1298288 [RFE] Improve performance in large environments.
1784   - Create indexes for krbCanonicalName attribute
1785
1786 * Fri Jul 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-3
1787 - Resolves: #1296140 Remove redhat-access-plugin-ipa support
1788   - Obsolete and conflict redhat-access-plugin-ipa
1789 - Resolves: #1351119 Multiple issues while uninstalling ipa-server
1790   - server uninstall fails to remove krb principals
1791 - Resolves: #1351758 ipa commands not showing expected error messages
1792   - frontend: copy command arguments to output params on client
1793   - Show full error message for selinuxusermap-add-hostgroup
1794 - Resolves: #1352883 Traceback on adding default automember group and hostgroup
1795   set
1796   - allow 'value' output param in commands without primary key
1797 - Resolves: #1353888 Fix the help for ipa otp and other topics
1798   - schema: Fix subtopic -> topic mapping
1799 - Resolves: #1354348 ipa trustconfig-show throws internal error.
1800   - allow 'value' output param in commands without primary key
1801 - Resolves: #1354381 ipa trust-add with raw option gives internal error.
1802   - trust-add: handle `--all/--raw` options properly
1803 - Resolves: #1354493 Replica install fails with old IPA master
1804   - DNS install: Ensure that DNS servers container exists
1805 - Resolves: #1354628 ipa hostgroup-add-member does not return error message
1806   when adding itself as member
1807   - frontend: copy command arguments to output params on client
1808 - Resolves: #1355856 ipa otptoken-add --type=totp gives internal error
1809   - messages: specify message type for ResultFormattingError
1810 - Resolves: #1356063 "ipa radiusproxy-add" command needs to prompt to enter
1811   secret key
1812   - expose `--secret` option in radiusproxy-* commands
1813   - prevent search for RADIUS proxy servers by secret
1814 - Resolves: #1356099 Bug in the ipapwd plugin
1815   - Heap corruption in ipapwd plugin
1816 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
1817   client changes
1818   - Use server API in com.redhat.idm.trust-fetch-domains oddjob helper
1819 - Resolves: #1356964 Renaming a user removes all of his principal aliases
1820   - Preserve user principal aliases during rename operation
1821
1822 * Fri Jul 15 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2.1
1823 - Resolves: #1274524 [RFE] Qualify up to 60 IdM replicas
1824 - Resolves: #1320838 [RFE] Support IdM Client in a DNS domain controlled by AD
1825 - Related: #1356134 'kinit -E' does not work for IPA user
1826
1827 * Thu Jul 14 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2
1828 - Resolves: #1356102 Server uninstall does not stop tracking lightweight sub-CA
1829   with certmonger
1830   - uninstall: untrack lightweight CA certs
1831 - Resolves: #1351807 ipa-nis-manage config.get_dn missing
1832   - ipa-nis-manage: Use server API to retrieve plugin status
1833 - Resolves: #1353452 ipa-compat-manage command failed,
1834   exception: NotImplementedError: config.get_dn()
1835   - ipa-compat-manage: use server API to retrieve plugin status
1836 - Resolves: #1353899 ipa-advise: object of type 'type' has no len()
1837   - ipa-advise: correct handling of plugin namespace iteration
1838 - Resolves: #1356134 'kinit -E' does not work for IPA user
1839   - kdb: check for local realm in enterprise principals
1840 - Resolves: #1353072 ipa unknown command vault-add
1841   - Enable vault-* commands on client
1842   - vault-add: set the default vault type on the client side if none was given
1843 - Resolves: #1353995 Default CA can be used without a CA ACL
1844   - caacl: expand plugin documentation
1845 - Resolves: #1356144 host-find should not print SSH keys by default, only
1846   SSH fingerprints
1847   - host-find: do not show SSH key by default
1848 - Resolves: #1353506 ipa migrate-ds command fails for IPA in RHEL 7.3
1849   - Removed unused method parameter from migrate-ds
1850
1851 * Fri Jul  1 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-1
1852 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
1853 - Resolves: #826790 Disabling password expiration (--maxlife=0 and --minlife=0)
1854   in the default global_policy in IPA sets user's password expiration
1855   (krbPasswordExpiration) to be 90 days
1856 - Resolves: #896699 ipa-replica-manage -H does not delete DNS SRV records
1857 - Resolves: #1084018 [RFE] Add IdM user password change support for legacy
1858   client compat tree
1859 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
1860   aliases)
1861   - Fix incorrect check for principal type when evaluating CA ACLs
1862 - Resolves: #1146860 [RFE] Offer OTP generation for host enrollment in the UI
1863 - Resolves: #1238190 ipasam unable to lookup group in directory yet manual
1864   search works
1865 - Resolves: #1250110 search by users which don't have read rights for all attrs
1866   in search_attributes fails
1867 - Resolves: #1263764 Show Certificate displays in useless format
1868 - Resolves: #1272491 [WebUI] Certificate action dropdown does not display all
1869   the options after adding new certificate
1870 - Resolves: #1292141 Rebase to FreeIPA 4.4+
1871   - Rebase to 4.4.0
1872 - Resolves: #1294503 IPA fails to issue 3rd party certs
1873 - Resolves: #1298242 [RFE] API compatibility - compatibility of clients
1874 - Resolves: #1298848 [RFE] Centralized topology management
1875 - Resolves: #1298966 [RFE] Extend Smart Card support
1876 - Resolves: #1315146 Multiple clients cannot join domain simultaneously:
35e84f 1877   /var/run/httpd/ipa/clientcaches race condition?
403b09 1878 - Resolves: #1318903 ipa server install failing when SUBCA signs the cert
CS 1879 - Resolves: #1319003 ipa-winsync-migrate: Traceback should be fixed with proper
1880   console output
1881 - Resolves: #1324055 IPA always qualify requests for admin
1882 - Resolves: #1328552 [RFE] Allow users to authenticate with alternative names
1883 - Resolves: #1334582 Inconsistent UI and CLI options for removing certificate
1884   hold
1885 - Resolves: #1346321 Exclude o=ipaca subtree from Retro Changelog (syncrepl)
1886 - Resolves: #1349281 Fix `Conflicts` with ipa-python
1887 - Resolves: #1350695 execution of copy-schema script fails
1888 - Resolves: #1351118 upgrade failed for RHEL-7.3 from RHEL-7.2.z
1889 - Resolves: #1351153 AVC seen on Replica during ipa-server upgrade test
1890   execution to 7.3
1891 - Resolves: #1351276 ipa-server-install with dns cannot resolve itself to
1892   create ipa-ca entry
1893 - Related: #1343422 [RFE] Add GssapiImpersonate option
b31a75 1894
403b09 1895 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.2.alpha1
CS 1896 - Resolves: #1348948 IPA server install fails with build
1897   ipa-server-4.4.0-0.el7.1.alpha1
1898   - Revert "Increased mod_wsgi socket-timeout"
db5969 1899
403b09 1900 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.1.alpha1
CS 1901 - Resolves: #712109 "krbExtraData not allowed" is logged in DS error log while
1902   setting password for default sudo binddn.
1903 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
1904 - Resolves: #768316 [RFE] ipa-getkeytab should auto-detect the ipa server name
1905 - Resolves: #825391 [RFE] Replica installation should provide a means for
1906   inheriting nssldap security access settings
1907 - Resolves: #921497 Incorrect *.py[co] files placement
1908 - Resolves: #1029640 RHEL7 IPA to add DNA Plugin config for dnaRemote support
1909 - Resolves: #1029905 389 DS cache sizes not replicated to IPA replicas
1910 - Resolves: #1196958 IPA replica installation failing with high number of users
1911   (160000).
1912 - Resolves: #1219402 IPA suggests to uninstall a client when the user needs to
1913   uninstall a replica
1914 - Resolves: #1224057 [RFE] TGS authorization decisions in KDC based on
1915   Authentication Indicator
1916 - Resolves: #1234222 [WebUI] UI error message is not appropriate for "Kerberos
1917   principal expiration"
1918 - Resolves: #1234223 [WebUI] General invalid password error message appearing
1919   for "Locked user"
1920 - Resolves: #1254267 ipa-server-install failure applying ldap updates with
1921   limits exceeded
1922 - Resolves: #1258626 realmdomains-mod --add-domain command throwing error when
1923   doamin already is in forwardzone.
1924 - Resolves: #1259020 ipa-server-adtrust-install doesn't allow
1925   NetBIOS-name=EXAMPLE-TEST.COM (dash character)
1926 - Resolves: #1260993 DNSSEC signing enablement on dnszone should throw error
1927   message when DNSSEC master not installed
1928 - Resolves: #1262747 dnssec options missing in ipa-dns-install man page
1929 - Resolves: #1265900 Fail installation immediately after dirsrv fails to
1930   install using ipa-server-install
1931 - Resolves: #1265915 idoverrideuser-find fails if any SID anchor is not
1932   resolvable anymore
1933 - Resolves: #1268027 ipa-dnskeysync-replica crash with backtrace -
1934   LimitsExceeded: limits exceeded for this query
1935 - Resolves: #1269089 Certificate of managed-by host/service fails to resubmit
1936 - Resolves: #1269200 ipa-server crashing while trying to preserve admin user
1937 - Resolves: #1271321 Reduce ioblocktimeout and idletimeout defaults
1938 - Resolves: #1271579 Automember rule expressions disappear from tables on
1939   single expression delete
1940 - Resolves: #1275816 Incomplete ports for IPA ad-trust
1941 - Resolves: #1276351 [RFE] Remove
1942   /usr/share/ipa/updates/50-lockout-policy.update file from IPA releases
1943 - Resolves: #1277109 Add tool tips for Revert, Refresh, Undo, and Undo All in
1944   the IPA UI
1945 - Resolves: #1278426 Better error message needed for invalid ca-signing-algo
1946   option
1947 - Resolves: #1279932 ipa-client-install --request-cert needs workaround in
1948   anaconda chroot
1949 - Resolves: #1282521 Creating a user w/o private group fails when doing so in
1950   WebUI
1951 - Resolves: #1283879 ipa-winsync-migrate: Traceback message should be replaced
1952   by "IPA is not configured on this system"
1953 - Resolves: #1285071 ipa-kra-install fails on replica looking for admin cert
1954   file
1955 - Resolves: #1287194 [RFE] Support of UPN for trusted domains
1956 - Resolves: #1288967 Normalize Manager entry in ipa user-add
1957 - Resolves: #1289487 Priority field missing in Password Policy detail tab
1958 - Resolves: #1291140 ipa client should configure kpasswd_server directive in
1959   krb5.conf
1960 - Resolves: #1292141 Rebase to FreeIPA 4.4+
1961   - Rebase to 4.4.0.alpha1
1962 - Resolves: #1298848 [RFE] Centralized topology management
1963 - Resolves: #1300576 Browser setup page includes instructions for Internet
1964   Explorer
1965 - Resolves: #1301586 ipa host-del --updatedns should remove related dns
1966   entries.
1967 - Resolves: #1304618 Residual Files After IPA Server Uninstall
1968 - Resolves: #1305144 ipa-python does not require its dependencies
1969 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
1970 - Resolves: #1313798 Console output post ipa-winsync-migrate command should be
1971   corrected.
1972 - Resolves: #1314786 [RFE] External Trust with Active Directory domain
1973 - Resolves: #1319023 Include description for 'status' option in man page for
1974   ipactl command.
1975 - Resolves: #1319912 ipa-server-install does not completely change hostname and
1976   named-pkcs11 fails
1977 - Resolves: #1320891 IPA Error 3009: Validation error: Invalid 'ptrrecord':
1978   Reverse zone in-addr.arpa. requires exactly 4 IP address compnents, 5 given
1979 - Resolves: #1327207 ipa cert-revoke --help doesn't provide enough info on
1980   revocation reasons
1981 - Resolves: #1328549 "ipa-kra-install" command reports incorrect message when
1982   it is executed on server already installed with KRA.
1983 - Resolves: #1329209 ipa-nis-manage enable: change service name from 'portmap'
1984   to 'rpcbind'
1985 - Resolves: #1329275 ipa-nis-manage command should include status option
1986 - Resolves: #1330843 'man ipa' should be updated with latest commands
1987 - Resolves: #1333755 ipa cert-request causes internal server error while
1988   requesting certificate
1989 - Resolves: #1337484 EOF is not handled for ipa-client-install command
1990 - Resolves: #1338031 Insufficient 'write' privilege on some attributes for the
1991   members of the role which has "User Administrators" privilege.
1992 - Resolves: #1343142 IPA DNS should do better verification of DNS zones
1993 - Resolves: #1347928 Frontpage exposes runtime error with no cookies enabled in
1994   browser
1995
1996 * Wed May 25 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3.1
1997 - Resolves: #1339483 ipa-server-install fails with ERROR pkinit_cert_files
1998   - Fix incorrect rebase of patch 1001
1999
2000 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3
2001 - Resolves: #1339233 CA installed on replica is always marked as renewal master
2002 - Related: #1292141 Rebase to FreeIPA 4.4+
2003   - Rebase to 4.3.1.201605241723GIT1b427d3
2004
2005 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37.1
2006 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
2007   because of missing dependencies
2008   - Rebuild with krb5-1.14.1
2009
2010 * Fri May 20 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37
2011 - Resolves: #837369 [RFE] Switch to client promotion to replica model
2012 - Resolves: #1199516 [RFE] Move replication topology to the shared tree
2013 - Resolves: #1206588 [RFE] Visualize FreeIPA server replication topology
2014 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
2015 - Resolves: #1212713 ipa-csreplica-manage: it could be nice to have also
2016   list-ruv / clean-ruv / abort-clean-ruv for o=ipaca backend
2017 - Resolves: #1267206 ipa-server-install uninstall should warn if no
2018   installation found
2019 - Resolves: #1295865 The Domain option is not correctly set in idmapd.conf when
2020   ipa-client-automount is executed.
2021 - Resolves: #1327092 URI details missing and OCSP-URI details are incorrectly
db5969 2022   displayed when certificate generated using IPA on RHEL 7.2up2.
403b09 2023 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
CS 2024   because of missing dependencies
2025 - Related: #1292141 Rebase to FreeIPA 4.4+
2026   - Rebase to 4.3.1.201605191449GITf8edf37
a809a6 2027
403b09 2028 * Mon Apr 18 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-16
CS 2029 - Resolves: #1277696 IPA certificate auto renewal fail with "Invalid
2030   Credential"
2031   - cert renewal: make renewal of ipaCert atomic
2032 - Resolves: #1278330 installer options are not validated at the beginning of
2033   installation
2034   - install: fix command line option validation
2035 - Resolves: #1282845 sshd_config change on ipa-client-install can prevent sshd
2036   from starting up
2037   - client install: do not corrupt OpenSSH config with Match sections
2038 - Resolves: #1282935 ipa upgrade causes vault internal error
2039   - install: export KRA agent PEM file in ipa-kra-install
2040 - Resolves: #1283429 Default CA ACL rule is not created during
2041   ipa-replica-install
2042   - TLS and Dogtag HTTPS request logging improvements
2043   - Avoid race condition caused by profile delete and recreate
2044   - Do not erroneously reinit NSS in Dogtag interface
2045   - Add profiles and default CA ACL on migration
2046   - disconnect ldap2 backend after adding default CA ACL profiles
2047   - do not disconnect when using existing connection to check default CA ACLs
2048 - Resolves: #1283430 ipa-kra-install: fails to apply updates
2049   - suppress errors arising from adding existing LDAP entries during KRA
2050     install
2051 - Resolves: #1283748 Caching of ipaconfig does not work in framework
2052   - fix caching in get_ipa_config
2053 - Resolves: #1283943 IPA DNS Zone/DNS Forward Zone details missing after
2054   upgrade from RHEL 7.0 to RHEL 7.2
2055   - upgrade: fix migration of old dns forward zones
2056   - Fix upgrade of forwardzones when zone is in realmdomains
2057 - Resolves: #1284413 ipa-cacert-manage renew fails on nonexistent ldap
2058   connection
2059   - ipa-cacert-renew: Fix connection to ldap.
2060 - Resolves: #1284414 ipa-otptoken-import fails on nonexistent ldap connection
2061   - ipa-otptoken-import: Fix connection to ldap.
2062 - Resolves: #1286635 IPA server upgrade fails from RHEL 7.0 to RHEL 7.2 using
e0ab38 2063   "yum update ipa* sssd"
CS 2064   - Set minimal required version for openssl
403b09 2065 - Resolves: #1286781 ipa-nis-manage does not update ldap with all NIS maps
e0ab38 2066   - Upgrade: Fix upgrade of NIS Server configuration
403b09 2067 - Resolves: #1289311 umask setting causes named-pkcs11 issue with directory
e0ab38 2068   permissions on /var/lib/ipa/dnssec
CS 2069   - DNS: fix file permissions
2070   - Explicitly call chmod on newly created directories
2071   - Fix: replace mkdir with chmod
403b09 2072 - Resolves: #1290142 Broken 7.2.0 to 7.2.z upgrade - flawed version comparison
e0ab38 2073   - Fix version comparison
CS 2074   - use FFI call to rpmvercmp function for version comparison
403b09 2075 - Resolves: #1292595 In IPA-AD trust environment some secondary IPA based Posix
CS 2076   groups are missing
2077   - ipa-kdb: map_groups() consider all results
2078 - Resolves: #1293870 User should be notified for wrong password in password
2079   reset page
2080   - Fixed login error message box in LoginScreen page
2081 - Resolves: #1296196 Sysrestore did not restore state if a key is specified in
e0ab38 2082   mixed case
CS 2083   - Allow to used mixed case for sysrestore
403b09 2084 - Resolves: #1296214 DNSSEC key purging is not handled properly
e0ab38 2085   - DNSSEC: Improve error reporting from ipa-ods-exporter
CS 2086   - DNSSEC: Make sure that current state in OpenDNSSEC matches key state in
2087     LDAP
2088   - DNSSEC: Make sure that current key state in LDAP matches key state in BIND
2089   - DNSSEC: remove obsolete TODO note
2090   - DNSSEC: add debug mode to ldapkeydb.py
2091   - DNSSEC: logging improvements in ipa-ods-exporter
2092   - DNSSEC: remove keys purged by OpenDNSSEC from master HSM from LDAP
2093   - DNSSEC: ipa-dnskeysyncd: Skip zones with old DNSSEC metadata in LDAP
2094   - DNSSEC: ipa-ods-exporter: add ldap-cleanup command
2095   - DNSSEC: ipa-dnskeysyncd: call ods-signer ldap-cleanup on zone removal
2096   - DNSSEC: Log debug messages at log level DEBUG
403b09 2097 - Resolves: #1296216 ipa-server-upgrade fails if certmonger is not running
e0ab38 2098   - prevent crash of CA-less server upgrade due to absent certmonger
403b09 2099   - always start certmonger during IPA server configuration upgrade
CS 2100 - Resolves: #1297811 The ipa -e skip_version_check=1 still issues
e0ab38 2101   incompatibility error when called against RHEL 6 server
CS 2102   - ipalib: assume version 2.0 when skip_version_check is enabled
403b09 2103 - Resolves: #1298289 install fails when locale is "fr_FR.UTF-8"
CS 2104   - Do not decode HTTP reason phrase from Dogtag
2105 - Resolves: #1300252 shared certificateProfiles container is missing on a
2106   freshly installed RHEL7.2 system
2107   - upgrade: unconditional import of certificate profiles into LDAP
2108 - Resolves: #1301674 --setup-dns and other options is forgotten for using an
2109   external PKI
2110   - installer: Propagate option values from components instead of copying them.
2111   - installer: Fix logic of reading option values from cache.
2112 - Resolves: #1301687 issues with migration from RHEL 6 self-signed to RHEL 7 CA
2113   IPA setup
2114   - ipa-ca-install: print more specific errors when CA is already installed
2115   - cert renewal: import all external CA certs on IPA CA cert renewal
2116   - CA install: explicitly set dogtag_version to 10
2117   - fix standalone installation of externally signed CA on IPA master
2118   - replica install: validate DS and HTTP server certificates
2119   - replica install: improvements in the handling of CA-related IPA config
2120     entries
2121 - Resolves: #1301901 [RFE] compat tree: show AD members of IPA groups
2122   - slapi-nis: update configuration to allow external members of IPA groups
2123 - Resolves: #1305533 ipa trust-add succeded but after that ipa trust-find
2124   returns "0 trusts matched"
2125   - upgrade: fix config of sidgen and extdom plugins
2126   - trusts: use ipaNTTrustPartner attribute to detect trust entries
2127   - Warn user if trust is broken
2128   - fix upgrade: wait for proper DS socket after DS restart
2129   - Insure the admin_conn is disconnected on stop
2130   - Fix connections to DS during installation
2131   - Fix broken trust warnings
2132 - Resolves: #1321092 Installers fail when there are multiple versions of the
2133   same certificate
2134   - certdb: never use the -r option of certutil
2135 - Related: #1317381 Crash during IPA upgrade due to slapd
2136   - spec file: update minimum required version of slapi-nis
2137 - Related: #1322691 CVE-2015-5370 CVE-2016-2110 CVE-2016-2111 CVE-2016-2112
2138   CVE-2016-2113 CVE-2016-2114 CVE-2016-2115 CVE-2016-2118 samba: various flaws
2139   [rhel-7.3]
2140   - Rebuild against newer Samba version
8eb28c 2141
590d18 2142 * Tue Oct 13 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15
CS 2143 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
2144   - vault: fix private service vault creation
76902d 2145
590d18 2146 * Mon Oct 12 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-14
CS 2147 - Resolves: #1262996 ipa vault internal error on replica without KRA
2148   - upgrade: make sure ldap2 is connected in export_kra_agent_pem
2149 - Resolves: #1270608 IPA upgrade fails for server with CA cert signed by
2150   external CA
2151   - schema: do not derive ipaVaultPublicKey from ipaPublicKey
2152
2153 * Thu Oct  8 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-13
2154 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
2155   - Fix an integer underflow bug in libotp
2156 - Resolves: #1262996 ipa vault internal error on replica without KRA
2157   - install: always export KRA agent PEM file
2158   - vault: select a server with KRA for vault operations
2159 - Resolves: #1269777 IPA restore overwrites /etc/passwd and /etc/group files
2160   - do not overwrite files with local users/groups when restoring authconfig
2161 - Renamed patch 1011 to 0138, as it was merged upstream
2162
2163 * Wed Sep 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-12
2164 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
2165   Trusts
2166   - winsync-migrate: Convert entity names to posix friendly strings
2167   - winsync-migrate: Properly handle collisions in the names of external groups
2168 - Resolves: #1261074 Adjust Firefox configuration to new extension signing
2169   policy
2170   - webui: use manual Firefox configuration for Firefox >= 40
2171 - Resolves: #1263337 IPA Restore failed with installed KRA
2172   - ipa-backup: Add mechanism to store empty directory structure
2173 - Resolves: #1264793 CVE-2015-5284 ipa: ipa-kra-install includes certificate
2174   and private key in world readable file [rhel-7.2]
2175   - install: fix KRA agent PEM file permissions
2176 - Resolves: #1265086 Mark IdM API Browser as experimental
2177   - WebUI: add API browser is experimental warning
2178 - Resolves: #1265277 Fix kdcproxy user creation
2179   - install: create kdcproxy user during server install
2180   - platform: add option to create home directory when adding user
2181   - install: fix kdcproxy user home directory
2182 - Resolves: #1265559 GSS failure after ipa-restore
2183   - destroy httpd ccache after stopping the service
2184
2185 * Thu Sep 17 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-11
2186 - Resolves: #1258965 ipa vault: set owner of vault container
2187   - baseldap: make subtree deletion optional in LDAPDelete
2188   - vault: add vault container commands
2189   - vault: set owner to current user on container creation
2190   - vault: update access control
2191   - vault: add permissions and administrator privilege
2192   - install: support KRA update
2193 - Resolves: #1261586 ipa config-mod addattr fails for ipauserobjectclasses
2194   - config: allow user/host attributes with tagging options
2195 - Resolves: #1262315 Unable to establish winsync replication
2196   - winsync: Add inetUser objectclass to the passsync sysaccount
2197
2198 * Wed Sep 16 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-10
2199 - Resolves: #1260663 crash of ipa-dnskeysync-replica component during
2200   ipa-restore
2201   - IPA Restore: allows to specify files that should be removed
2202 - Resolves: #1261806 Installing ipa-server package breaks httpd
2203   - Handle timeout error in ipa-httpd-kdcproxy
2204 - Resolves: #1262322 Failed to backup CS.cfg message in upgrade.
2205   - Server Upgrade: backup CS.cfg when dogtag is turned off
2206
2207 * Wed Sep  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-9
2208 - Resolves: #1257074 The KRA agent cert is stored in a PEM file that is not
2209   tracked
2210   - cert renewal: Include KRA users in Dogtag LDAP update
2211   - cert renewal: Automatically update KRA agent PEM file
2212 - Resolves: #1257163 renaming certificatte profile with --rename option leads
2213   to integrity issues
2214   - certprofile: remove 'rename' option
2215 - Resolves: #1257968 kinit stop working after ipa-restore
2216   - Backup: back up the hosts file
2217 - Resolves: #1258926 Remove 'DNSSEC is experimental' warnings
2218   - DNSSEC: remove "DNSSEC is experimental" warnings
2219 - Resolves: #1258929 Uninstallation of IPA leaves extra entry in /etc/hosts
2220   - Installer: do not modify /etc/hosts before user agreement
2221 - Resolves: #1258944 DNSSEC daemons may deadlock when processing more than 1
2222   zone
2223   - DNSSEC: backup and restore opendnssec zone list file
2224   - DNSSEC: remove ccache and keytab of ipa-ods-exporter
2225   - DNSSEC: prevent ipa-ods-exporter from looping after service auto-restart
2226   - DNSSEC: Fix deadlock in ipa-ods-exporter <-> ods-enforcerd interaction
2227   - DNSSEC: Fix HSM synchronization in ipa-dnskeysyncd when running on DNSSEC
2228     key master
2229   - DNSSEC: Fix key metadata export
2230   - DNSSEC: Wrap master key using RSA OAEP instead of old PKCS v1.5.
2231 - Resolves: #1258964 revert to use ldapi to add kra agent in KRA install
2232   - Using LDAPI to setup CA and KRA agents.
2233 - Resolves: #1259848 server closes connection and refuses commands after
2234   deleting user that is still logged in
2235   - ldap: Make ldap2 connection management thread-safe again
2236 - Resolves: #1259996 AttributeError: 'NameSpace' object has no attribute
2237   'ra_certprofile' while ipa-ca-install
2238   - load RA backend plugins during standalone CA install on CA-less IPA master
2239
2240 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-8
2241 - Resolves: #1254689 Storing big file as a secret in vault raises traceback
2242   - vault: Limit size of data stored in vault
2243 - Resolves: #1255880 ipactl status should distinguish between different
2244   pki-tomcat services
2245   - ipactl: Do not start/stop/restart single service multiple times
2246
2247 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-7
2248 - Resolves: #1256840 [webui] majority of required fields is no longer marked as
2249   required
2250   - fix missing information in object metadata
2251 - Resolves: #1256842 [webui] no option to choose trust type when creating a
2252   trust
2253   - webui: add option to establish bidirectional trust
2254 - Resolves: #1256853 Clear text passwords in KRA install log
2255   - Removed clear text passwords from KRA install log.
2256 - Resolves: #1257072 The "Standard Vault" MUST not be the default and must be
2257   discouraged
2258   - vault: change default vault type to symmetric
2259 - Resolves: #1257163 renaming certificatte profile with --rename option leads
2260   to integrity issues
2261   - certprofile: prevent rename (modrdn)
2262
2263 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-6
2264 - Resolves: #1249226 IPA dnssec-validation not working for AD dnsforwardzone
2265   - DNSSEC: fix forward zone forwarders checks
2266 - Resolves: #1250190 idrange is not added for sub domain
2267   - trusts: format Kerberos principal properly when fetching trust topology
2268 - Resolves: #1252334 User life cycle: missing ability to provision a stage user
2269   from a preserved user
2270   - Add user-stage command
2271 - Resolves: #1252863 After applying RHBA-2015-1554 errata, IPA service fails to
2272   start.
2273   - spec file: Add Requires(post) on selinux-policy
2274 - Resolves: #1254304 Changing vault encryption attributes
2275   - Change internal rsa_(public|private)_key variable names
2276   - Added support for changing vault encryption.
2277 - Resolves: #1256715 Executing user-del --preserve twice removes the user
2278   pernamently
2279   - improve the usability of `ipa user-del --preserve` command
2280
2281 * Wed Aug 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-5
2282 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2283   - user-undel: Fix error messages.
2284 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2285   - Prohibit deletion of predefined profiles
2286 - Resolves: #1232819 testing ipa-restore on fresh system install fails
2287   - Backup/resore authentication control configuration
2288 - Resolves: #1243331 pkispawn fails when migrating to 4.2 server from 3.0
2289   server
2290   - Require Dogtag PKI >= 10.2.6
2291 - Resolves: #1245225 Asymmetric vault drops traceback when the key is not
2292   proper
2293   - Asymmetric vault: validate public key in client
2294 - Resolves: #1248399 Missing DNSSEC related files in backup
2295   - fix typo in BasePathNamespace member pointing to ods exporter config
2296   - ipa-backup: archive DNSSEC zone file and kasp.db
2297 - Resolves: #1248405 PassSync should be disabled after ipa-winsync-migrate is
2298   finished
2299   - winsync-migrate: Add warning about passsync
2300   - winsync-migrate: Expand the man page
2301 - Resolves: #1248524 User can't find any hosts using "ipa host-find $HOSTNAME"
2302   - adjust search so that it works for non-admin users
2303 - Resolves: #1250093 ipa certprofile-import accepts invalid config
2304   - Require Dogtag PKI >= 10.2.6
2305 - Resolves: #1250107 IPA framework should not allow modifying trust on AD trust
2306   agents
2307   - trusts: Detect missing Samba instance
2308 - Resolves: #1250111 User lifecycle - preserved users can be assigned
2309   membership
2310   - ULC: Prevent preserved users from being assigned membership
2311 - Resolves: #1250145 Add permission for user to bypass caacl enforcement
2312   - Add permission for bypassing CA ACL enforcement
2313 - Resolves: #1250190 idrange is not added for sub domain
2314   - idranges: raise an error when local IPA ID range is being modified
2315   - trusts: harden trust-fetch-domains oddjobd-based script
2316 - Resolves: #1250928 Man page for ipa-server-install is out of sync
2317   - install: Fix server and replica install options
2318 - Resolves: #1251225 IPA default CAACL does not allow cert-request for services
2319   after upgrade
2320   - Fix default CA ACL added during upgrade
2321 - Resolves: #1251561 ipa vault-add Unknown option: ipavaultpublickey
2322   - validate mutually exclusive options in vault-add
2323 - Resolves: #1251579 ipa vault-add --user should set container owner equal to
2324   user on first run
2325   - Fixed vault container ownership.
2326 - Resolves: #1252517 cert-request rejects request with correct
2327   krb5PrincipalName SAN
2328   - Fix KRB5PrincipalName / UPN SAN comparison
2329 - Resolves: #1252555 ipa vault-find doesn't work for services
2330   - vault: Add container information to vault command results
2331   - Add flag to list all service and user vaults
2332 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
2333   - Added CLI param and ACL for vault service operations.
2334 - Resolves: #1252557 certprofile: improve profile format documentation
2335   - certprofile-import: improve profile format documentation
2336   - certprofile: add profile format explanation
2337 - Resolves: #1253443 ipa vault-add creates vault with invalid type
2338   - vault: validate vault type
2339 - Resolves: #1253480 ipa vault-add-owner does not fail when adding an existing
2340   owner
2341   - baseldap: Allow overriding member param label in LDAPModMember
2342   - vault: Fix param labels in output of vault owner commands
2343 - Resolves: #1253511 ipa vault-find does not use criteria
2344   - vault: Fix vault-find with criteria
2345 - Resolves: #1254038 ipa-replica-install pk12util error returns exit status 10
2346   - install: Fix replica install with custom certificates
2347 - Resolves: #1254262 ipa-dnskeysync-replica crash cannot contact kdc
2348   - improve the handling of krb5-related errors in dnssec daemons
2349 - Resolves: #1254412 when dirsrv is off ,upgrade from 7.1 to 7.2 fails with
2350   starting CA and named-pkcs11.service
2351   - Server Upgrade: Start DS before CA is started.
2352 - Resolves: #1254637 Add ACI and permission for managing user userCertificate
2353   attribute
2354   - add permission: System: Manage User Certificates
2355 - Resolves: #1254641 Remove CSR allowed-extensions restriction
2356   - cert-request: remove allowed extensions check
2357 - Resolves: #1254693 vault --service does not normalize service principal
2358   - vault: normalize service principal in service vault operations
2359 - Resolves: #1254785 ipa-client-install does not properly handle dual stacked
2360   hosts
2361   - client: Add support for multiple IP addresses during installation.
2362   - Add dependency to SSSD 1.13.1
2363   - client: Add description of --ip-address and --all-ip-addresses to man page
2364
2365 * Tue Aug 11 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-4
2366 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
2367   users in IdM
2368   - store certificates issued for user entries as
2369   - user-show: add --out option to save certificates to file
2370 - Resolves: #1145748 [RFE] IPA running with One Way Trust
2371   - Fix upgrade of sidgen and extdom plugins
2372 - Resolves: #1195339 ipa-client-install changes the label on various files
2373   which causes SELinux denials
2374   - Use 'mv -Z' in specfile to restore SELinux context
2375 - Resolves: #1198796 Text in UI should describe differing LDAP vs Krb behavior
2376   for combinations of "User authentication types"
2377   - webui: add LDAP vs Kerberos behavior description to user auth
2378 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2379   - ULC: Fix stageused-add --from-delete command
2380 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2381   - certprofile-import: do not require profileId in profile data
2382   - Give more info on virtual command access denial
2383   - Allow SAN extension for cert-request self-service
2384   - Add profile for DNP3 / IEC 62351-8 certificates
2385   - Work around python-nss bug on unrecognised OIDs
2386 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
2387   - Validate vault's file parameters
2388   - Fixed missing KRA agent cert on replica.
2389 - Resolves: #1225866 display browser config options that apply to the browser.
2390   - webui: add Kerberos configuration instructions for Chrome
2391   - Remove ico files from Makefile
2392 - Resolves: #1246342 Unapply idview raises internal error
2393   - idviews: Check for the Default Trust View only if applying the view
2394 - Resolves: #1248102 [webui] regression - incorrect/no failed auth messages
2395   - webui: fix regressions failed auth messages
2396 - Resolves: #1248396 Internal error in DomainValidator.__search_in_dc
2397   - dcerpc: Fix UnboundLocalError for ccache_name
2398 - Resolves: #1249455 ipa trust-add failed CIFS server configuration does not
2399   allow access to \\pipe\lsarpc
2400   - Fix selector of protocol for LSA RPC binding string
2401   - dcerpc: Simplify generation of LSA-RPC binding strings
2402 - Resolves: #1250192 Error in ipa trust-fecth-domains
2403   - Fix incorrect type comparison in trust-fetch-domains
2404 - Resolves: #1251553 Winsync setup fails with unexpected error
2405   - replication: Fix incorrect exception invocation
2406 - Resolves: #1251854 ipa aci plugin is not parsing aci's correctly.
2407   - ACI plugin: correctly parse bind rules enclosed in
2408 - Resolves: #1252414 Trust agent install does not detect available replicas to
2409   add to master
2410   - adtrust-install: Correctly determine 4.2 FreeIPA servers
2411
2412 * Fri Jul 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-3
2413 - Resolves: #1170770 [AD TRUST]IPA should detect inconsistent realm domains
2414   that conflicts with AD DC
2415   - trusts: Check for AD root domain among our trusted domains
2416 - Resolves: #1195339 ipa-client-install changes the label on various files
2417   which causes SELinux denials
2418   - sysrestore: copy files instead of moving them to avoind SELinux issues
2419 - Resolves: #1196656 [ipa-client][rhel71] enable debugging for spawned
2420   commands / ntpd -qgc $tmpfile hangs
2421   - enable debugging of ntpd during client installation
2422 - Resolves: #1205264 Migration UI Does Not Work When Anonymous Bind is Disabled
2423   - migration: Use api.env variables.
2424 - Resolves: #1212719 abort-clean-ruv subcommand should allow
2425   replica-certifyall: no
2426   - Allow value 'no' for replica-certify-all attr in abort-clean-ruv subcommand
2427 - Resolves: #1216935 ipa trust-add shows ipa: ERROR: an internal error has
2428   occurred
2429   - dcerpc: Expand explanation for WERR_ACCESS_DENIED
2430   - dcerpc: Fix UnboundLocalError for ccache_name
2431 - Resolves: #1222778 idoverride group-del can delete user and user-del can
2432   delete group
2433   - dcerpc: Add get_trusted_domain_object_type method
2434   - idviews: Restrict anchor to name and name to anchor conversions
2435   - idviews: Enforce objectclass check in idoverride*-del
2436 - Resolves: #1234919 Be able to request certificates without certmonger service
2437   running
2438   - cermonger: Use private unix socket when DBus SystemBus is not available.
2439   - ipa-client-install: Do not (re)start certmonger and DBus daemons.
2440 - Resolves: #1240939 Please add dependency on bind-pkcs11
2441   - Create server-dns sub-package.
2442   - ipaplatform: Add constants submodule
2443   - DNS: check if DNS package is installed
2444 - Resolves: #1242914 Bump minimal selinux-policy and add booleans to allow
2445   calling out oddjobd-activated services
2446   - selinux: enable httpd_run_ipa to allow communicating with oddjobd services
2447 - Resolves: #1243261 non-admin users cannot search hbac rules
2448   - fix hbac rule search for non-admin users
2449   - fix selinuxusermap search for non-admin users
2450 - Resolves: #1243652 Client has missing dependency on memcache
2451   - do not import memcache on client
2452 - Resolves: #1243835 [webui] user change password dialog does not work
2453   - webui: fix user reset password dialog
2454 - Resolves: #1244802 spec: selinux denial during kdcproxy user creation
2455   - Fix selinux denial during kdcproxy user creation
2456 - Resolves: #1246132 trust-fetch-domains: Do not chown keytab to the sssd user
2457   - oddjob: avoid chown keytab to sssd if sssd user does not exist
2458 - Resolves: #1246136 Adding a privilege to a permission avoids validation
2459   - Validate adding privilege to a permission
2460 - Resolves: #1246141 DNS Administrators cannot search in zones
2461   - DNS: Consolidate DNS RR types in API and schema
2462 - Resolves: #1246143 User plugin - user-find doesn't work properly with manager
2463   option
2464   - fix broken search for users by their manager
2465
2466 * Wed Jul 15 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-2
2467 - Resolves: #1131907 [ipa-client-install] cannot write certificate file
2468   '/etc/ipa/ca.crt.new': must be string or buffer, not None
2469 - Resolves: #1195775 unsaved changes dialog internally inconsistent
2470 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2471   - Stageusedr-activate: show username instead of DN
2472 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2473   - Prevent to rename certprofile profile id
2474 - Resolves: #1222047 IPA to AD Trust: IPA ERROR 4016: Remote Retrieve Error
2475 - Resolves: #1224769 copy-schema-to-ca.py does not overwrites schema files
2476   - copy-schema-to-ca: allow to overwrite schema files
2477 - Resolves: #1241941 kdc component installation of IPA failed
2478   - spec file: Update minimum required version of krb5
2479 - Resolves: #1242036 Replica install fails to update DNS records
2480   - Fix DNS records installation for replicas
2481 - Resolves: #1242884 Upgrade to 4.2.0 fails when enabling kdc proxy
2482   - Start dirsrv for kdcproxy upgrade
2483
2484 * Thu Jul  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-1
2485 - Resolves: #846033  [RFE] Documentation for JSONRPC IPA API
2486 - Resolves: #989091  Ability to manage IdM/IPA directly from a standard LDAP
2487   client
2488 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
2489   users in IdM
2490 - Resolves: #1115294 [RFE] Add support for DNSSEC
2491 - Resolves: #1145748 [RFE] IPA running with One Way Trust
2492 - Resolves: #1199520 [RFE] Introduce single upgrade tool - ipa-server-upgrade
2493 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2494 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2495 - Resolves: #1200728 [RFE] Replicate PKI Profile information
2496 - Resolves: #1200735 [RFE] Allow issuing certificates for user accounts
2497 - Resolves: #1204054 SSSD database is not cleared between installs and
2498   uninstalls of ipa
2499 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
2500   Trusts
2501 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
2502 - Resolves: #1204504 [RFE] Add access control so hosts can create their own
2503   services
2504 - Resolves: #1206534 [RFE] Offer Kerberos over HTTP (kdcproxy) by default
2505 - Resolves: #1206613 [RFE] Configure IPA to be a trust agent by default
2506 - Resolves: #1209476 package ipa-client does not require package dbus-python
2507 - Resolves: #1211589 [RFE] Add option to skip the verify_client_version
2508 - Resolves: #1211608 [RFE] Generic support for unknown DNS RR types (RFC 3597)
2509 - Resolves: #1215735 ipa-replica-prepare automatically adds a DNS zone
2510 - Resolves: #1217010 OTP Manager field is not exposed in the UI
2511 - Resolves: #1222475 krb5kdc : segfault at 0 ip 00007fa9f64d82bb sp
2512   00007fffd68b2340 error 6 in libc-2.17.so
2513 - Related:  #1204809 Rebase ipa to 4.2
2514   - Update to upstream 4.2.0
2515   - Move /etc/ipa/kdcproxy to the server subpackage
2516
2517 * Tue Jun 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.2.alpha1
2518 - Resolves: #1228671 pkispawn fails in ipa-ca-install and ipa-kra-install
2519 - Related:  #1204809 Rebase ipa to 4.2
2520   - Fix minimum version of slapi-nis
2521   - Require python-sss and python-sss-murmur (provided by sssd-1.13.0)
2522
2523 * Mon Jun 22 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.1.alpha1
2524 - Resolves: #805188  [RFE] "ipa migrate-ds" ldapsearches with scope=1
2525 - Resolves: #1019272 With 20000+ users, adding a user to a group intermittently
2526   throws Internal server error
2527 - Resolves: #1035494 Unable to add Kerberos principal via kadmin.local
2528 - Resolves: #1045153 ipa-managed-entries --list -p <badpassword> still requires
2529   DM password
2530 - Resolves: #1125950 ipa-server-install --uinstall doesn't remove port 7389
2531   from ldap_port_t
2532 - Resolves: #1132540 [RFE] Expose service delegation rules in UI and CLI
2533 - Resolves: #1145584 ipaserver/install/cainstance.py creates pkiuser not
2534   matching uidgid
2535 - Resolves: #1176036 IDM client registration failure in a high load environment
2536 - Resolves: #1183116 Remove Requires: subscription-manager
2537 - Resolves: #1186054 permission-add does not prompt to enter --right option in
2538   interactive mode
2539 - Resolves: #1187524 Replication agreement with replica not disabled when
2540   ipa-restore done without IPA installed
2541 - Resolves: #1188195 Fax number not displayed for user-show when kinit'ed as
2542   normal user.
2543 - Resolves: #1189034 "an internal error has occurred" during ipa host-del
2544   --updatedns
2545 - Resolves: #1193554 ipa-client-automount: failing with error LDAP server
2546   returned UNWILLING_TO_PERFORM. This likely means that minssf is enabled.
2547 - Resolves: #1193759 IPA extdom plugin fails when encountering large groups
2548 - Resolves: #1194312 [ipa-python] ipalib.errors.LDAPError: failed to decode
2549   certificate: (SEC_ERROR_INVALID_ARGS) security library: invalid arguments.
2550 - Resolves: #1194633 Default trust view can be deleted in lower case
2551 - Resolves: #1196455 ipa-server-install step [8/27]: starting certificate
2552   server instance - confusing CA staus message on TLS error
2553 - Resolves: #1198263 Limit deadlocks between DS plugin DNA and slapi-nis
2554 - Resolves: #1199527 [RFE] Use datepicker component for datetime fields
2555 - Resolves: #1200867 [RFE] Make OTP validation window configurable
2556 - Resolves: #1200883 [RFE] Switch apache to use mod_auth_gssapi
2557 - Resolves: #1202998 CVE-2015-1827 ipa: memory corruption when using
2558   get_user_grouplist() [rhel-7.2]
2559 - Resolves: #1204637 slow group operations
2560 - Resolves: #1204642 migrate-ds: slow add o users to default group
2561 - Resolves: #1208461 IPA CA master server update stuck on checking getStatus
2562   via https
2563 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
2564 - Resolves: #1211708 ipa-client-install gets stuck during NTP sync
2565 - Resolves: #1215197 ipa-client-install ignores --ntp-server option during time
2566   sync
2567 - Resolves: #1215200 ipa-client-install configures IPA server as NTP source
2568   even if IPA server has not ntpd configured
2569 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
2570 - Related:  #1204809 Rebase ipa to 4.2
2571   - Update to upstream 4.2.0.alpha1
ba521e 2572
0201d8 2573 * Thu Mar 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.3
CS 2574 - [ipa-python] ipalib.errors.LDAPError: failed to decode certificate:
2575   (SEC_ERROR_INVALID_ARGS) security library: invalid arguments. (#1194312)
f4fe3d 2576
0201d8 2577 * Wed Mar 18 2015 Alexander Bokovoy <abokovoy@redhat.com> - 4.1.0-18.2
CS 2578 - IPA extdom plugin fails when encountering large groups (#1193759)
2579 - CVE-2015-0283 ipa: slapi-nis: infinite loop in getgrnam_r() and getgrgid_r()
590d18 2580   (#1202998)
0201d8 2581
CS 2582 * Thu Mar  5 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.1
2583 - "an internal error has occurred" during ipa host-del --updatedns (#1198431)
2584 - Renamed patch 1013 to 0114, as it was merged upstream
2585 - Fax number not displayed for user-show when kinit'ed as normal user.
2586   (#1198430)
2587 - Replication agreement with replica not disabled when ipa-restore done without
2588   IPA installed (#1199060)
2589 - Limit deadlocks between DS plugin DNA and slapi-nis (#1199128)
2590
2591 * Thu Jan 29 2015 Martin Kosek <mkosek@redhat.com> - 4.1.0-18
e3ffab 2592 - Fix ipa-pwd-extop global configuration caching (#1187342)
CS 2593 - group-detach does not add correct objectclasses (#1187540)
9dc499 2594
e3ffab 2595 * Tue Jan 27 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-17
CS 2596 - Wrong directories created on full restore (#1186398)
2597 - ipa-restore crashes if replica is unreachable (#1186396)
2598 - idoverrideuser-add option --sshpubkey does not work (#1185410)
69f9f3 2599
e3ffab 2600 * Wed Jan 21 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-16
CS 2601 - PassSync does not sync passwords due to missing ACIs (#1181093)
2602 - ipa-replica-manage list does not list synced domain (#1181010)
2603 - Do not assume certmonger is running in httpinstance (#1181767)
2604 - ipa-replica-manage disconnect fails without password (#1183279)
2605 - Put LDIF files to their original location in ipa-restore (#1175277)
2606 - DUA profile not available anonymously (#1184149)
2607 - IPA replica missing data after master upgraded (#1176995)
8f4e66 2608
e3ffab 2609 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-15
CS 2610 - Re-add accidentally removed patches for #1170695 and #1164896
3f6981 2611
e3ffab 2612 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-14
CS 2613 - IPA Replicate creation fails with error "Update failed! Status: [10 Total
2614   update abortedLDAP error: Referral]" (#1166265)
2615 - running ipa-server-install --setup-dns results in a crash (#1072502)
2616 - DNS zones are not migrated into forward zones if 4.0+ replica is added
2617   (#1175384)
2618 - gid is overridden by uid in default trust view (#1168904)
2619 - When migrating warn user if compat is enabled (#1177133)
2620 - Clean up debug log for trust-add (#1168376)
2621 - No error message thrown on restore(full kind) on replica from full backup
2622   taken on master (#1175287)
2623 - ipa-restore proceed even IPA not configured (#1175326)
2624 - Data replication not working as expected after data restore from full backup
2625   (#1175277)
2626 - IPA externally signed CA cert expiration warning missing from log (#1178128)
2627 - ipa-upgradeconfig fails in CA-less installs (#1181767)
2628 - IPA certs fail to autorenew simultaneouly (#1173207)
2629 - More validation required on ipa-restore's options (#1176034)
2630
2631 * Wed Dec 17 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-13
2632 - Expand the token auth/sync windows (#919228)
2633 - Access is not rejected for disabled domain (#1172598)
2634 - krb5kdc crash in ldap_pvt_search (#1170695)
2635 - RHEL7.1 IPA server httpd avc denials after upgrade (#1164896)
2636
2637 * Wed Dec 10 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-12
2638 - RHEL7.1 ipa-cacert-manage renewed certificate from MS ADCS not compatible
2639   (#1169591)
2640 - CLI doesn't show SSHFP records with SHA256 added via nsupdate (regression)
2641   (#1172578)
2642
2643 * Tue Dec  9 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-11
2644 - Throw zonemgr error message before installation proceeds (#1163849)
2645 - Winsync: Setup is broken due to incorrect import of certificate (#1169867)
2646 - Enable last token deletion when password auth type is configured (#919228)
2647 - ipa-otp-lasttoken loads all user's tokens on every mod/del (#1166641)
2648 - add --hosts and --hostgroup options to allow/retrieve keytab methods
2649   (#1007367)
2650 - Extend host-show to add the view attribute in set of default attributes
2651   (#1168916)
2652 - Prefer TCP connections to UDP in krb5 clients (#919228)
2653 - [WebUI] Not able to unprovisioning service in IPA 4.1 (#1168214)
2654 - webui: increase notification duration (#1171089)
2655 - RHEL7.1 ipa automatic CA cert renewal stuck in submitting state (#1166931)
2656 - RHEL7.1 ipa-cacert-manage cannot change external to self-signed ca cert
2657   (#1170003)
2658 - Improve validation of --instance and --backend options in ipa-restore
2659   (#951581)
2660 - RHEL7.1 ipa replica unable to replicate to rhel6 master (#1167964)
2661 - Disable TLS 1.2 in nss.conf until mod_nss supports it (#1156466)
2662
2663 * Wed Nov 26 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-10
2664 - Use NSS protocol range API to set available TLS protocols (#1156466)
2665
2666 * Tue Nov 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-9
2667 - schema update on RHEL-6.6 using latest copy-schema-to-ca.py from RHEL-7.1
2668   build fails (#1167196)
2669 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
2670 - "ipa trust-add ... " cmd says : (Trust status: Established and verified)
2671   while in the logs we see "WERR_ACCESS_DENIED" during verification step.
2672   (#1144121)
2673 - POODLE: force using safe ciphers (non-SSLv3) in IPA client and server
2674   (#1156466)
2675 - Add support/hooks for a one-time password system like SecureID in IPA
2676   (#919228)
2677 - Tracebacks with latest build for --zonemgr cli option (#1167270)
2678 - ID Views: Support migration from the sync solution to the trust solution
2679   (#891984)
2680
2681 * Mon Nov 24 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-8
2682 - Improve otptoken help messages (#919228)
2683 - Ensure users exist when assigning tokens to them (#919228)
2684 - Enable QR code display by default in otptoken-add (#919228)
2685 - Show warning instead of error if CA did not start (#1158410)
2686 - CVE-2014-7850 freeipa: XSS flaw can be used to escalate privileges (#1165774)
2687 - Traceback when adding zone with long name (#1164859)
2688 - Backup & Restore mechanism (#951581)
2689 - ignoring user attributes in migrate-ds does not work if uppercase characters
2690   are returned by ldap (#1159816)
2691 - Allow ipa-getkeytab to optionally fetch existing keys (#1007367)
2692 - Failure when installing on dual stacked system with external ca (#1128380)
2693 - ipa-server should keep backup of CS.cfg (#1059135)
2694 - Tracebacks with latest build for --zonemgr cli option (#1167270)
2695 - webui: use domain name instead of domain SID in idrange adder dialog
2696   (#891984)
2697 - webui: normalize idview tab labels (#891984)
2698
2699 * Wed Nov 19 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-7
2700 - ipa-csreplica-manage connect fails (#1157735)
2701 - error message which is not understandable when IDNA2003 characters are
2702   present in --zonemgr (#1163849)
2703 - Fix warning message should not contain CLI commands (#1114013)
2704 - Renewing the CA signing certificate does not extend its validity period end
2705   (#1163498)
2706 - RHEL7.1 ipa-server-install --uninstall Could not set SELinux booleans for
2707   httpd (#1159330)
2708
2709 * Thu Nov 13 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-6
2710 - Fix: DNS installer adds invalid zonemgr email (#1056202)
2711 - ipaplatform: Use the dirsrv service, not target (#951581)
2712 - Fix: DNS policy upgrade raises asertion error (#1161128)
2713 - Fix upgrade referint plugin (#1161128)
2714 - Upgrade: fix trusts objectclass violationi (#1161128)
2715 - group-add doesn't accept gid parameter (#1149124)
2716
2717 * Tue Nov 11 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-5
2718 - Update slapi-nis dependency to pull 0.54-2 (#891984)
2719 - ipa-restore: Don't crash if AD trust is not installed (#951581)
2720 - Prohibit setting --rid-base for ranges of ipa-trust-ad-posix type (#1138791)
2721 - Trust setting not restored for CA cert with ipa-restore command (#1159011)
2722 - ipa-server-install fails when restarting named (#1162340)
2723
2724 * Thu Nov 06 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-4
2725 - Update Requires on pki-ca to 10.1.2-4 (#1129558)
2726 - build: increase java stack size for all arches
2727 - Add ipaSshPubkey and gidNumber to the ACI to read ID user overrides (#891984)
2728 - Fix dns zonemgr validation regression (#1056202)
2729 - Handle profile changes in dogtag-ipa-ca-renew-agent (#886645)
2730 - Do not wait for new CA certificate to appear in LDAP in ipa-certupdate
2731   (#886645)
2732 - Add bind-dyndb-ldap working dir to IPA specfile
2733 - Fail if certmonger can't see new CA certificate in LDAP in ipa-cacert-manage
2734   (#886645)
2735 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
2736 - Deadlock in schema compat plugin (#1161131)
2737 - ipactl stop should stop dirsrv last (#1161129)
2738 - Upgrade 3.3.5 to 4.1 failed (#1161128)
2739 - CVE-2014-7828 freeipa: password not required when OTP in use (#1160877)
2740
2741 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-3
2742 - Do not check if port 8443 is available in step 2 of external CA install
2743   (#1129481)
2744
2745 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-2
2746 - Update Requires on selinux-policy to 3.13.1-4
2747
2748 * Tue Oct 21 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-1
2749 - Update to upstream 4.1.0 (#1109726)
2750
2751 * Mon Sep 29 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-0.1.alpha1
2752 - Update to upstream 4.1.0 Alpha 1 (#1109726)
2753
2754 * Fri Sep 26 2014 Petr Vobornik <pvoborni@redhat.com> - 4.0.3-3
2755 - Add redhat-access-plugin-ipa dependency
2756
2757 * Thu Sep 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-2
2758 - Re-enable otptoken_yubikey plugin
2759
2760 * Mon Sep 15 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-1
2761 - Update to upstream 4.0.3 (#1109726)
2762
2763 * Thu Aug 14 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-29
031d60 2764 - Server installation fails using external signed certificates with
e3ffab 2765   "IndexError: list index out of range" (#1111320)
031d60 2766 - Add rhino to BuildRequires to fix Web UI build error
10ca37 2767
9991ea 2768 * Tue Apr  1 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-28
CB 2769 - ipa-client-automount fails with incompatibility error when installed against
2770   older IPA server (#1083108)
2771
2772 * Wed Mar 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-27
2773 - Proxy PKI URI /ca/ee/ca/profileSubmit to enable replication with future
2774   PKI versions (#1080865)
2775
2776 * Tue Mar 25 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-26
2777 - When IdM server trusts multiple AD forests, IPA client returns invalid group
2778   membership info (#1079498)
2779
2780 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-25
2781 - Deletion of active subdomain range should not be allowed (#1075615)
2782
2783 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-24
2784 - PKI database is ugraded during replica installation (#1075118)
2785
2786 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-23
2787 - Unable to add trust successfully with --trust-secret (#1075704)
2788
2789 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-22
2790 - ipa-replica-install never checks for 7389 port (#1075165)
2791 - Non-terminated string may be passed to LDAP search (#1075091)
2792 - ipa-sam may fail to translate group SID into GID (#1073829)
2793 - Excessive LDAP calls by ipa-sam during Samba FS operations (#1075132)
2794
2795 * Thu Mar  6 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-21
2796 - Do not fetch a principal two times, remove potential memory leak (#1070924)
2797
2798 * Wed Mar  5 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-20
2799 - trustdomain-find with pkey-only fails (#1068611)
2800 - Invalid credential cache in trust-add (#1069182)
2801 - ipa-replica-install prints unexpected error (#1069722)
2802 - Too big font in input fields in details facet in Firefox (#1069720)
2803 - trust-add for POSIX AD does not fetch trustdomains (#1070925)
2804 - Misleading trust-add error message in some cases (#1070926)
2805 - Access is not rejected for disabled domain (#1070924)
2806
2807 * Wed Feb 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-19
2808 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2809
2810 * Wed Feb 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-18
2811 - Display server name in ipa command's verbose mode (#1061703)
2812 - Remove sourcehostcategory from default HBAC rule (#1061187)
2813 - dnszone-add cannot add classless PTR zones (#1058688)
2814 - Move ipa-otpd socket directory to /var/run/krb5kdc (#1063850)
2815
2816 * Tue Feb  4 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-17
2817 - Lockout plugin crashed during ipa-server-install (#912725)
2818
2819 * Fri Jan 31 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-16
2820 - Fallback to global policy in ipa lockout plugin (#912725)
2821 - Migration does not add users to default group (#903232)
2822
2823 * Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 3.3.3-15
2824 - Mass rebuild 2014-01-24
2825
2826 * Thu Jan 23 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-14
2827 - Fix NetBIOS name generation in CLDAP plugin (#1030517)
2828
2829 * Mon Jan 20 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-13
2830 - Do not add krbPwdPolicyReference for new accounts, hardcode it (#1045218)
2831 - Increase default timeout for IPA services (#1033273)
2832 - Error while running trustdomain-find (#1054376)
2833 - group-show lists SID instead of name for external groups (#1054391)
2834 - Fix IPA server NetBIOS name in samba configuration (#1030517)
2835 - dnsrecord-mod produces missing API version warning (#1054869)
2836 - Hide trust-resolve command as internal (#1052860)
2837 - Add Trust domain Web UI (#1054870)
2838 - ipasam cannot delete multiple child trusted domains (#1056120)
2839
2840 * Wed Jan 15 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-12
2841 - Missing objectclasses when empty password passed to host-add (#1052979)
2842 - sudoOrder missing in sudoers (#1052983)
2843 - Missing examples in sudorule help (#1049464)
2844 - Client automount does not uninstall when fstore is empty (#910899)
2845 - Error not clear for invalid realm given to trust-fetch-domains (#1052981)
2846 - trust-fetch-domains does not add idrange for subdomains found (#1049926)
2847 - Add option to show if an AD subdomain is enabled/disabled (#1052973)
2848 - ipa-adtrust-install still failed with long NetBIOS names (#1030517)
2849 - Error not clear for invalid relam given to trustdomain-find (#1049455)
2850 - renewed client cert not recognized during IPA CA renewal (#1033273)
2851
2852 * Fri Jan 10 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-11
2853 - hbactest does not work for external users (#848531)
2854
2855 * Wed Jan 08 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-10
2856 - PKI service restart after CA renewal failed (#1040018)
2857
2858 * Mon Jan 06 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-9
2859 - Move ipa-tests package to separate srpm (#1032668)
2860
2861 * Fri Jan  3 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-8
2862 - Fix status trust-add command status message (#910453)
2863 - NetBIOS was not trimmed at 15 characters (#1030517)
2864 - Harden CA subsystem certificate renewal on CA clones (#1040018)
2865
2866 * Fri Dec 27 2013 Daniel Mach <dmach@redhat.com> - 3.3.3-7
2867 - Mass rebuild 2013-12-27
2868
2869 * Mon Dec  2 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-6
2870 - Remove "Listen 443 http" hack from deployed nss.conf (#1029046)
2871 - Re-adding existing trust fails (#1033216)
2872 - IPA uninstall exits with a samba error (#1033075)
2873 - Added RELRO hardening on /usr/libexec/ipa-otpd (#1026260)
2874 - Fixed ownership of /usr/share/ipa/ui/js (#1026260)
2875 - ipa-tests: support external names for hosts (#1032668)
2876 - ipa-client-install fail due fail to obtain host TGT (#1029354)
2877
99b6f7 2878 * Fri Nov 22 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-5
CB 2879 - Trust add tries to add same value of --base-id for sub domain,
2880   causing an error (#1033068)
2881 - Improved error reporting for adding trust case (#1029856)
2882
2883 * Wed Nov 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-4
2884 - Winsync agreement cannot be created (#1023085)
2885
2886 * Wed Nov  6 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-3
2887 - Installer did not detect different server and IPA domain (#1026845)
2888 - Allow kernel keyring CCACHE when supported (#1026861)
2889
2890 * Tue Nov  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-2
2891 - ipa-server-install crashes when AD subpackage is not installed (#1026434)
2892
2893 * Fri Nov  1 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-1
2894 - Update to upstream 3.3.3 (#991064)
2895
2896 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-5
2897 - Temporarily move ipa-backup and ipa-restore functionality
2898   back to make them available in public Beta (#1003933)
2899
2900 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-4
2901 - Server install failure during client enrollment shouldn't
2902   roll back (#1023086)
2903 - nsds5ReplicaStripAttrs are not set on agreements (#1023085)
2904 - ipa-server conflicts with mod_ssl (#1018172)
2905
2906 * Wed Oct 16 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-3
2907 - Reinstalling ipa server hangs when configuring certificate
2908   server (#1018804)
2909
2910 * Fri Oct 11 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-2
2911 - Deprecate --serial-autoincrement option (#1016645)
2912 - CA installation always failed on replica (#1005446)
2913 - Re-initializing a winsync connection exited with error (#994980)
2914
2915 * Fri Oct  4 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-1
2916 - Update to upstream 3.3.2 (#991064)
2917 - Add delegation info to MS-PAC (#915799)
2918 - Warn about incompatibility with AD when IPA realm and domain
2919   differs (#1009044)
2920 - Allow PKCS#12 files with empty password in install tools (#1002639)
2921 - Privilege "SELinux User Map Administrators" did not list
2922   permissions (#997085)
2923 - SSH key upload broken when client joins an older server (#1009024)
2924
2925 * Mon Sep 23 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-5
2926 - Remove dependency on python-paramiko (#1002884)
2927 - Broken redirection when deleting last entry of DNS resource
2928   record (#1006360)
2929
2930 * Tue Sep 10 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-4
2931 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2932
2933 * Mon Sep  9 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-3
2934 - Replica installation fails for RHEL 6.4 master (#1004680)
2935 - Server uninstallation crashes if DS is not available (#998069)
2936
2937 * Thu Sep  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-2
2938 - Unable to remove replica by ipa-replica-manage (#1001662)
2939 - Before uninstalling a server, warn about active replicas (#998069)
2940
2941 * Thu Aug 29 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.1-1
2942 - Update to upstream 3.3.1 (#991064)
2943 - Update minimum version of bind-dyndb-ldap to 3.5
2944
2945 * Tue Aug 20 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.0-7
2946 - Fix replica installation failing on certificate subject (#983075)
2947
2948 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-6
2949 - Allow ipa-tests to work with older version (1.7.7) of python-paramiko
2950
2951 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-5
2952 - Prevent multilib failures in *.pyo and *.pyc files
2953
2954 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-4
2955 - ipa-server-install fails if --subject parameter is other than default
2956   realm (#983075)
2957 - do not allow configuring bind-dyndb-ldap without persistent search (#967876)
2958
2959 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-3
2960 - diffstat was missing as a build dependency causing multilib problems
2961
2962 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-2
2963 - Remove ipa-server-selinux obsoletes as upgrades from version prior to
2964   3.3.0 are not allowed
2965 - Wrap server-trust-ad subpackage description better
9991ea 2966 - Add (noreplace) flag for %%{_sysconfdir}/tmpfiles.d/ipa.conf
99b6f7 2967 - Change permissions on default_encoding_utf8.so to fix ipa-python Provides
CB 2968
2969 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-1
2970 - Update to upstream 3.3.0 (#991064)
2971
2972 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.2.beta2
2973 - Require slapi-nis 0.47.7 delivering a core feature of 3.3.0 release
2974
2975 * Wed Aug  7 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.1.beta2
2976 - Update to upstream 3.3.0 Beta 2 (#991064)
2977
2978 * Thu Jul 18 2013 Martin Kosek <mkosek@redhat.com> - 3.2.2-1
2979 - Update to upstream 3.2.2
2980 - Drop ipa-server-selinux subpackage
2981 - Drop redundant directory /var/cache/ipa/sessions
2982 - Do not create /var/lib/ipa/pki-ca/publish, retain reference as ghost
2983 - Run ipa-upgradeconfig and server restart in posttrans to avoid inconsistency
2984   issues when there are still old parts of software (like entitlements plugin)
2985
2986 * Fri Jun 14 2013 Martin Kosek <mkosek@redhat.com> - 3.2.1-1
2987 - Update to upstream 3.2.1
2988 - Drop dogtag-pki-server-theme requires, it won't be build for RHEL-7.0
2989
2990 * Tue May 14 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-2
2991 - Add OTP patches
2992 - Add patch to set KRB5CCNAME for 389-ds-base
2993
2994 * Fri May 10 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-1
2995 - Update to upstream 3.2.0 GA
2996 - ipa-client-install fails if /etc/ipa does not exist (#961483)
2997 - Certificate status is not visible in Service and Host page (#956718)
2998 - ipa-client-install removes needed options from ldap.conf (#953991)
2999 - Handle socket.gethostbyaddr() exceptions when verifying hostnames (#953957)
3000 - Add triggerin scriptlet to support OpenSSH 6.2 (#953617)
3001 - Require nss 3.14.3-12.0 to address certutil certificate import
3002   errors (#953485)
3003 - Require pki-ca 10.0.2-3 to pull in fix for sslget and mixed IPv4/6
3004   environments. (#953464)
3005 - ipa-client-install removes 'sss' from /etc/nsswitch.conf (#953453)
3006 - ipa-server-install --uninstall doesn't stop dirsrv instances (#953432)
3007 - Add requires for openldap-2.4.35-4 to pickup fixed SASL_NOCANON behavior for
3008   socket based connections (#960222)
3009 - Require libsss_nss_idmap-python
3010 - Add Conflicts on nss-pam-ldapd < 0.8.4. The mapping from uniqueMember to
3011   member is now done automatically and having it in the config file raises
3012   an error.
3013 - Add backup and restore tools, directory.
3014 - require at least systemd 38 which provides the journal (we no longer
3015   need to require syslog.target)
3016 - Update Requires on policycoreutils to 2.1.14-37
3017 - Update Requires on selinux-policy to 3.12.1-42
3018 - Update Requires on 389-ds-base to 1.3.1.0
3019 - Remove a Requires for java-atk-wrapper
3020
3021 * Tue Apr 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.4.beta1
3022 - Remove release from krb5-server in strict sub-package to allow for rebuilds.
3023
3024 * Mon Apr 22 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.3.beta1
3025 - Add a Requires for java-atk-wrapper until we can determine which package
3026   should be pulling it in, dogtag or tomcat.
3027
3028 * Tue Apr 16 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.2.beta1
3029 - Update to upstream 3.2.0 Beta 1
3030
3031 * Tue Apr  2 2013 Martin Kosek <mkosek@redhat.com> - 3.2.0-0.1.pre1
3032 - Update to upstream 3.2.0 Prerelease 1
3033 - Use upstream reference spec file as a base for Fedora spec file
3034
3035 * Sat Mar 30 2013 Kevin Fenzi <kevin@scrye.com> 3.1.2-4
3036 - Rebuild for broken deps
3037 - Fix 389-ds-base strict dep to be 1.3.0.5 and krb5-server 1.11.1
3038
3039 * Sat Feb 23 2013 Kevin Fenzi <kevin@scrye.com> - 3.1.2-3
3040 - Rebuild for broken deps in rawhide
3041 - Fix 389-ds-base strict dep to be 1.3.0.3
3042
3043 * Wed Feb 13 2013 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 3.1.2-2
3044 - Rebuilt for https://fedoraproject.org/wiki/Fedora_19_Mass_Rebuild
3045
3046 * Wed Jan 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.1.2-1
3047 - Update to upstream 3.1.2
3048 - CVE-2012-4546: Incorrect CRLs publishing
3049 - CVE-2012-5484: MITM Attack during Join process
3050 - CVE-2013-0199: Cross-Realm Trust key leak
3051 - Updated strict dependencies to 389-ds-base = 1.3.0.2 and
3052   pki-ca = 10.0.1
3053
3054 * Thu Dec 20 2012 Martin Kosek <mkosek@redhat.com> - 3.1.0-2
3055 - Remove redundat Requires versions that are already in Fedora 17
3056 - Replace python-crypto Requires with m2crypto
3057 - Add missing Requires(post) for client and server-trust-ad subpackages
3058 - Restart httpd service when server-trust-ad subpackage is installed
3059 - Bump selinux-policy Requires to pick up PKI/LDAP port labeling fixes
3060
3061 * Mon Dec 10 2012 Rob Crittenden <rcritten@redhat.com> - 3.1.0-1
3062 - Updated to upstream 3.1.0 GA
3063 - Set minimum for sssd to 1.9.2
3064 - Set minimum for pki-ca to 10.0.0-1
3065 - Set minimum for 389-ds-base to 1.3.0
3066 - Set minimum for selinux-policy to 3.11.1-60
3067 - Remove unneeded dogtag package requires
3068
3069 * Tue Oct 23 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-3
3070 - Update Requires on krb5-server to 1.11
3071
3072 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-2
3073 - Configure CA replication to use TLS instead of SSL
3074
3075 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-1
3076 - Updated to upstream 3.0.0 GA
3077 - Set minimum for samba to 4.0.0-153.
3078 - Make sure server-trust-ad subpackage alternates winbind_krb5_locator.so
3079   plugin to /dev/null since they cannot be used when trusts are configured
3080 - Restrict krb5-server to 1.10.
3081 - Update BR for 389-ds-base to 1.3.0
3082 - Add directory /var/lib/ipa/pki-ca/publish for CRL published by pki-ca
3083 - Add Requires on zip for generating FF browser extension
3084
3085 * Fri Oct  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.10
3086 - Updated to upstream 3.0.0 rc 2
3087 - Include new FF configuration extension
3088 - Set minimum Requires of selinux-policy to 3.11.1-33
3089 - Set minimum Requires dogtag to 10.0.0-0.43.b1
3090 - Add new optional strict sub-package to allow users to limit other
3091   package upgrades.
3092
3093 * Tue Oct  2 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.9
3094 - Require samba packages instead of obsoleted samba4 packages
3095
3096 * Fri Sep 21 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.8
3097 - Updated to upstream 3.0.0 rc 1
3098 - Update BR for 389-ds-base to 1.2.11.14
3099 - Update BR for krb5 to 1.10
3100 - Update BR for samba4-devel to 4.0.0-139 (rc1)
3101 - Add BR for python-polib
3102 - Update BR and Requires on sssd to 1.9.0
3103 - Update Requires on policycoreutils to 2.1.12-5
3104 - Update Requires on 389-ds-base to 1.2.11.14
3105 - Update Requires on selinux-policy to 3.11.1-21
3106 - Update Requires on dogtag to 10.0.0-0.33.a1
3107 - Update Requires on certmonger to 0.60
3108 - Update Requires on tomcat to 7.0.29
3109 - Update minimum version of bind to 9.9.1-10.P3
3110 - Update minimum version of bind-dyndb-ldap to 1.1.0-0.16.rc1
3111 - Remove Requires on authconfig from python sub-package
3112
3113 * Wed Sep  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.7
3114 - Rebuild against samba4 beta8
3115
3116 * Fri Aug 31 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.6
3117 - Rebuild against samba4 beta7
3118
3119 * Wed Aug 22 2012 Alexander Bokovoy <abokovoy@redhat.com> - 3.0.0-0.5
3120 - Adopt to samba4 beta6 (libsecurity -> libsamba-security)
3121 - Add dependency to samba4-winbind
3122
3123 * Fri Aug 17 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.4
3124 - Updated to upstream 3.0.0 beta 2
3125
3126 * Mon Aug  6 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.3
3127 - Updated to current upstream state of 3.0.0 beta 2 development
3128
3129 * Mon Jul 23 2012 Alexander Bokovoy <abokovy@redhat.com> - 3.0.0-0.2
3130 - Rebuild against samba4 beta4
3131
3132 * Mon Jul  2 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.1
3133 - Updated to upstream 3.0.0 beta 1
3134
3135 * Thu May  3 2012 Rob Crittenden <rcritten@redhat.com> - 2.2.0-1
3136 - Updated to upstream 2.2.0 GA
3137 - Update minimum n-v-r of certmonger to 0.53
3138 - Update minimum n-v-r of slapi-nis to 0.40
3139 - Add Requires in client to oddjob-mkhomedir and python-krbV
3140 - Update minimum selinux-policy to 3.10.0-110
3141
3142 * Mon Mar 19 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.2
3143 - Update to upstream 2.2.0 beta 1 (2.1.90.rc1)
3144 - Set minimum n-v-r for pki-ca and pki-silent to 9.0.18.
3145 - Add Conflicts on mod_ssl
3146 - Update minimum n-v-r of 389-ds-base to 1.2.10.4
3147 - Update minimum n-v-r of sssd to 1.8.0
3148 - Update minimum n-v-r of slapi-nis to 0.38
3149 - Update minimum n-v-r of pki-* to 9.0.18
3150 - Update conflicts on bind-dyndb-ldap to < 1.1.0-0.9.b1
3151 - Update conflicts on bind to < 9.9.0-1
3152 - Drop requires on krb5-server-ldap
3153 - Add patch to remove escaping arguments to pkisilent
3154
3155 * Mon Feb 06 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.1
3156 - Update to upstream 2.2.0 alpha 1 (2.1.90.pre1)
3157
3158 * Wed Feb 01 2012 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-5
3159 - Force to use 389-ds 1.2.10-0.8.a7 or above
3160 - Improve upgrade script to handle systemd 389-ds change
3161 - Fix freeipa to work with python-ldap 2.4.6
3162
3163 * Wed Jan 11 2012 Martin Kosek <mkosek@redhat.com> - 2.1.4-4
3164 - Fix ipa-replica-install crashes
3165 - Fix ipa-server-install and ipa-dns-install logging
3166 - Set minimum version of pki-ca to 9.0.17 to fix sslget problem
3167   caused by FEDORA-2011-17400 update (#771357)
3168
3169 * Wed Dec 21 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-3
3170 - Allow Web-based migration to work with tightened SE Linux policy (#769440)
3171 - Rebuild slapi plugins against re-enterant version of libldap
3172
3173 * Sun Dec 11 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-2
3174 - Allow longer dirsrv startup with systemd:
3175   - IPAdmin class will wait until dirsrv instance is available up to 10 seconds
3176   - Helps with restarts during upgrade for ipa-ldap-updater
3177 - Fix pylint warnings from F16 and Rawhide
3178
3179 * Tue Dec  6 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.4-1
3180 - Update to upstream 2.1.4 (CVE-2011-3636)
3181
3182 * Mon Dec  5 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.3-8
3183 - Update SELinux policy to allow ipa_kpasswd to connect ldap and
3184   read /dev/urandom. (#759679)
3185
3186 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-7
3187 - Fix wrong path in packaging freeipa-systemd-upgrade
3188
3189 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-6
3190 - Introduce upgrade script to recover existing configuration after systemd migration
3191   as user has no means to recover FreeIPA from systemd migration
3192 - Upgrade script:
3193   - recovers symlinks in Dogtag instance install
3194   - recovers systemd configuration for FreeIPA's directory server instances
3195   - recovers freeipa.service
3196   - migrates directory server and KDC configs to use proper keytabs for systemd services
3197
3198 * Wed Oct 26 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.1.3-5
3199 - Rebuilt for glibc bug#747377
3200
3201 * Wed Oct 19 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-4
e3ffab 3202 - clean up spec
99b6f7 3203 - Depend on sssd >= 1.6.2 for better user experience
CB 3204
3205 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-3
3206 - Fix Fedora package changelog after merging systemd changes
3207
3208 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-2
3209 - Fix postin scriplet for F-15/F-16
3210
3211 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-1
3212 - 2.1.3
3213
3214 * Mon Oct 17 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.2-1
3215 - Default to systemd for Fedora 16 and onwards
3216
3217 * Tue Aug 16 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.0-1
3218 - Update to upstream 2.1.0
3219
3220 * Fri May  6 2011 Simo Sorce <ssorce@redhat.com> - 2.0.1-2
3221 - Fix bug #702633
3222
3223 * Mon May  2 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.1-1
3224 - Update minimum selinux-policy to 3.9.16-18
3225 - Update minimum pki-ca and pki-selinux to 9.0.7
3226 - Update minimum 389-ds-base to 1.2.8.0-1
3227 - Update to upstream 2.0.1
3228
3229 * Thu Mar 24 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-1
3230 - Update to upstream GA release
3231 - Automatically apply updates when the package is upgraded
3232
3233 * Fri Feb 25 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.4.rc2
3234 - Update to upstream freeipa-2.0.0.rc2
3235 - Set minimum version of python-nss to 0.11 to make sure IPv6 support is in
3236 - Set minimum version of sssd to 1.5.1
3237 - Patch to include SuiteSpotGroup when setting up 389-ds instances
3238 - Move a lot of BuildRequires so this will build with ONLY_CLIENT enabled
3239
3240 * Tue Feb 15 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.3.rc1
3241 - Set the N-V-R so rc1 is an update to beta2.
3242
3243 * Mon Feb 14 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.rc1
3244 - Set minimum version of sssd to 1.5.1
3245 - Update to upstream freeipa-2.0.0.rc1
3246 - Move server-only binaries from admintools subpackage to server
3247
3248 * Tue Feb 08 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.0.0-0.2.beta2
3249 - Rebuilt for https://fedoraproject.org/wiki/Fedora_15_Mass_Rebuild
3250
3251 * Thu Feb  3 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta2
3252 - Set min version of 389-ds-base to 1.2.8
3253 - Set min version of mod_nss 1.0.8-10
3254 - Set min version of selinux-policy to 3.9.7-27
3255 - Add dogtag themes to Requires
3256 - Update to upstream freeipa-2.0.0.pre2
3257
3258 * Thu Jan 27 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.2.beta.git80e87e7
3259 - Remove unnecessary moving of v1 CA serial number file in post script
3260 - Add Obsoletes for server-selinxu subpackage
3261 - Using git snapshot 442d6ad30ce1156914e6245aa7502499e50ec0da
3262
3263 * Wed Jan 26 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta.git80e87e7
3264 - Prepare spec file for release
3265 - Using git snapshot 80e87e75bd6ab56e3e20c49ece55bd4d52f1a503
3266
3267 * Tue Jan 25 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-41
3268 - Re-arrange doc and defattr to clean up rpmlint warnings
3269 - Remove conditionals on older releases
3270 - Move some man pages into admintools subpackage
3271 - Remove some explicit Requires in client that aren't needed
3272 - Consistent use of buildroot vs RPM_BUILD_ROOT
3273
3274 * Wed Jan 19 2011 Adam Young <ayoung@redhat.com> - 1.99-40
3275 - Moved directory install/static to install/ui
3276
3277 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-39
3278 - Remove dependency on nss_ldap/nss-pam-ldapd
3279 - The official client is sssd and that's what we use by default.
3280
3281 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-38
3282 - Remove radius subpackages
3283
3284 * Thu Jan 13 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-37
3285 - Set minimum pki-ca and pki-silent versions to 9.0.0
3286
3287 * Wed Jan 12 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-36
3288 - Drop BuildRequires on mozldap-devel
3289
3290 * Mon Dec 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-35
3291 - Add Requires on krb5-pkinit-openssl
3292
3293 * Fri Dec 10 2010 Jr Aquino <jr.aquino@citrix.com> - 1.99-34
3294 - Add ipa-host-net-manage script
3295
3296 * Tue Dec  7 2010 Simo Sorce <ssorce@redhat.com> - 1.99-33
3297 - Add ipa init script
3298
3299 * Fri Nov 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-32
3300 - Set minimum level of 389-ds-base to 1.2.7 for enhanced memberof plugin
3301
3302 * Wed Nov  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-31
3303 - remove ipa-fix-CVE-2008-3274
3304
3305 * Wed Oct  6 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-30
3306 - Remove duplicate %%files entries on share/ipa/static
3307 - Add python default encoding shared library
3308
3309 * Mon Sep 20 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-29
3310 - Drop requires on python-configobj (not used any more)
3311 - Drop ipa-ldap-updater message, upgrades are done differently now
3312
3313 * Wed Sep  8 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-28
3314 - Drop conflicts on mod_nss
3315 - Require nss-pam-ldapd on F-14 or higher instead of nss_ldap (#606847)
3316 - Drop a slew of conditionals on older Fedora releases (< 12)
3317 - Add a few conditionals against RHEL 6
3318 - Add Requires of nss-tools on ipa-client
3319
3320 * Fri Aug 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-27
3321 - Set minimum version of certmonger to 0.26 (to pck up #621670)
3322 - Set minimum version of pki-silent to 1.3.4 (adds -key_algorithm)
3323 - Set minimum version of pki-ca to 1.3.6
3324 - Set minimum version of sssd to 1.2.1
3325
3326 * Tue Aug 10 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-26
3327 - Add BuildRequires for authconfig
3328
3329 * Mon Jul 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-25
3330 - Bump up minimum version of python-nss to pick up nss_is_initialize() API
3331
3332 * Thu Jun 24 2010 Adam Young <ayoung@redhat.com> - 1.99-24
3333 - Removed python-asset based webui
3334
3335 * Thu Jun 24 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-23
3336 - Change Requires from fedora-ds-base to 389-ds-base
3337 - Set minimum level of 389-ds-base to 1.2.6 for the replication
3338   version plugin.
3339
3340 * Tue Jun  1 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-22
3341 - Drop Requires of python-krbV on ipa-client
3342
3343 * Mon May 17 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-21
3344 - Load ipa_dogtag.pp in post install
3345
3346 * Mon Apr 26 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-20
3347 - Set minimum level of sssd to 1.1.1 to pull in required hbac fixes.
3348
3349 * Thu Mar  4 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-19
3350 - No need to create /var/log/ipa_error.log since we aren't using
3351   TurboGears any more.
3352
3353 * Mon Mar 1 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-18
3354 - Fixed share/ipa/wsgi.py so .pyc, .pyo files are included
3355
3356 * Wed Feb 24 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-17
3357 - Added Require mod_wsgi, added share/ipa/wsgi.py
3358
3359 * Thu Feb 11 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-16
3360 - Require python-wehjit >= 0.2.2
3361
3362 * Wed Feb  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-15
3363 - Add sssd and certmonger as a Requires on ipa-client
3364
3365 * Wed Jan 27 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-14
3366 - Require python-wehjit >= 0.2.0
3367
3368 * Fri Dec  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-13
3369 - Add ipa-rmkeytab tool
3370
3371 * Tue Dec  1 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-12
3372 - Set minimum of python-pyasn1 to 0.0.9a so we have support for the ASN.1
3373   Any type
3374
3375 * Wed Nov 25 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-11
3376 - Remove v1-style /etc/ipa/ipa.conf, replacing with /etc/ipa/default.conf
3377
3378 * Fri Nov 13 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-10
3379 - Add bash completion script and own /etc/bash_completion.d in case it
3380   doesn't already exist
3381
3382 * Tue Nov  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-9
3383 - Remove ipa_webgui, its functions rolled into ipa_httpd
3384
3385 * Mon Oct 12 2009 Jason Gerard DeRose <jderose@redhat.com> - 1.99-8
3386 - Removed python-cherrypy from BuildRequires and Requires
3387 - Added Requires python-assets, python-wehjit
3388
3389 * Mon Aug 24 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-7
3390 - Added httpd SELinux policy so CRLs can be read
3391
3392 * Thu May 21 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-6
3393 - Move ipalib to ipa-python subpackage
3394 - Bump minimum version of slapi-nis to 0.15
3395
3396 * Wed May  6 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-5
3397 - Set 0.14 as minimum version for slapi-nis
3398
3399 * Wed Apr 22 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-4
3400 - Add Requires: python-nss to ipa-python sub-package
3401
3402 * Thu Mar  5 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-3
3403 - Remove the IPA DNA plugin, use the DS one
3404
3405 * Wed Mar  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-2
3406 - Build radius separately
3407 - Fix a few minor issues
3408
3409 * Tue Feb  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-1
3410 - Replace TurboGears requirement with python-cherrypy
3411
3412 * Sat Jan 17 2009 Tomas Mraz <tmraz@redhat.com> - 1.2.1-3
3413 - rebuild with new openssl
3414
3415 * Fri Dec 19 2008 Dan Walsh <dwalsh@redhat.com> - 1.2.1-2
3416 - Fix SELinux code
3417
3418 * Mon Dec 15 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-1
3419 - Fix breakage caused by python-kerberos update to 1.1
3420
3421 * Fri Dec 5 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-0
3422 - New upstream release 1.2.1
3423
3424 * Sat Nov 29 2008 Ignacio Vazquez-Abrams <ivazqueznet+rpm@gmail.com> - 1.2.0-4
3425 - Rebuild for Python 2.6
3426
3427 * Fri Nov 14 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-3
3428 - Respin after the tarball has been re-released upstream
3429   New hash is 506c9c92dcaf9f227cba5030e999f177
3430
3431 * Thu Nov 13 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-2
3432 - Conditionally restart also dirsrv and httpd when upgrading
3433
3434 * Wed Oct 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.2.0-1
3435 - Update to upstream version 1.2.0
3436 - Set fedora-ds-base minimum version to 1.1.3 for winsync header
3437 - Set the minimum version for SELinux policy
3438 - Remove references to Fedora 7
3439
3440 * Wed Jul 23 2008 Simo Sorce <ssorce@redhat.com> - 1.1.0-3
3441 - Fix for CVE-2008-3274
3442 - Fix segfault in ipa-kpasswd in case getifaddrs returns a NULL interface
3443 - Add fix for bug #453185
3444 - Rebuild against openldap libraries, mozldap ones do not work properly
3445 - TurboGears is currently broken in rawhide. Added patch to not build
3446   the UI locales and removed them from the ipa-server files section.
3447
3448 * Wed Jun 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-2
3449 - Add call to /usr/sbin/upgradeconfig to post install
3450
3451 * Wed Jun 11 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-1
3452 - Update to upstream version 1.1.0
3453 - Patch for indexing memberof attribute
3454 - Patch for indexing uidnumber and gidnumber
3455 - Patch to change DNA default values for replicas
3456 - Patch to fix uninitialized variable in ipa-getkeytab
3457
3458 * Fri May 16 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-5
3459 - Set fedora-ds-base minimum version to 1.1.0.1-4 and mod_nss minimum
3460   version to 1.0.7-4 so we pick up the NSS fixes.
3461 - Add selinux-policy-base(post) to Requires (446496)
3462
3463 * Tue Apr 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-4
3464 - Add missing entry for /var/cache/ipa/kpasswd (444624)
3465 - Added patch to fix permissions problems with the Apache NSS database.
3466 - Added patch to fix problem with DNS querying where the query could be
3467   returned as the answer.
3468 - Fix spec error where patch1 was in the wrong section
3469
3470 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-3
3471 - Added patch to fix problem reported by ldapmodify
3472
3473 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-2
3474 - Fix Requires for krb5-server that was missing for Fedora versions > 9
3475 - Remove quotes around test for fedora version to package egg-info
3476
3477 * Fri Apr 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-1
3478 - Update to upstream version 1.0.0
3479
3480 * Tue Mar 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-12
3481 - Pull upstream changelog 722
3482 - Add Conflicts mod_ssl (435360)
3483
3484 * Fri Feb 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-11
3485 - Pull upstream changelog 698
3486 - Fix ownership of /var/log/ipa_error.log during install (435119)
3487 - Add pwpolicy command and man page
3488
3489 * Thu Feb 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-10
3490 - Pull upstream changelog 678
3491 - Add new subpackage, ipa-server-selinux
3492 - Add Requires: authconfig to ipa-python (bz #433747)
3493 - Package i18n files
3494
3495 * Mon Feb 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-9
3496 - Pull upstream changelog 641
3497 - Require minimum version of krb5-server on F-7 and F-8
3498 - Package some new files
3499
3500 * Thu Jan 31 2008 Rob Crittenden <rcritten@redhat.com> 0.99-8
3501 - Marked with wrong license. IPA is GPLv2.
3502
3503 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-7
3504 - Ensure that /etc/ipa exists before moving user-modifiable html files there
3505 - Put html files into /etc/ipa/html instead of /etc/ipa
3506
3507 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-6
3508 - Pull upstream changelog 608 which renamed several files
3509
3510 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-5
3511 - package the sessions dir /var/cache/ipa/sessions
3512 - Pull upstream changelog 597
3513
3514 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-4
3515 - Updated upstream pull (596) to fix bug in ipa_webgui that was causing the
3516   UI to not start.
3517
3518 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-3
3519 - Included LICENSE and README in all packages for documentation
3520 - Move user-modifiable content to /etc/ipa and linked back to
3521   /usr/share/ipa/html
3522 - Changed some references to /usr to the {_usr} macro and /etc
3523   to {_sysconfdir}
3524 - Added popt-devel to BuildRequires for Fedora 8 and higher and
3525   popt for Fedora 7
3526 - Package the egg-info for Fedora 9 and higher for ipa-python
3527
3528 * Tue Jan 22 2008 Rob Crittenden <rcritten@redhat.com> 0.99-2
3529 - Added auto* BuildRequires
3530
3531 * Mon Jan 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-1
3532 - Unified spec file
3533
3534 * Thu Jan 17 2008 Rob Crittenden <rcritten@redhat.com> - 0.6.0-2
3535 - Fixed License in specfile
3536 - Include files from /usr/lib/python*/site-packages/ipaserver
3537
3538 * Fri Dec 21 2007 Karl MacMillan <kmacmill@redhat.com> - 0.6.0-1
3539 - Version bump for release
3540
3541 * Wed Nov 21 2007 Karl MacMillan <kmacmill@mentalrootkit.com> - 0.5.0-1
3542 - Preverse mode on ipa-keytab-util
3543 - Version bump for relase and rpm name change
3544
3545 * Thu Nov 15 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.1-2
3546 - Broke invididual Requires and BuildRequires onto separate lines and
3547   reordered them
3548 - Added python-tgexpandingformwidget as a dependency
3549 - Require at least fedora-ds-base 1.1
3550
3551 * Thu Nov  1 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.1-1
3552 - Version bump for release
3553
3554 * Wed Oct 31 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-6
3555 - Add dep for freeipa-admintools and acl
3556
3557 * Wed Oct 24 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-5
3558 - Add dependency for python-krbV
3559
3560 * Fri Oct 19 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-4
3561 - Require mod_nss-1.0.7-2 for mod_proxy fixes
3562
3563 * Thu Oct 18 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-3
3564 - Convert to autotools-based build
3565
3566 * Tue Sep 25 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-2
3567
3568 * Fri Sep 7 2007 Karl MacMillan <kmacmill@redhat.com> - 0.3.0-1
3569 - Added support for libipa-dna-plugin
3570
3571 * Fri Aug 10 2007 Karl MacMillan <kmacmill@redhat.com> - 0.2.0-1
3572 - Added support for ipa_kpasswd and ipa_pwd_extop
3573
3574 * Sun Aug  5 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-3
3575 - Abstracted client class to work directly or over RPC
3576
3577 * Wed Aug  1 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-2
3578 - Add mod_auth_kerb and cyrus-sasl-gssapi to Requires
3579 - Remove references to admin server in ipa-server-setupssl
3580 - Generate a client certificate for the XML-RPC server to connect to LDAP with
3581 - Create a keytab for Apache
3582 - Create an ldif with a test user
3583 - Provide a certmap.conf for doing SSL client authentication
3584
3585 * Fri Jul 27 2007 Karl MacMillan <kmacmill@redhat.com> - 0.1.0-1
3586 - Initial rpm version