The Identity, Policy and Audit system
CentOS Sources
2016-11-03 403b09ab980c02ef36095973349a13e0181c794a
commit | author | age
e3ffab 1 # Define ONLY_CLIENT to only make the ipa-admintools, ipa-client and ipa-python
CS 2 # subpackages
99b6f7 3 %{!?ONLY_CLIENT:%global ONLY_CLIENT 0}
CB 4
403b09 5 %if 0%{?rhel}
CS 6 %global with_python3 0
7 %else
8 %global with_python3 1
9 %endif
10
e3ffab 11 # RHEL spec file only: START
99b6f7 12 %ifarch x86_64 %{ix86}
CB 13 # Nothing, we want to force just building client on non-Intel
14 %else
15 %global ONLY_CLIENT 1
16 %endif
403b09 17 %global VERSION 4.4.0
e3ffab 18 # RHEL spec file only: END
99b6f7 19
e3ffab 20 %global alt_name freeipa
CS 21 %if 0%{?rhel}
d73e7d 22 %global samba_version 4.2.10-1
403b09 23 %global selinux_policy_version 3.13.1-70
CS 24 %global slapi_nis_version 0.56.0-4
e3ffab 25 %else
403b09 26 %global samba_version 2:4.0.5-1
CS 27 %global selinux_policy_version 3.13.1-158.4
28 %global slapi_nis_version 0.56.1
9991ea 29 %endif
CB 30
590d18 31 %define krb5_base_version %(LC_ALL=C rpm -q --qf '%%{VERSION}' krb5-devel | grep -Eo '^[^.]+\.[^.]+')
CS 32
e3ffab 33 %global plugin_dir %{_libdir}/dirsrv/plugins
590d18 34 %global etc_systemd_dir %{_sysconfdir}/systemd/system
e3ffab 35 %global gettext_domain ipa
CS 36 %if 0%{?rhel}
37 %global platform_module rhel
38 %else
39 %global platform_module fedora
40 %endif
41
42 %define _hardened_build 1
43
99b6f7 44 Name:           ipa
403b09 45 Version:        4.4.0
CS 46 Release:        12%{?dist}
99b6f7 47 Summary:        The Identity, Policy and Audit system
CB 48
49 Group:          System Environment/Base
50 License:        GPLv3+
51 URL:            http://www.freeipa.org/
52 Source0:        http://www.freeipa.org/downloads/src/freeipa-%{VERSION}.tar.gz
e3ffab 53 # RHEL spec file only: START: Change branding to IPA and Identity-Management
403b09 54 Source1:        header-logo.png
CS 55 Source2:        login-screen-background.jpg
56 Source3:        login-screen-logo.png
57 Source4:        product-name.png
e3ffab 58 # RHEL spec file only: END: Change branding to IPA and Identity-Management
99b6f7 59 BuildRoot:      %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
CB 60
e3ffab 61 # RHEL spec file only: START
403b09 62 Patch0001:      0001-Fix-incorrect-check-for-principal-type-when-evaluati.patch
CS 63 Patch0002:      0002-uninstall-untrack-lightweight-CA-certs.patch
64 Patch0003:      0003-ipa-nis-manage-Use-server-API-to-retrieve-plugin-sta.patch
65 Patch0004:      0004-ipa-compat-manage-use-server-API-to-retrieve-plugin-.patch
66 Patch0005:      0005-ipa-advise-correct-handling-of-plugin-namespace-iter.patch
67 Patch0006:      0006-kdb-check-for-local-realm-in-enterprise-principals.patch
68 Patch0007:      0007-Enable-vault-commands-on-client.patch
69 Patch0008:      0008-vault-add-set-the-default-vault-type-on-the-client-s.patch
70 Patch0009:      0009-caacl-expand-plugin-documentation.patch
71 Patch0010:      0010-host-find-do-not-show-SSH-key-by-default.patch
72 Patch0011:      0011-Removed-unused-method-parameter-from-migrate-ds.patch
73 Patch0012:      0012-Preserve-user-principal-aliases-during-rename-operat.patch
74 Patch0013:      0013-messages-specify-message-type-for-ResultFormattingEr.patch
75 Patch0014:      0014-schema-Fix-subtopic-topic-mapping.patch
76 Patch0015:      0015-DNS-install-Ensure-that-DNS-servers-container-exists.patch
77 Patch0016:      0016-Heap-corruption-in-ipapwd-plugin.patch
78 Patch0017:      0017-Use-server-API-in-com.redhat.idm.trust-fetch-domains.patch
79 Patch0018:      0018-frontend-copy-command-arguments-to-output-params-on-.patch
80 Patch0019:      0019-Show-full-error-message-for-selinuxusermap-add-hostg.patch
81 Patch0020:      0020-allow-value-output-param-in-commands-without-primary.patch
82 Patch0021:      0021-server-uninstall-fails-to-remove-krb-principals.patch
83 Patch0022:      0022-expose-secret-option-in-radiusproxy-commands.patch
84 Patch0023:      0023-prevent-search-for-RADIUS-proxy-servers-by-secret.patch
85 Patch0024:      0024-trust-add-handle-all-raw-options-properly.patch
86 Patch0025:      0025-unite-log-file-name-of-ipa-ca-install.patch
87 Patch0026:      0026-Host-del-fix-behavior-of-updatedns-and-PTR-records.patch
88 Patch0027:      0027-help-Add-dnsserver-commands-to-help-topic-dns.patch
89 Patch0028:      0028-DNS-Locations-fix-update-system-records-unpacking-er.patch
90 Patch0029:      0029-Fix-session-cookies.patch
91 Patch0030:      0030-Use-copy-when-replacing-files-to-keep-SELinux-contex.patch
92 Patch0031:      0031-baseldap-Fix-MidairCollision-instantiation-during-en.patch
93 Patch0032:      0032-Create-indexes-for-krbCanonicalName-attribute.patch
94 Patch0033:      0033-harden-the-check-for-trust-namespace-overlap-in-new-.patch
95 Patch0034:      0034-Revert-Enable-vault-commands-on-client.patch
96 Patch0035:      0035-client-fix-hiding-of-commands-which-lack-server-supp.patch
97 Patch0036:      0036-Minor-fix-in-ipa-replica-manage-MAN-page.patch
98 Patch0037:      0037-compat-fix-ping-call.patch
99 Patch0038:      0038-replica-install-Fix-domain.patch
100 Patch0039:      0039-idrange-fix-unassigned-global-variable.patch
101 Patch0040:      0040-re-set-canonical-principal-name-on-migrated-users.patch
102 Patch0041:      0041-Do-not-initialize-API-in-ipa-client-automount-uninst.patch
103 Patch0042:      0042-Correct-path-to-HTTPD-s-systemd-service-directory.patch
104 Patch0043:      0043-vault-Catch-correct-exception-in-decrypt.patch
105 Patch0044:      0044-Increase-default-length-of-auto-generated-passwords.patch
106 Patch0045:      0045-vault-add-missing-salt-option-to-vault_mod.patch
107 Patch0046:      0046-Fix-ipa-hbactest-output.patch
108 Patch0047:      0047-install-fix-external-CA-cert-validation.patch
109 Patch0048:      0048-caacl-fix-regression-in-rule-instantiation.patch
110 Patch0049:      0049-Update-ipa-replica-install-documentation.patch
111 Patch0050:      0050-ipa-kdb-Fix-unit-test-after-packaging-changes-in-krb.patch
112 Patch0051:      0051-Improvements-for-the-ipa-cacert-manage-man-and-help.patch
113 Patch0052:      0052-Revert-spec-add-conflict-with-bind-chroot-to-freeipa.patch
114 Patch0053:      0053-Fix-unicode-characters-in-ca-and-domain-adders.patch
115 Patch0054:      0054-ipa-backup-backup-etc-tmpfiles.d-dirsrv-instance-.co.patch
116 Patch0055:      0055-client-RPM-require-initscripts-to-get-domainname.ser.patch
117 Patch0056:      0056-parameters-move-the-confirm-kwarg-to-Param.patch
118 Patch0057:      0057-client-add-missing-output-params-to-client-side-comm.patch
119 Patch0058:      0058-server-install-Fix-hostname-option-to-always-overrid.patch
120 Patch0059:      0059-install-Call-hostnamectl-set-hostname-only-if-hostna.patch
121 Patch0060:      0060-schema-Speed-up-schema-cache.patch
122 Patch0061:      0061-frontend-Change-doc-summary-topic-and-NO_CLI-to-clas.patch
123 Patch0062:      0062-schema-Introduce-schema-cache-format.patch
124 Patch0063:      0063-schema-Generate-bits-for-help-load-them-on-request.patch
125 Patch0064:      0064-help-Do-not-create-instances-to-get-information-abou.patch
126 Patch0065:      0065-Fix-ipa-caalc-add-service-error-message.patch
127 Patch0066:      0066-Don-t-show-force-ntpd-option-in-replica-install.patch
128 Patch0067:      0067-DNS-server-upgrade-do-not-fail-when-DNS-server-did-n.patch
129 Patch0068:      0068-DNS-allow-to-add-forward-zone-to-already-broken-sub-.patch
130 Patch0069:      0069-cert-speed-up-cert-find.patch
131 Patch0070:      0070-cert-do-not-crash-on-invalid-data-in-cert-find.patch
132 Patch0071:      0071-Add-warning-about-only-one-existing-CA-server.patch
133 Patch0072:      0072-Set-servers-list-as-default-facet-in-topology-facet-.patch
134 Patch0073:      0073-schema-cache-Do-not-reset-ServerInfo-dirty-flag.patch
135 Patch0074:      0074-schema-cache-Do-not-read-fingerprint-and-format-from.patch
136 Patch0075:      0075-Access-data-for-help-separately.patch
137 Patch0076:      0076-frontent-Add-summary-class-property-to-CommandOverri.patch
138 Patch0077:      0077-schema-cache-Read-server-info-only-once.patch
139 Patch0078:      0078-schema-cache-Store-API-schema-cache-in-memory.patch
140 Patch0079:      0079-client-Do-not-create-instance-just-to-check-isinstan.patch
141 Patch0080:      0080-schema-cache-Read-schema-instead-of-rewriting-it-whe.patch
142 Patch0081:      0081-schema-check-Check-current-client-language-against-c.patch
143 Patch0082:      0082-Fail-on-topology-disconnect-last-role-removal.patch
144 Patch0083:      0083-server-install-do-not-prompt-for-cert-file-PIN-repea.patch
145 Patch0084:      0084-service-add-flag-to-allow-S4U2Self.patch
146 Patch0085:      0085-Add-trusted-to-auth-as-user-checkbox.patch
147 Patch0086:      0086-Added-new-authentication-method.patch
148 Patch0087:      0087-schema-cache-Fallback-to-en_us-when-locale-is-not-av.patch
149 Patch0088:      0088-cert-revoke-fix-permission-check-bypass-CVE-2016-540.patch
150 Patch0089:      0089-Fix-container-owner-should-be-able-to-add-vault.patch
151 Patch0090:      0090-ipaserver-dcerpc-reformat-to-make-the-code-closer-to.patch
152 Patch0091:      0091-trust-automatically-resolve-DNS-trust-conflicts-for-.patch
153 Patch0092:      0092-trust-make-sure-external-trust-topology-is-correctly.patch
154 Patch0093:      0093-trust-make-sure-ID-range-is-created-for-the-child-do.patch
155 Patch0094:      0094-ipa-kdb-simplify-trusted-domain-parent-search.patch
156 Patch0095:      0095-Remove-Custodia-server-keys-from-LDAP.patch
157 Patch0096:      0096-Handled-empty-hostname-in-server-del-command.patch
158 Patch0097:      0097-Secure-permissions-of-Custodia-server.keys.patch
159 Patch0098:      0098-Require-httpd-2.4.6-31-with-mod_proxy-Unix-socket-su.patch
160 Patch0099:      0099-Fix-ipa-server-install-in-pure-IPv6-environment.patch
161 Patch0100:      0100-support-multiple-uid-values-in-schema-compatibility-.patch
162 Patch0101:      0101-custodia-include-known-CA-certs-in-the-PKCS-12-file-.patch
163 Patch0102:      0102-otptoken-permission-Convert-custom-type-parameters-o.patch
164 Patch0103:      0103-Raise-DuplicatedEnrty-error-when-user-exists-in-dele.patch
165 Patch0104:      0104-cert-add-missing-param-values-to-cert-find-output.patch
166 Patch0105:      0105-rpcserver-assume-version-1-for-unversioned-command-c.patch
167 Patch0106:      0106-custodia-force-reconnect-before-retrieving-CA-certs-.patch
168 Patch0107:      0107-rpcserver-fix-crash-in-XML-RPC-system-commands.patch
169 Patch0108:      0108-compat-Save-server-s-API-version-in-for-pre-schema-s.patch
170 Patch0109:      0109-compat-Fix-ping-command-call.patch
171 Patch0110:      0110-Fix-man-page-ipa-replica-manage-remove-duplicate-c-o.patch
172 Patch0111:      0111-cert-include-CA-name-in-cert-command-output.patch
173 Patch0112:      0112-Fix-CA-ACL-Check-on-SubjectAltNames.patch
174 Patch0113:      0113-do-not-use-trusted-forest-name-to-construct-domain-a.patch
175 Patch0114:      0114-Always-fetch-forest-info-from-root-DCs-when-establis.patch
176 Patch0115:      0115-factor-out-populate_remote_domain-method-into-module.patch
177 Patch0116:      0116-Always-fetch-forest-info-from-root-DCs-when-establis.patch
178 Patch0117:      0117-cli-use-full-name-when-executing-a-command.patch
179 Patch0118:      0118-Use-RSA-OAEP-instead-of-RSA-PKCS-1-v1.5.patch
180 Patch0119:      0119-Fix-ipa-certupdate-for-CA-less-installation.patch
181 Patch0120:      0120-Track-lightweight-CAs-on-replica-installation.patch
182 Patch0121:      0121-dns-normalize-record-type-read-interactively-in-dnsr.patch
183 Patch0122:      0122-dns-prompt-for-missing-record-parts-in-CLI.patch
184 Patch0123:      0123-dns-fix-crash-in-interactive-mode-against-old-server.patch
185 Patch0124:      0124-schema-cache-Store-and-check-info-for-pre-schema-ser.patch
186 Patch0125:      0125-Fix-parse-errors-with-link-local-addresses.patch
187 Patch0126:      0126-Add-support-for-additional-options-taken-from-table-.patch
188 Patch0127:      0127-WebUI-Fix-showing-certificates-issued-by-sub-CA.patch
189 Patch0128:      0128-WebUI-add-support-for-sub-CAs-while-revoking-certifi.patch
190 Patch0129:      0129-cert-fix-cert-find-certificate-when-the-cert-is-not-.patch
191 Patch0130:      0130-Make-host-service-cert-revocation-aware-of-lightweig.patch
192 Patch0131:      0131-Fix-regression-introduced-in-ipa-certupdate.patch
193 Patch0132:      0132-Start-named-during-configuration-upgrade.patch
194 Patch0133:      0133-Catch-DNS-exceptions-during-emptyzones-named.conf-up.patch
195 Patch0134:      0134-trust-fetch-domains-contact-forest-DCs-when-fetching.patch
99b6f7 196
CB 197 Patch1001:      1001-Hide-pkinit-functionality-from-production-version.patch
198 Patch1002:      1002-Remove-pkinit-plugin.patch
199 Patch1003:      1003-Remove-pkinit-references-from-tool-man-pages.patch
200 Patch1004:      1004-Change-branding-to-IPA-and-Identity-Management.patch
201 Patch1005:      1005-Remove-pylint-from-build-process.patch
202 Patch1006:      1006-Remove-i18test-from-build-process.patch
e3ffab 203 Patch1007:      1007-Do-not-build-tests.patch
CS 204 Patch1008:      1008-RCUE.patch
403b09 205 Patch1009:      1009-Revert-Increased-mod_wsgi-socket-timeout.patch
CS 206 Patch1010:      1010-WebUI-add-API-browser-is-tech-preview-warning.patch
e3ffab 207 # RHEL spec file only: END
10ca37 208
99b6f7 209 %if ! %{ONLY_CLIENT}
403b09 210 BuildRequires:  389-ds-base-devel >= 1.3.5.6
99b6f7 211 BuildRequires:  svrcore-devel
e3ffab 212 BuildRequires:  policycoreutils >= 2.1.14-37
99b6f7 213 BuildRequires:  systemd-units
e3ffab 214 BuildRequires:  samba-devel >= %{samba_version}
99b6f7 215 BuildRequires:  samba-python
CB 216 BuildRequires:  libtalloc-devel
217 BuildRequires:  libtevent-devel
218 %endif # ONLY_CLIENT
219 BuildRequires:  nspr-devel
220 BuildRequires:  nss-devel
221 BuildRequires:  openssl-devel
222 BuildRequires:  openldap-devel
590d18 223 BuildRequires:  krb5-devel >= 1.13
99b6f7 224 BuildRequires:  krb5-workstation
CB 225 BuildRequires:  libuuid-devel
226 BuildRequires:  libcurl-devel >= 7.21.7-2
227 BuildRequires:  xmlrpc-c-devel >= 1.27.4
228 BuildRequires:  popt-devel
229 BuildRequires:  autoconf
230 BuildRequires:  automake
231 BuildRequires:  m4
232 BuildRequires:  libtool
233 BuildRequires:  gettext
234 BuildRequires:  python-devel
235 BuildRequires:  python-ldap
236 BuildRequires:  python-setuptools
237 BuildRequires:  python-nss
403b09 238 BuildRequires:  python-cryptography >= 0.9
99b6f7 239 BuildRequires:  python-netaddr
403b09 240 BuildRequires:  python-gssapi >= 1.1.2
99b6f7 241 BuildRequires:  python-rhsm
CB 242 BuildRequires:  pyOpenSSL
e3ffab 243 # RHEL spec file only: DELETED: Remove pylint from build process
CS 244 # RHEL spec file only: DELETED: Remove i18test from build process
590d18 245 BuildRequires:  python-libipa_hbac
99b6f7 246 BuildRequires:  python-memcached
CB 247 BuildRequires:  python-lxml
248 BuildRequires:  python-pyasn1 >= 0.0.9a
e3ffab 249 BuildRequires:  python-qrcode-core >= 5.0.0
CS 250 BuildRequires:  python-dns >= 1.11.1-2
99b6f7 251 BuildRequires:  libsss_idmap-devel
403b09 252 BuildRequires:  libsss_nss_idmap-devel >= 1.14.0
e3ffab 253 BuildRequires:  java-headless
031d60 254 BuildRequires:  rhino
99b6f7 255 BuildRequires:  libverto-devel
CB 256 BuildRequires:  systemd
257 BuildRequires:  libunistring-devel
e3ffab 258 # RHEL spec file only: START
99b6f7 259 BuildRequires:  diffstat
e3ffab 260 # RHEL spec file only: END
CS 261 BuildRequires:  python-lesscpy
590d18 262 BuildRequires:  python-yubico >= 1.2.3
CS 263 BuildRequires:  openssl-devel
403b09 264 BuildRequires:  pki-base >= 10.3.3-7
590d18 265 # RHEL spec file only: DELETED: Do not build tests
CS 266 BuildRequires:  python-kdcproxy >= 0.3
403b09 267 BuildRequires:  python-six
CS 268 BuildRequires:  python-jwcrypto
269 BuildRequires:  custodia
270 BuildRequires:  libini_config-devel >= 1.2.0
271 BuildRequires:  dbus-python
272 BuildRequires:  python-netifaces >= 0.10.4
273
274 # Build dependencies for unit tests
275 BuildRequires:  libcmocka-devel
276 BuildRequires:  nss_wrapper
277 # Required by ipa_kdb_tests
278 BuildRequires:  %{_libdir}/krb5/plugins/kdb/db2.so
279
280 %if 0%{?with_python3}
281 BuildRequires:  python3-devel
282 %endif  # with_python3
99b6f7 283
CB 284 %description
403b09 285 IPA is an integrated solution to provide centrally managed Identity (users,
CS 286 hosts, services), Authentication (SSO, 2FA), and Authorization
287 (host access control, SELinux user roles, services). The solution provides
288 features for further integration with Linux based clients (SUDO, automount)
289 and integration with Active Directory based infrastructures (Trusts).
290
99b6f7 291
CB 292 %if ! %{ONLY_CLIENT}
403b09 293
99b6f7 294 %package server
CB 295 Summary: The IPA authentication server
296 Group: System Environment/Base
403b09 297 Requires: %{name}-server-common = %{version}-%{release}
99b6f7 298 Requires: %{name}-client = %{version}-%{release}
CB 299 Requires: %{name}-admintools = %{version}-%{release}
403b09 300 Requires: %{name}-common = %{version}-%{release}
CS 301 Requires: python2-ipaserver = %{version}-%{release}
302 Requires: 389-ds-base >= 1.3.5.6
99b6f7 303 Requires: openldap-clients > 2.4.35-4
CB 304 Requires: nss >= 3.14.3-12.0
305 Requires: nss-tools >= 3.14.3-12.0
590d18 306 Requires(post): krb5-server >= %{krb5_base_version}, krb5-server < %{krb5_base_version}.100
99b6f7 307 Requires: krb5-pkinit-openssl
CB 308 Requires: cyrus-sasl-gssapi%{?_isa}
309 Requires: ntp
403b09 310 Requires: httpd >= 2.4.6-31
99b6f7 311 Requires: mod_wsgi
403b09 312 Requires: mod_auth_gssapi >= 1.4.0
9991ea 313 Requires: mod_nss >= 1.0.8-26
e3ffab 314 Requires: python-ldap >= 2.4.15
403b09 315 Requires: python-gssapi >= 1.1.2
99b6f7 316 Requires: acl
CB 317 Requires: memcached
318 Requires: python-memcached
319 Requires: systemd-units >= 38
590d18 320 Requires(pre): shadow-utils
99b6f7 321 Requires(pre): systemd-units
CB 322 Requires(post): systemd-units
e3ffab 323 Requires: selinux-policy >= %{selinux_policy_version}
590d18 324 Requires(post): selinux-policy-base >= %{selinux_policy_version}
403b09 325 Requires: slapi-nis >= %{slapi_nis_version}
CS 326 Requires: pki-ca >= 10.3.3-7
327 Requires: pki-kra >= 10.3.3-7
99b6f7 328 Requires(preun): python systemd-units
CB 329 Requires(postun): python systemd-units
330 Requires: zip
e3ffab 331 Requires: policycoreutils >= 2.1.14-37
99b6f7 332 Requires: tar
590d18 333 Requires(pre): certmonger >= 0.78
403b09 334 Requires(pre): 389-ds-base >= 1.3.5.6
e3ffab 335 Requires: fontawesome-fonts
CS 336 Requires: open-sans-fonts
e0ab38 337 Requires: openssl >= 1:1.0.1e-42
590d18 338 Requires: softhsm >= 2.0.0rc1-1
CS 339 Requires: p11-kit
340 Requires: systemd-python
341 Requires: %{etc_systemd_dir}
342 Requires: gzip
403b09 343 Requires: oddjob
e3ffab 344
403b09 345 Provides: %{alt_name}-server = %{version}
e3ffab 346 Conflicts: %{alt_name}-server
CS 347 Obsoletes: %{alt_name}-server < %{version}
348
349 # RHEL spec file only: DELETED
99b6f7 350
590d18 351 # upgrade path from monolithic -server to -server + -server-dns
CS 352 Obsoletes: %{name}-server <= 4.2.0-2
99b6f7 353
CB 354 # Versions of nss-pam-ldapd < 0.8.4 require a mapping from uniqueMember to
355 # member.
356 Conflicts: nss-pam-ldapd < 0.8.4
9991ea 357
e3ffab 358 # RHEL spec file only: START: Do not build tests
9991ea 359 # ipa-tests subpackage was moved to separate srpm
CB 360 Conflicts: ipa-tests < 3.3.3-9
e3ffab 361 # RHEL spec file only: END: Do not build tests
99b6f7 362
403b09 363 # RHEL spec file only: START
CS 364 # https://bugzilla.redhat.com/show_bug.cgi?id=1296140
365 Obsoletes: redhat-access-plugin-ipa
366 Conflicts: redhat-access-plugin-ipa
367 # RHEL spec file only: END
368
99b6f7 369 %description server
403b09 370 IPA is an integrated solution to provide centrally managed Identity (users,
CS 371 hosts, services), Authentication (SSO, 2FA), and Authorization
372 (host access control, SELinux user roles, services). The solution provides
373 features for further integration with Linux based clients (SUDO, automount)
374 and integration with Active Directory based infrastructures (Trusts).
375 If you are installing an IPA server, you need to install this package.
376
377
378 %package -n python2-ipaserver
379 Summary: Python libraries used by IPA server
380 Group: System Environment/Libraries
381 BuildArch: noarch
382 Provides: python-ipaserver = %{version}-%{release}
383 Requires: %{name}-server-common = %{version}-%{release}
384 Requires: %{name}-common = %{version}-%{release}
385 Requires: python2-ipaclient = %{version}-%{release}
386 Requires: python-ldap >= 2.4.15
387 Requires: python-gssapi >= 1.1.2
388 Requires: python-sssdconfig
389 Requires: python-pyasn1
390 Requires: dbus-python
391 Requires: python-dns >= 1.11.1-2
392 Requires: python-kdcproxy >= 0.3
393 Requires: rpm-libs
394
395 %description -n python2-ipaserver
396 IPA is an integrated solution to provide centrally managed Identity (users,
397 hosts, services), Authentication (SSO, 2FA), and Authorization
398 (host access control, SELinux user roles, services). The solution provides
399 features for further integration with Linux based clients (SUDO, automount)
400 and integration with Active Directory based infrastructures (Trusts).
401 If you are installing an IPA server, you need to install this package.
402
403
404 %package server-common
405 Summary: Common files used by IPA server
406 Group: System Environment/Base
407 BuildArch: noarch
408 Requires: %{name}-client-common = %{version}-%{release}
409 Requires: httpd >= 2.4.6-31
410 Requires: systemd-units >= 38
411 Requires: custodia
412
413 Provides: %{alt_name}-server-common = %{version}
414 Conflicts: %{alt_name}-server-common
415 Obsoletes: %{alt_name}-server-common < %{version}
416
417 %description server-common
418 IPA is an integrated solution to provide centrally managed Identity (users,
419 hosts, services), Authentication (SSO, 2FA), and Authorization
420 (host access control, SELinux user roles, services). The solution provides
421 features for further integration with Linux based clients (SUDO, automount)
422 and integration with Active Directory based infrastructures (Trusts).
423 If you are installing an IPA server, you need to install this package.
99b6f7 424
CB 425
590d18 426 %package server-dns
CS 427 Summary: IPA integrated DNS server with support for automatic DNSSEC signing
428 Group: System Environment/Base
403b09 429 BuildArch: noarch
590d18 430 Requires: %{name}-server = %{version}-%{release}
403b09 431 Requires: bind-dyndb-ldap >= 10.0
590d18 432 %if 0%{?fedora} >= 21
CS 433 Requires: bind >= 9.9.6-3
434 Requires: bind-utils >= 9.9.6-3
435 Requires: bind-pkcs11 >= 9.9.6-3
436 Requires: bind-pkcs11-utils >= 9.9.6-3
437 %else
438 Requires: bind >= 9.9.4-21
439 Requires: bind-utils >= 9.9.4-21
440 Requires: bind-pkcs11 >= 9.9.4-21
441 Requires: bind-pkcs11-utils >= 9.9.4-21
442 %endif
443 Requires: opendnssec >= 1.4.6-4
444
403b09 445 Provides: %{alt_name}-server-dns = %{version}
590d18 446 Conflicts: %{alt_name}-server-dns
CS 447 Obsoletes: %{alt_name}-server-dns < %{version}
448
449 # upgrade path from monolithic -server to -server + -server-dns
450 Obsoletes: %{name}-server <= 4.2.0-2
451
452 %description server-dns
453 IPA integrated DNS server with support for automatic DNSSEC signing.
454 Integrated DNS server is BIND 9. OpenDNSSEC provides key management.
455
456
99b6f7 457 %package server-trust-ad
CB 458 Summary: Virtual package to install packages required for Active Directory trusts
459 Group: System Environment/Base
403b09 460 Requires: %{name}-server = %{version}-%{release}
CS 461 Requires: %{name}-common = %{version}-%{release}
99b6f7 462 Requires: samba-python
e3ffab 463 Requires: samba >= %{samba_version}
99b6f7 464 Requires: samba-winbind
CB 465 Requires: libsss_idmap
590d18 466 Requires: python-libsss_nss_idmap
CS 467 Requires: python-sss
99b6f7 468 # We use alternatives to divert winbind_krb5_locator.so plugin to libkrb5
CB 469 # on the installes where server-trust-ad subpackage is installed because
470 # IPA AD trusts cannot be used at the same time with the locator plugin
471 # since Winbindd will be configured in a different mode
472 Requires(post): %{_sbindir}/update-alternatives
473 Requires(post): python
474 Requires(postun): %{_sbindir}/update-alternatives
475 Requires(preun): %{_sbindir}/update-alternatives
e3ffab 476
403b09 477 Provides: %{alt_name}-server-trust-ad = %{version}
e3ffab 478 Conflicts: %{alt_name}-server-trust-ad
CS 479 Obsoletes: %{alt_name}-server-trust-ad < %{version}
99b6f7 480
CB 481 %description server-trust-ad
482 Cross-realm trusts with Active Directory in IPA require working Samba 4
483 installation. This package is provided for convenience to install all required
484 dependencies at once.
485
486 %endif # ONLY_CLIENT
487
488
489 %package client
490 Summary: IPA authentication for use on clients
491 Group: System Environment/Base
403b09 492 Requires: %{name}-client-common = %{version}-%{release}
CS 493 Requires: %{name}-common = %{version}-%{release}
494 Requires: python2-ipaclient = %{version}-%{release}
99b6f7 495 Requires: python-ldap
CB 496 Requires: cyrus-sasl-gssapi%{?_isa}
497 Requires: ntp
498 Requires: krb5-workstation
499 Requires: authconfig
500 Requires: pam_krb5
403b09 501 Requires: curl
CS 502 # NIS domain name config: /usr/lib/systemd/system/*-domainname.service
503 Requires: initscripts
99b6f7 504 Requires: libcurl >= 7.21.7-2
CB 505 Requires: xmlrpc-c >= 1.27.4
403b09 506 Requires: sssd >= 1.14.0
590d18 507 Requires: python-sssdconfig
CS 508 Requires: certmonger >= 0.78
99b6f7 509 Requires: nss-tools
CB 510 Requires: bind-utils
511 Requires: oddjob-mkhomedir
403b09 512 Requires: python-gssapi >= 1.1.2
99b6f7 513 Requires: libsss_autofs
CB 514 Requires: autofs
515 Requires: libnfsidmap
516 Requires: nfs-utils
517 Requires(post): policycoreutils
e3ffab 518
403b09 519 Provides: %{alt_name}-client = %{version}
e3ffab 520 Conflicts: %{alt_name}-client
CS 521 Obsoletes: %{alt_name}-client < %{version}
99b6f7 522
CB 523 %description client
403b09 524 IPA is an integrated solution to provide centrally managed Identity (users,
CS 525 hosts, services), Authentication (SSO, 2FA), and Authorization
526 (host access control, SELinux user roles, services). The solution provides
527 features for further integration with Linux based clients (SUDO, automount)
528 and integration with Active Directory based infrastructures (Trusts).
529 If your network uses IPA for authentication, this package should be
530 installed on every client machine.
531
532
533 %package -n python2-ipaclient
534 Summary: Python libraries used by IPA client
535 Group: System Environment/Libraries
536 BuildArch: noarch
537 Provides: python-ipaclient = %{version}-%{release}
538 Requires: %{name}-client-common = %{version}-%{release}
539 Requires: %{name}-common = %{version}-%{release}
540 Requires: python2-ipalib = %{version}-%{release}
541 Requires: python-dns >= 1.11.1-2
542
543 %description -n python2-ipaclient
544 IPA is an integrated solution to provide centrally managed Identity (users,
545 hosts, services), Authentication (SSO, 2FA), and Authorization
546 (host access control, SELinux user roles, services). The solution provides
547 features for further integration with Linux based clients (SUDO, automount)
548 and integration with Active Directory based infrastructures (Trusts).
549 If your network uses IPA for authentication, this package should be
550 installed on every client machine.
551
552
553 %if 0%{?with_python3}
554
555 %package -n python3-ipaclient
556 Summary: Python libraries used by IPA client
557 Group: System Environment/Libraries
558 BuildArch: noarch
559 Requires: %{name}-client-common = %{version}-%{release}
560 Requires: %{name}-common = %{version}-%{release}
561 Requires: python3-ipalib = %{version}-%{release}
562 Requires: python3-dns >= 1.11.1
563
564 %description -n python3-ipaclient
565 IPA is an integrated solution to provide centrally managed Identity (users,
566 hosts, services), Authentication (SSO, 2FA), and Authorization
567 (host access control, SELinux user roles, services). The solution provides
568 features for further integration with Linux based clients (SUDO, automount)
569 and integration with Active Directory based infrastructures (Trusts).
570 If your network uses IPA for authentication, this package should be
571 installed on every client machine.
572
573 %endif  # with_python3
574
575
576 %package client-common
577 Summary: Common files used by IPA client
578 Group: System Environment/Base
579 BuildArch: noarch
580
581 Provides: %{alt_name}-client-common = %{version}
582 Conflicts: %{alt_name}-client-common
583 Obsoletes: %{alt_name}-client-common < %{version}
584
585 %description client-common
586 IPA is an integrated solution to provide centrally managed Identity (users,
587 hosts, services), Authentication (SSO, 2FA), and Authorization
588 (host access control, SELinux user roles, services). The solution provides
589 features for further integration with Linux based clients (SUDO, automount)
590 and integration with Active Directory based infrastructures (Trusts).
591 If your network uses IPA for authentication, this package should be
592 installed on every client machine.
99b6f7 593
CB 594
595 %package admintools
596 Summary: IPA administrative tools
597 Group: System Environment/Base
403b09 598 BuildArch: noarch
CS 599 Requires: python2-ipaclient = %{version}-%{release}
99b6f7 600 Requires: python-ldap
CB 601
403b09 602 Provides: %{alt_name}-admintools = %{version}
e3ffab 603 Conflicts: %{alt_name}-admintools
CS 604 Obsoletes: %{alt_name}-admintools < %{version}
605
99b6f7 606 %description admintools
403b09 607 IPA is an integrated solution to provide centrally managed Identity (users,
CS 608 hosts, services), Authentication (SSO, 2FA), and Authorization
609 (host access control, SELinux user roles, services). The solution provides
610 features for further integration with Linux based clients (SUDO, automount)
611 and integration with Active Directory based infrastructures (Trusts).
612 This package provides command-line tools for IPA administrators.
99b6f7 613
403b09 614
CS 615 %package python-compat
616 Summary: Compatiblity package for Python libraries used by IPA
617 Group: System Environment/Libraries
618 BuildArch: noarch
619 Obsoletes: %{name}-python < 4.2.91
620 Provides: %{name}-python = %{version}-%{release}
621 Requires: %{name}-common = %{version}-%{release}
622 Requires: python2-ipalib = %{version}-%{release}
623
624 Provides: %{alt_name}-python-compat = %{version}
625 Conflicts: %{alt_name}-python-compat
626 Obsoletes: %{alt_name}-python-compat < %{version}
627
628 Obsoletes: %{alt_name}-python < 4.2.91
629 Provides: %{alt_name}-python = %{version}
630
631 %description python-compat
632 IPA is an integrated solution to provide centrally managed Identity (users,
633 hosts, services), Authentication (SSO, 2FA), and Authorization
634 (host access control, SELinux user roles, services). The solution provides
635 features for further integration with Linux based clients (SUDO, automount)
636 and integration with Active Directory based infrastructures (Trusts).
637 This is a compatibility package to accommodate %{name}-python split into
638 python2-ipalib and %{name}-common. Packages still depending on
639 %{name}-python should be fixed to depend on python2-ipaclient or
640 %{name}-common instead.
641
642
643 %package -n python2-ipalib
99b6f7 644 Summary: Python libraries used by IPA
CB 645 Group: System Environment/Libraries
403b09 646 BuildArch: noarch
CS 647 Conflicts: %{name}-python < 4.2.91
648 Provides: python-ipalib = %{version}-%{release}
649 Provides: python2-ipapython = %{version}-%{release}
650 Provides: python-ipapython = %{version}-%{release}
651 Provides: python2-ipaplatform = %{version}-%{release}
652 Provides: python-ipaplatform = %{version}-%{release}
653 Requires: %{name}-common = %{version}-%{release}
654 Requires: python-gssapi >= 1.1.2
99b6f7 655 Requires: gnupg
CB 656 Requires: keyutils
657 Requires: pyOpenSSL
e3ffab 658 Requires: python-nss >= 0.16
403b09 659 Requires: python-cryptography >= 0.9
99b6f7 660 Requires: python-lxml
CB 661 Requires: python-netaddr
590d18 662 Requires: python-libipa_hbac
e3ffab 663 Requires: python-qrcode-core >= 5.0.0
CS 664 Requires: python-pyasn1
665 Requires: python-dateutil
590d18 666 Requires: python-yubico >= 1.2.3
CS 667 Requires: python-sss-murmur
668 Requires: dbus-python
669 Requires: python-setuptools
403b09 670 Requires: python-six
CS 671 Requires: python-jwcrypto
672 Requires: python-cffi
673 Requires: python-ldap >= 2.4.15
674 Requires: python-requests
675 Requires: python-custodia
676 Requires: python-dns >= 1.11.1-2
677 Requires: python-netifaces >= 0.10.4
678 Requires: pyusb
e3ffab 679
403b09 680 Conflicts: %{alt_name}-python < %{version}
99b6f7 681
403b09 682 %description -n python2-ipalib
CS 683 IPA is an integrated solution to provide centrally managed Identity (users,
684 hosts, services), Authentication (SSO, 2FA), and Authorization
685 (host access control, SELinux user roles, services). The solution provides
686 features for further integration with Linux based clients (SUDO, automount)
687 and integration with Active Directory based infrastructures (Trusts).
688 If you are using IPA, you need to install this package.
689
690
691 %if 0%{?with_python3}
692
693 %package -n python3-ipalib
694 Summary: Python3 libraries used by IPA
695 Group: System Environment/Libraries
696 BuildArch: noarch
697 Provides: python3-ipapython = %{version}-%{release}
698 Provides: python3-ipaplatform = %{version}-%{release}
699 Requires: %{name}-common = %{version}-%{release}
700 Requires: python3-gssapi >= 1.1.2
701 Requires: gnupg
702 Requires: keyutils
703 Requires: python3-pyOpenSSL
704 Requires: python3-nss >= 0.16
705 Requires: python3-cryptography
706 Requires: python3-lxml
707 Requires: python3-netaddr
708 Requires: python3-libipa_hbac
709 Requires: python3-qrcode-core >= 5.0.0
710 Requires: python3-pyasn1
711 Requires: python3-dateutil
712 Requires: python3-yubico >= 1.2.3
713 Requires: python3-sss-murmur
714 Requires: python3-dbus
715 Requires: python3-setuptools
716 Requires: python3-six
717 Requires: python3-jwcrypto
718 Requires: python3-cffi
719 Requires: python3-pyldap >= 2.4.15
720 Requires: python3-custodia
721 Requires: python3-requests
722 Requires: python3-dns >= 1.11.1
723 Requires: python3-netifaces >= 0.10.4
724 Requires: python3-pyusb
725
726 %description -n python3-ipalib
727 IPA is an integrated solution to provide centrally managed Identity (users,
728 hosts, services), Authentication (SSO, 2FA), and Authorization
729 (host access control, SELinux user roles, services). The solution provides
730 features for further integration with Linux based clients (SUDO, automount)
731 and integration with Active Directory based infrastructures (Trusts).
732 If you are using IPA with Python 3, you need to install this package.
733
734 %endif # with_python3
735
736
737 %package common
738 Summary: Common files used by IPA
739 Group: System Environment/Libraries
740 BuildArch: noarch
741 Conflicts: %{name}-python < 4.2.91
742
743 Provides: %{alt_name}-common = %{version}
744 Conflicts: %{alt_name}-common
745 Obsoletes: %{alt_name}-common < %{version}
746
747 Conflicts: %{alt_name}-python < %{version}
748
749 %description common
750 IPA is an integrated solution to provide centrally managed Identity (users,
751 hosts, services), Authentication (SSO, 2FA), and Authorization
752 (host access control, SELinux user roles, services). The solution provides
753 features for further integration with Linux based clients (SUDO, automount)
754 and integration with Active Directory based infrastructures (Trusts).
755 If you are using IPA, you need to install this package.
756
e3ffab 757
CS 758 # RHEL spec file only: DELETED: Do not build tests
759
99b6f7 760
CB 761 %prep
762 # RHEL spec file only: START
763 # Update timestamps on the files touched by a patch, to avoid non-equal
764 # .pyc/.pyo files across the multilib peers within a build, where "Level"
765 # is the patch prefix option (e.g. -p1)
766 # Taken from specfile for sssd and python-simplejson
767 UpdateTimestamps() {
768   Level=$1
769   PatchFile=$2
770
771   # Locate the affected files:
772   for f in $(diffstat $Level -l $PatchFile); do
773     # Set the files to have the same timestamp as that of the patch:
774     touch -r $PatchFile $f
775   done
776 }
777
778 %setup -n freeipa-%{VERSION} -q
779
780 for p in %patches ; do
781     %__patch -p1 -i $p
782     UpdateTimestamps -p1 $p
783 done
e3ffab 784
CS 785 # Red Hat's Identity Management branding
403b09 786 cp %SOURCE1 install/ui/images/header-logo.png
CS 787 cp %SOURCE2 install/ui/images/login-screen-background.jpg
788 cp %SOURCE3 install/ui/images/login-screen-logo.png
789 cp %SOURCE4 install/ui/images/product-name.png
99b6f7 790 # RHEL spec file only: END
403b09 791
99b6f7 792
CB 793 %build
e3ffab 794 # UI compilation segfaulted on some arches when the stack was lower (#1040576)
CS 795 export JAVA_STACK_SIZE="8m"
796
9991ea 797 export CFLAGS="%{optflags} $CFLAGS"
CB 798 export LDFLAGS="%{__global_ldflags} $LDFLAGS"
e3ffab 799 export SUPPORTED_PLATFORM=%{platform_module}
CS 800
99b6f7 801 # Force re-generate of platform support
e3ffab 802 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 803 rm -f ipapython/version.py
804 rm -f ipaplatform/services.py
805 rm -f ipaplatform/tasks.py
806 rm -f ipaplatform/paths.py
590d18 807 rm -f ipaplatform/constants.py
99b6f7 808 make version-update
403b09 809 cd client; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
99b6f7 810 %if ! %{ONLY_CLIENT}
0201d8 811 # RHEL SPEC file only: START: Force re-generation of the makefiles
CS 812 find daemons -name Makefile.in |egrep -v '(libotp|lockout|otp-counter|lasttoken)'|xargs rm -f
813 # RHEL SPEC file only: END: Force re-generation of the makefiles
99b6f7 814 cd daemons; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir} --with-openldap; cd ..
CB 815 cd install; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
816 %endif # ONLY_CLIENT
817
818 %if ! %{ONLY_CLIENT}
819 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} all
820 %else
821 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} client
822 %endif # ONLY_CLIENT
823
403b09 824
CS 825 %check
826 %if ! %{ONLY_CLIENT}
827 make %{?_smp_mflags} check VERBOSE=yes
828 %else
829 make %{?_smp_mflags} client-check VERBOSE=yes
830 %endif # ONLY_CLIENT
831
832
99b6f7 833 %install
CB 834 rm -rf %{buildroot}
e3ffab 835 export SUPPORTED_PLATFORM=%{platform_module}
99b6f7 836 # Force re-generate of platform support
e3ffab 837 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 838 rm -f ipapython/version.py
839 rm -f ipaplatform/services.py
840 rm -f ipaplatform/tasks.py
841 rm -f ipaplatform/paths.py
590d18 842 rm -f ipaplatform/constants.py
e3ffab 843 make version-update
99b6f7 844 %if ! %{ONLY_CLIENT}
CB 845 make install DESTDIR=%{buildroot}
403b09 846
CS 847 # RHEL spec file only: DELETED: Do not build tests
848
99b6f7 849 %else
CB 850 make client-install DESTDIR=%{buildroot}
851 %endif # ONLY_CLIENT
852
403b09 853 %if 0%{?with_python3}
CS 854 (cd ipalib && make PYTHON=%{__python3} IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} DESTDIR=%{buildroot} install)
855 (cd ipapython && make PYTHON=%{__python3} IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} DESTDIR=%{buildroot} install)
856 (cd ipaplatform && %{__python3} setup.py install --root %{buildroot})
857 (cd ipaclient && %{__python3} setup.py install --root %{buildroot})
858 %endif # with_python3
859
860 # Switch shebang of /usr/bin/ipa
861 # XXX: ipa cli is not stable enough for enabling py3 support, keep it in py2
862 # in any case
863 sed -i -e'1s/python\(3\|$\)/python2/' %{buildroot}%{_bindir}/ipa
864
865 %find_lang %{gettext_domain}
e3ffab 866
CS 867 mkdir -p %{buildroot}%{_usr}/share/ipa
99b6f7 868
CB 869 %if ! %{ONLY_CLIENT}
870 # Remove .la files from libtool - we don't want to package
871 # these files
872 rm %{buildroot}/%{plugin_dir}/libipa_pwd_extop.la
873 rm %{buildroot}/%{plugin_dir}/libipa_enrollment_extop.la
874 rm %{buildroot}/%{plugin_dir}/libipa_winsync.la
875 rm %{buildroot}/%{plugin_dir}/libipa_repl_version.la
876 rm %{buildroot}/%{plugin_dir}/libipa_uuid.la
877 rm %{buildroot}/%{plugin_dir}/libipa_modrdn.la
878 rm %{buildroot}/%{plugin_dir}/libipa_lockout.la
879 rm %{buildroot}/%{plugin_dir}/libipa_cldap.la
880 rm %{buildroot}/%{plugin_dir}/libipa_dns.la
881 rm %{buildroot}/%{plugin_dir}/libipa_sidgen.la
882 rm %{buildroot}/%{plugin_dir}/libipa_sidgen_task.la
883 rm %{buildroot}/%{plugin_dir}/libipa_extdom_extop.la
884 rm %{buildroot}/%{plugin_dir}/libipa_range_check.la
e3ffab 885 rm %{buildroot}/%{plugin_dir}/libipa_otp_counter.la
CS 886 rm %{buildroot}/%{plugin_dir}/libipa_otp_lasttoken.la
590d18 887 rm %{buildroot}/%{plugin_dir}/libtopology.la
99b6f7 888 rm %{buildroot}/%{_libdir}/krb5/plugins/kdb/ipadb.la
CB 889 rm %{buildroot}/%{_libdir}/samba/pdb/ipasam.la
890
891 # Some user-modifiable HTML files are provided. Move these to /etc
892 # and link back.
893 mkdir -p %{buildroot}/%{_sysconfdir}/ipa/html
894 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysrestore
895 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysupgrade
896 mkdir %{buildroot}%{_usr}/share/ipa/html/
897 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig.js \
898     %{buildroot}%{_usr}/share/ipa/html/ffconfig.js
899 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig_page.js \
900     %{buildroot}%{_usr}/share/ipa/html/ffconfig_page.js
901 ln -s ../../../..%{_sysconfdir}/ipa/html/ssbrowser.html \
902     %{buildroot}%{_usr}/share/ipa/html/ssbrowser.html
903 ln -s ../../../..%{_sysconfdir}/ipa/html/unauthorized.html \
904     %{buildroot}%{_usr}/share/ipa/html/unauthorized.html
905 ln -s ../../../..%{_sysconfdir}/ipa/html/browserconfig.html \
906     %{buildroot}%{_usr}/share/ipa/html/browserconfig.html
907
908 # So we can own our Apache configuration
909 mkdir -p %{buildroot}%{_sysconfdir}/httpd/conf.d/
910 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 911 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 912 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
CB 913 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
914 mkdir -p %{buildroot}%{_usr}/share/ipa/html/
915 /bin/touch %{buildroot}%{_usr}/share/ipa/html/ca.crt
916 /bin/touch %{buildroot}%{_usr}/share/ipa/html/kerberosauth.xpi
917 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.con
918 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.js
919 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb5.ini
920 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krbrealm.con
921 mkdir -p %{buildroot}%{_initrddir}
922 mkdir %{buildroot}%{_sysconfdir}/sysconfig/
923 install -m 644 init/ipa_memcached.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa_memcached
590d18 924 install -m 644 init/ipa-dnskeysyncd.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 925 install -m 644 init/ipa-ods-exporter.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-ods-exporter
926 install -m 644 daemons/dnssec/ipa-ods-exporter.socket %{buildroot}%{_unitdir}/ipa-ods-exporter.socket
927 install -m 644 daemons/dnssec/ipa-ods-exporter.service %{buildroot}%{_unitdir}/ipa-ods-exporter.service
928 install -m 644 daemons/dnssec/ipa-dnskeysyncd.service %{buildroot}%{_unitdir}/ipa-dnskeysyncd.service
e3ffab 929
CS 930 # dnssec daemons
931 mkdir -p %{buildroot}%{_libexecdir}/ipa/
590d18 932 install daemons/dnssec/ipa-dnskeysyncd %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysyncd
CS 933 install daemons/dnssec/ipa-dnskeysync-replica %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysync-replica
934 install daemons/dnssec/ipa-ods-exporter %{buildroot}%{_libexecdir}/ipa/ipa-ods-exporter
99b6f7 935
CB 936 # Web UI plugin dir
937 mkdir -p %{buildroot}%{_usr}/share/ipa/ui/js/plugins
403b09 938
CS 939 # DNSSEC config
940 mkdir -p %{buildroot}%{_sysconfdir}/ipa/dnssec
590d18 941
CS 942 # KDC proxy config (Apache config sets KDCPROXY_CONFIG to load this file)
943 mkdir -p %{buildroot}%{_sysconfdir}/ipa/kdcproxy/
944 install -m 644 install/share/kdcproxy.conf %{buildroot}%{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 945
CB 946 # NOTE: systemd specific section
e3ffab 947 mkdir -p %{buildroot}%{_tmpfilesdir}
CS 948 install -m 0644 init/systemd/ipa.conf.tmpfiles %{buildroot}%{_tmpfilesdir}/%{name}.conf
99b6f7 949 # END
CB 950
951 mkdir -p %{buildroot}%{_localstatedir}/run/
952 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa_memcached/
953 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa/
590d18 954 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa
CS 955 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/clientcaches
956 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/krbcache
99b6f7 957
CB 958 mkdir -p %{buildroot}%{_libdir}/krb5/plugins/libkrb5
959 touch %{buildroot}%{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
960
961 # NOTE: systemd specific section
962 mkdir -p %{buildroot}%{_unitdir}
590d18 963 mkdir -p %{buildroot}%{etc_systemd_dir}
99b6f7 964 install -m 644 init/systemd/ipa.service %{buildroot}%{_unitdir}/ipa.service
CB 965 install -m 644 init/systemd/ipa_memcached.service %{buildroot}%{_unitdir}/ipa_memcached.service
403b09 966 install -m 644 init/systemd/ipa-custodia.service %{buildroot}%{_unitdir}/ipa-custodia.service
99b6f7 967 # END
e3ffab 968 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa/backup
99b6f7 969 %endif # ONLY_CLIENT
CB 970
971 mkdir -p %{buildroot}%{_sysconfdir}/ipa/
972 /bin/touch %{buildroot}%{_sysconfdir}/ipa/default.conf
973 /bin/touch %{buildroot}%{_sysconfdir}/ipa/ca.crt
e3ffab 974 mkdir -p %{buildroot}%{_sysconfdir}/ipa/nssdb
99b6f7 975 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa-client/sysrestore
CB 976 mkdir -p %{buildroot}%{_sysconfdir}/bash_completion.d
977 install -pm 644 contrib/completion/ipa.bash_completion %{buildroot}%{_sysconfdir}/bash_completion.d/ipa
e3ffab 978
CS 979 %if ! %{ONLY_CLIENT}
99b6f7 980 mkdir -p %{buildroot}%{_sysconfdir}/cron.d
CB 981
982 (cd %{buildroot}/%{python_sitelib}/ipaserver && find . -type f  | \
983     sed -e 's,\.py.*$,.*,g' | sort -u | \
984     sed -e 's,\./,%%{python_sitelib}/ipaserver/,g' ) >server-python.list
e3ffab 985
CS 986 # RHEL spec file only: DELETED: Do not build tests
403b09 987
CS 988 mkdir -p %{buildroot}%{_sysconfdir}/ipa/custodia
989
99b6f7 990 %endif # ONLY_CLIENT
403b09 991
99b6f7 992
CB 993 %clean
994 rm -rf %{buildroot}
995
403b09 996
99b6f7 997 %if ! %{ONLY_CLIENT}
403b09 998
99b6f7 999 %post server
CB 1000 # NOTE: systemd specific section
1001     /bin/systemctl --system daemon-reload 2>&1 || :
1002 # END
1003 if [ $1 -gt 1 ] ; then
1004     /bin/systemctl condrestart certmonger.service 2>&1 || :
1005 fi
403b09 1006 /bin/systemctl reload-or-try-restart dbus
CS 1007 /bin/systemctl reload-or-try-restart oddjobd
1008
99b6f7 1009
CB 1010 %posttrans server
403b09 1011 # don't execute upgrade and restart of IPA when server is not installed
e3ffab 1012 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
403b09 1013
99b6f7 1014 if [  $? -eq 0 ]; then
403b09 1015     # This must be run in posttrans so that updates from previous
CS 1016     # execution that may no longer be shipped are not applied.
1017     /usr/sbin/ipa-server-upgrade --quiet >/dev/null || :
1018
1019     # Restart IPA processes. This must be also run in postrans so that plugins
1020     # and software is in consistent state
1021     # NOTE: systemd specific section
1022
e3ffab 1023     /bin/systemctl is-enabled ipa.service >/dev/null 2>&1
CS 1024     if [  $? -eq 0 ]; then
1025         /bin/systemctl restart ipa.service >/dev/null 2>&1 || :
1026     fi
99b6f7 1027 fi
CB 1028 # END
1029
403b09 1030
99b6f7 1031 %preun server
CB 1032 if [ $1 = 0 ]; then
1033 # NOTE: systemd specific section
1034     /bin/systemctl --quiet stop ipa.service || :
1035     /bin/systemctl --quiet disable ipa.service || :
403b09 1036     /bin/systemctl reload-or-try-restart dbus
CS 1037     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1038 # END
CB 1039 fi
403b09 1040
99b6f7 1041
CB 1042 %pre server
1043 # Stop ipa_kpasswd if it exists before upgrading so we don't have a
1044 # zombie process when we're done.
1045 if [ -e /usr/sbin/ipa_kpasswd ]; then
1046 # NOTE: systemd specific section
1047     /bin/systemctl stop ipa_kpasswd.service >/dev/null 2>&1 || :
1048 # END
1049 fi
1050
403b09 1051
99b6f7 1052 %postun server-trust-ad
CB 1053 if [ "$1" -ge "1" ]; then
1054     if [ "`readlink %{_sysconfdir}/alternatives/winbind_krb5_locator.so`" == "/dev/null" ]; then
1055         %{_sbindir}/alternatives --set winbind_krb5_locator.so /dev/null
1056     fi
1057 fi
1058
403b09 1059
99b6f7 1060 %post server-trust-ad
CB 1061 %{_sbindir}/update-alternatives --install %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so \
1062         winbind_krb5_locator.so /dev/null 90
590d18 1063 /bin/systemctl reload-or-try-restart dbus
CS 1064 /bin/systemctl reload-or-try-restart oddjobd
403b09 1065
99b6f7 1066
CB 1067 %posttrans server-trust-ad
e3ffab 1068 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 1069 if [  $? -eq 0 ]; then
CB 1070 # NOTE: systemd specific section
1071     /bin/systemctl try-restart httpd.service >/dev/null 2>&1 || :
1072 # END
1073 fi
1074
403b09 1075
99b6f7 1076 %preun server-trust-ad
CB 1077 if [ $1 -eq 0 ]; then
1078     %{_sbindir}/update-alternatives --remove winbind_krb5_locator.so /dev/null
590d18 1079     /bin/systemctl reload-or-try-restart dbus
CS 1080     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1081 fi
e3ffab 1082
99b6f7 1083 %endif # ONLY_CLIENT
403b09 1084
99b6f7 1085
CB 1086 %post client
1087 if [ $1 -gt 1 ] ; then
1088     # Has the client been configured?
1089     restore=0
1090     test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1091
1092     if [ -f '/etc/sssd/sssd.conf' -a $restore -ge 2 ]; then
1093         if ! grep -E -q '/var/lib/sss/pubconf/krb5.include.d/' /etc/krb5.conf  2>/dev/null ; then
1094             echo "includedir /var/lib/sss/pubconf/krb5.include.d/" > /etc/krb5.conf.ipanew
1095             cat /etc/krb5.conf >> /etc/krb5.conf.ipanew
590d18 1096             mv -Z /etc/krb5.conf.ipanew /etc/krb5.conf
99b6f7 1097         fi
CB 1098     fi
e3ffab 1099
CS 1100     if [ -f '/etc/sysconfig/ntpd' -a $restore -ge 2 ]; then
1101         if grep -E -q 'OPTIONS=.*-u ntp:ntp' /etc/sysconfig/ntpd 2>/dev/null; then
1102             sed -r '/OPTIONS=/ { s/\s+-u ntp:ntp\s+/ /; s/\s*-u ntp:ntp\s*// }' /etc/sysconfig/ntpd >/etc/sysconfig/ntpd.ipanew
590d18 1103             mv -Z /etc/sysconfig/ntpd.ipanew /etc/sysconfig/ntpd
e3ffab 1104
CS 1105             /bin/systemctl condrestart ntpd.service 2>&1 || :
1106         fi
1107     fi
1108
403b09 1109     if [ $restore -ge 2 ]; then
CS 1110         python2 -c 'from ipapython.certdb import update_ipa_nssdb; update_ipa_nssdb()' >/var/log/ipaupgrade.log 2>&1
e3ffab 1111     fi
99b6f7 1112 fi
CB 1113
403b09 1114
CS 1115 %triggerin client -- openssh-server
99b6f7 1116 # Has the client been configured?
CB 1117 restore=0
1118 test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1119
1120 if [ -f '/etc/ssh/sshd_config' -a $restore -ge 2 ]; then
1121     if grep -E -q '^(AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys|PubKeyAgent /usr/bin/sss_ssh_authorizedkeys %u)$' /etc/ssh/sshd_config 2>/dev/null; then
1122         sed -r '
1123             /^(AuthorizedKeysCommand(User|RunAs)|PubKeyAgentRunAs)[ \t]/ d
1124         ' /etc/ssh/sshd_config >/etc/ssh/sshd_config.ipanew
1125
1126         if /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandUser=nobody'; then
1127             sed -ri '
1128                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1129                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandUser nobody/
1130             ' /etc/ssh/sshd_config.ipanew
1131         elif /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandRunAs=nobody'; then
1132             sed -ri '
1133                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1134                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandRunAs nobody/
1135             ' /etc/ssh/sshd_config.ipanew
1136         elif /usr/sbin/sshd -t -f /dev/null -o 'PubKeyAgent=/usr/bin/sss_ssh_authorizedkeys %u' -o 'PubKeyAgentRunAs=nobody'; then
1137             sed -ri '
1138                 s/^AuthorizedKeysCommand (.+)$/PubKeyAgent \1 %u/
1139                 s/^PubKeyAgent .*$/\0\nPubKeyAgentRunAs nobody/
1140             ' /etc/ssh/sshd_config.ipanew
1141         fi
1142
590d18 1143         mv -Z /etc/ssh/sshd_config.ipanew /etc/ssh/sshd_config
99b6f7 1144         chmod 600 /etc/ssh/sshd_config
CB 1145
1146         /bin/systemctl condrestart sshd.service 2>&1 || :
1147     fi
1148 fi
1149
403b09 1150
99b6f7 1151 %if ! %{ONLY_CLIENT}
403b09 1152
CS 1153 %files server
99b6f7 1154 %defattr(-,root,root,-)
403b09 1155 %doc README Contributors.txt
CS 1156 %license COPYING
e3ffab 1157 %{_sbindir}/ipa-backup
CS 1158 %{_sbindir}/ipa-restore
99b6f7 1159 %{_sbindir}/ipa-ca-install
590d18 1160 %{_sbindir}/ipa-kra-install
99b6f7 1161 %{_sbindir}/ipa-server-install
CB 1162 %{_sbindir}/ipa-replica-conncheck
1163 %{_sbindir}/ipa-replica-install
1164 %{_sbindir}/ipa-replica-prepare
1165 %{_sbindir}/ipa-replica-manage
1166 %{_sbindir}/ipa-csreplica-manage
1167 %{_sbindir}/ipa-server-certinstall
590d18 1168 %{_sbindir}/ipa-server-upgrade
99b6f7 1169 %{_sbindir}/ipa-ldap-updater
e3ffab 1170 %{_sbindir}/ipa-otptoken-import
99b6f7 1171 %{_sbindir}/ipa-compat-manage
CB 1172 %{_sbindir}/ipa-nis-manage
1173 %{_sbindir}/ipa-managed-entries
1174 %{_sbindir}/ipactl
1175 %{_sbindir}/ipa-upgradeconfig
1176 %{_sbindir}/ipa-advise
e3ffab 1177 %{_sbindir}/ipa-cacert-manage
590d18 1178 %{_sbindir}/ipa-winsync-migrate
e3ffab 1179 %{_libexecdir}/certmonger/dogtag-ipa-ca-renew-agent-submit
CS 1180 %{_libexecdir}/certmonger/ipa-server-guard
99b6f7 1181 %{_libexecdir}/ipa-otpd
e3ffab 1182 %dir %{_libexecdir}/ipa
590d18 1183 %{_libexecdir}/ipa/ipa-dnskeysyncd
CS 1184 %{_libexecdir}/ipa/ipa-dnskeysync-replica
1185 %{_libexecdir}/ipa/ipa-ods-exporter
1186 %{_libexecdir}/ipa/ipa-httpd-kdcproxy
403b09 1187 %{_libexecdir}/ipa/ipa-pki-retrieve-key
CS 1188 %dir %{_libexecdir}/ipa/oddjob
1189 %attr(0755,root,root) %{_libexecdir}/ipa/oddjob/org.freeipa.server.conncheck
1190 %config(noreplace) %{_sysconfdir}/dbus-1/system.d/org.freeipa.server.conf
1191 %config(noreplace) %{_sysconfdir}/oddjobd.conf.d/ipa-server.conf
1192 %dir %{_libexecdir}/ipa/certmonger
1193 %attr(755,root,root) %{_libexecdir}/ipa/certmonger/*
1194 # NOTE: systemd specific section
1195 %attr(644,root,root) %{_unitdir}/ipa.service
1196 %attr(644,root,root) %{_unitdir}/ipa-otpd.socket
1197 %attr(644,root,root) %{_unitdir}/ipa-otpd@.service
1198 %attr(644,root,root) %{_unitdir}/ipa-dnskeysyncd.service
1199 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.socket
1200 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.service
1201 # END
1202 %attr(755,root,root) %{plugin_dir}/libipa_pwd_extop.so
1203 %attr(755,root,root) %{plugin_dir}/libipa_enrollment_extop.so
1204 %attr(755,root,root) %{plugin_dir}/libipa_winsync.so
1205 %attr(755,root,root) %{plugin_dir}/libipa_repl_version.so
1206 %attr(755,root,root) %{plugin_dir}/libipa_uuid.so
1207 %attr(755,root,root) %{plugin_dir}/libipa_modrdn.so
1208 %attr(755,root,root) %{plugin_dir}/libipa_lockout.so
1209 %attr(755,root,root) %{plugin_dir}/libipa_cldap.so
1210 %attr(755,root,root) %{plugin_dir}/libipa_dns.so
1211 %attr(755,root,root) %{plugin_dir}/libipa_range_check.so
1212 %attr(755,root,root) %{plugin_dir}/libipa_otp_counter.so
1213 %attr(755,root,root) %{plugin_dir}/libipa_otp_lasttoken.so
1214 %attr(755,root,root) %{plugin_dir}/libtopology.so
1215 %attr(755,root,root) %{plugin_dir}/libipa_sidgen.so
1216 %attr(755,root,root) %{plugin_dir}/libipa_sidgen_task.so
1217 %attr(755,root,root) %{plugin_dir}/libipa_extdom_extop.so
1218 %attr(755,root,root) %{_libdir}/krb5/plugins/kdb/ipadb.so
1219 %{_mandir}/man1/ipa-replica-conncheck.1.gz
1220 %{_mandir}/man1/ipa-replica-install.1.gz
1221 %{_mandir}/man1/ipa-replica-manage.1.gz
1222 %{_mandir}/man1/ipa-csreplica-manage.1.gz
1223 %{_mandir}/man1/ipa-replica-prepare.1.gz
1224 %{_mandir}/man1/ipa-server-certinstall.1.gz
1225 %{_mandir}/man1/ipa-server-install.1.gz
1226 %{_mandir}/man1/ipa-server-upgrade.1.gz
1227 %{_mandir}/man1/ipa-ca-install.1.gz
1228 %{_mandir}/man1/ipa-kra-install.1.gz
1229 %{_mandir}/man1/ipa-compat-manage.1.gz
1230 %{_mandir}/man1/ipa-nis-manage.1.gz
1231 %{_mandir}/man1/ipa-managed-entries.1.gz
1232 %{_mandir}/man1/ipa-ldap-updater.1.gz
1233 %{_mandir}/man8/ipactl.8.gz
1234 %{_mandir}/man8/ipa-upgradeconfig.8.gz
1235 %{_mandir}/man1/ipa-backup.1.gz
1236 %{_mandir}/man1/ipa-restore.1.gz
1237 %{_mandir}/man1/ipa-advise.1.gz
1238 %{_mandir}/man1/ipa-otptoken-import.1.gz
1239 %{_mandir}/man1/ipa-cacert-manage.1.gz
1240 %{_mandir}/man1/ipa-winsync-migrate.1.gz
1241
1242
1243 %files -n python2-ipaserver -f server-python.list
1244 %defattr(-,root,root,-)
1245 %doc README Contributors.txt
1246 %license COPYING
1247 %{python_sitelib}/freeipa-*.egg-info
1248 %dir %{python_sitelib}/ipaserver
1249 %dir %{python_sitelib}/ipaserver/install
1250 %dir %{python_sitelib}/ipaserver/install/plugins
1251 %dir %{python_sitelib}/ipaserver/install/server
1252 %dir %{python_sitelib}/ipaserver/advise
1253 %dir %{python_sitelib}/ipaserver/advise/plugins
1254 %dir %{python_sitelib}/ipaserver/plugins
1255
1256
1257 %files server-common
1258 %defattr(-,root,root,-)
1259 %doc README Contributors.txt
1260 %license COPYING
590d18 1261 %ghost %verify(not owner group) %dir %{_sharedstatedir}/kdcproxy
CS 1262 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/kdcproxy
99b6f7 1263 %config(noreplace) %{_sysconfdir}/sysconfig/ipa_memcached
590d18 1264 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 1265 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-ods-exporter
1266 %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 1267 %dir %attr(0700,apache,apache) %{_localstatedir}/run/ipa_memcached/
CB 1268 %dir %attr(0700,root,root) %{_localstatedir}/run/ipa/
590d18 1269 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/
CS 1270 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/clientcaches/
1271 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/krbcache/
99b6f7 1272 # NOTE: systemd specific section
e3ffab 1273 %{_tmpfilesdir}/%{name}.conf
99b6f7 1274 %attr(644,root,root) %{_unitdir}/ipa_memcached.service
403b09 1275 %attr(644,root,root) %{_unitdir}/ipa-custodia.service
CS 1276 %ghost %attr(644,root,root) %{etc_systemd_dir}/httpd.d/ipa.conf
e3ffab 1277 # END
99b6f7 1278 %dir %{_usr}/share/ipa
CB 1279 %{_usr}/share/ipa/wsgi.py*
1280 %{_usr}/share/ipa/copy-schema-to-ca.py*
1281 %{_usr}/share/ipa/*.ldif
1282 %{_usr}/share/ipa/*.uldif
1283 %{_usr}/share/ipa/*.template
1284 %dir %{_usr}/share/ipa/advise
1285 %dir %{_usr}/share/ipa/advise/legacy
1286 %{_usr}/share/ipa/advise/legacy/*.template
590d18 1287 %dir %{_usr}/share/ipa/profiles
CS 1288 %{_usr}/share/ipa/profiles/*.cfg
99b6f7 1289 %dir %{_usr}/share/ipa/ffextension
CB 1290 %{_usr}/share/ipa/ffextension/bootstrap.js
1291 %{_usr}/share/ipa/ffextension/install.rdf
1292 %{_usr}/share/ipa/ffextension/chrome.manifest
1293 %dir %{_usr}/share/ipa/ffextension/chrome
1294 %dir %{_usr}/share/ipa/ffextension/chrome/content
1295 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth.js
1296 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth_overlay.xul
1297 %dir %{_usr}/share/ipa/ffextension/locale
1298 %dir %{_usr}/share/ipa/ffextension/locale/en-US
1299 %{_usr}/share/ipa/ffextension/locale/en-US/kerberosauth.properties
1300 %dir %{_usr}/share/ipa/html
1301 %{_usr}/share/ipa/html/ffconfig.js
1302 %{_usr}/share/ipa/html/ffconfig_page.js
1303 %{_usr}/share/ipa/html/ssbrowser.html
1304 %{_usr}/share/ipa/html/browserconfig.html
1305 %{_usr}/share/ipa/html/unauthorized.html
1306 %dir %{_usr}/share/ipa/migration
1307 %{_usr}/share/ipa/migration/error.html
1308 %{_usr}/share/ipa/migration/index.html
1309 %{_usr}/share/ipa/migration/invalid.html
1310 %{_usr}/share/ipa/migration/migration.py*
1311 %dir %{_usr}/share/ipa/ui
1312 %{_usr}/share/ipa/ui/index.html
1313 %{_usr}/share/ipa/ui/reset_password.html
e3ffab 1314 %{_usr}/share/ipa/ui/sync_otp.html
99b6f7 1315 %{_usr}/share/ipa/ui/*.ico
CB 1316 %{_usr}/share/ipa/ui/*.css
1317 %{_usr}/share/ipa/ui/*.js
e3ffab 1318 %dir %{_usr}/share/ipa/ui/css
CS 1319 %{_usr}/share/ipa/ui/css/*.css
9991ea 1320 %dir %{_usr}/share/ipa/ui/js
99b6f7 1321 %dir %{_usr}/share/ipa/ui/js/dojo
CB 1322 %{_usr}/share/ipa/ui/js/dojo/dojo.js
1323 %dir %{_usr}/share/ipa/ui/js/libs
1324 %{_usr}/share/ipa/ui/js/libs/*.js
1325 %dir %{_usr}/share/ipa/ui/js/freeipa
1326 %{_usr}/share/ipa/ui/js/freeipa/app.js
e3ffab 1327 %{_usr}/share/ipa/ui/js/freeipa/core.js
99b6f7 1328 %dir %{_usr}/share/ipa/ui/js/plugins
CB 1329 %dir %{_usr}/share/ipa/ui/images
e3ffab 1330 %{_usr}/share/ipa/ui/images/*.jpg
99b6f7 1331 %{_usr}/share/ipa/ui/images/*.png
CB 1332 %dir %{_usr}/share/ipa/wsgi
1333 %{_usr}/share/ipa/wsgi/plugins.py*
1334 %dir %{_sysconfdir}/ipa
1335 %dir %{_sysconfdir}/ipa/html
1336 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig.js
1337 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig_page.js
1338 %config(noreplace) %{_sysconfdir}/ipa/html/ssbrowser.html
1339 %config(noreplace) %{_sysconfdir}/ipa/html/unauthorized.html
1340 %config(noreplace) %{_sysconfdir}/ipa/html/browserconfig.html
1341 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
1342 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 1343 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 1344 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
590d18 1345 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/ipa-kdc-proxy.conf
403b09 1346 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/dnssec
99b6f7 1347 %{_usr}/share/ipa/ipa.conf
CB 1348 %{_usr}/share/ipa/ipa-rewrite.conf
1349 %{_usr}/share/ipa/ipa-pki-proxy.conf
590d18 1350 %{_usr}/share/ipa/kdcproxy.conf
99b6f7 1351 %ghost %attr(0644,root,apache) %config(noreplace) %{_usr}/share/ipa/html/ca.crt
CB 1352 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/kerberosauth.xpi
1353 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.con
1354 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.js
1355 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb5.ini
1356 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krbrealm.con
1357 %dir %{_usr}/share/ipa/updates/
1358 %{_usr}/share/ipa/updates/*
1359 %dir %{_localstatedir}/lib/ipa
e3ffab 1360 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/backup
99b6f7 1361 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysrestore
CB 1362 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysupgrade
1363 %attr(755,root,root) %dir %{_localstatedir}/lib/ipa/pki-ca
1364 %ghost %{_localstatedir}/lib/ipa/pki-ca/publish
e3ffab 1365 %ghost %{_localstatedir}/named/dyndb-ldap/ipa
403b09 1366 %dir %attr(0700,root,root) %{_sysconfdir}/ipa/custodia
CS 1367
590d18 1368
CS 1369 %files server-dns
403b09 1370 %defattr(-,root,root,-)
CS 1371 %doc README Contributors.txt
1372 %license COPYING
590d18 1373 %{_sbindir}/ipa-dns-install
CS 1374 %{_mandir}/man1/ipa-dns-install.1.gz
99b6f7 1375
403b09 1376
99b6f7 1377 %files server-trust-ad
403b09 1378 %defattr(-,root,root,-)
CS 1379 %doc README Contributors.txt
1380 %license COPYING
99b6f7 1381 %{_sbindir}/ipa-adtrust-install
CB 1382 %{_usr}/share/ipa/smb.conf.empty
1383 %attr(755,root,root) %{_libdir}/samba/pdb/ipasam.so
1384 %{_mandir}/man1/ipa-adtrust-install.1.gz
1385 %ghost %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
590d18 1386 %{_sysconfdir}/dbus-1/system.d/oddjob-ipa-trust.conf
CS 1387 %{_sysconfdir}/oddjobd.conf.d/oddjobd-ipa-trust.conf
403b09 1388 %%attr(755,root,root) %{_libexecdir}/ipa/oddjob/com.redhat.idm.trust-fetch-domains
99b6f7 1389
CB 1390 %endif # ONLY_CLIENT
1391
403b09 1392
99b6f7 1393 %files client
CB 1394 %defattr(-,root,root,-)
403b09 1395 %doc README Contributors.txt
CS 1396 %license COPYING
99b6f7 1397 %{_sbindir}/ipa-client-install
CB 1398 %{_sbindir}/ipa-client-automount
e3ffab 1399 %{_sbindir}/ipa-certupdate
99b6f7 1400 %{_sbindir}/ipa-getkeytab
CB 1401 %{_sbindir}/ipa-rmkeytab
1402 %{_sbindir}/ipa-join
1403 %{_mandir}/man1/ipa-getkeytab.1.gz
1404 %{_mandir}/man1/ipa-rmkeytab.1.gz
1405 %{_mandir}/man1/ipa-client-install.1.gz
1406 %{_mandir}/man1/ipa-client-automount.1.gz
e3ffab 1407 %{_mandir}/man1/ipa-certupdate.1.gz
99b6f7 1408 %{_mandir}/man1/ipa-join.1.gz
403b09 1409
CS 1410
1411 %files -n python2-ipaclient
1412 %defattr(-,root,root,-)
1413 %doc README Contributors.txt
1414 %license COPYING
1415 %dir %{python_sitelib}/ipaclient
1416 %{python_sitelib}/ipaclient/*.py*
1417 %{python_sitelib}/ipaclient/plugins/*.py*
1418 %{python_sitelib}/ipaclient/remote_plugins/*.py*
1419 %{python_sitelib}/ipaclient/remote_plugins/2_*/*.py*
1420 %{python_sitelib}/ipaclient-*.egg-info
1421
1422
1423 %if 0%{?with_python3}
1424
1425 %files -n python3-ipaclient
1426 %defattr(-,root,root,-)
1427 %doc README Contributors.txt
1428 %license COPYING
1429 %dir %{python3_sitelib}/ipaclient
1430 %{python3_sitelib}/ipaclient/*.py
1431 %{python3_sitelib}/ipaclient/__pycache__/*.py*
1432 %{python3_sitelib}/ipaclient/plugins/*.py
1433 %{python3_sitelib}/ipaclient/plugins/__pycache__/*.py*
1434 %{python3_sitelib}/ipaclient/remote_plugins/*.py
1435 %{python3_sitelib}/ipaclient/remote_plugins/__pycache__/*.py*
1436 %{python3_sitelib}/ipaclient/remote_plugins/2_*/*.py
1437 %{python3_sitelib}/ipaclient/remote_plugins/2_*/__pycache__/*.py*
1438 %{python3_sitelib}/ipaclient-*.egg-info
1439
1440 %endif # with_python3
1441
1442
1443 %files client-common
1444 %defattr(-,root,root,-)
1445 %doc README Contributors.txt
1446 %license COPYING
1447 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/
1448 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/default.conf
1449 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/ca.crt
1450 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/nssdb
1451 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/cert8.db
1452 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/key3.db
1453 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/secmod.db
1454 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/pwdfile.txt
1455 %ghost %config(noreplace) %{_sysconfdir}/pki/ca-trust/source/ipa.p11-kit
1456 %dir %{_usr}/share/ipa
1457 %dir %{_localstatedir}/lib/ipa-client
1458 %dir %{_localstatedir}/lib/ipa-client/sysrestore
99b6f7 1459 %{_mandir}/man5/default.conf.5.gz
403b09 1460
99b6f7 1461
CB 1462 %files admintools
1463 %defattr(-,root,root,-)
403b09 1464 %doc README Contributors.txt
CS 1465 %license COPYING
99b6f7 1466 %{_bindir}/ipa
CB 1467 %config %{_sysconfdir}/bash_completion.d
1468 %{_mandir}/man1/ipa.1.gz
1469
403b09 1470
CS 1471 %files python-compat
99b6f7 1472 %defattr(-,root,root,-)
403b09 1473 %doc README Contributors.txt
CS 1474 %license COPYING
1475
1476
1477 %files -n python2-ipalib
1478 %defattr(-,root,root,-)
1479 %doc README Contributors.txt
1480 %license COPYING
99b6f7 1481 %dir %{python_sitelib}/ipapython
CB 1482 %{python_sitelib}/ipapython/*.py*
590d18 1483 %dir %{python_sitelib}/ipapython/dnssec
CS 1484 %{python_sitelib}/ipapython/dnssec/*.py*
1485 %dir %{python_sitelib}/ipapython/install
1486 %{python_sitelib}/ipapython/install/*.py*
403b09 1487 %dir %{python_sitelib}/ipapython/secrets
CS 1488 %{python_sitelib}/ipapython/secrets/*.py*
99b6f7 1489 %dir %{python_sitelib}/ipalib
CB 1490 %{python_sitelib}/ipalib/*
e3ffab 1491 %dir %{python_sitelib}/ipaplatform
CS 1492 %{python_sitelib}/ipaplatform/*
99b6f7 1493 %{python_sitelib}/ipapython-*.egg-info
403b09 1494 %{python_sitelib}/ipalib-*.egg-info
e3ffab 1495 %{python_sitelib}/ipaplatform-*.egg-info
403b09 1496
CS 1497
1498 %files common -f %{gettext_domain}.lang
1499 %defattr(-,root,root,-)
1500 %doc README Contributors.txt
1501 %license COPYING
1502
1503
1504 %if 0%{?with_python3}
1505
1506 %files -n python3-ipalib
1507 %defattr(-,root,root,-)
1508 %doc README Contributors.txt
1509 %license COPYING
1510
1511 %{python3_sitelib}/ipapython/
1512 %{python3_sitelib}/ipalib/
1513 %{python3_sitelib}/ipaplatform/
1514 %{python3_sitelib}/ipapython-*.egg-info
1515 %{python3_sitelib}/ipalib-*.egg-info
1516 %{python3_sitelib}/ipaplatform-*.egg-info
1517
1518 %endif # with_python3
1519
e3ffab 1520
CS 1521 # RHEL spec file only: DELETED: Do not build tests
99b6f7 1522
1df45c 1523
403b09 1524 %changelog
CS 1525 * Fri Sep 16 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-12
1526 - Resolves: #1373910 IPA server upgrade fails with DNS timed out errors.
1527 - Resolves: #1375269 ipa trust-fetch-domains throws internal error
1528
1529 * Tue Sep 13 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-11
1530 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
1531   - Fix regression introduced in ipa-certupdate
1532
1533 * Wed Sep  7 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-10
1534 - Resolves: #1355753 adding two way non transitive(external) trust displays
1535   internal error on the console
1536   - Always fetch forest info from root DCs when establishing two-way trust
1537   - factor out `populate_remote_domain` method into module-level function
1538   - Always fetch forest info from root DCs when establishing one-way trust
1539 - Resolves: #1356101 Lightweight sub-CA certs are not tracked by certmonger
1540   after `ipa-replica-install`
1541   - Track lightweight CAs on replica installation
1542 - Resolves: #1357488 ipa command stuck forever on higher versioned client with
1543   lower versioned server
1544   - compat: Save server's API version in for pre-schema servers
1545   - compat: Fix ping command call
1546   - schema cache: Store and check info for pre-schema servers
1547 - Resolves: #1363905 man page for ipa-replica-manage has a typo in -c flag
1548   - Fix man page ipa-replica-manage: remove duplicate -c option
1549     from --no-lookup
1550 - Resolves: #1367865 webui: cert_revoke should use --cacn to set correct CA
1551   when revoking certificate
1552   - cert: include CA name in cert command output
1553   - WebUI add support for sub-CAs while revoking certificates
1554 - Resolves: #1368424 Unable to view certificates issued by Sub CA in Web UI
1555   - Add support for additional options taken from table facet
1556   - WebUI: Fix showing certificates issued by sub-CA
1557 - Resolves: #1368557 dnsrecord-add does not prompt for missing record parts
1558   internactively
1559   - dns: normalize record type read interactively in dnsrecord_add
1560   - dns: prompt for missing record parts in CLI
1561   - dns: fix crash in interactive mode against old servers
1562 - Resolves: #1370519 Certificate revocation in service-del and host-del isn't
1563   aware of Sub CAs
1564   - cert: fix cert-find --certificate when the cert is not in LDAP
1565   - Make host/service cert revocation aware of lightweight CAs
1566 - Resolves: #1371901 Use OAEP padding with custodia
1567   - Use RSA-OAEP instead of RSA PKCS#1 v1.5
1568 - Resolves: #1371915 When establishing external two-way trust, forest root
1569   Administrator account is used to fetch domain info
1570   - do not use trusted forest name to construct domain admin principal
1571 - Resolves: #1372597 Incorrect CA ACL evaluation of SAN DNS names in
1572   certificate request
1573   - Fix CA ACL Check on SubjectAltNames
1574 - Resolves: #1373272 CLI always sends default command version
1575   - cli: use full name when executing a command
1576 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
1577   - Fix ipa-certupdate for CA-less installation
1578 - Resolves: #1373540 client-install with IPv6 address fails on link-local
1579   address (always)
1580   - Fix parse errors with link-local addresses
1581
1582 * Fri Sep  2 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-9
1583 - Resolves: #1081561 CA not start during ipa server install in pure IPv6 env
1584   - Fix ipa-server-install in pure IPv6 environment
1585 - Resolves: #1318169 Tree-root domains in a trusted AD forest aren't marked as
1586   reachable via the forest root
1587   - trust: make sure ID range is created for the child domain even if it exists
1588   - ipa-kdb: simplify trusted domain parent search
1589 - Resolves: #1335567 Update Warning in IdM Web UI API browser
1590   - WebUI: add API browser is tech preview warning
1591 - Resolves: #1348560 Mulitple domain Active Directory Trust conflict
1592   - ipaserver/dcerpc: reformat to make the code closer to pep8
1593   - trust: automatically resolve DNS trust conflicts for triangle trusts
80f874 1594 - Resolves: #1351593 CVE-2016-5404 ipa: Insufficient privileges check in
CS 1595   certificate revocation
1596   - cert-revoke: fix permission check bypass (CVE-2016-5404)
403b09 1597 - Resolves: #1353936 custodia.conf and server.keys file is world-readable.
CS 1598   - Remove Custodia server keys from LDAP
1599   - Secure permissions of Custodia server.keys
1600 - Resolves: #1358752 ipa-ca-install fails on replica when IPA server is
1601   converted from CA-less to CA-full
1602   - custodia: include known CA certs in the PKCS#12 file for Dogtag
1603   - custodia: force reconnect before retrieving CA certs from LDAP
1604 - Resolves: #1362333 ipa vault container owner cannot add vault
1605   - Fix: container owner should be able to add vault
1606 - Resolves: #1365546 External trust with root domain is transitive
1607   - trust: make sure external trust topology is correctly rendered
1608 - Resolves: #1365572 IPA server broken after upgrade
1609   - Require pki-core-10.3.3-7
1610 - Resolves: #1367864 Server assumes latest version of command instead of
1611   version 1 for old / 3rd party clients
1612   - rpcserver: assume version 1 for unversioned command calls
1613   - rpcserver: fix crash in XML-RPC system commands
1614 - Resolves: #1367773 thin client ignores locale change
1615   - schema cache: Fallback to 'en_us' when locale is not available
1616 - Resolves: #1368754 ipa server uninstall fails with Python "Global Name error"
1617   - Fail on topology disconnect/last role removal
1618 - Resolves: #1368981 ipa otptoken-add --type=hotp --key creates wrong OTP
1619   - otptoken, permission: Convert custom type parameters on server
1620 - Resolves: #1369414 ipa server-del fails with Python stack trace
1621   - Handled empty hostname in server-del command
1622 - Resolves: #1369761 ipa-server must depend on a version of httpd that support
1623   mod_proxy with UDS
1624   - Require httpd 2.4.6-31 with mod_proxy Unix socket support
1625 - Resolves: #1370512 Received ACIError instead of DuplicatedError in
1626   stageuser_tests
1627   - Raise DuplicatedEnrty error when user exists in delete_container
1628 - Resolves: #1371479 cert-find --all does not show information about revocation
1629   - cert: add missing param values to cert-find output
1630 - Renamed patch 1011 to 0100, as it was merged upstream
198fa5 1631
403b09 1632 * Wed Aug 17 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-8
CS 1633 - Resolves: #1298288 [RFE] Improve performance in large environments.
1634   - cert: speed up cert-find
1635 - Resolves: #1317379 [EXPERIMENTAL][RFE] Web UI: allow Smart Card
1636   authentication
1637   - service: add flag to allow S4U2Self
1638   - Add 'trusted to auth as user' checkbox
1639   - Added new authentication method
1640 - Resolves: #1353881 ipa-replica-install suggests about
1641   non-existent --force-ntpd option
1642   - Don't show --force-ntpd option in replica install
1643 - Resolves: #1354441 DNS forwarder check is too strict: unable to add
1644   sub-domain to already-broken domain
1645   - DNS: allow to add forward zone to already broken sub-domain
1646 - Resolves: #1356146 performance regression in CLI help
1647   - schema: Speed up schema cache
1648   - frontend: Change doc, summary, topic and NO_CLI to class properties
1649   - schema: Introduce schema cache format
1650   - schema: Generate bits for help load them on request
1651   - help: Do not create instances to get information about commands and topics
1652   - schema cache: Do not reset ServerInfo dirty flag
1653   - schema cache: Do not read fingerprint and format from cache
1654   - Access data for help separately
1655   - frontent: Add summary class property to CommandOverride
1656   - schema cache: Read server info only once
1657   - schema cache: Store API schema cache in memory
1658   - client: Do not create instance just to check isinstance
1659   - schema cache: Read schema instead of rewriting it when SchemaUpToDate
1660 - Resolves: #1360769 ipa-server-certinstall couldnt unlock private key file
1661   - server install: do not prompt for cert file PIN repeatedly
1662 - Resolves: #1364113 ipa-password: ipa: ERROR: RuntimeError: Unable to create
1663   cache directory: [Errno 13] Permission denied: '/home/test_user'
1664   - schema: Speed up schema cache
1665 - Resolves: #1366604 `cert-find` crashes on invalid certificate data
1666   - cert: do not crash on invalid data in cert-find
1667 - Resolves: #1366612 Middle replica uninstallation in line topology works
1668   without '--ignore-topology-disconnect'
1669   - Fail on topology disconnect/last role removal
1670 - Resolves: #1366626 caacl-add-service: incorrect error message when service
1671   does not exists
1672   - Fix ipa-caalc-add-service error message
1673 - Resolves: #1367022 The ipa-server-upgrade command failed when named-pkcs11
1674   does not happen to run during dnf upgrade
1675   - DNS server upgrade: do not fail when DNS server did not respond
1676 - Resolves: #1367759 [RFE] [webui] warn admin if there is only one IPA server
1677   with CA
1678   - Add warning about only one existing CA server
1679   - Set servers list as default facet in topology facet group
1680 - Resolves: #1367773 thin client ignores locale change
1681   - schema check: Check current client language against cached one
1682
1683 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-7
1684 - Resolves: #1361119 UPN-based search for AD users does not match an entry in
1685   slapi-nis map cache
1686   - support multiple uid values in schema compatibility tree
1687
1688 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-6
1689 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
1690   - Revert "spec: add conflict with bind-chroot to freeipa-server-dns"
1691 - Resolves: #1341249 Subsequent external CA installation fails
1692   - install: fix external CA cert validation
1693 - Resolves: #1353831 ipa-server-install fails in container because of
1694   hostnamectl set-hostname
1695   - server-install: Fix --hostname option to always override api.env values
1696   - install: Call hostnamectl set-hostname only if --hostname option is used
1697 - Resolves: #1356091 ipa-cacert-manage --help and man differ
1698   - Improvements for the ipa-cacert-manage man and help
1699 - Resolves: #1360631 ipa-backup is not keeping the
1700   /etc/tmpfiles.d/dirsrv-<instance>.conf
1701   - ipa-backup: backup /etc/tmpfiles.d/dirsrv-<instance>.conf
1702 - Resolves: #1361047 ipa-replica-install --help usage line suggests the replica
1703   file is needed
1704   - Update ipa-replica-install documentation
1705 - Resolves: #1361545 ipa-client-install starts rhel-domainname.service but does
1706   not rpm-require it
1707   - client: RPM require initscripts to get *-domainname.service
1708 - Resolves: #1364197 caacl: error when instantiating rules with service
1709   principals
1710   - caacl: fix regression in rule instantiation
1711 - Resolves: #1364310 ipa otptoken-add bytes object has no attribute confirm
1712   - parameters: move the `confirm` kwarg to Param
1713 - Resolves: #1364464 Topology graph: ca and domain adders shows question marks
1714   instead of plus icon
1715   - Fix unicode characters in ca and domain adders
1716 - Resolves: #1365083 Incomplete output returned for command ipa vault-add
1717   - client: add missing output params to client-side commands
1718 - Resolves: #1365526 build fails during "make check"
1719   - ipa-kdb: Fix unit test after packaging changes in krb5
1720
1721 * Fri Aug  5 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-5
1722 - Resolves: #1353829 traceback message seen in ipaserver-uninstall.log file.
1723   - Do not initialize API in ipa-client-automount uninstall
1724 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
1725   client changes
1726   - idrange: fix unassigned global variable
1727 - Resolves: #1360792 Migrating users doesn't update krbCanonicalName
1728   - re-set canonical principal name on migrated users
1729 - Resolves: #1362012 ipa hbactest produces error about cannot concatenate 'str'
1730   and 'bool' objects
1731   - Fix ipa hbactest output
1732 - Resolves: #1362260 ipa vault-mod no longer allows defining salt
1733   - vault: add missing salt option to vault_mod
1734 - Resolves: #1362312 ipa vault-retrieve internal error when using the wrong
1735   public key
1736   - vault: Catch correct exception in decrypt
1737 - Resolves: #1362537 ipa-server-install fails to create symlink from
1738   /etc/ipa/kdcproxy/ to /etc/httpd/conf.d/
1739   - Correct path to HTTPD's systemd service directory
1740 - Resolves: #1363756 Increase length of passwords generated by installer
1741   - Increase default length of auto generated passwords
1742
1743 * Fri Jul 29 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-4
1744 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
1745   aliases)
1746   - harden the check for trust namespace overlap in new principals
1747 - Resolves: #1351142 CLI is not using session cookies for communication with
1748   IPA API
1749   - Fix session cookies
1750 - Resolves: #1353888 Fix the help for ipa otp and other topics
1751   - help: Add dnsserver commands to help topic 'dns'
1752 - Resolves: #1354406 host-del updatedns options complains about missing ptr
1753   record for host
1754   - Host-del: fix behavior of --updatedns and PTR records
1755 - Resolves: #1355718 ipa-replica-manage man page example output differs actual
1756   command output
1757   - Minor fix in ipa-replica-manage MAN page
1758 - Resolves: #1358229 Traceback message should be fixed, seen while editing
1759   winsync migrated user information in Default trust view.
1760   - baseldap: Fix MidairCollision instantiation during entry modification
1761 - Resolves: #1358849 CA replica install logs to wrong log file
1762   - unite log file name of ipa-ca-install
1763 - Resolves: #1359130 ipa-server-install command fails to install IPA server.
1764   - DNS Locations: fix update-system-records unpacking error
1765 - Resolves: #1359237 AVC on dirsrv config caused by IPA installer
1766   - Use copy when replacing files to keep SELinux context
1767 - Resolves: #1359692 ipa-client-install join fail with traceback against
1768   RHEL-6.8 ipa-server
1769   - compat: fix ping call
1770 - Resolves: #1359738 ipa-replica-install --domain=<IPA primary domain> option
1771   does not work
1772   - replica-install: Fix --domain
1773 - Resolves: #1360778 Vault commands are available in CLI even when the server
1774   does not support them
1775   - Revert "Enable vault-* commands on client"
1776   - client: fix hiding of commands which lack server support
1777 - Related: #1281704 Rebase to softhsm 2.1.0
1778   - Remove the workaround for softhsm bug #1293340
1779 - Related: #1298288 [RFE] Improve performance in large environments.
1780   - Create indexes for krbCanonicalName attribute
1781
1782 * Fri Jul 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-3
1783 - Resolves: #1296140 Remove redhat-access-plugin-ipa support
1784   - Obsolete and conflict redhat-access-plugin-ipa
1785 - Resolves: #1351119 Multiple issues while uninstalling ipa-server
1786   - server uninstall fails to remove krb principals
1787 - Resolves: #1351758 ipa commands not showing expected error messages
1788   - frontend: copy command arguments to output params on client
1789   - Show full error message for selinuxusermap-add-hostgroup
1790 - Resolves: #1352883 Traceback on adding default automember group and hostgroup
1791   set
1792   - allow 'value' output param in commands without primary key
1793 - Resolves: #1353888 Fix the help for ipa otp and other topics
1794   - schema: Fix subtopic -> topic mapping
1795 - Resolves: #1354348 ipa trustconfig-show throws internal error.
1796   - allow 'value' output param in commands without primary key
1797 - Resolves: #1354381 ipa trust-add with raw option gives internal error.
1798   - trust-add: handle `--all/--raw` options properly
1799 - Resolves: #1354493 Replica install fails with old IPA master
1800   - DNS install: Ensure that DNS servers container exists
1801 - Resolves: #1354628 ipa hostgroup-add-member does not return error message
1802   when adding itself as member
1803   - frontend: copy command arguments to output params on client
1804 - Resolves: #1355856 ipa otptoken-add --type=totp gives internal error
1805   - messages: specify message type for ResultFormattingError
1806 - Resolves: #1356063 "ipa radiusproxy-add" command needs to prompt to enter
1807   secret key
1808   - expose `--secret` option in radiusproxy-* commands
1809   - prevent search for RADIUS proxy servers by secret
1810 - Resolves: #1356099 Bug in the ipapwd plugin
1811   - Heap corruption in ipapwd plugin
1812 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
1813   client changes
1814   - Use server API in com.redhat.idm.trust-fetch-domains oddjob helper
1815 - Resolves: #1356964 Renaming a user removes all of his principal aliases
1816   - Preserve user principal aliases during rename operation
1817
1818 * Fri Jul 15 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2.1
1819 - Resolves: #1274524 [RFE] Qualify up to 60 IdM replicas
1820 - Resolves: #1320838 [RFE] Support IdM Client in a DNS domain controlled by AD
1821 - Related: #1356134 'kinit -E' does not work for IPA user
1822
1823 * Thu Jul 14 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2
1824 - Resolves: #1356102 Server uninstall does not stop tracking lightweight sub-CA
1825   with certmonger
1826   - uninstall: untrack lightweight CA certs
1827 - Resolves: #1351807 ipa-nis-manage config.get_dn missing
1828   - ipa-nis-manage: Use server API to retrieve plugin status
1829 - Resolves: #1353452 ipa-compat-manage command failed,
1830   exception: NotImplementedError: config.get_dn()
1831   - ipa-compat-manage: use server API to retrieve plugin status
1832 - Resolves: #1353899 ipa-advise: object of type 'type' has no len()
1833   - ipa-advise: correct handling of plugin namespace iteration
1834 - Resolves: #1356134 'kinit -E' does not work for IPA user
1835   - kdb: check for local realm in enterprise principals
1836 - Resolves: #1353072 ipa unknown command vault-add
1837   - Enable vault-* commands on client
1838   - vault-add: set the default vault type on the client side if none was given
1839 - Resolves: #1353995 Default CA can be used without a CA ACL
1840   - caacl: expand plugin documentation
1841 - Resolves: #1356144 host-find should not print SSH keys by default, only
1842   SSH fingerprints
1843   - host-find: do not show SSH key by default
1844 - Resolves: #1353506 ipa migrate-ds command fails for IPA in RHEL 7.3
1845   - Removed unused method parameter from migrate-ds
1846
1847 * Fri Jul  1 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-1
1848 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
1849 - Resolves: #826790 Disabling password expiration (--maxlife=0 and --minlife=0)
1850   in the default global_policy in IPA sets user's password expiration
1851   (krbPasswordExpiration) to be 90 days
1852 - Resolves: #896699 ipa-replica-manage -H does not delete DNS SRV records
1853 - Resolves: #1084018 [RFE] Add IdM user password change support for legacy
1854   client compat tree
1855 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
1856   aliases)
1857   - Fix incorrect check for principal type when evaluating CA ACLs
1858 - Resolves: #1146860 [RFE] Offer OTP generation for host enrollment in the UI
1859 - Resolves: #1238190 ipasam unable to lookup group in directory yet manual
1860   search works
1861 - Resolves: #1250110 search by users which don't have read rights for all attrs
1862   in search_attributes fails
1863 - Resolves: #1263764 Show Certificate displays in useless format
1864 - Resolves: #1272491 [WebUI] Certificate action dropdown does not display all
1865   the options after adding new certificate
1866 - Resolves: #1292141 Rebase to FreeIPA 4.4+
1867   - Rebase to 4.4.0
1868 - Resolves: #1294503 IPA fails to issue 3rd party certs
1869 - Resolves: #1298242 [RFE] API compatibility - compatibility of clients
1870 - Resolves: #1298848 [RFE] Centralized topology management
1871 - Resolves: #1298966 [RFE] Extend Smart Card support
1872 - Resolves: #1315146 Multiple clients cannot join domain simultaneously:
35e84f 1873   /var/run/httpd/ipa/clientcaches race condition?
403b09 1874 - Resolves: #1318903 ipa server install failing when SUBCA signs the cert
CS 1875 - Resolves: #1319003 ipa-winsync-migrate: Traceback should be fixed with proper
1876   console output
1877 - Resolves: #1324055 IPA always qualify requests for admin
1878 - Resolves: #1328552 [RFE] Allow users to authenticate with alternative names
1879 - Resolves: #1334582 Inconsistent UI and CLI options for removing certificate
1880   hold
1881 - Resolves: #1346321 Exclude o=ipaca subtree from Retro Changelog (syncrepl)
1882 - Resolves: #1349281 Fix `Conflicts` with ipa-python
1883 - Resolves: #1350695 execution of copy-schema script fails
1884 - Resolves: #1351118 upgrade failed for RHEL-7.3 from RHEL-7.2.z
1885 - Resolves: #1351153 AVC seen on Replica during ipa-server upgrade test
1886   execution to 7.3
1887 - Resolves: #1351276 ipa-server-install with dns cannot resolve itself to
1888   create ipa-ca entry
1889 - Related: #1343422 [RFE] Add GssapiImpersonate option
b31a75 1890
403b09 1891 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.2.alpha1
CS 1892 - Resolves: #1348948 IPA server install fails with build
1893   ipa-server-4.4.0-0.el7.1.alpha1
1894   - Revert "Increased mod_wsgi socket-timeout"
db5969 1895
403b09 1896 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.1.alpha1
CS 1897 - Resolves: #712109 "krbExtraData not allowed" is logged in DS error log while
1898   setting password for default sudo binddn.
1899 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
1900 - Resolves: #768316 [RFE] ipa-getkeytab should auto-detect the ipa server name
1901 - Resolves: #825391 [RFE] Replica installation should provide a means for
1902   inheriting nssldap security access settings
1903 - Resolves: #921497 Incorrect *.py[co] files placement
1904 - Resolves: #1029640 RHEL7 IPA to add DNA Plugin config for dnaRemote support
1905 - Resolves: #1029905 389 DS cache sizes not replicated to IPA replicas
1906 - Resolves: #1196958 IPA replica installation failing with high number of users
1907   (160000).
1908 - Resolves: #1219402 IPA suggests to uninstall a client when the user needs to
1909   uninstall a replica
1910 - Resolves: #1224057 [RFE] TGS authorization decisions in KDC based on
1911   Authentication Indicator
1912 - Resolves: #1234222 [WebUI] UI error message is not appropriate for "Kerberos
1913   principal expiration"
1914 - Resolves: #1234223 [WebUI] General invalid password error message appearing
1915   for "Locked user"
1916 - Resolves: #1254267 ipa-server-install failure applying ldap updates with
1917   limits exceeded
1918 - Resolves: #1258626 realmdomains-mod --add-domain command throwing error when
1919   doamin already is in forwardzone.
1920 - Resolves: #1259020 ipa-server-adtrust-install doesn't allow
1921   NetBIOS-name=EXAMPLE-TEST.COM (dash character)
1922 - Resolves: #1260993 DNSSEC signing enablement on dnszone should throw error
1923   message when DNSSEC master not installed
1924 - Resolves: #1262747 dnssec options missing in ipa-dns-install man page
1925 - Resolves: #1265900 Fail installation immediately after dirsrv fails to
1926   install using ipa-server-install
1927 - Resolves: #1265915 idoverrideuser-find fails if any SID anchor is not
1928   resolvable anymore
1929 - Resolves: #1268027 ipa-dnskeysync-replica crash with backtrace -
1930   LimitsExceeded: limits exceeded for this query
1931 - Resolves: #1269089 Certificate of managed-by host/service fails to resubmit
1932 - Resolves: #1269200 ipa-server crashing while trying to preserve admin user
1933 - Resolves: #1271321 Reduce ioblocktimeout and idletimeout defaults
1934 - Resolves: #1271579 Automember rule expressions disappear from tables on
1935   single expression delete
1936 - Resolves: #1275816 Incomplete ports for IPA ad-trust
1937 - Resolves: #1276351 [RFE] Remove
1938   /usr/share/ipa/updates/50-lockout-policy.update file from IPA releases
1939 - Resolves: #1277109 Add tool tips for Revert, Refresh, Undo, and Undo All in
1940   the IPA UI
1941 - Resolves: #1278426 Better error message needed for invalid ca-signing-algo
1942   option
1943 - Resolves: #1279932 ipa-client-install --request-cert needs workaround in
1944   anaconda chroot
1945 - Resolves: #1282521 Creating a user w/o private group fails when doing so in
1946   WebUI
1947 - Resolves: #1283879 ipa-winsync-migrate: Traceback message should be replaced
1948   by "IPA is not configured on this system"
1949 - Resolves: #1285071 ipa-kra-install fails on replica looking for admin cert
1950   file
1951 - Resolves: #1287194 [RFE] Support of UPN for trusted domains
1952 - Resolves: #1288967 Normalize Manager entry in ipa user-add
1953 - Resolves: #1289487 Priority field missing in Password Policy detail tab
1954 - Resolves: #1291140 ipa client should configure kpasswd_server directive in
1955   krb5.conf
1956 - Resolves: #1292141 Rebase to FreeIPA 4.4+
1957   - Rebase to 4.4.0.alpha1
1958 - Resolves: #1298848 [RFE] Centralized topology management
1959 - Resolves: #1300576 Browser setup page includes instructions for Internet
1960   Explorer
1961 - Resolves: #1301586 ipa host-del --updatedns should remove related dns
1962   entries.
1963 - Resolves: #1304618 Residual Files After IPA Server Uninstall
1964 - Resolves: #1305144 ipa-python does not require its dependencies
1965 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
1966 - Resolves: #1313798 Console output post ipa-winsync-migrate command should be
1967   corrected.
1968 - Resolves: #1314786 [RFE] External Trust with Active Directory domain
1969 - Resolves: #1319023 Include description for 'status' option in man page for
1970   ipactl command.
1971 - Resolves: #1319912 ipa-server-install does not completely change hostname and
1972   named-pkcs11 fails
1973 - Resolves: #1320891 IPA Error 3009: Validation error: Invalid 'ptrrecord':
1974   Reverse zone in-addr.arpa. requires exactly 4 IP address compnents, 5 given
1975 - Resolves: #1327207 ipa cert-revoke --help doesn't provide enough info on
1976   revocation reasons
1977 - Resolves: #1328549 "ipa-kra-install" command reports incorrect message when
1978   it is executed on server already installed with KRA.
1979 - Resolves: #1329209 ipa-nis-manage enable: change service name from 'portmap'
1980   to 'rpcbind'
1981 - Resolves: #1329275 ipa-nis-manage command should include status option
1982 - Resolves: #1330843 'man ipa' should be updated with latest commands
1983 - Resolves: #1333755 ipa cert-request causes internal server error while
1984   requesting certificate
1985 - Resolves: #1337484 EOF is not handled for ipa-client-install command
1986 - Resolves: #1338031 Insufficient 'write' privilege on some attributes for the
1987   members of the role which has "User Administrators" privilege.
1988 - Resolves: #1343142 IPA DNS should do better verification of DNS zones
1989 - Resolves: #1347928 Frontpage exposes runtime error with no cookies enabled in
1990   browser
1991
1992 * Wed May 25 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3.1
1993 - Resolves: #1339483 ipa-server-install fails with ERROR pkinit_cert_files
1994   - Fix incorrect rebase of patch 1001
1995
1996 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3
1997 - Resolves: #1339233 CA installed on replica is always marked as renewal master
1998 - Related: #1292141 Rebase to FreeIPA 4.4+
1999   - Rebase to 4.3.1.201605241723GIT1b427d3
2000
2001 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37.1
2002 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
2003   because of missing dependencies
2004   - Rebuild with krb5-1.14.1
2005
2006 * Fri May 20 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37
2007 - Resolves: #837369 [RFE] Switch to client promotion to replica model
2008 - Resolves: #1199516 [RFE] Move replication topology to the shared tree
2009 - Resolves: #1206588 [RFE] Visualize FreeIPA server replication topology
2010 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
2011 - Resolves: #1212713 ipa-csreplica-manage: it could be nice to have also
2012   list-ruv / clean-ruv / abort-clean-ruv for o=ipaca backend
2013 - Resolves: #1267206 ipa-server-install uninstall should warn if no
2014   installation found
2015 - Resolves: #1295865 The Domain option is not correctly set in idmapd.conf when
2016   ipa-client-automount is executed.
2017 - Resolves: #1327092 URI details missing and OCSP-URI details are incorrectly
db5969 2018   displayed when certificate generated using IPA on RHEL 7.2up2.
403b09 2019 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
CS 2020   because of missing dependencies
2021 - Related: #1292141 Rebase to FreeIPA 4.4+
2022   - Rebase to 4.3.1.201605191449GITf8edf37
a809a6 2023
403b09 2024 * Mon Apr 18 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-16
CS 2025 - Resolves: #1277696 IPA certificate auto renewal fail with "Invalid
2026   Credential"
2027   - cert renewal: make renewal of ipaCert atomic
2028 - Resolves: #1278330 installer options are not validated at the beginning of
2029   installation
2030   - install: fix command line option validation
2031 - Resolves: #1282845 sshd_config change on ipa-client-install can prevent sshd
2032   from starting up
2033   - client install: do not corrupt OpenSSH config with Match sections
2034 - Resolves: #1282935 ipa upgrade causes vault internal error
2035   - install: export KRA agent PEM file in ipa-kra-install
2036 - Resolves: #1283429 Default CA ACL rule is not created during
2037   ipa-replica-install
2038   - TLS and Dogtag HTTPS request logging improvements
2039   - Avoid race condition caused by profile delete and recreate
2040   - Do not erroneously reinit NSS in Dogtag interface
2041   - Add profiles and default CA ACL on migration
2042   - disconnect ldap2 backend after adding default CA ACL profiles
2043   - do not disconnect when using existing connection to check default CA ACLs
2044 - Resolves: #1283430 ipa-kra-install: fails to apply updates
2045   - suppress errors arising from adding existing LDAP entries during KRA
2046     install
2047 - Resolves: #1283748 Caching of ipaconfig does not work in framework
2048   - fix caching in get_ipa_config
2049 - Resolves: #1283943 IPA DNS Zone/DNS Forward Zone details missing after
2050   upgrade from RHEL 7.0 to RHEL 7.2
2051   - upgrade: fix migration of old dns forward zones
2052   - Fix upgrade of forwardzones when zone is in realmdomains
2053 - Resolves: #1284413 ipa-cacert-manage renew fails on nonexistent ldap
2054   connection
2055   - ipa-cacert-renew: Fix connection to ldap.
2056 - Resolves: #1284414 ipa-otptoken-import fails on nonexistent ldap connection
2057   - ipa-otptoken-import: Fix connection to ldap.
2058 - Resolves: #1286635 IPA server upgrade fails from RHEL 7.0 to RHEL 7.2 using
e0ab38 2059   "yum update ipa* sssd"
CS 2060   - Set minimal required version for openssl
403b09 2061 - Resolves: #1286781 ipa-nis-manage does not update ldap with all NIS maps
e0ab38 2062   - Upgrade: Fix upgrade of NIS Server configuration
403b09 2063 - Resolves: #1289311 umask setting causes named-pkcs11 issue with directory
e0ab38 2064   permissions on /var/lib/ipa/dnssec
CS 2065   - DNS: fix file permissions
2066   - Explicitly call chmod on newly created directories
2067   - Fix: replace mkdir with chmod
403b09 2068 - Resolves: #1290142 Broken 7.2.0 to 7.2.z upgrade - flawed version comparison
e0ab38 2069   - Fix version comparison
CS 2070   - use FFI call to rpmvercmp function for version comparison
403b09 2071 - Resolves: #1292595 In IPA-AD trust environment some secondary IPA based Posix
CS 2072   groups are missing
2073   - ipa-kdb: map_groups() consider all results
2074 - Resolves: #1293870 User should be notified for wrong password in password
2075   reset page
2076   - Fixed login error message box in LoginScreen page
2077 - Resolves: #1296196 Sysrestore did not restore state if a key is specified in
e0ab38 2078   mixed case
CS 2079   - Allow to used mixed case for sysrestore
403b09 2080 - Resolves: #1296214 DNSSEC key purging is not handled properly
e0ab38 2081   - DNSSEC: Improve error reporting from ipa-ods-exporter
CS 2082   - DNSSEC: Make sure that current state in OpenDNSSEC matches key state in
2083     LDAP
2084   - DNSSEC: Make sure that current key state in LDAP matches key state in BIND
2085   - DNSSEC: remove obsolete TODO note
2086   - DNSSEC: add debug mode to ldapkeydb.py
2087   - DNSSEC: logging improvements in ipa-ods-exporter
2088   - DNSSEC: remove keys purged by OpenDNSSEC from master HSM from LDAP
2089   - DNSSEC: ipa-dnskeysyncd: Skip zones with old DNSSEC metadata in LDAP
2090   - DNSSEC: ipa-ods-exporter: add ldap-cleanup command
2091   - DNSSEC: ipa-dnskeysyncd: call ods-signer ldap-cleanup on zone removal
2092   - DNSSEC: Log debug messages at log level DEBUG
403b09 2093 - Resolves: #1296216 ipa-server-upgrade fails if certmonger is not running
e0ab38 2094   - prevent crash of CA-less server upgrade due to absent certmonger
403b09 2095   - always start certmonger during IPA server configuration upgrade
CS 2096 - Resolves: #1297811 The ipa -e skip_version_check=1 still issues
e0ab38 2097   incompatibility error when called against RHEL 6 server
CS 2098   - ipalib: assume version 2.0 when skip_version_check is enabled
403b09 2099 - Resolves: #1298289 install fails when locale is "fr_FR.UTF-8"
CS 2100   - Do not decode HTTP reason phrase from Dogtag
2101 - Resolves: #1300252 shared certificateProfiles container is missing on a
2102   freshly installed RHEL7.2 system
2103   - upgrade: unconditional import of certificate profiles into LDAP
2104 - Resolves: #1301674 --setup-dns and other options is forgotten for using an
2105   external PKI
2106   - installer: Propagate option values from components instead of copying them.
2107   - installer: Fix logic of reading option values from cache.
2108 - Resolves: #1301687 issues with migration from RHEL 6 self-signed to RHEL 7 CA
2109   IPA setup
2110   - ipa-ca-install: print more specific errors when CA is already installed
2111   - cert renewal: import all external CA certs on IPA CA cert renewal
2112   - CA install: explicitly set dogtag_version to 10
2113   - fix standalone installation of externally signed CA on IPA master
2114   - replica install: validate DS and HTTP server certificates
2115   - replica install: improvements in the handling of CA-related IPA config
2116     entries
2117 - Resolves: #1301901 [RFE] compat tree: show AD members of IPA groups
2118   - slapi-nis: update configuration to allow external members of IPA groups
2119 - Resolves: #1305533 ipa trust-add succeded but after that ipa trust-find
2120   returns "0 trusts matched"
2121   - upgrade: fix config of sidgen and extdom plugins
2122   - trusts: use ipaNTTrustPartner attribute to detect trust entries
2123   - Warn user if trust is broken
2124   - fix upgrade: wait for proper DS socket after DS restart
2125   - Insure the admin_conn is disconnected on stop
2126   - Fix connections to DS during installation
2127   - Fix broken trust warnings
2128 - Resolves: #1321092 Installers fail when there are multiple versions of the
2129   same certificate
2130   - certdb: never use the -r option of certutil
2131 - Related: #1317381 Crash during IPA upgrade due to slapd
2132   - spec file: update minimum required version of slapi-nis
2133 - Related: #1322691 CVE-2015-5370 CVE-2016-2110 CVE-2016-2111 CVE-2016-2112
2134   CVE-2016-2113 CVE-2016-2114 CVE-2016-2115 CVE-2016-2118 samba: various flaws
2135   [rhel-7.3]
2136   - Rebuild against newer Samba version
8eb28c 2137
590d18 2138 * Tue Oct 13 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15
CS 2139 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
2140   - vault: fix private service vault creation
76902d 2141
590d18 2142 * Mon Oct 12 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-14
CS 2143 - Resolves: #1262996 ipa vault internal error on replica without KRA
2144   - upgrade: make sure ldap2 is connected in export_kra_agent_pem
2145 - Resolves: #1270608 IPA upgrade fails for server with CA cert signed by
2146   external CA
2147   - schema: do not derive ipaVaultPublicKey from ipaPublicKey
2148
2149 * Thu Oct  8 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-13
2150 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
2151   - Fix an integer underflow bug in libotp
2152 - Resolves: #1262996 ipa vault internal error on replica without KRA
2153   - install: always export KRA agent PEM file
2154   - vault: select a server with KRA for vault operations
2155 - Resolves: #1269777 IPA restore overwrites /etc/passwd and /etc/group files
2156   - do not overwrite files with local users/groups when restoring authconfig
2157 - Renamed patch 1011 to 0138, as it was merged upstream
2158
2159 * Wed Sep 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-12
2160 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
2161   Trusts
2162   - winsync-migrate: Convert entity names to posix friendly strings
2163   - winsync-migrate: Properly handle collisions in the names of external groups
2164 - Resolves: #1261074 Adjust Firefox configuration to new extension signing
2165   policy
2166   - webui: use manual Firefox configuration for Firefox >= 40
2167 - Resolves: #1263337 IPA Restore failed with installed KRA
2168   - ipa-backup: Add mechanism to store empty directory structure
2169 - Resolves: #1264793 CVE-2015-5284 ipa: ipa-kra-install includes certificate
2170   and private key in world readable file [rhel-7.2]
2171   - install: fix KRA agent PEM file permissions
2172 - Resolves: #1265086 Mark IdM API Browser as experimental
2173   - WebUI: add API browser is experimental warning
2174 - Resolves: #1265277 Fix kdcproxy user creation
2175   - install: create kdcproxy user during server install
2176   - platform: add option to create home directory when adding user
2177   - install: fix kdcproxy user home directory
2178 - Resolves: #1265559 GSS failure after ipa-restore
2179   - destroy httpd ccache after stopping the service
2180
2181 * Thu Sep 17 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-11
2182 - Resolves: #1258965 ipa vault: set owner of vault container
2183   - baseldap: make subtree deletion optional in LDAPDelete
2184   - vault: add vault container commands
2185   - vault: set owner to current user on container creation
2186   - vault: update access control
2187   - vault: add permissions and administrator privilege
2188   - install: support KRA update
2189 - Resolves: #1261586 ipa config-mod addattr fails for ipauserobjectclasses
2190   - config: allow user/host attributes with tagging options
2191 - Resolves: #1262315 Unable to establish winsync replication
2192   - winsync: Add inetUser objectclass to the passsync sysaccount
2193
2194 * Wed Sep 16 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-10
2195 - Resolves: #1260663 crash of ipa-dnskeysync-replica component during
2196   ipa-restore
2197   - IPA Restore: allows to specify files that should be removed
2198 - Resolves: #1261806 Installing ipa-server package breaks httpd
2199   - Handle timeout error in ipa-httpd-kdcproxy
2200 - Resolves: #1262322 Failed to backup CS.cfg message in upgrade.
2201   - Server Upgrade: backup CS.cfg when dogtag is turned off
2202
2203 * Wed Sep  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-9
2204 - Resolves: #1257074 The KRA agent cert is stored in a PEM file that is not
2205   tracked
2206   - cert renewal: Include KRA users in Dogtag LDAP update
2207   - cert renewal: Automatically update KRA agent PEM file
2208 - Resolves: #1257163 renaming certificatte profile with --rename option leads
2209   to integrity issues
2210   - certprofile: remove 'rename' option
2211 - Resolves: #1257968 kinit stop working after ipa-restore
2212   - Backup: back up the hosts file
2213 - Resolves: #1258926 Remove 'DNSSEC is experimental' warnings
2214   - DNSSEC: remove "DNSSEC is experimental" warnings
2215 - Resolves: #1258929 Uninstallation of IPA leaves extra entry in /etc/hosts
2216   - Installer: do not modify /etc/hosts before user agreement
2217 - Resolves: #1258944 DNSSEC daemons may deadlock when processing more than 1
2218   zone
2219   - DNSSEC: backup and restore opendnssec zone list file
2220   - DNSSEC: remove ccache and keytab of ipa-ods-exporter
2221   - DNSSEC: prevent ipa-ods-exporter from looping after service auto-restart
2222   - DNSSEC: Fix deadlock in ipa-ods-exporter <-> ods-enforcerd interaction
2223   - DNSSEC: Fix HSM synchronization in ipa-dnskeysyncd when running on DNSSEC
2224     key master
2225   - DNSSEC: Fix key metadata export
2226   - DNSSEC: Wrap master key using RSA OAEP instead of old PKCS v1.5.
2227 - Resolves: #1258964 revert to use ldapi to add kra agent in KRA install
2228   - Using LDAPI to setup CA and KRA agents.
2229 - Resolves: #1259848 server closes connection and refuses commands after
2230   deleting user that is still logged in
2231   - ldap: Make ldap2 connection management thread-safe again
2232 - Resolves: #1259996 AttributeError: 'NameSpace' object has no attribute
2233   'ra_certprofile' while ipa-ca-install
2234   - load RA backend plugins during standalone CA install on CA-less IPA master
2235
2236 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-8
2237 - Resolves: #1254689 Storing big file as a secret in vault raises traceback
2238   - vault: Limit size of data stored in vault
2239 - Resolves: #1255880 ipactl status should distinguish between different
2240   pki-tomcat services
2241   - ipactl: Do not start/stop/restart single service multiple times
2242
2243 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-7
2244 - Resolves: #1256840 [webui] majority of required fields is no longer marked as
2245   required
2246   - fix missing information in object metadata
2247 - Resolves: #1256842 [webui] no option to choose trust type when creating a
2248   trust
2249   - webui: add option to establish bidirectional trust
2250 - Resolves: #1256853 Clear text passwords in KRA install log
2251   - Removed clear text passwords from KRA install log.
2252 - Resolves: #1257072 The "Standard Vault" MUST not be the default and must be
2253   discouraged
2254   - vault: change default vault type to symmetric
2255 - Resolves: #1257163 renaming certificatte profile with --rename option leads
2256   to integrity issues
2257   - certprofile: prevent rename (modrdn)
2258
2259 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-6
2260 - Resolves: #1249226 IPA dnssec-validation not working for AD dnsforwardzone
2261   - DNSSEC: fix forward zone forwarders checks
2262 - Resolves: #1250190 idrange is not added for sub domain
2263   - trusts: format Kerberos principal properly when fetching trust topology
2264 - Resolves: #1252334 User life cycle: missing ability to provision a stage user
2265   from a preserved user
2266   - Add user-stage command
2267 - Resolves: #1252863 After applying RHBA-2015-1554 errata, IPA service fails to
2268   start.
2269   - spec file: Add Requires(post) on selinux-policy
2270 - Resolves: #1254304 Changing vault encryption attributes
2271   - Change internal rsa_(public|private)_key variable names
2272   - Added support for changing vault encryption.
2273 - Resolves: #1256715 Executing user-del --preserve twice removes the user
2274   pernamently
2275   - improve the usability of `ipa user-del --preserve` command
2276
2277 * Wed Aug 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-5
2278 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2279   - user-undel: Fix error messages.
2280 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2281   - Prohibit deletion of predefined profiles
2282 - Resolves: #1232819 testing ipa-restore on fresh system install fails
2283   - Backup/resore authentication control configuration
2284 - Resolves: #1243331 pkispawn fails when migrating to 4.2 server from 3.0
2285   server
2286   - Require Dogtag PKI >= 10.2.6
2287 - Resolves: #1245225 Asymmetric vault drops traceback when the key is not
2288   proper
2289   - Asymmetric vault: validate public key in client
2290 - Resolves: #1248399 Missing DNSSEC related files in backup
2291   - fix typo in BasePathNamespace member pointing to ods exporter config
2292   - ipa-backup: archive DNSSEC zone file and kasp.db
2293 - Resolves: #1248405 PassSync should be disabled after ipa-winsync-migrate is
2294   finished
2295   - winsync-migrate: Add warning about passsync
2296   - winsync-migrate: Expand the man page
2297 - Resolves: #1248524 User can't find any hosts using "ipa host-find $HOSTNAME"
2298   - adjust search so that it works for non-admin users
2299 - Resolves: #1250093 ipa certprofile-import accepts invalid config
2300   - Require Dogtag PKI >= 10.2.6
2301 - Resolves: #1250107 IPA framework should not allow modifying trust on AD trust
2302   agents
2303   - trusts: Detect missing Samba instance
2304 - Resolves: #1250111 User lifecycle - preserved users can be assigned
2305   membership
2306   - ULC: Prevent preserved users from being assigned membership
2307 - Resolves: #1250145 Add permission for user to bypass caacl enforcement
2308   - Add permission for bypassing CA ACL enforcement
2309 - Resolves: #1250190 idrange is not added for sub domain
2310   - idranges: raise an error when local IPA ID range is being modified
2311   - trusts: harden trust-fetch-domains oddjobd-based script
2312 - Resolves: #1250928 Man page for ipa-server-install is out of sync
2313   - install: Fix server and replica install options
2314 - Resolves: #1251225 IPA default CAACL does not allow cert-request for services
2315   after upgrade
2316   - Fix default CA ACL added during upgrade
2317 - Resolves: #1251561 ipa vault-add Unknown option: ipavaultpublickey
2318   - validate mutually exclusive options in vault-add
2319 - Resolves: #1251579 ipa vault-add --user should set container owner equal to
2320   user on first run
2321   - Fixed vault container ownership.
2322 - Resolves: #1252517 cert-request rejects request with correct
2323   krb5PrincipalName SAN
2324   - Fix KRB5PrincipalName / UPN SAN comparison
2325 - Resolves: #1252555 ipa vault-find doesn't work for services
2326   - vault: Add container information to vault command results
2327   - Add flag to list all service and user vaults
2328 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
2329   - Added CLI param and ACL for vault service operations.
2330 - Resolves: #1252557 certprofile: improve profile format documentation
2331   - certprofile-import: improve profile format documentation
2332   - certprofile: add profile format explanation
2333 - Resolves: #1253443 ipa vault-add creates vault with invalid type
2334   - vault: validate vault type
2335 - Resolves: #1253480 ipa vault-add-owner does not fail when adding an existing
2336   owner
2337   - baseldap: Allow overriding member param label in LDAPModMember
2338   - vault: Fix param labels in output of vault owner commands
2339 - Resolves: #1253511 ipa vault-find does not use criteria
2340   - vault: Fix vault-find with criteria
2341 - Resolves: #1254038 ipa-replica-install pk12util error returns exit status 10
2342   - install: Fix replica install with custom certificates
2343 - Resolves: #1254262 ipa-dnskeysync-replica crash cannot contact kdc
2344   - improve the handling of krb5-related errors in dnssec daemons
2345 - Resolves: #1254412 when dirsrv is off ,upgrade from 7.1 to 7.2 fails with
2346   starting CA and named-pkcs11.service
2347   - Server Upgrade: Start DS before CA is started.
2348 - Resolves: #1254637 Add ACI and permission for managing user userCertificate
2349   attribute
2350   - add permission: System: Manage User Certificates
2351 - Resolves: #1254641 Remove CSR allowed-extensions restriction
2352   - cert-request: remove allowed extensions check
2353 - Resolves: #1254693 vault --service does not normalize service principal
2354   - vault: normalize service principal in service vault operations
2355 - Resolves: #1254785 ipa-client-install does not properly handle dual stacked
2356   hosts
2357   - client: Add support for multiple IP addresses during installation.
2358   - Add dependency to SSSD 1.13.1
2359   - client: Add description of --ip-address and --all-ip-addresses to man page
2360
2361 * Tue Aug 11 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-4
2362 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
2363   users in IdM
2364   - store certificates issued for user entries as
2365   - user-show: add --out option to save certificates to file
2366 - Resolves: #1145748 [RFE] IPA running with One Way Trust
2367   - Fix upgrade of sidgen and extdom plugins
2368 - Resolves: #1195339 ipa-client-install changes the label on various files
2369   which causes SELinux denials
2370   - Use 'mv -Z' in specfile to restore SELinux context
2371 - Resolves: #1198796 Text in UI should describe differing LDAP vs Krb behavior
2372   for combinations of "User authentication types"
2373   - webui: add LDAP vs Kerberos behavior description to user auth
2374 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2375   - ULC: Fix stageused-add --from-delete command
2376 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2377   - certprofile-import: do not require profileId in profile data
2378   - Give more info on virtual command access denial
2379   - Allow SAN extension for cert-request self-service
2380   - Add profile for DNP3 / IEC 62351-8 certificates
2381   - Work around python-nss bug on unrecognised OIDs
2382 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
2383   - Validate vault's file parameters
2384   - Fixed missing KRA agent cert on replica.
2385 - Resolves: #1225866 display browser config options that apply to the browser.
2386   - webui: add Kerberos configuration instructions for Chrome
2387   - Remove ico files from Makefile
2388 - Resolves: #1246342 Unapply idview raises internal error
2389   - idviews: Check for the Default Trust View only if applying the view
2390 - Resolves: #1248102 [webui] regression - incorrect/no failed auth messages
2391   - webui: fix regressions failed auth messages
2392 - Resolves: #1248396 Internal error in DomainValidator.__search_in_dc
2393   - dcerpc: Fix UnboundLocalError for ccache_name
2394 - Resolves: #1249455 ipa trust-add failed CIFS server configuration does not
2395   allow access to \\pipe\lsarpc
2396   - Fix selector of protocol for LSA RPC binding string
2397   - dcerpc: Simplify generation of LSA-RPC binding strings
2398 - Resolves: #1250192 Error in ipa trust-fecth-domains
2399   - Fix incorrect type comparison in trust-fetch-domains
2400 - Resolves: #1251553 Winsync setup fails with unexpected error
2401   - replication: Fix incorrect exception invocation
2402 - Resolves: #1251854 ipa aci plugin is not parsing aci's correctly.
2403   - ACI plugin: correctly parse bind rules enclosed in
2404 - Resolves: #1252414 Trust agent install does not detect available replicas to
2405   add to master
2406   - adtrust-install: Correctly determine 4.2 FreeIPA servers
2407
2408 * Fri Jul 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-3
2409 - Resolves: #1170770 [AD TRUST]IPA should detect inconsistent realm domains
2410   that conflicts with AD DC
2411   - trusts: Check for AD root domain among our trusted domains
2412 - Resolves: #1195339 ipa-client-install changes the label on various files
2413   which causes SELinux denials
2414   - sysrestore: copy files instead of moving them to avoind SELinux issues
2415 - Resolves: #1196656 [ipa-client][rhel71] enable debugging for spawned
2416   commands / ntpd -qgc $tmpfile hangs
2417   - enable debugging of ntpd during client installation
2418 - Resolves: #1205264 Migration UI Does Not Work When Anonymous Bind is Disabled
2419   - migration: Use api.env variables.
2420 - Resolves: #1212719 abort-clean-ruv subcommand should allow
2421   replica-certifyall: no
2422   - Allow value 'no' for replica-certify-all attr in abort-clean-ruv subcommand
2423 - Resolves: #1216935 ipa trust-add shows ipa: ERROR: an internal error has
2424   occurred
2425   - dcerpc: Expand explanation for WERR_ACCESS_DENIED
2426   - dcerpc: Fix UnboundLocalError for ccache_name
2427 - Resolves: #1222778 idoverride group-del can delete user and user-del can
2428   delete group
2429   - dcerpc: Add get_trusted_domain_object_type method
2430   - idviews: Restrict anchor to name and name to anchor conversions
2431   - idviews: Enforce objectclass check in idoverride*-del
2432 - Resolves: #1234919 Be able to request certificates without certmonger service
2433   running
2434   - cermonger: Use private unix socket when DBus SystemBus is not available.
2435   - ipa-client-install: Do not (re)start certmonger and DBus daemons.
2436 - Resolves: #1240939 Please add dependency on bind-pkcs11
2437   - Create server-dns sub-package.
2438   - ipaplatform: Add constants submodule
2439   - DNS: check if DNS package is installed
2440 - Resolves: #1242914 Bump minimal selinux-policy and add booleans to allow
2441   calling out oddjobd-activated services
2442   - selinux: enable httpd_run_ipa to allow communicating with oddjobd services
2443 - Resolves: #1243261 non-admin users cannot search hbac rules
2444   - fix hbac rule search for non-admin users
2445   - fix selinuxusermap search for non-admin users
2446 - Resolves: #1243652 Client has missing dependency on memcache
2447   - do not import memcache on client
2448 - Resolves: #1243835 [webui] user change password dialog does not work
2449   - webui: fix user reset password dialog
2450 - Resolves: #1244802 spec: selinux denial during kdcproxy user creation
2451   - Fix selinux denial during kdcproxy user creation
2452 - Resolves: #1246132 trust-fetch-domains: Do not chown keytab to the sssd user
2453   - oddjob: avoid chown keytab to sssd if sssd user does not exist
2454 - Resolves: #1246136 Adding a privilege to a permission avoids validation
2455   - Validate adding privilege to a permission
2456 - Resolves: #1246141 DNS Administrators cannot search in zones
2457   - DNS: Consolidate DNS RR types in API and schema
2458 - Resolves: #1246143 User plugin - user-find doesn't work properly with manager
2459   option
2460   - fix broken search for users by their manager
2461
2462 * Wed Jul 15 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-2
2463 - Resolves: #1131907 [ipa-client-install] cannot write certificate file
2464   '/etc/ipa/ca.crt.new': must be string or buffer, not None
2465 - Resolves: #1195775 unsaved changes dialog internally inconsistent
2466 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2467   - Stageusedr-activate: show username instead of DN
2468 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2469   - Prevent to rename certprofile profile id
2470 - Resolves: #1222047 IPA to AD Trust: IPA ERROR 4016: Remote Retrieve Error
2471 - Resolves: #1224769 copy-schema-to-ca.py does not overwrites schema files
2472   - copy-schema-to-ca: allow to overwrite schema files
2473 - Resolves: #1241941 kdc component installation of IPA failed
2474   - spec file: Update minimum required version of krb5
2475 - Resolves: #1242036 Replica install fails to update DNS records
2476   - Fix DNS records installation for replicas
2477 - Resolves: #1242884 Upgrade to 4.2.0 fails when enabling kdc proxy
2478   - Start dirsrv for kdcproxy upgrade
2479
2480 * Thu Jul  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-1
2481 - Resolves: #846033  [RFE] Documentation for JSONRPC IPA API
2482 - Resolves: #989091  Ability to manage IdM/IPA directly from a standard LDAP
2483   client
2484 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
2485   users in IdM
2486 - Resolves: #1115294 [RFE] Add support for DNSSEC
2487 - Resolves: #1145748 [RFE] IPA running with One Way Trust
2488 - Resolves: #1199520 [RFE] Introduce single upgrade tool - ipa-server-upgrade
2489 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
2490 - Resolves: #1200694 [RFE] Support for multiple cert profiles
2491 - Resolves: #1200728 [RFE] Replicate PKI Profile information
2492 - Resolves: #1200735 [RFE] Allow issuing certificates for user accounts
2493 - Resolves: #1204054 SSSD database is not cleared between installs and
2494   uninstalls of ipa
2495 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
2496   Trusts
2497 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
2498 - Resolves: #1204504 [RFE] Add access control so hosts can create their own
2499   services
2500 - Resolves: #1206534 [RFE] Offer Kerberos over HTTP (kdcproxy) by default
2501 - Resolves: #1206613 [RFE] Configure IPA to be a trust agent by default
2502 - Resolves: #1209476 package ipa-client does not require package dbus-python
2503 - Resolves: #1211589 [RFE] Add option to skip the verify_client_version
2504 - Resolves: #1211608 [RFE] Generic support for unknown DNS RR types (RFC 3597)
2505 - Resolves: #1215735 ipa-replica-prepare automatically adds a DNS zone
2506 - Resolves: #1217010 OTP Manager field is not exposed in the UI
2507 - Resolves: #1222475 krb5kdc : segfault at 0 ip 00007fa9f64d82bb sp
2508   00007fffd68b2340 error 6 in libc-2.17.so
2509 - Related:  #1204809 Rebase ipa to 4.2
2510   - Update to upstream 4.2.0
2511   - Move /etc/ipa/kdcproxy to the server subpackage
2512
2513 * Tue Jun 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.2.alpha1
2514 - Resolves: #1228671 pkispawn fails in ipa-ca-install and ipa-kra-install
2515 - Related:  #1204809 Rebase ipa to 4.2
2516   - Fix minimum version of slapi-nis
2517   - Require python-sss and python-sss-murmur (provided by sssd-1.13.0)
2518
2519 * Mon Jun 22 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.1.alpha1
2520 - Resolves: #805188  [RFE] "ipa migrate-ds" ldapsearches with scope=1
2521 - Resolves: #1019272 With 20000+ users, adding a user to a group intermittently
2522   throws Internal server error
2523 - Resolves: #1035494 Unable to add Kerberos principal via kadmin.local
2524 - Resolves: #1045153 ipa-managed-entries --list -p <badpassword> still requires
2525   DM password
2526 - Resolves: #1125950 ipa-server-install --uinstall doesn't remove port 7389
2527   from ldap_port_t
2528 - Resolves: #1132540 [RFE] Expose service delegation rules in UI and CLI
2529 - Resolves: #1145584 ipaserver/install/cainstance.py creates pkiuser not
2530   matching uidgid
2531 - Resolves: #1176036 IDM client registration failure in a high load environment
2532 - Resolves: #1183116 Remove Requires: subscription-manager
2533 - Resolves: #1186054 permission-add does not prompt to enter --right option in
2534   interactive mode
2535 - Resolves: #1187524 Replication agreement with replica not disabled when
2536   ipa-restore done without IPA installed
2537 - Resolves: #1188195 Fax number not displayed for user-show when kinit'ed as
2538   normal user.
2539 - Resolves: #1189034 "an internal error has occurred" during ipa host-del
2540   --updatedns
2541 - Resolves: #1193554 ipa-client-automount: failing with error LDAP server
2542   returned UNWILLING_TO_PERFORM. This likely means that minssf is enabled.
2543 - Resolves: #1193759 IPA extdom plugin fails when encountering large groups
2544 - Resolves: #1194312 [ipa-python] ipalib.errors.LDAPError: failed to decode
2545   certificate: (SEC_ERROR_INVALID_ARGS) security library: invalid arguments.
2546 - Resolves: #1194633 Default trust view can be deleted in lower case
2547 - Resolves: #1196455 ipa-server-install step [8/27]: starting certificate
2548   server instance - confusing CA staus message on TLS error
2549 - Resolves: #1198263 Limit deadlocks between DS plugin DNA and slapi-nis
2550 - Resolves: #1199527 [RFE] Use datepicker component for datetime fields
2551 - Resolves: #1200867 [RFE] Make OTP validation window configurable
2552 - Resolves: #1200883 [RFE] Switch apache to use mod_auth_gssapi
2553 - Resolves: #1202998 CVE-2015-1827 ipa: memory corruption when using
2554   get_user_grouplist() [rhel-7.2]
2555 - Resolves: #1204637 slow group operations
2556 - Resolves: #1204642 migrate-ds: slow add o users to default group
2557 - Resolves: #1208461 IPA CA master server update stuck on checking getStatus
2558   via https
2559 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
2560 - Resolves: #1211708 ipa-client-install gets stuck during NTP sync
2561 - Resolves: #1215197 ipa-client-install ignores --ntp-server option during time
2562   sync
2563 - Resolves: #1215200 ipa-client-install configures IPA server as NTP source
2564   even if IPA server has not ntpd configured
2565 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
2566 - Related:  #1204809 Rebase ipa to 4.2
2567   - Update to upstream 4.2.0.alpha1
ba521e 2568
0201d8 2569 * Thu Mar 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.3
CS 2570 - [ipa-python] ipalib.errors.LDAPError: failed to decode certificate:
2571   (SEC_ERROR_INVALID_ARGS) security library: invalid arguments. (#1194312)
f4fe3d 2572
0201d8 2573 * Wed Mar 18 2015 Alexander Bokovoy <abokovoy@redhat.com> - 4.1.0-18.2
CS 2574 - IPA extdom plugin fails when encountering large groups (#1193759)
2575 - CVE-2015-0283 ipa: slapi-nis: infinite loop in getgrnam_r() and getgrgid_r()
590d18 2576   (#1202998)
0201d8 2577
CS 2578 * Thu Mar  5 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.1
2579 - "an internal error has occurred" during ipa host-del --updatedns (#1198431)
2580 - Renamed patch 1013 to 0114, as it was merged upstream
2581 - Fax number not displayed for user-show when kinit'ed as normal user.
2582   (#1198430)
2583 - Replication agreement with replica not disabled when ipa-restore done without
2584   IPA installed (#1199060)
2585 - Limit deadlocks between DS plugin DNA and slapi-nis (#1199128)
2586
2587 * Thu Jan 29 2015 Martin Kosek <mkosek@redhat.com> - 4.1.0-18
e3ffab 2588 - Fix ipa-pwd-extop global configuration caching (#1187342)
CS 2589 - group-detach does not add correct objectclasses (#1187540)
9dc499 2590
e3ffab 2591 * Tue Jan 27 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-17
CS 2592 - Wrong directories created on full restore (#1186398)
2593 - ipa-restore crashes if replica is unreachable (#1186396)
2594 - idoverrideuser-add option --sshpubkey does not work (#1185410)
69f9f3 2595
e3ffab 2596 * Wed Jan 21 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-16
CS 2597 - PassSync does not sync passwords due to missing ACIs (#1181093)
2598 - ipa-replica-manage list does not list synced domain (#1181010)
2599 - Do not assume certmonger is running in httpinstance (#1181767)
2600 - ipa-replica-manage disconnect fails without password (#1183279)
2601 - Put LDIF files to their original location in ipa-restore (#1175277)
2602 - DUA profile not available anonymously (#1184149)
2603 - IPA replica missing data after master upgraded (#1176995)
8f4e66 2604
e3ffab 2605 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-15
CS 2606 - Re-add accidentally removed patches for #1170695 and #1164896
3f6981 2607
e3ffab 2608 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-14
CS 2609 - IPA Replicate creation fails with error "Update failed! Status: [10 Total
2610   update abortedLDAP error: Referral]" (#1166265)
2611 - running ipa-server-install --setup-dns results in a crash (#1072502)
2612 - DNS zones are not migrated into forward zones if 4.0+ replica is added
2613   (#1175384)
2614 - gid is overridden by uid in default trust view (#1168904)
2615 - When migrating warn user if compat is enabled (#1177133)
2616 - Clean up debug log for trust-add (#1168376)
2617 - No error message thrown on restore(full kind) on replica from full backup
2618   taken on master (#1175287)
2619 - ipa-restore proceed even IPA not configured (#1175326)
2620 - Data replication not working as expected after data restore from full backup
2621   (#1175277)
2622 - IPA externally signed CA cert expiration warning missing from log (#1178128)
2623 - ipa-upgradeconfig fails in CA-less installs (#1181767)
2624 - IPA certs fail to autorenew simultaneouly (#1173207)
2625 - More validation required on ipa-restore's options (#1176034)
2626
2627 * Wed Dec 17 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-13
2628 - Expand the token auth/sync windows (#919228)
2629 - Access is not rejected for disabled domain (#1172598)
2630 - krb5kdc crash in ldap_pvt_search (#1170695)
2631 - RHEL7.1 IPA server httpd avc denials after upgrade (#1164896)
2632
2633 * Wed Dec 10 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-12
2634 - RHEL7.1 ipa-cacert-manage renewed certificate from MS ADCS not compatible
2635   (#1169591)
2636 - CLI doesn't show SSHFP records with SHA256 added via nsupdate (regression)
2637   (#1172578)
2638
2639 * Tue Dec  9 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-11
2640 - Throw zonemgr error message before installation proceeds (#1163849)
2641 - Winsync: Setup is broken due to incorrect import of certificate (#1169867)
2642 - Enable last token deletion when password auth type is configured (#919228)
2643 - ipa-otp-lasttoken loads all user's tokens on every mod/del (#1166641)
2644 - add --hosts and --hostgroup options to allow/retrieve keytab methods
2645   (#1007367)
2646 - Extend host-show to add the view attribute in set of default attributes
2647   (#1168916)
2648 - Prefer TCP connections to UDP in krb5 clients (#919228)
2649 - [WebUI] Not able to unprovisioning service in IPA 4.1 (#1168214)
2650 - webui: increase notification duration (#1171089)
2651 - RHEL7.1 ipa automatic CA cert renewal stuck in submitting state (#1166931)
2652 - RHEL7.1 ipa-cacert-manage cannot change external to self-signed ca cert
2653   (#1170003)
2654 - Improve validation of --instance and --backend options in ipa-restore
2655   (#951581)
2656 - RHEL7.1 ipa replica unable to replicate to rhel6 master (#1167964)
2657 - Disable TLS 1.2 in nss.conf until mod_nss supports it (#1156466)
2658
2659 * Wed Nov 26 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-10
2660 - Use NSS protocol range API to set available TLS protocols (#1156466)
2661
2662 * Tue Nov 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-9
2663 - schema update on RHEL-6.6 using latest copy-schema-to-ca.py from RHEL-7.1
2664   build fails (#1167196)
2665 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
2666 - "ipa trust-add ... " cmd says : (Trust status: Established and verified)
2667   while in the logs we see "WERR_ACCESS_DENIED" during verification step.
2668   (#1144121)
2669 - POODLE: force using safe ciphers (non-SSLv3) in IPA client and server
2670   (#1156466)
2671 - Add support/hooks for a one-time password system like SecureID in IPA
2672   (#919228)
2673 - Tracebacks with latest build for --zonemgr cli option (#1167270)
2674 - ID Views: Support migration from the sync solution to the trust solution
2675   (#891984)
2676
2677 * Mon Nov 24 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-8
2678 - Improve otptoken help messages (#919228)
2679 - Ensure users exist when assigning tokens to them (#919228)
2680 - Enable QR code display by default in otptoken-add (#919228)
2681 - Show warning instead of error if CA did not start (#1158410)
2682 - CVE-2014-7850 freeipa: XSS flaw can be used to escalate privileges (#1165774)
2683 - Traceback when adding zone with long name (#1164859)
2684 - Backup & Restore mechanism (#951581)
2685 - ignoring user attributes in migrate-ds does not work if uppercase characters
2686   are returned by ldap (#1159816)
2687 - Allow ipa-getkeytab to optionally fetch existing keys (#1007367)
2688 - Failure when installing on dual stacked system with external ca (#1128380)
2689 - ipa-server should keep backup of CS.cfg (#1059135)
2690 - Tracebacks with latest build for --zonemgr cli option (#1167270)
2691 - webui: use domain name instead of domain SID in idrange adder dialog
2692   (#891984)
2693 - webui: normalize idview tab labels (#891984)
2694
2695 * Wed Nov 19 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-7
2696 - ipa-csreplica-manage connect fails (#1157735)
2697 - error message which is not understandable when IDNA2003 characters are
2698   present in --zonemgr (#1163849)
2699 - Fix warning message should not contain CLI commands (#1114013)
2700 - Renewing the CA signing certificate does not extend its validity period end
2701   (#1163498)
2702 - RHEL7.1 ipa-server-install --uninstall Could not set SELinux booleans for
2703   httpd (#1159330)
2704
2705 * Thu Nov 13 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-6
2706 - Fix: DNS installer adds invalid zonemgr email (#1056202)
2707 - ipaplatform: Use the dirsrv service, not target (#951581)
2708 - Fix: DNS policy upgrade raises asertion error (#1161128)
2709 - Fix upgrade referint plugin (#1161128)
2710 - Upgrade: fix trusts objectclass violationi (#1161128)
2711 - group-add doesn't accept gid parameter (#1149124)
2712
2713 * Tue Nov 11 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-5
2714 - Update slapi-nis dependency to pull 0.54-2 (#891984)
2715 - ipa-restore: Don't crash if AD trust is not installed (#951581)
2716 - Prohibit setting --rid-base for ranges of ipa-trust-ad-posix type (#1138791)
2717 - Trust setting not restored for CA cert with ipa-restore command (#1159011)
2718 - ipa-server-install fails when restarting named (#1162340)
2719
2720 * Thu Nov 06 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-4
2721 - Update Requires on pki-ca to 10.1.2-4 (#1129558)
2722 - build: increase java stack size for all arches
2723 - Add ipaSshPubkey and gidNumber to the ACI to read ID user overrides (#891984)
2724 - Fix dns zonemgr validation regression (#1056202)
2725 - Handle profile changes in dogtag-ipa-ca-renew-agent (#886645)
2726 - Do not wait for new CA certificate to appear in LDAP in ipa-certupdate
2727   (#886645)
2728 - Add bind-dyndb-ldap working dir to IPA specfile
2729 - Fail if certmonger can't see new CA certificate in LDAP in ipa-cacert-manage
2730   (#886645)
2731 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
2732 - Deadlock in schema compat plugin (#1161131)
2733 - ipactl stop should stop dirsrv last (#1161129)
2734 - Upgrade 3.3.5 to 4.1 failed (#1161128)
2735 - CVE-2014-7828 freeipa: password not required when OTP in use (#1160877)
2736
2737 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-3
2738 - Do not check if port 8443 is available in step 2 of external CA install
2739   (#1129481)
2740
2741 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-2
2742 - Update Requires on selinux-policy to 3.13.1-4
2743
2744 * Tue Oct 21 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-1
2745 - Update to upstream 4.1.0 (#1109726)
2746
2747 * Mon Sep 29 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-0.1.alpha1
2748 - Update to upstream 4.1.0 Alpha 1 (#1109726)
2749
2750 * Fri Sep 26 2014 Petr Vobornik <pvoborni@redhat.com> - 4.0.3-3
2751 - Add redhat-access-plugin-ipa dependency
2752
2753 * Thu Sep 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-2
2754 - Re-enable otptoken_yubikey plugin
2755
2756 * Mon Sep 15 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-1
2757 - Update to upstream 4.0.3 (#1109726)
2758
2759 * Thu Aug 14 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-29
031d60 2760 - Server installation fails using external signed certificates with
e3ffab 2761   "IndexError: list index out of range" (#1111320)
031d60 2762 - Add rhino to BuildRequires to fix Web UI build error
10ca37 2763
9991ea 2764 * Tue Apr  1 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-28
CB 2765 - ipa-client-automount fails with incompatibility error when installed against
2766   older IPA server (#1083108)
2767
2768 * Wed Mar 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-27
2769 - Proxy PKI URI /ca/ee/ca/profileSubmit to enable replication with future
2770   PKI versions (#1080865)
2771
2772 * Tue Mar 25 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-26
2773 - When IdM server trusts multiple AD forests, IPA client returns invalid group
2774   membership info (#1079498)
2775
2776 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-25
2777 - Deletion of active subdomain range should not be allowed (#1075615)
2778
2779 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-24
2780 - PKI database is ugraded during replica installation (#1075118)
2781
2782 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-23
2783 - Unable to add trust successfully with --trust-secret (#1075704)
2784
2785 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-22
2786 - ipa-replica-install never checks for 7389 port (#1075165)
2787 - Non-terminated string may be passed to LDAP search (#1075091)
2788 - ipa-sam may fail to translate group SID into GID (#1073829)
2789 - Excessive LDAP calls by ipa-sam during Samba FS operations (#1075132)
2790
2791 * Thu Mar  6 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-21
2792 - Do not fetch a principal two times, remove potential memory leak (#1070924)
2793
2794 * Wed Mar  5 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-20
2795 - trustdomain-find with pkey-only fails (#1068611)
2796 - Invalid credential cache in trust-add (#1069182)
2797 - ipa-replica-install prints unexpected error (#1069722)
2798 - Too big font in input fields in details facet in Firefox (#1069720)
2799 - trust-add for POSIX AD does not fetch trustdomains (#1070925)
2800 - Misleading trust-add error message in some cases (#1070926)
2801 - Access is not rejected for disabled domain (#1070924)
2802
2803 * Wed Feb 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-19
2804 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2805
2806 * Wed Feb 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-18
2807 - Display server name in ipa command's verbose mode (#1061703)
2808 - Remove sourcehostcategory from default HBAC rule (#1061187)
2809 - dnszone-add cannot add classless PTR zones (#1058688)
2810 - Move ipa-otpd socket directory to /var/run/krb5kdc (#1063850)
2811
2812 * Tue Feb  4 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-17
2813 - Lockout plugin crashed during ipa-server-install (#912725)
2814
2815 * Fri Jan 31 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-16
2816 - Fallback to global policy in ipa lockout plugin (#912725)
2817 - Migration does not add users to default group (#903232)
2818
2819 * Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 3.3.3-15
2820 - Mass rebuild 2014-01-24
2821
2822 * Thu Jan 23 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-14
2823 - Fix NetBIOS name generation in CLDAP plugin (#1030517)
2824
2825 * Mon Jan 20 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-13
2826 - Do not add krbPwdPolicyReference for new accounts, hardcode it (#1045218)
2827 - Increase default timeout for IPA services (#1033273)
2828 - Error while running trustdomain-find (#1054376)
2829 - group-show lists SID instead of name for external groups (#1054391)
2830 - Fix IPA server NetBIOS name in samba configuration (#1030517)
2831 - dnsrecord-mod produces missing API version warning (#1054869)
2832 - Hide trust-resolve command as internal (#1052860)
2833 - Add Trust domain Web UI (#1054870)
2834 - ipasam cannot delete multiple child trusted domains (#1056120)
2835
2836 * Wed Jan 15 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-12
2837 - Missing objectclasses when empty password passed to host-add (#1052979)
2838 - sudoOrder missing in sudoers (#1052983)
2839 - Missing examples in sudorule help (#1049464)
2840 - Client automount does not uninstall when fstore is empty (#910899)
2841 - Error not clear for invalid realm given to trust-fetch-domains (#1052981)
2842 - trust-fetch-domains does not add idrange for subdomains found (#1049926)
2843 - Add option to show if an AD subdomain is enabled/disabled (#1052973)
2844 - ipa-adtrust-install still failed with long NetBIOS names (#1030517)
2845 - Error not clear for invalid relam given to trustdomain-find (#1049455)
2846 - renewed client cert not recognized during IPA CA renewal (#1033273)
2847
2848 * Fri Jan 10 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-11
2849 - hbactest does not work for external users (#848531)
2850
2851 * Wed Jan 08 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-10
2852 - PKI service restart after CA renewal failed (#1040018)
2853
2854 * Mon Jan 06 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-9
2855 - Move ipa-tests package to separate srpm (#1032668)
2856
2857 * Fri Jan  3 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-8
2858 - Fix status trust-add command status message (#910453)
2859 - NetBIOS was not trimmed at 15 characters (#1030517)
2860 - Harden CA subsystem certificate renewal on CA clones (#1040018)
2861
2862 * Fri Dec 27 2013 Daniel Mach <dmach@redhat.com> - 3.3.3-7
2863 - Mass rebuild 2013-12-27
2864
2865 * Mon Dec  2 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-6
2866 - Remove "Listen 443 http" hack from deployed nss.conf (#1029046)
2867 - Re-adding existing trust fails (#1033216)
2868 - IPA uninstall exits with a samba error (#1033075)
2869 - Added RELRO hardening on /usr/libexec/ipa-otpd (#1026260)
2870 - Fixed ownership of /usr/share/ipa/ui/js (#1026260)
2871 - ipa-tests: support external names for hosts (#1032668)
2872 - ipa-client-install fail due fail to obtain host TGT (#1029354)
2873
99b6f7 2874 * Fri Nov 22 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-5
CB 2875 - Trust add tries to add same value of --base-id for sub domain,
2876   causing an error (#1033068)
2877 - Improved error reporting for adding trust case (#1029856)
2878
2879 * Wed Nov 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-4
2880 - Winsync agreement cannot be created (#1023085)
2881
2882 * Wed Nov  6 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-3
2883 - Installer did not detect different server and IPA domain (#1026845)
2884 - Allow kernel keyring CCACHE when supported (#1026861)
2885
2886 * Tue Nov  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-2
2887 - ipa-server-install crashes when AD subpackage is not installed (#1026434)
2888
2889 * Fri Nov  1 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-1
2890 - Update to upstream 3.3.3 (#991064)
2891
2892 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-5
2893 - Temporarily move ipa-backup and ipa-restore functionality
2894   back to make them available in public Beta (#1003933)
2895
2896 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-4
2897 - Server install failure during client enrollment shouldn't
2898   roll back (#1023086)
2899 - nsds5ReplicaStripAttrs are not set on agreements (#1023085)
2900 - ipa-server conflicts with mod_ssl (#1018172)
2901
2902 * Wed Oct 16 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-3
2903 - Reinstalling ipa server hangs when configuring certificate
2904   server (#1018804)
2905
2906 * Fri Oct 11 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-2
2907 - Deprecate --serial-autoincrement option (#1016645)
2908 - CA installation always failed on replica (#1005446)
2909 - Re-initializing a winsync connection exited with error (#994980)
2910
2911 * Fri Oct  4 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-1
2912 - Update to upstream 3.3.2 (#991064)
2913 - Add delegation info to MS-PAC (#915799)
2914 - Warn about incompatibility with AD when IPA realm and domain
2915   differs (#1009044)
2916 - Allow PKCS#12 files with empty password in install tools (#1002639)
2917 - Privilege "SELinux User Map Administrators" did not list
2918   permissions (#997085)
2919 - SSH key upload broken when client joins an older server (#1009024)
2920
2921 * Mon Sep 23 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-5
2922 - Remove dependency on python-paramiko (#1002884)
2923 - Broken redirection when deleting last entry of DNS resource
2924   record (#1006360)
2925
2926 * Tue Sep 10 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-4
2927 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2928
2929 * Mon Sep  9 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-3
2930 - Replica installation fails for RHEL 6.4 master (#1004680)
2931 - Server uninstallation crashes if DS is not available (#998069)
2932
2933 * Thu Sep  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-2
2934 - Unable to remove replica by ipa-replica-manage (#1001662)
2935 - Before uninstalling a server, warn about active replicas (#998069)
2936
2937 * Thu Aug 29 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.1-1
2938 - Update to upstream 3.3.1 (#991064)
2939 - Update minimum version of bind-dyndb-ldap to 3.5
2940
2941 * Tue Aug 20 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.0-7
2942 - Fix replica installation failing on certificate subject (#983075)
2943
2944 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-6
2945 - Allow ipa-tests to work with older version (1.7.7) of python-paramiko
2946
2947 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-5
2948 - Prevent multilib failures in *.pyo and *.pyc files
2949
2950 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-4
2951 - ipa-server-install fails if --subject parameter is other than default
2952   realm (#983075)
2953 - do not allow configuring bind-dyndb-ldap without persistent search (#967876)
2954
2955 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-3
2956 - diffstat was missing as a build dependency causing multilib problems
2957
2958 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-2
2959 - Remove ipa-server-selinux obsoletes as upgrades from version prior to
2960   3.3.0 are not allowed
2961 - Wrap server-trust-ad subpackage description better
9991ea 2962 - Add (noreplace) flag for %%{_sysconfdir}/tmpfiles.d/ipa.conf
99b6f7 2963 - Change permissions on default_encoding_utf8.so to fix ipa-python Provides
CB 2964
2965 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-1
2966 - Update to upstream 3.3.0 (#991064)
2967
2968 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.2.beta2
2969 - Require slapi-nis 0.47.7 delivering a core feature of 3.3.0 release
2970
2971 * Wed Aug  7 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.1.beta2
2972 - Update to upstream 3.3.0 Beta 2 (#991064)
2973
2974 * Thu Jul 18 2013 Martin Kosek <mkosek@redhat.com> - 3.2.2-1
2975 - Update to upstream 3.2.2
2976 - Drop ipa-server-selinux subpackage
2977 - Drop redundant directory /var/cache/ipa/sessions
2978 - Do not create /var/lib/ipa/pki-ca/publish, retain reference as ghost
2979 - Run ipa-upgradeconfig and server restart in posttrans to avoid inconsistency
2980   issues when there are still old parts of software (like entitlements plugin)
2981
2982 * Fri Jun 14 2013 Martin Kosek <mkosek@redhat.com> - 3.2.1-1
2983 - Update to upstream 3.2.1
2984 - Drop dogtag-pki-server-theme requires, it won't be build for RHEL-7.0
2985
2986 * Tue May 14 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-2
2987 - Add OTP patches
2988 - Add patch to set KRB5CCNAME for 389-ds-base
2989
2990 * Fri May 10 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-1
2991 - Update to upstream 3.2.0 GA
2992 - ipa-client-install fails if /etc/ipa does not exist (#961483)
2993 - Certificate status is not visible in Service and Host page (#956718)
2994 - ipa-client-install removes needed options from ldap.conf (#953991)
2995 - Handle socket.gethostbyaddr() exceptions when verifying hostnames (#953957)
2996 - Add triggerin scriptlet to support OpenSSH 6.2 (#953617)
2997 - Require nss 3.14.3-12.0 to address certutil certificate import
2998   errors (#953485)
2999 - Require pki-ca 10.0.2-3 to pull in fix for sslget and mixed IPv4/6
3000   environments. (#953464)
3001 - ipa-client-install removes 'sss' from /etc/nsswitch.conf (#953453)
3002 - ipa-server-install --uninstall doesn't stop dirsrv instances (#953432)
3003 - Add requires for openldap-2.4.35-4 to pickup fixed SASL_NOCANON behavior for
3004   socket based connections (#960222)
3005 - Require libsss_nss_idmap-python
3006 - Add Conflicts on nss-pam-ldapd < 0.8.4. The mapping from uniqueMember to
3007   member is now done automatically and having it in the config file raises
3008   an error.
3009 - Add backup and restore tools, directory.
3010 - require at least systemd 38 which provides the journal (we no longer
3011   need to require syslog.target)
3012 - Update Requires on policycoreutils to 2.1.14-37
3013 - Update Requires on selinux-policy to 3.12.1-42
3014 - Update Requires on 389-ds-base to 1.3.1.0
3015 - Remove a Requires for java-atk-wrapper
3016
3017 * Tue Apr 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.4.beta1
3018 - Remove release from krb5-server in strict sub-package to allow for rebuilds.
3019
3020 * Mon Apr 22 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.3.beta1
3021 - Add a Requires for java-atk-wrapper until we can determine which package
3022   should be pulling it in, dogtag or tomcat.
3023
3024 * Tue Apr 16 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.2.beta1
3025 - Update to upstream 3.2.0 Beta 1
3026
3027 * Tue Apr  2 2013 Martin Kosek <mkosek@redhat.com> - 3.2.0-0.1.pre1
3028 - Update to upstream 3.2.0 Prerelease 1
3029 - Use upstream reference spec file as a base for Fedora spec file
3030
3031 * Sat Mar 30 2013 Kevin Fenzi <kevin@scrye.com> 3.1.2-4
3032 - Rebuild for broken deps
3033 - Fix 389-ds-base strict dep to be 1.3.0.5 and krb5-server 1.11.1
3034
3035 * Sat Feb 23 2013 Kevin Fenzi <kevin@scrye.com> - 3.1.2-3
3036 - Rebuild for broken deps in rawhide
3037 - Fix 389-ds-base strict dep to be 1.3.0.3
3038
3039 * Wed Feb 13 2013 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 3.1.2-2
3040 - Rebuilt for https://fedoraproject.org/wiki/Fedora_19_Mass_Rebuild
3041
3042 * Wed Jan 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.1.2-1
3043 - Update to upstream 3.1.2
3044 - CVE-2012-4546: Incorrect CRLs publishing
3045 - CVE-2012-5484: MITM Attack during Join process
3046 - CVE-2013-0199: Cross-Realm Trust key leak
3047 - Updated strict dependencies to 389-ds-base = 1.3.0.2 and
3048   pki-ca = 10.0.1
3049
3050 * Thu Dec 20 2012 Martin Kosek <mkosek@redhat.com> - 3.1.0-2
3051 - Remove redundat Requires versions that are already in Fedora 17
3052 - Replace python-crypto Requires with m2crypto
3053 - Add missing Requires(post) for client and server-trust-ad subpackages
3054 - Restart httpd service when server-trust-ad subpackage is installed
3055 - Bump selinux-policy Requires to pick up PKI/LDAP port labeling fixes
3056
3057 * Mon Dec 10 2012 Rob Crittenden <rcritten@redhat.com> - 3.1.0-1
3058 - Updated to upstream 3.1.0 GA
3059 - Set minimum for sssd to 1.9.2
3060 - Set minimum for pki-ca to 10.0.0-1
3061 - Set minimum for 389-ds-base to 1.3.0
3062 - Set minimum for selinux-policy to 3.11.1-60
3063 - Remove unneeded dogtag package requires
3064
3065 * Tue Oct 23 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-3
3066 - Update Requires on krb5-server to 1.11
3067
3068 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-2
3069 - Configure CA replication to use TLS instead of SSL
3070
3071 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-1
3072 - Updated to upstream 3.0.0 GA
3073 - Set minimum for samba to 4.0.0-153.
3074 - Make sure server-trust-ad subpackage alternates winbind_krb5_locator.so
3075   plugin to /dev/null since they cannot be used when trusts are configured
3076 - Restrict krb5-server to 1.10.
3077 - Update BR for 389-ds-base to 1.3.0
3078 - Add directory /var/lib/ipa/pki-ca/publish for CRL published by pki-ca
3079 - Add Requires on zip for generating FF browser extension
3080
3081 * Fri Oct  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.10
3082 - Updated to upstream 3.0.0 rc 2
3083 - Include new FF configuration extension
3084 - Set minimum Requires of selinux-policy to 3.11.1-33
3085 - Set minimum Requires dogtag to 10.0.0-0.43.b1
3086 - Add new optional strict sub-package to allow users to limit other
3087   package upgrades.
3088
3089 * Tue Oct  2 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.9
3090 - Require samba packages instead of obsoleted samba4 packages
3091
3092 * Fri Sep 21 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.8
3093 - Updated to upstream 3.0.0 rc 1
3094 - Update BR for 389-ds-base to 1.2.11.14
3095 - Update BR for krb5 to 1.10
3096 - Update BR for samba4-devel to 4.0.0-139 (rc1)
3097 - Add BR for python-polib
3098 - Update BR and Requires on sssd to 1.9.0
3099 - Update Requires on policycoreutils to 2.1.12-5
3100 - Update Requires on 389-ds-base to 1.2.11.14
3101 - Update Requires on selinux-policy to 3.11.1-21
3102 - Update Requires on dogtag to 10.0.0-0.33.a1
3103 - Update Requires on certmonger to 0.60
3104 - Update Requires on tomcat to 7.0.29
3105 - Update minimum version of bind to 9.9.1-10.P3
3106 - Update minimum version of bind-dyndb-ldap to 1.1.0-0.16.rc1
3107 - Remove Requires on authconfig from python sub-package
3108
3109 * Wed Sep  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.7
3110 - Rebuild against samba4 beta8
3111
3112 * Fri Aug 31 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.6
3113 - Rebuild against samba4 beta7
3114
3115 * Wed Aug 22 2012 Alexander Bokovoy <abokovoy@redhat.com> - 3.0.0-0.5
3116 - Adopt to samba4 beta6 (libsecurity -> libsamba-security)
3117 - Add dependency to samba4-winbind
3118
3119 * Fri Aug 17 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.4
3120 - Updated to upstream 3.0.0 beta 2
3121
3122 * Mon Aug  6 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.3
3123 - Updated to current upstream state of 3.0.0 beta 2 development
3124
3125 * Mon Jul 23 2012 Alexander Bokovoy <abokovy@redhat.com> - 3.0.0-0.2
3126 - Rebuild against samba4 beta4
3127
3128 * Mon Jul  2 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.1
3129 - Updated to upstream 3.0.0 beta 1
3130
3131 * Thu May  3 2012 Rob Crittenden <rcritten@redhat.com> - 2.2.0-1
3132 - Updated to upstream 2.2.0 GA
3133 - Update minimum n-v-r of certmonger to 0.53
3134 - Update minimum n-v-r of slapi-nis to 0.40
3135 - Add Requires in client to oddjob-mkhomedir and python-krbV
3136 - Update minimum selinux-policy to 3.10.0-110
3137
3138 * Mon Mar 19 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.2
3139 - Update to upstream 2.2.0 beta 1 (2.1.90.rc1)
3140 - Set minimum n-v-r for pki-ca and pki-silent to 9.0.18.
3141 - Add Conflicts on mod_ssl
3142 - Update minimum n-v-r of 389-ds-base to 1.2.10.4
3143 - Update minimum n-v-r of sssd to 1.8.0
3144 - Update minimum n-v-r of slapi-nis to 0.38
3145 - Update minimum n-v-r of pki-* to 9.0.18
3146 - Update conflicts on bind-dyndb-ldap to < 1.1.0-0.9.b1
3147 - Update conflicts on bind to < 9.9.0-1
3148 - Drop requires on krb5-server-ldap
3149 - Add patch to remove escaping arguments to pkisilent
3150
3151 * Mon Feb 06 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.1
3152 - Update to upstream 2.2.0 alpha 1 (2.1.90.pre1)
3153
3154 * Wed Feb 01 2012 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-5
3155 - Force to use 389-ds 1.2.10-0.8.a7 or above
3156 - Improve upgrade script to handle systemd 389-ds change
3157 - Fix freeipa to work with python-ldap 2.4.6
3158
3159 * Wed Jan 11 2012 Martin Kosek <mkosek@redhat.com> - 2.1.4-4
3160 - Fix ipa-replica-install crashes
3161 - Fix ipa-server-install and ipa-dns-install logging
3162 - Set minimum version of pki-ca to 9.0.17 to fix sslget problem
3163   caused by FEDORA-2011-17400 update (#771357)
3164
3165 * Wed Dec 21 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-3
3166 - Allow Web-based migration to work with tightened SE Linux policy (#769440)
3167 - Rebuild slapi plugins against re-enterant version of libldap
3168
3169 * Sun Dec 11 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-2
3170 - Allow longer dirsrv startup with systemd:
3171   - IPAdmin class will wait until dirsrv instance is available up to 10 seconds
3172   - Helps with restarts during upgrade for ipa-ldap-updater
3173 - Fix pylint warnings from F16 and Rawhide
3174
3175 * Tue Dec  6 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.4-1
3176 - Update to upstream 2.1.4 (CVE-2011-3636)
3177
3178 * Mon Dec  5 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.3-8
3179 - Update SELinux policy to allow ipa_kpasswd to connect ldap and
3180   read /dev/urandom. (#759679)
3181
3182 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-7
3183 - Fix wrong path in packaging freeipa-systemd-upgrade
3184
3185 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-6
3186 - Introduce upgrade script to recover existing configuration after systemd migration
3187   as user has no means to recover FreeIPA from systemd migration
3188 - Upgrade script:
3189   - recovers symlinks in Dogtag instance install
3190   - recovers systemd configuration for FreeIPA's directory server instances
3191   - recovers freeipa.service
3192   - migrates directory server and KDC configs to use proper keytabs for systemd services
3193
3194 * Wed Oct 26 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.1.3-5
3195 - Rebuilt for glibc bug#747377
3196
3197 * Wed Oct 19 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-4
e3ffab 3198 - clean up spec
99b6f7 3199 - Depend on sssd >= 1.6.2 for better user experience
CB 3200
3201 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-3
3202 - Fix Fedora package changelog after merging systemd changes
3203
3204 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-2
3205 - Fix postin scriplet for F-15/F-16
3206
3207 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-1
3208 - 2.1.3
3209
3210 * Mon Oct 17 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.2-1
3211 - Default to systemd for Fedora 16 and onwards
3212
3213 * Tue Aug 16 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.0-1
3214 - Update to upstream 2.1.0
3215
3216 * Fri May  6 2011 Simo Sorce <ssorce@redhat.com> - 2.0.1-2
3217 - Fix bug #702633
3218
3219 * Mon May  2 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.1-1
3220 - Update minimum selinux-policy to 3.9.16-18
3221 - Update minimum pki-ca and pki-selinux to 9.0.7
3222 - Update minimum 389-ds-base to 1.2.8.0-1
3223 - Update to upstream 2.0.1
3224
3225 * Thu Mar 24 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-1
3226 - Update to upstream GA release
3227 - Automatically apply updates when the package is upgraded
3228
3229 * Fri Feb 25 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.4.rc2
3230 - Update to upstream freeipa-2.0.0.rc2
3231 - Set minimum version of python-nss to 0.11 to make sure IPv6 support is in
3232 - Set minimum version of sssd to 1.5.1
3233 - Patch to include SuiteSpotGroup when setting up 389-ds instances
3234 - Move a lot of BuildRequires so this will build with ONLY_CLIENT enabled
3235
3236 * Tue Feb 15 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.3.rc1
3237 - Set the N-V-R so rc1 is an update to beta2.
3238
3239 * Mon Feb 14 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.rc1
3240 - Set minimum version of sssd to 1.5.1
3241 - Update to upstream freeipa-2.0.0.rc1
3242 - Move server-only binaries from admintools subpackage to server
3243
3244 * Tue Feb 08 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.0.0-0.2.beta2
3245 - Rebuilt for https://fedoraproject.org/wiki/Fedora_15_Mass_Rebuild
3246
3247 * Thu Feb  3 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta2
3248 - Set min version of 389-ds-base to 1.2.8
3249 - Set min version of mod_nss 1.0.8-10
3250 - Set min version of selinux-policy to 3.9.7-27
3251 - Add dogtag themes to Requires
3252 - Update to upstream freeipa-2.0.0.pre2
3253
3254 * Thu Jan 27 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.2.beta.git80e87e7
3255 - Remove unnecessary moving of v1 CA serial number file in post script
3256 - Add Obsoletes for server-selinxu subpackage
3257 - Using git snapshot 442d6ad30ce1156914e6245aa7502499e50ec0da
3258
3259 * Wed Jan 26 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta.git80e87e7
3260 - Prepare spec file for release
3261 - Using git snapshot 80e87e75bd6ab56e3e20c49ece55bd4d52f1a503
3262
3263 * Tue Jan 25 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-41
3264 - Re-arrange doc and defattr to clean up rpmlint warnings
3265 - Remove conditionals on older releases
3266 - Move some man pages into admintools subpackage
3267 - Remove some explicit Requires in client that aren't needed
3268 - Consistent use of buildroot vs RPM_BUILD_ROOT
3269
3270 * Wed Jan 19 2011 Adam Young <ayoung@redhat.com> - 1.99-40
3271 - Moved directory install/static to install/ui
3272
3273 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-39
3274 - Remove dependency on nss_ldap/nss-pam-ldapd
3275 - The official client is sssd and that's what we use by default.
3276
3277 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-38
3278 - Remove radius subpackages
3279
3280 * Thu Jan 13 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-37
3281 - Set minimum pki-ca and pki-silent versions to 9.0.0
3282
3283 * Wed Jan 12 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-36
3284 - Drop BuildRequires on mozldap-devel
3285
3286 * Mon Dec 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-35
3287 - Add Requires on krb5-pkinit-openssl
3288
3289 * Fri Dec 10 2010 Jr Aquino <jr.aquino@citrix.com> - 1.99-34
3290 - Add ipa-host-net-manage script
3291
3292 * Tue Dec  7 2010 Simo Sorce <ssorce@redhat.com> - 1.99-33
3293 - Add ipa init script
3294
3295 * Fri Nov 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-32
3296 - Set minimum level of 389-ds-base to 1.2.7 for enhanced memberof plugin
3297
3298 * Wed Nov  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-31
3299 - remove ipa-fix-CVE-2008-3274
3300
3301 * Wed Oct  6 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-30
3302 - Remove duplicate %%files entries on share/ipa/static
3303 - Add python default encoding shared library
3304
3305 * Mon Sep 20 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-29
3306 - Drop requires on python-configobj (not used any more)
3307 - Drop ipa-ldap-updater message, upgrades are done differently now
3308
3309 * Wed Sep  8 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-28
3310 - Drop conflicts on mod_nss
3311 - Require nss-pam-ldapd on F-14 or higher instead of nss_ldap (#606847)
3312 - Drop a slew of conditionals on older Fedora releases (< 12)
3313 - Add a few conditionals against RHEL 6
3314 - Add Requires of nss-tools on ipa-client
3315
3316 * Fri Aug 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-27
3317 - Set minimum version of certmonger to 0.26 (to pck up #621670)
3318 - Set minimum version of pki-silent to 1.3.4 (adds -key_algorithm)
3319 - Set minimum version of pki-ca to 1.3.6
3320 - Set minimum version of sssd to 1.2.1
3321
3322 * Tue Aug 10 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-26
3323 - Add BuildRequires for authconfig
3324
3325 * Mon Jul 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-25
3326 - Bump up minimum version of python-nss to pick up nss_is_initialize() API
3327
3328 * Thu Jun 24 2010 Adam Young <ayoung@redhat.com> - 1.99-24
3329 - Removed python-asset based webui
3330
3331 * Thu Jun 24 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-23
3332 - Change Requires from fedora-ds-base to 389-ds-base
3333 - Set minimum level of 389-ds-base to 1.2.6 for the replication
3334   version plugin.
3335
3336 * Tue Jun  1 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-22
3337 - Drop Requires of python-krbV on ipa-client
3338
3339 * Mon May 17 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-21
3340 - Load ipa_dogtag.pp in post install
3341
3342 * Mon Apr 26 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-20
3343 - Set minimum level of sssd to 1.1.1 to pull in required hbac fixes.
3344
3345 * Thu Mar  4 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-19
3346 - No need to create /var/log/ipa_error.log since we aren't using
3347   TurboGears any more.
3348
3349 * Mon Mar 1 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-18
3350 - Fixed share/ipa/wsgi.py so .pyc, .pyo files are included
3351
3352 * Wed Feb 24 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-17
3353 - Added Require mod_wsgi, added share/ipa/wsgi.py
3354
3355 * Thu Feb 11 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-16
3356 - Require python-wehjit >= 0.2.2
3357
3358 * Wed Feb  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-15
3359 - Add sssd and certmonger as a Requires on ipa-client
3360
3361 * Wed Jan 27 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-14
3362 - Require python-wehjit >= 0.2.0
3363
3364 * Fri Dec  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-13
3365 - Add ipa-rmkeytab tool
3366
3367 * Tue Dec  1 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-12
3368 - Set minimum of python-pyasn1 to 0.0.9a so we have support for the ASN.1
3369   Any type
3370
3371 * Wed Nov 25 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-11
3372 - Remove v1-style /etc/ipa/ipa.conf, replacing with /etc/ipa/default.conf
3373
3374 * Fri Nov 13 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-10
3375 - Add bash completion script and own /etc/bash_completion.d in case it
3376   doesn't already exist
3377
3378 * Tue Nov  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-9
3379 - Remove ipa_webgui, its functions rolled into ipa_httpd
3380
3381 * Mon Oct 12 2009 Jason Gerard DeRose <jderose@redhat.com> - 1.99-8
3382 - Removed python-cherrypy from BuildRequires and Requires
3383 - Added Requires python-assets, python-wehjit
3384
3385 * Mon Aug 24 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-7
3386 - Added httpd SELinux policy so CRLs can be read
3387
3388 * Thu May 21 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-6
3389 - Move ipalib to ipa-python subpackage
3390 - Bump minimum version of slapi-nis to 0.15
3391
3392 * Wed May  6 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-5
3393 - Set 0.14 as minimum version for slapi-nis
3394
3395 * Wed Apr 22 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-4
3396 - Add Requires: python-nss to ipa-python sub-package
3397
3398 * Thu Mar  5 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-3
3399 - Remove the IPA DNA plugin, use the DS one
3400
3401 * Wed Mar  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-2
3402 - Build radius separately
3403 - Fix a few minor issues
3404
3405 * Tue Feb  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-1
3406 - Replace TurboGears requirement with python-cherrypy
3407
3408 * Sat Jan 17 2009 Tomas Mraz <tmraz@redhat.com> - 1.2.1-3
3409 - rebuild with new openssl
3410
3411 * Fri Dec 19 2008 Dan Walsh <dwalsh@redhat.com> - 1.2.1-2
3412 - Fix SELinux code
3413
3414 * Mon Dec 15 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-1
3415 - Fix breakage caused by python-kerberos update to 1.1
3416
3417 * Fri Dec 5 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-0
3418 - New upstream release 1.2.1
3419
3420 * Sat Nov 29 2008 Ignacio Vazquez-Abrams <ivazqueznet+rpm@gmail.com> - 1.2.0-4
3421 - Rebuild for Python 2.6
3422
3423 * Fri Nov 14 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-3
3424 - Respin after the tarball has been re-released upstream
3425   New hash is 506c9c92dcaf9f227cba5030e999f177
3426
3427 * Thu Nov 13 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-2
3428 - Conditionally restart also dirsrv and httpd when upgrading
3429
3430 * Wed Oct 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.2.0-1
3431 - Update to upstream version 1.2.0
3432 - Set fedora-ds-base minimum version to 1.1.3 for winsync header
3433 - Set the minimum version for SELinux policy
3434 - Remove references to Fedora 7
3435
3436 * Wed Jul 23 2008 Simo Sorce <ssorce@redhat.com> - 1.1.0-3
3437 - Fix for CVE-2008-3274
3438 - Fix segfault in ipa-kpasswd in case getifaddrs returns a NULL interface
3439 - Add fix for bug #453185
3440 - Rebuild against openldap libraries, mozldap ones do not work properly
3441 - TurboGears is currently broken in rawhide. Added patch to not build
3442   the UI locales and removed them from the ipa-server files section.
3443
3444 * Wed Jun 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-2
3445 - Add call to /usr/sbin/upgradeconfig to post install
3446
3447 * Wed Jun 11 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-1
3448 - Update to upstream version 1.1.0
3449 - Patch for indexing memberof attribute
3450 - Patch for indexing uidnumber and gidnumber
3451 - Patch to change DNA default values for replicas
3452 - Patch to fix uninitialized variable in ipa-getkeytab
3453
3454 * Fri May 16 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-5
3455 - Set fedora-ds-base minimum version to 1.1.0.1-4 and mod_nss minimum
3456   version to 1.0.7-4 so we pick up the NSS fixes.
3457 - Add selinux-policy-base(post) to Requires (446496)
3458
3459 * Tue Apr 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-4
3460 - Add missing entry for /var/cache/ipa/kpasswd (444624)
3461 - Added patch to fix permissions problems with the Apache NSS database.
3462 - Added patch to fix problem with DNS querying where the query could be
3463   returned as the answer.
3464 - Fix spec error where patch1 was in the wrong section
3465
3466 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-3
3467 - Added patch to fix problem reported by ldapmodify
3468
3469 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-2
3470 - Fix Requires for krb5-server that was missing for Fedora versions > 9
3471 - Remove quotes around test for fedora version to package egg-info
3472
3473 * Fri Apr 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-1
3474 - Update to upstream version 1.0.0
3475
3476 * Tue Mar 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-12
3477 - Pull upstream changelog 722
3478 - Add Conflicts mod_ssl (435360)
3479
3480 * Fri Feb 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-11
3481 - Pull upstream changelog 698
3482 - Fix ownership of /var/log/ipa_error.log during install (435119)
3483 - Add pwpolicy command and man page
3484
3485 * Thu Feb 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-10
3486 - Pull upstream changelog 678
3487 - Add new subpackage, ipa-server-selinux
3488 - Add Requires: authconfig to ipa-python (bz #433747)
3489 - Package i18n files
3490
3491 * Mon Feb 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-9
3492 - Pull upstream changelog 641
3493 - Require minimum version of krb5-server on F-7 and F-8
3494 - Package some new files
3495
3496 * Thu Jan 31 2008 Rob Crittenden <rcritten@redhat.com> 0.99-8
3497 - Marked with wrong license. IPA is GPLv2.
3498
3499 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-7
3500 - Ensure that /etc/ipa exists before moving user-modifiable html files there
3501 - Put html files into /etc/ipa/html instead of /etc/ipa
3502
3503 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-6
3504 - Pull upstream changelog 608 which renamed several files
3505
3506 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-5
3507 - package the sessions dir /var/cache/ipa/sessions
3508 - Pull upstream changelog 597
3509
3510 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-4
3511 - Updated upstream pull (596) to fix bug in ipa_webgui that was causing the
3512   UI to not start.
3513
3514 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-3
3515 - Included LICENSE and README in all packages for documentation
3516 - Move user-modifiable content to /etc/ipa and linked back to
3517   /usr/share/ipa/html
3518 - Changed some references to /usr to the {_usr} macro and /etc
3519   to {_sysconfdir}
3520 - Added popt-devel to BuildRequires for Fedora 8 and higher and
3521   popt for Fedora 7
3522 - Package the egg-info for Fedora 9 and higher for ipa-python
3523
3524 * Tue Jan 22 2008 Rob Crittenden <rcritten@redhat.com> 0.99-2
3525 - Added auto* BuildRequires
3526
3527 * Mon Jan 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-1
3528 - Unified spec file
3529
3530 * Thu Jan 17 2008 Rob Crittenden <rcritten@redhat.com> - 0.6.0-2
3531 - Fixed License in specfile
3532 - Include files from /usr/lib/python*/site-packages/ipaserver
3533
3534 * Fri Dec 21 2007 Karl MacMillan <kmacmill@redhat.com> - 0.6.0-1
3535 - Version bump for release
3536
3537 * Wed Nov 21 2007 Karl MacMillan <kmacmill@mentalrootkit.com> - 0.5.0-1
3538 - Preverse mode on ipa-keytab-util
3539 - Version bump for relase and rpm name change
3540
3541 * Thu Nov 15 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.1-2
3542 - Broke invididual Requires and BuildRequires onto separate lines and
3543   reordered them
3544 - Added python-tgexpandingformwidget as a dependency
3545 - Require at least fedora-ds-base 1.1
3546
3547 * Thu Nov  1 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.1-1
3548 - Version bump for release
3549
3550 * Wed Oct 31 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-6
3551 - Add dep for freeipa-admintools and acl
3552
3553 * Wed Oct 24 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-5
3554 - Add dependency for python-krbV
3555
3556 * Fri Oct 19 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-4
3557 - Require mod_nss-1.0.7-2 for mod_proxy fixes
3558
3559 * Thu Oct 18 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-3
3560 - Convert to autotools-based build
3561
3562 * Tue Sep 25 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-2
3563
3564 * Fri Sep 7 2007 Karl MacMillan <kmacmill@redhat.com> - 0.3.0-1
3565 - Added support for libipa-dna-plugin
3566
3567 * Fri Aug 10 2007 Karl MacMillan <kmacmill@redhat.com> - 0.2.0-1
3568 - Added support for ipa_kpasswd and ipa_pwd_extop
3569
3570 * Sun Aug  5 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-3
3571 - Abstracted client class to work directly or over RPC
3572
3573 * Wed Aug  1 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-2
3574 - Add mod_auth_kerb and cyrus-sasl-gssapi to Requires
3575 - Remove references to admin server in ipa-server-setupssl
3576 - Generate a client certificate for the XML-RPC server to connect to LDAP with
3577 - Create a keytab for Apache
3578 - Create an ldif with a test user
3579 - Provide a certmap.conf for doing SSL client authentication
3580
3581 * Fri Jul 27 2007 Karl MacMillan <kmacmill@redhat.com> - 0.1.0-1
3582 - Initial rpm version