The Identity, Policy and Audit system
CentOS Sources
2015-08-05 76902d919ea4aad5579714af913357a0f8670812
commit | author | age
e3ffab 1 # Define ONLY_CLIENT to only make the ipa-admintools, ipa-client and ipa-python
CS 2 # subpackages
99b6f7 3 %{!?ONLY_CLIENT:%global ONLY_CLIENT 0}
CB 4
e3ffab 5 # RHEL spec file only: START
99b6f7 6 %ifarch x86_64 %{ix86}
CB 7 # Nothing, we want to force just building client on non-Intel
8 %else
9 %global ONLY_CLIENT 1
10 %endif
e3ffab 11 %global VERSION 4.1.0
CS 12 # RHEL spec file only: END
99b6f7 13
e3ffab 14 %global alt_name freeipa
CS 15 %if 0%{?rhel}
16 %global samba_version 4.0.5-1
17 %global selinux_policy_version 3.13.1-4
18 %else
19 %global samba_version 2:4.0.5-1
20 %global selinux_policy_version 3.12.1-179
9991ea 21 %endif
CB 22
e3ffab 23 %global plugin_dir %{_libdir}/dirsrv/plugins
CS 24 %global gettext_domain ipa
25 %if 0%{?rhel}
26 %global platform_module rhel
27 %else
28 %global platform_module fedora
29 %endif
30
31 %define _hardened_build 1
32
99b6f7 33 Name:           ipa
e3ffab 34 Version:        4.1.0
190a2a 35 Release:        18%{?dist}.4
99b6f7 36 Summary:        The Identity, Policy and Audit system
CB 37
38 Group:          System Environment/Base
39 License:        GPLv3+
40 URL:            http://www.freeipa.org/
41 Source0:        http://www.freeipa.org/downloads/src/freeipa-%{VERSION}.tar.gz
e3ffab 42 # RHEL spec file only: START: Change branding to IPA and Identity-Management
76902d 43 #Source1:        header-logo.png
CS 44 #Source2:        login-screen-background.jpg
45 #Source3:        login-screen-logo.png
46 #Source4:        product-name.png
e3ffab 47 # RHEL spec file only: END: Change branding to IPA and Identity-Management
99b6f7 48 BuildRoot:      %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
CB 49
e3ffab 50 # RHEL spec file only: START
CS 51 Patch0001:      0001-Do-not-check-if-port-8443-is-available-in-step-2-of-.patch
52 Patch0002:      0002-Add-ipaSshPubkey-and-gidNumber-to-the-ACI-to-read-ID.patch
53 Patch0003:      0003-Fix-dns-zonemgr-validation-regression.patch
54 Patch0004:      0004-Handle-profile-changes-in-dogtag-ipa-ca-renew-agent.patch
55 Patch0005:      0005-Do-not-wait-for-new-CA-certificate-to-appear-in-LDAP.patch
56 Patch0006:      0006-Fail-if-certmonger-can-t-see-new-CA-certificate-in-L.patch
57 Patch0007:      0007-Fix-possible-NULL-dereference-in-ipa-kdb.patch
58 Patch0008:      0008-Fix-memory-leaks-in-ipa-extdom-extop.patch
59 Patch0009:      0009-Fix-various-bugs-in-ipa-opt-counter-and-ipa-otp-last.patch
60 Patch0010:      0010-Fix-memory-leak-in-ipa-pwd-extop.patch
61 Patch0011:      0011-Fix-memory-leaks-in-ipa-join.patch
62 Patch0012:      0012-Fix-various-bugs-in-ipap11helper.patch
63 Patch0013:      0013-Deadlock-in-schema-compat-plugin-between-automember_.patch
64 Patch0014:      0014-Stop-dirsrv-last-in-ipactl-stop.patch
65 Patch0015:      0015-Fix-upgrade-do-not-use-invalid-ldap-connection.patch
66 Patch0016:      0016-Ensure-that-a-password-exists-after-OTP-validation.patch
67 Patch0017:      0017-ipa-restore-Don-t-crash-if-AD-trust-is-not-installed.patch
68 Patch0018:      0018-ranges-prohibit-setting-rid-base-with-ipa-trust-ad-p.patch
69 Patch0019:      0019-ldapupdater-set-baserid-to-0-for-ipa-ad-trust-posix-.patch
70 Patch0020:      0020-idrange-include-raw-range-type-in-output.patch
71 Patch0021:      0021-webui-prohibit-setting-rid-base-with-ipa-trust-ad-po.patch
72 Patch0022:      0022-Fix-CA-certificate-backup-and-restore.patch
73 Patch0023:      0023-Fix-DNS-installer-adds-invalid-zonemgr-email.patch
74 Patch0024:      0024-ipaplatform-Use-the-dirsrv-service-not-target.patch
75 Patch0025:      0025-Fix-DNS-policy-upgrade-raises-asertion-error.patch
76 Patch0026:      0026-Fix-upgrade-referint-plugin.patch
77 Patch0027:      0027-Upgrade-fix-trusts-objectclass-violationi.patch
78 Patch0028:      0028-Produce-better-error-in-group-add-command.patch
79 Patch0029:      0029-Search-using-proper-scope-when-connecting-CA-instanc.patch
80 Patch0030:      0030-Fix-zonemgr-must-be-unicode-value.patch
81 Patch0031:      0031-Fix-warning-message-should-not-contain-CLI-commands.patch
82 Patch0032:      0032-Fix-wrong-expiration-date-on-renewed-IPA-CA-certific.patch
83 Patch0033:      0033-Do-not-restore-SELinux-settings-that-were-not-backed.patch
84 Patch0034:      0034-Improve-otptoken-help-messages.patch
85 Patch0035:      0035-Ensure-users-exist-when-assigning-tokens-to-them.patch
86 Patch0036:      0036-Enable-QR-code-display-by-default-in-otptoken-add.patch
87 Patch0037:      0037-Show-warning-instead-of-error-if-CA-did-not-start.patch
88 Patch0038:      0038-webui-fix-potential-XSS-vulnerabilities.patch
89 Patch0039:      0039-Raise-right-exception-if-domain-name-is-not-valid.patch
90 Patch0040:      0040-Restore-file-extended-attributes-and-SELinux-context.patch
91 Patch0041:      0041-restore-clear-httpd-ccache-after-restore.patch
92 Patch0042:      0042-Fix-user-group-ignore-attribute-in-migration-plugin.patch
93 Patch0043:      0043-Fix-filtering-of-enctypes-in-server-code.patch
94 Patch0044:      0044-Add-asn1c-generated-code-for-keytab-controls.patch
95 Patch0045:      0045-Use-asn1c-helpers-to-encode-decode-the-getkeytab-con.patch
96 Patch0046:      0046-Fix-read_ip_addresses-should-return-ipaddr-object.patch
97 Patch0047:      0047-Use-correct-service-name-in-cainstance.backup_config.patch
98 Patch0048:      0048-ipa-restore-Check-if-directory-is-provided-better-er.patch
99 Patch0049:      0049-Stop-tracking-certificates-before-restoring-them-in-.patch
100 Patch0050:      0050-Fix-detection-of-encoding-in-zonemgr-option.patch
101 Patch0051:      0051-webui-use-domain-name-instead-of-domain-SID-in-idran.patch
102 Patch0052:      0052-webui-normalize-idview-tab-labels.patch
103 Patch0053:      0053-copy_schema_to_ca-Fallback-to-old-import-location-fo.patch
104 Patch0054:      0054-Remove-redefinition-of-LOG-from-ipa-otp-lasttoken.patch
105 Patch0055:      0055-Unload-P11_Helper-object-s-library-when-it-is-finali.patch
106 Patch0056:      0056-Fix-Kerberos-error-handling-in-ipa-sam.patch
107 Patch0057:      0057-Fix-unchecked-return-value-in-ipa-kdb.patch
108 Patch0058:      0058-Fix-unchecked-return-values-in-ipa-winsync.patch
109 Patch0059:      0059-Fix-unchecked-return-value-in-ipa-join.patch
110 Patch0060:      0060-Fix-unchecked-return-value-in-krb5-common-utils.patch
111 Patch0061:      0061-Fix-memory-leak-in-GetKeytabControl-asn1-code.patch
112 Patch0062:      0062-AD-trust-improve-trust-validation.patch
113 Patch0063:      0063-Add-TLS-1.2-to-the-protocol-list-in-mod_nss-config.patch
114 Patch0064:      0064-webui-add-radius-fields-to-user-page.patch
115 Patch0065:      0065-Fix-zonemgr-option-encoding-detection.patch
116 Patch0066:      0066-Catch-USBError-during-YubiKey-location.patch
117 Patch0067:      0067-Use-NSS-protocol-range-API-to-set-available-TLS-prot.patch
118 Patch0068:      0068-Throw-zonemgr-error-message-before-installation-proc.patch
119 Patch0069:      0069-certs-Fix-incorrect-flag-handling-in-load_cacert.patch
120 Patch0070:      0070-Preliminary-refactoring-of-libotp-files.patch
121 Patch0071:      0071-Move-authentication-configuration-cache-into-libotp.patch
122 Patch0072:      0072-Enable-last-token-deletion-when-password-auth-type-i.patch
123 Patch0073:      0073-add-hosts-and-hostgroup-options-to-allow-retrieve-ke.patch
124 Patch0074:      0074-hosts-Display-assigned-ID-view-by-default-in-host-fi.patch
125 Patch0075:      0075-Prefer-TCP-connections-to-UDP-in-krb5-clients.patch
126 Patch0076:      0076-webui-fix-service-unprovisioning.patch
127 Patch0077:      0077-webui-increase-duration-of-notification-messages.patch
128 Patch0078:      0078-Fix-automatic-CA-cert-renewal-endless-loop-in-dogtag.patch
129 Patch0079:      0079-Do-not-renew-the-IPA-CA-cert-by-serial-number-in-dog.patch
130 Patch0080:      0080-Improve-validation-of-instance-and-backend-options-i.patch
131 Patch0081:      0081-revert-removal-of-cn-attribute-from-idnsRecord.patch
132 Patch0082:      0082-Check-subject-name-encoding-in-ipa-cacert-manage-ren.patch
133 Patch0083:      0083-Refer-the-user-to-freeipa.org-when-something-goes-wr.patch
134 Patch0084:      0084-Show-SSHFP-record-containing-space-in-fingerprint.patch
135 Patch0085:      0085-Always-add-etc-hosts-record-when-DNS-is-being-config.patch
136 Patch0086:      0086-Avoid-calling-ldap-functions-without-a-context.patch
137 Patch0087:      0087-Remove-the-removal-of-the-ccache.patch
138 Patch0088:      0088-Fix-Upgrade-forwardzones-zones-after-adding-newer-re.patch
139 Patch0089:      0089-Fix-zone-find-during-forwardzone-upgrade.patch
140 Patch0090:      0090-migrate-ds-fix-compat-plugin-check.patch
141 Patch0091:      0091-rpcclient-use-json_encode_binary-for-verbose-output.patch
142 Patch0092:      0092-Remove-ipanttrustauthincoming-ipanttrustauthoutgoing.patch
143 Patch0093:      0093-Abort-backup-restoration-on-not-matching-host.patch
144 Patch0094:      0094-Fix-ipa-restore-on-systems-without-IPA-installed.patch
145 Patch0095:      0095-Remove-RUV-from-LDIF-files-before-using-them-in-ipa-.patch
146 Patch0096:      0096-Fix-CA-certificate-renewal-syslog-alert.patch
147 Patch0097:      0097-Do-not-crash-on-unknown-services-in-installutils.sto.patch
148 Patch0098:      0098-Restart-dogtag-when-its-server-certificate-is-renewe.patch
149 Patch0099:      0099-Make-certificate-renewal-process-synchronized.patch
150 Patch0100:      0100-Fix-validation-of-ipa-restore-options.patch
151 Patch0101:      0101-Allow-PassSync-user-to-locate-and-update-NT-users.patch
152 Patch0102:      0102-Allow-Replication-Administrators-manipulate-Winsync-.patch
153 Patch0103:      0103-Do-not-assume-certmonger-is-running-in-httpinstance.patch
154 Patch0104:      0104-Replication-Administrators-cannot-remove-replication.patch
155 Patch0105:      0105-Put-LDIF-files-to-their-original-location-in-ipa-res.patch
156 Patch0106:      0106-Add-anonymous-read-ACI-for-DUA-profile.patch
157 Patch0107:      0107-Revert-Make-all-ipatokenTOTP-attributes-mandatory.patch
158 Patch0108:      0108-Create-correct-log-directories-during-full-restore-i.patch
159 Patch0109:      0109-Do-not-crash-when-replica-is-unreachable-in-ipa-rest.patch
160 Patch0110:      0110-idviews-Allow-setting-ssh-public-key-on-ipauseroverr.patch
161 Patch0111:      0111-Fix-ipa-pwd-extop-global-configuration-caching.patch
162 Patch0112:      0112-group-detach-does-not-add-correct-objectclasses.patch
0201d8 163 Patch0113:      0113-Always-return-absolute-idnsname-in-dnszone-commands.patch
CS 164 Patch0114:      0114-ipa-kdb-reject-principals-from-disabled-domains-as-a.patch
165 Patch0115:      0115-ipalib-Make-sure-correct-attribute-name-is-reference.patch
166 Patch0116:      0116-Restore-default.conf-and-use-it-to-build-API.patch
167 Patch0117:      0117-Limit-deadlocks-between-DS-plugin-DNA-and-slapi-nis.patch
168 Patch0118:      0118-Add-configure-check-for-cwrap-libraries.patch
169 Patch0119:      0119-extdom-handle-ERANGE-return-code-for-getXXYYY_r-call.patch
170 Patch0120:      0120-extdom-make-nss-buffer-configurable.patch
171 Patch0121:      0121-extdom-return-LDAP_NO_SUCH_OBJECT-to-the-client.patch
172 Patch0122:      0122-extdom-fix-memory-leak.patch
173 Patch0123:      0123-certstore-Make-certificate-retrieval-more-robust.patch
174 Patch0124:      0124-client-install-Do-not-crash-on-invalid-CA-certificat.patch
175 Patch0125:      0125-client-Fix-ca_is_enabled-calls.patch
176 Patch0126:      0126-upload_cacrt-Fix-empty-cACertificate-in-cn-CAcert.patch
190a2a 177 Patch0127:      0127-ipa-kdb-use-proper-memory-chunk-size-when-moving-sid.patch
CS 178 Patch0128:      0128-ipa-kdb-filter-out-group-membership-from-MS-PAC-for-.patch
99b6f7 179
CB 180 Patch1001:      1001-Hide-pkinit-functionality-from-production-version.patch
181 Patch1002:      1002-Remove-pkinit-plugin.patch
182 Patch1003:      1003-Remove-pkinit-references-from-tool-man-pages.patch
183 Patch1004:      1004-Change-branding-to-IPA-and-Identity-Management.patch
184 Patch1005:      1005-Remove-pylint-from-build-process.patch
185 Patch1006:      1006-Remove-i18test-from-build-process.patch
e3ffab 186 Patch1007:      1007-Do-not-build-tests.patch
CS 187 Patch1008:      1008-RCUE.patch
188 Patch1009:      1009-Do-not-allow-installation-in-FIPS-mode.patch
189 Patch1010:      1010-Disable-DNSSEC-support.patch
190 Patch1011:      1011-Disable-TLS-1.2-in-nss.conf-until-mod_nss-supports-i.patch
191 Patch1012:      1012-Expand-the-token-auth-sync-windows.patch
0201d8 192 Patch1013:      1013-extdom-fix-wrong-realloc-size.patch
CS 193 Patch1014:      1014-fix-Makefile.am-for-daemons.patch
76902d 194 Patch1015:      ipa-centos-branding.patch
e3ffab 195 # RHEL spec file only: END
10ca37 196
99b6f7 197 %if ! %{ONLY_CLIENT}
e3ffab 198 BuildRequires:  389-ds-base-devel >= 1.3.3.1-10
99b6f7 199 BuildRequires:  svrcore-devel
e3ffab 200 BuildRequires:  policycoreutils >= 2.1.14-37
99b6f7 201 BuildRequires:  systemd-units
e3ffab 202 BuildRequires:  samba-devel >= %{samba_version}
99b6f7 203 BuildRequires:  samba-python
CB 204 BuildRequires:  libwbclient-devel
205 BuildRequires:  libtalloc-devel
206 BuildRequires:  libtevent-devel
207 %endif # ONLY_CLIENT
208 BuildRequires:  nspr-devel
209 BuildRequires:  nss-devel
210 BuildRequires:  openssl-devel
211 BuildRequires:  openldap-devel
212 BuildRequires:  krb5-devel >= 1.11
213 BuildRequires:  krb5-workstation
214 BuildRequires:  libuuid-devel
215 BuildRequires:  libcurl-devel >= 7.21.7-2
216 BuildRequires:  xmlrpc-c-devel >= 1.27.4
217 BuildRequires:  popt-devel
218 BuildRequires:  autoconf
219 BuildRequires:  automake
220 BuildRequires:  m4
221 BuildRequires:  libtool
222 BuildRequires:  gettext
223 BuildRequires:  python-devel
224 BuildRequires:  python-ldap
225 BuildRequires:  python-setuptools
226 BuildRequires:  python-krbV
227 BuildRequires:  python-nss
228 BuildRequires:  python-netaddr
e3ffab 229 BuildRequires:  python-kerberos >= 1.1-15
99b6f7 230 BuildRequires:  python-rhsm
CB 231 BuildRequires:  pyOpenSSL
e3ffab 232 # RHEL spec file only: DELETED: Remove pylint from build process
CS 233 # RHEL spec file only: DELETED: Remove i18test from build process
99b6f7 234 BuildRequires:  libipa_hbac-python
CB 235 BuildRequires:  python-memcached
236 BuildRequires:  sssd >= 1.9.2
237 BuildRequires:  python-lxml
238 BuildRequires:  python-pyasn1 >= 0.0.9a
e3ffab 239 BuildRequires:  python-qrcode-core >= 5.0.0
CS 240 BuildRequires:  python-dns >= 1.11.1-2
99b6f7 241 BuildRequires:  m2crypto
CB 242 BuildRequires:  check
243 BuildRequires:  libsss_idmap-devel
e3ffab 244 BuildRequires:  libsss_nss_idmap-devel >= 1.12.2
CS 245 BuildRequires:  java-headless
031d60 246 BuildRequires:  rhino
99b6f7 247 BuildRequires:  libverto-devel
CB 248 BuildRequires:  systemd
249 BuildRequires:  libunistring-devel
e3ffab 250 # RHEL spec file only: START
99b6f7 251 BuildRequires:  diffstat
e3ffab 252 # RHEL spec file only: END
CS 253 BuildRequires:  python-lesscpy
254 BuildRequires:  python-yubico
255 BuildRequires:  python-backports-ssl_match_hostname
256 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 257
CB 258 %description
259 IPA is an integrated solution to provide centrally managed Identity (machine,
260 user, virtual machines, groups, authentication credentials), Policy
261 (configuration settings, access control information) and Audit (events,
262 logs, analysis thereof).
263
264 %if ! %{ONLY_CLIENT}
265 %package server
266 Summary: The IPA authentication server
267 Group: System Environment/Base
268 Requires: %{name}-python = %{version}-%{release}
269 Requires: %{name}-client = %{version}-%{release}
270 Requires: %{name}-admintools = %{version}-%{release}
e3ffab 271 Requires: 389-ds-base >= 1.3.3.1-10
99b6f7 272 Requires: openldap-clients > 2.4.35-4
CB 273 Requires: nss >= 3.14.3-12.0
274 Requires: nss-tools >= 3.14.3-12.0
e3ffab 275 Requires: krb5-server >= 1.11.5-5
99b6f7 276 Requires: krb5-pkinit-openssl
CB 277 Requires: cyrus-sasl-gssapi%{?_isa}
278 Requires: ntp
9991ea 279 Requires: httpd >= 2.4.6-7
99b6f7 280 Requires: mod_wsgi
CB 281 Requires: mod_auth_kerb >= 5.4-16
9991ea 282 Requires: mod_nss >= 1.0.8-26
e3ffab 283 Requires: python-ldap >= 2.4.15
99b6f7 284 Requires: python-krbV
CB 285 Requires: acl
286 Requires: python-pyasn1
287 Requires: memcached
288 Requires: python-memcached
e3ffab 289 Requires: dbus-python
99b6f7 290 Requires: systemd-units >= 38
CB 291 Requires(pre): systemd-units
292 Requires(post): systemd-units
e3ffab 293 Requires: selinux-policy >= %{selinux_policy_version}
99b6f7 294 Requires(post): selinux-policy-base
e3ffab 295 Requires: slapi-nis >= 0.54-2
CS 296 Requires: pki-ca >= 10.1.2-5
190a2a 297 %if 0%{?rhel}
76902d 298 # Requires: subscription-manager
190a2a 299 %endif
99b6f7 300 Requires(preun): python systemd-units
CB 301 Requires(postun): python systemd-units
e3ffab 302 Requires: python-dns >= 1.11.1-2
99b6f7 303 Requires: zip
e3ffab 304 Requires: policycoreutils >= 2.1.14-37
99b6f7 305 Requires: tar
e3ffab 306 Requires(pre): certmonger >= 0.75.14-2
CS 307 Requires(pre): 389-ds-base >= 1.3.3.1-10
308 Requires: fontawesome-fonts
309 Requires: open-sans-fonts
310 # RHEL spec file only: DELETED: Disable DNSSEC support
311 # RHEL spec file only: START
76902d 312 # Requires: redhat-access-plugin-ipa
e3ffab 313 # RHEL spec file only: END
CS 314
315 Conflicts: %{alt_name}-server
316 Obsoletes: %{alt_name}-server < %{version}
317
318 # RHEL spec file only: DELETED
99b6f7 319
CB 320 # We have a soft-requires on bind. It is an optional part of
321 # IPA but if it is configured we need a way to require versions
322 # that work for us.
e3ffab 323 Conflicts: bind-dyndb-ldap < 5.0
99b6f7 324 Conflicts: bind < 9.8.2-0.4.rc2
e3ffab 325 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 326
CB 327 # Versions of nss-pam-ldapd < 0.8.4 require a mapping from uniqueMember to
328 # member.
329 Conflicts: nss-pam-ldapd < 0.8.4
9991ea 330
e3ffab 331 # RHEL spec file only: START: Do not build tests
9991ea 332 # ipa-tests subpackage was moved to separate srpm
CB 333 Conflicts: ipa-tests < 3.3.3-9
e3ffab 334 # RHEL spec file only: END: Do not build tests
99b6f7 335
CB 336 %description server
337 IPA is an integrated solution to provide centrally managed Identity (machine,
338 user, virtual machines, groups, authentication credentials), Policy
339 (configuration settings, access control information) and Audit (events,
340 logs, analysis thereof). If you are installing an IPA server you need
341 to install this package (in other words, most people should NOT install
342 this package).
343
344
345 %package server-trust-ad
346 Summary: Virtual package to install packages required for Active Directory trusts
347 Group: System Environment/Base
348 Requires: %{name}-server = %version-%release
349 Requires: m2crypto
350 Requires: samba-python
e3ffab 351 Requires: samba >= %{samba_version}
99b6f7 352 Requires: samba-winbind
CB 353 Requires: libsss_idmap
354 Requires: libsss_nss_idmap-python
355 # We use alternatives to divert winbind_krb5_locator.so plugin to libkrb5
356 # on the installes where server-trust-ad subpackage is installed because
357 # IPA AD trusts cannot be used at the same time with the locator plugin
358 # since Winbindd will be configured in a different mode
359 Requires(post): %{_sbindir}/update-alternatives
360 Requires(post): python
361 Requires(postun): %{_sbindir}/update-alternatives
362 Requires(preun): %{_sbindir}/update-alternatives
e3ffab 363
CS 364 Conflicts: %{alt_name}-server-trust-ad
365 Obsoletes: %{alt_name}-server-trust-ad < %{version}
99b6f7 366
CB 367 %description server-trust-ad
368 Cross-realm trusts with Active Directory in IPA require working Samba 4
369 installation. This package is provided for convenience to install all required
370 dependencies at once.
371
372 %endif # ONLY_CLIENT
373
374
375 %package client
376 Summary: IPA authentication for use on clients
377 Group: System Environment/Base
378 Requires: %{name}-python = %{version}-%{release}
379 Requires: python-ldap
380 Requires: cyrus-sasl-gssapi%{?_isa}
381 Requires: ntp
382 Requires: krb5-workstation
383 Requires: authconfig
384 Requires: pam_krb5
385 Requires: wget
386 Requires: libcurl >= 7.21.7-2
387 Requires: xmlrpc-c >= 1.27.4
e3ffab 388 Requires: sssd >= 1.12.2-38
CS 389 Requires: certmonger >= 0.75.14-2
99b6f7 390 Requires: nss-tools
CB 391 Requires: bind-utils
392 Requires: oddjob-mkhomedir
393 Requires: python-krbV
e3ffab 394 Requires: python-dns >= 1.11.1
99b6f7 395 Requires: libsss_autofs
CB 396 Requires: autofs
397 Requires: libnfsidmap
398 Requires: nfs-utils
e3ffab 399 Requires: python-backports-ssl_match_hostname
99b6f7 400 Requires(post): policycoreutils
e3ffab 401
CS 402 Conflicts: %{alt_name}-client
403 Obsoletes: %{alt_name}-client < %{version}
99b6f7 404
CB 405 %description client
406 IPA is an integrated solution to provide centrally managed Identity (machine,
407 user, virtual machines, groups, authentication credentials), Policy
408 (configuration settings, access control information) and Audit (events,
409 logs, analysis thereof). If your network uses IPA for authentication,
410 this package should be installed on every client machine.
411
412
413 %package admintools
414 Summary: IPA administrative tools
415 Group: System Environment/Base
416 Requires: %{name}-python = %{version}-%{release}
417 Requires: %{name}-client = %{version}-%{release}
418 Requires: python-krbV
419 Requires: python-ldap
420
e3ffab 421 Conflicts: %{alt_name}-admintools
CS 422 Obsoletes: %{alt_name}-admintools < %{version}
423
99b6f7 424 %description admintools
CB 425 IPA is an integrated solution to provide centrally managed Identity (machine,
426 user, virtual machines, groups, authentication credentials), Policy
427 (configuration settings, access control information) and Audit (events,
428 logs, analysis thereof). This package provides command-line tools for
429 IPA administrators.
430
431 %package python
432 Summary: Python libraries used by IPA
433 Group: System Environment/Libraries
e3ffab 434 Requires: python-kerberos >= 1.1-15
99b6f7 435 Requires: gnupg
CB 436 Requires: iproute
437 Requires: keyutils
438 Requires: pyOpenSSL
e3ffab 439 Requires: python-nss >= 0.16
99b6f7 440 Requires: python-lxml
CB 441 Requires: python-netaddr
442 Requires: libipa_hbac-python
e3ffab 443 Requires: python-qrcode-core >= 5.0.0
CS 444 Requires: python-pyasn1
445 Requires: python-dateutil
446 Requires: python-yubico
447
448 Conflicts: %{alt_name}-python
449 Obsoletes: %{alt_name}-python < %{version}
99b6f7 450
CB 451 %description python
452 IPA is an integrated solution to provide centrally managed Identity (machine,
453 user, virtual machines, groups, authentication credentials), Policy
454 (configuration settings, access control information) and Audit (events,
455 logs, analysis thereof). If you are using IPA you need to install this
456 package.
e3ffab 457
CS 458 # RHEL spec file only: DELETED: Do not build tests
459
99b6f7 460
CB 461 %prep
462 # RHEL spec file only: START
463 # Update timestamps on the files touched by a patch, to avoid non-equal
464 # .pyc/.pyo files across the multilib peers within a build, where "Level"
465 # is the patch prefix option (e.g. -p1)
466 # Taken from specfile for sssd and python-simplejson
467 UpdateTimestamps() {
468   Level=$1
469   PatchFile=$2
470
471   # Locate the affected files:
472   for f in $(diffstat $Level -l $PatchFile); do
473     # Set the files to have the same timestamp as that of the patch:
474     touch -r $PatchFile $f
475   done
476 }
477
478 %setup -n freeipa-%{VERSION} -q
479
480 for p in %patches ; do
481     %__patch -p1 -i $p
482     UpdateTimestamps -p1 $p
483 done
e3ffab 484
CS 485 # Red Hat's Identity Management branding
76902d 486 #cp %SOURCE1 install/ui/images/header-logo.png
CS 487 #cp %SOURCE2 install/ui/images/login-screen-background.jpg
488 #cp %SOURCE3 install/ui/images/login-screen-logo.png
489 #cp %SOURCE4 install/ui/images/product-name.png
99b6f7 490 # RHEL spec file only: END
CB 491
492 %build
e3ffab 493 # UI compilation segfaulted on some arches when the stack was lower (#1040576)
CS 494 export JAVA_STACK_SIZE="8m"
495
9991ea 496 export CFLAGS="%{optflags} $CFLAGS"
CB 497 export LDFLAGS="%{__global_ldflags} $LDFLAGS"
e3ffab 498 export SUPPORTED_PLATFORM=%{platform_module}
CS 499
99b6f7 500 # Force re-generate of platform support
e3ffab 501 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 502 rm -f ipapython/version.py
503 rm -f ipaplatform/services.py
504 rm -f ipaplatform/tasks.py
505 rm -f ipaplatform/paths.py
506 # RHEL spec file only: START: Disable DNSSEC support
507 rm -f ipapython/p11helper.py
508 rm -f ipaserver/install/dnskeysyncinstance.py
509 rm -f ipaserver/install/odsexporterinstance.py
510 rm -f ipaserver/install/opendnssecinstance.py
511 # RHEL spec file only: END: Disable DNSSEC support
99b6f7 512 make version-update
CB 513 cd ipa-client; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
514 %if ! %{ONLY_CLIENT}
0201d8 515 # RHEL SPEC file only: START: Force re-generation of the makefiles
CS 516 find daemons -name Makefile.in |egrep -v '(libotp|lockout|otp-counter|lasttoken)'|xargs rm -f
517 # RHEL SPEC file only: END: Force re-generation of the makefiles
99b6f7 518 cd daemons; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir} --with-openldap; cd ..
CB 519 cd install; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
520 %endif # ONLY_CLIENT
521
522 %if ! %{ONLY_CLIENT}
523 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} all
524 %else
525 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} client
526 %endif # ONLY_CLIENT
527
528 %install
529 rm -rf %{buildroot}
e3ffab 530 export SUPPORTED_PLATFORM=%{platform_module}
99b6f7 531 # Force re-generate of platform support
e3ffab 532 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 533 rm -f ipapython/version.py
534 rm -f ipaplatform/services.py
535 rm -f ipaplatform/tasks.py
536 rm -f ipaplatform/paths.py
537 make version-update
99b6f7 538 %if ! %{ONLY_CLIENT}
CB 539 make install DESTDIR=%{buildroot}
540 %else
541 make client-install DESTDIR=%{buildroot}
542 %endif # ONLY_CLIENT
543 %find_lang %{gettext_domain}
544
e3ffab 545
CS 546 mkdir -p %{buildroot}%{_usr}/share/ipa
99b6f7 547
CB 548 %if ! %{ONLY_CLIENT}
549 # Remove .la files from libtool - we don't want to package
550 # these files
551 rm %{buildroot}/%{plugin_dir}/libipa_pwd_extop.la
552 rm %{buildroot}/%{plugin_dir}/libipa_enrollment_extop.la
553 rm %{buildroot}/%{plugin_dir}/libipa_winsync.la
554 rm %{buildroot}/%{plugin_dir}/libipa_repl_version.la
555 rm %{buildroot}/%{plugin_dir}/libipa_uuid.la
556 rm %{buildroot}/%{plugin_dir}/libipa_modrdn.la
557 rm %{buildroot}/%{plugin_dir}/libipa_lockout.la
558 rm %{buildroot}/%{plugin_dir}/libipa_cldap.la
559 rm %{buildroot}/%{plugin_dir}/libipa_dns.la
560 rm %{buildroot}/%{plugin_dir}/libipa_sidgen.la
561 rm %{buildroot}/%{plugin_dir}/libipa_sidgen_task.la
562 rm %{buildroot}/%{plugin_dir}/libipa_extdom_extop.la
563 rm %{buildroot}/%{plugin_dir}/libipa_range_check.la
e3ffab 564 rm %{buildroot}/%{plugin_dir}/libipa_otp_counter.la
CS 565 rm %{buildroot}/%{plugin_dir}/libipa_otp_lasttoken.la
99b6f7 566 rm %{buildroot}/%{_libdir}/krb5/plugins/kdb/ipadb.la
CB 567 rm %{buildroot}/%{_libdir}/samba/pdb/ipasam.la
568
569 # Some user-modifiable HTML files are provided. Move these to /etc
570 # and link back.
571 mkdir -p %{buildroot}/%{_sysconfdir}/ipa/html
572 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysrestore
573 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysupgrade
574 mkdir %{buildroot}%{_usr}/share/ipa/html/
575 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig.js \
576     %{buildroot}%{_usr}/share/ipa/html/ffconfig.js
577 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig_page.js \
578     %{buildroot}%{_usr}/share/ipa/html/ffconfig_page.js
579 ln -s ../../../..%{_sysconfdir}/ipa/html/ssbrowser.html \
580     %{buildroot}%{_usr}/share/ipa/html/ssbrowser.html
581 ln -s ../../../..%{_sysconfdir}/ipa/html/unauthorized.html \
582     %{buildroot}%{_usr}/share/ipa/html/unauthorized.html
583 ln -s ../../../..%{_sysconfdir}/ipa/html/browserconfig.html \
584     %{buildroot}%{_usr}/share/ipa/html/browserconfig.html
585
586 # So we can own our Apache configuration
587 mkdir -p %{buildroot}%{_sysconfdir}/httpd/conf.d/
588 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa.conf
589 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
590 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
591 mkdir -p %{buildroot}%{_usr}/share/ipa/html/
592 /bin/touch %{buildroot}%{_usr}/share/ipa/html/ca.crt
593 /bin/touch %{buildroot}%{_usr}/share/ipa/html/configure.jar
594 /bin/touch %{buildroot}%{_usr}/share/ipa/html/kerberosauth.xpi
595 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.con
596 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.js
597 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb5.ini
598 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krbrealm.con
599 /bin/touch %{buildroot}%{_usr}/share/ipa/html/preferences.html
600 mkdir -p %{buildroot}%{_initrddir}
601 mkdir %{buildroot}%{_sysconfdir}/sysconfig/
602 install -m 644 init/ipa_memcached.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa_memcached
e3ffab 603 # RHEL spec file only: DELETED: Disable DNSSEC support
CS 604
605 # dnssec daemons
606 mkdir -p %{buildroot}%{_libexecdir}/ipa/
607 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 608
CB 609 # Web UI plugin dir
610 mkdir -p %{buildroot}%{_usr}/share/ipa/ui/js/plugins
611
612 # NOTE: systemd specific section
e3ffab 613 mkdir -p %{buildroot}%{_tmpfilesdir}
CS 614 install -m 0644 init/systemd/ipa.conf.tmpfiles %{buildroot}%{_tmpfilesdir}/%{name}.conf
99b6f7 615 # END
CB 616
617 mkdir -p %{buildroot}%{_localstatedir}/run/
618 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa_memcached/
619 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa/
620
621 mkdir -p %{buildroot}%{_libdir}/krb5/plugins/libkrb5
622 touch %{buildroot}%{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
623
624 # NOTE: systemd specific section
625 mkdir -p %{buildroot}%{_unitdir}
626 install -m 644 init/systemd/ipa.service %{buildroot}%{_unitdir}/ipa.service
627 install -m 644 init/systemd/ipa_memcached.service %{buildroot}%{_unitdir}/ipa_memcached.service
628 # END
e3ffab 629 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa/backup
99b6f7 630 %endif # ONLY_CLIENT
CB 631
632 mkdir -p %{buildroot}%{_sysconfdir}/ipa/
633 /bin/touch %{buildroot}%{_sysconfdir}/ipa/default.conf
634 /bin/touch %{buildroot}%{_sysconfdir}/ipa/ca.crt
e3ffab 635 mkdir -p %{buildroot}%{_sysconfdir}/ipa/dnssec
CS 636 mkdir -p %{buildroot}%{_sysconfdir}/ipa/nssdb
99b6f7 637 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa-client/sysrestore
CB 638 mkdir -p %{buildroot}%{_sysconfdir}/bash_completion.d
639 install -pm 644 contrib/completion/ipa.bash_completion %{buildroot}%{_sysconfdir}/bash_completion.d/ipa
e3ffab 640
CS 641 %if ! %{ONLY_CLIENT}
99b6f7 642 mkdir -p %{buildroot}%{_sysconfdir}/cron.d
CB 643
644 (cd %{buildroot}/%{python_sitelib}/ipaserver && find . -type f  | \
645     grep -v dcerpc | grep -v adtrustinstance | \
646     sed -e 's,\.py.*$,.*,g' | sort -u | \
647     sed -e 's,\./,%%{python_sitelib}/ipaserver/,g' ) >server-python.list
e3ffab 648
CS 649 # RHEL spec file only: DELETED: Do not build tests
99b6f7 650 %endif # ONLY_CLIENT
CB 651
652 %clean
653 rm -rf %{buildroot}
654
655 %if ! %{ONLY_CLIENT}
656 %post server
657 # NOTE: systemd specific section
658     /bin/systemctl --system daemon-reload 2>&1 || :
659 # END
660 if [ $1 -gt 1 ] ; then
661     /bin/systemctl condrestart certmonger.service 2>&1 || :
662 fi
663
664 %posttrans server
665 # This must be run in posttrans so that updates from previous
666 # execution that may no longer be shipped are not applied.
667 /usr/sbin/ipa-ldap-updater --upgrade --quiet >/dev/null || :
668 /usr/sbin/ipa-upgradeconfig --quiet >/dev/null || :
669
670 # Restart IPA processes. This must be also run in postrans so that plugins
671 # and software is in consistent state
e3ffab 672 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 673 # NOTE: systemd specific section
CB 674 if [  $? -eq 0 ]; then
e3ffab 675     /bin/systemctl is-enabled ipa.service >/dev/null 2>&1
CS 676     if [  $? -eq 0 ]; then
677         /bin/systemctl restart ipa.service >/dev/null 2>&1 || :
678     fi
99b6f7 679 fi
CB 680 # END
681
682 %preun server
683 if [ $1 = 0 ]; then
684 # NOTE: systemd specific section
685     /bin/systemctl --quiet stop ipa.service || :
686     /bin/systemctl --quiet disable ipa.service || :
687 # END
688 fi
689
690 %pre server
691 # Stop ipa_kpasswd if it exists before upgrading so we don't have a
692 # zombie process when we're done.
693 if [ -e /usr/sbin/ipa_kpasswd ]; then
694 # NOTE: systemd specific section
695     /bin/systemctl stop ipa_kpasswd.service >/dev/null 2>&1 || :
696 # END
697 fi
698
699 %postun server-trust-ad
700 if [ "$1" -ge "1" ]; then
701     if [ "`readlink %{_sysconfdir}/alternatives/winbind_krb5_locator.so`" == "/dev/null" ]; then
702         %{_sbindir}/alternatives --set winbind_krb5_locator.so /dev/null
703     fi
704 fi
705
706 %post server-trust-ad
707 %{_sbindir}/update-alternatives --install %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so \
708         winbind_krb5_locator.so /dev/null 90
709
710 %posttrans server-trust-ad
e3ffab 711 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 712 if [  $? -eq 0 ]; then
CB 713 # NOTE: systemd specific section
714     /bin/systemctl try-restart httpd.service >/dev/null 2>&1 || :
715 # END
716 fi
717
718 %preun server-trust-ad
719 if [ $1 -eq 0 ]; then
720     %{_sbindir}/update-alternatives --remove winbind_krb5_locator.so /dev/null
721 fi
e3ffab 722
99b6f7 723 %endif # ONLY_CLIENT
CB 724
725 %post client
726 if [ $1 -gt 1 ] ; then
727     # Has the client been configured?
728     restore=0
729     test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
730
731     if [ -f '/etc/sssd/sssd.conf' -a $restore -ge 2 ]; then
732         if ! grep -E -q '/var/lib/sss/pubconf/krb5.include.d/' /etc/krb5.conf  2>/dev/null ; then
733             echo "includedir /var/lib/sss/pubconf/krb5.include.d/" > /etc/krb5.conf.ipanew
734             cat /etc/krb5.conf >> /etc/krb5.conf.ipanew
735             mv /etc/krb5.conf.ipanew /etc/krb5.conf
736             /sbin/restorecon /etc/krb5.conf
737         fi
738     fi
e3ffab 739
CS 740     if [ -f '/etc/sysconfig/ntpd' -a $restore -ge 2 ]; then
741         if grep -E -q 'OPTIONS=.*-u ntp:ntp' /etc/sysconfig/ntpd 2>/dev/null; then
742             sed -r '/OPTIONS=/ { s/\s+-u ntp:ntp\s+/ /; s/\s*-u ntp:ntp\s*// }' /etc/sysconfig/ntpd >/etc/sysconfig/ntpd.ipanew
743             mv /etc/sysconfig/ntpd.ipanew /etc/sysconfig/ntpd
744             /sbin/restorecon /etc/sysconfig/ntpd
745
746             /bin/systemctl condrestart ntpd.service 2>&1 || :
747         fi
748     fi
749
750     if [ ! -f '/etc/ipa/nssdb/cert8.db' -a $restore -ge 2 ]; then
751         python2 -c 'from ipapython.certdb import create_ipa_nssdb; create_ipa_nssdb()' >/dev/null 2>&1
752         tempfile=$(mktemp)
753         if certutil -L -d /etc/pki/nssdb -n 'IPA CA' -a >"$tempfile" 2>/var/log/ipaupgrade.log; then
754             certutil -A -d /etc/ipa/nssdb -n 'IPA CA' -t CT,C,C -a -i "$tempfile" >/var/log/ipaupgrade.log 2>&1
755         elif certutil -L -d /etc/pki/nssdb -n 'External CA cert' -a >"$tempfile" 2>/var/log/ipaupgrade.log; then
756             certutil -A -d /etc/ipa/nssdb -n 'External CA cert' -t C,, -a -i "$tempfile" >/var/log/ipaupgrade.log 2>&1
757         fi
758         rm -f "$tempfile"
759     fi
99b6f7 760 fi
CB 761
e3ffab 762 %triggerin -n %{name}-client -- openssh-server
99b6f7 763 # Has the client been configured?
CB 764 restore=0
765 test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
766
767 if [ -f '/etc/ssh/sshd_config' -a $restore -ge 2 ]; then
768     if grep -E -q '^(AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys|PubKeyAgent /usr/bin/sss_ssh_authorizedkeys %u)$' /etc/ssh/sshd_config 2>/dev/null; then
769         sed -r '
770             /^(AuthorizedKeysCommand(User|RunAs)|PubKeyAgentRunAs)[ \t]/ d
771         ' /etc/ssh/sshd_config >/etc/ssh/sshd_config.ipanew
772
773         if /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandUser=nobody'; then
774             sed -ri '
775                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
776                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandUser nobody/
777             ' /etc/ssh/sshd_config.ipanew
778         elif /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandRunAs=nobody'; then
779             sed -ri '
780                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
781                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandRunAs nobody/
782             ' /etc/ssh/sshd_config.ipanew
783         elif /usr/sbin/sshd -t -f /dev/null -o 'PubKeyAgent=/usr/bin/sss_ssh_authorizedkeys %u' -o 'PubKeyAgentRunAs=nobody'; then
784             sed -ri '
785                 s/^AuthorizedKeysCommand (.+)$/PubKeyAgent \1 %u/
786                 s/^PubKeyAgent .*$/\0\nPubKeyAgentRunAs nobody/
787             ' /etc/ssh/sshd_config.ipanew
788         fi
789
790         mv /etc/ssh/sshd_config.ipanew /etc/ssh/sshd_config
791         /sbin/restorecon /etc/ssh/sshd_config
792         chmod 600 /etc/ssh/sshd_config
793
794         /bin/systemctl condrestart sshd.service 2>&1 || :
795     fi
796 fi
797
798 %if ! %{ONLY_CLIENT}
799 %files server -f server-python.list
800 %defattr(-,root,root,-)
801 %doc COPYING README Contributors.txt
e3ffab 802 %{_sbindir}/ipa-backup
CS 803 %{_sbindir}/ipa-restore
99b6f7 804 %{_sbindir}/ipa-ca-install
CB 805 %{_sbindir}/ipa-dns-install
806 %{_sbindir}/ipa-server-install
807 %{_sbindir}/ipa-replica-conncheck
808 %{_sbindir}/ipa-replica-install
809 %{_sbindir}/ipa-replica-prepare
810 %{_sbindir}/ipa-replica-manage
811 %{_sbindir}/ipa-csreplica-manage
812 %{_sbindir}/ipa-server-certinstall
813 %{_sbindir}/ipa-ldap-updater
e3ffab 814 %{_sbindir}/ipa-otptoken-import
99b6f7 815 %{_sbindir}/ipa-compat-manage
CB 816 %{_sbindir}/ipa-nis-manage
817 %{_sbindir}/ipa-managed-entries
818 %{_sbindir}/ipactl
819 %{_sbindir}/ipa-upgradeconfig
820 %{_sbindir}/ipa-advise
e3ffab 821 %{_sbindir}/ipa-cacert-manage
CS 822 %{_libexecdir}/certmonger/dogtag-ipa-ca-renew-agent-submit
823 %{_libexecdir}/certmonger/ipa-server-guard
99b6f7 824 %{_libexecdir}/ipa-otpd
e3ffab 825 %dir %{_libexecdir}/ipa
CS 826 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 827 %config(noreplace) %{_sysconfdir}/sysconfig/ipa_memcached
e3ffab 828 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 829 %dir %attr(0700,apache,apache) %{_localstatedir}/run/ipa_memcached/
CB 830 %dir %attr(0700,root,root) %{_localstatedir}/run/ipa/
831 # NOTE: systemd specific section
e3ffab 832 %{_tmpfilesdir}/%{name}.conf
99b6f7 833 %attr(644,root,root) %{_unitdir}/ipa.service
CB 834 %attr(644,root,root) %{_unitdir}/ipa_memcached.service
835 %attr(644,root,root) %{_unitdir}/ipa-otpd.socket
836 %attr(644,root,root) %{_unitdir}/ipa-otpd@.service
e3ffab 837 # RHEL spec file only: DELETED: Disable DNSSEC support
CS 838 # END
99b6f7 839 %dir %{python_sitelib}/ipaserver
CB 840 %dir %{python_sitelib}/ipaserver/install
841 %dir %{python_sitelib}/ipaserver/install/plugins
842 %dir %{python_sitelib}/ipaserver/advise
843 %dir %{python_sitelib}/ipaserver/advise/plugins
844 %dir %{python_sitelib}/ipaserver/plugins
845 %dir %{_libdir}/ipa/certmonger
846 %attr(755,root,root) %{_libdir}/ipa/certmonger/*
847 %dir %{_usr}/share/ipa
848 %{_usr}/share/ipa/wsgi.py*
849 %{_usr}/share/ipa/copy-schema-to-ca.py*
850 %{_usr}/share/ipa/*.ldif
851 %{_usr}/share/ipa/*.uldif
852 %{_usr}/share/ipa/*.template
853 %dir %{_usr}/share/ipa/advise
854 %dir %{_usr}/share/ipa/advise/legacy
855 %{_usr}/share/ipa/advise/legacy/*.template
856 %dir %{_usr}/share/ipa/ffextension
857 %{_usr}/share/ipa/ffextension/bootstrap.js
858 %{_usr}/share/ipa/ffextension/install.rdf
859 %{_usr}/share/ipa/ffextension/chrome.manifest
860 %dir %{_usr}/share/ipa/ffextension/chrome
861 %dir %{_usr}/share/ipa/ffextension/chrome/content
862 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth.js
863 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth_overlay.xul
864 %dir %{_usr}/share/ipa/ffextension/locale
865 %dir %{_usr}/share/ipa/ffextension/locale/en-US
866 %{_usr}/share/ipa/ffextension/locale/en-US/kerberosauth.properties
867 %dir %{_usr}/share/ipa/html
868 %{_usr}/share/ipa/html/ffconfig.js
869 %{_usr}/share/ipa/html/ffconfig_page.js
870 %{_usr}/share/ipa/html/ssbrowser.html
871 %{_usr}/share/ipa/html/browserconfig.html
872 %{_usr}/share/ipa/html/unauthorized.html
873 %dir %{_usr}/share/ipa/migration
874 %{_usr}/share/ipa/migration/error.html
875 %{_usr}/share/ipa/migration/index.html
876 %{_usr}/share/ipa/migration/invalid.html
877 %{_usr}/share/ipa/migration/migration.py*
878 %dir %{_usr}/share/ipa/ui
879 %{_usr}/share/ipa/ui/index.html
880 %{_usr}/share/ipa/ui/reset_password.html
e3ffab 881 %{_usr}/share/ipa/ui/sync_otp.html
99b6f7 882 %{_usr}/share/ipa/ui/*.ico
CB 883 %{_usr}/share/ipa/ui/*.css
884 %{_usr}/share/ipa/ui/*.js
e3ffab 885 %dir %{_usr}/share/ipa/ui/css
CS 886 %{_usr}/share/ipa/ui/css/*.css
9991ea 887 %dir %{_usr}/share/ipa/ui/js
99b6f7 888 %dir %{_usr}/share/ipa/ui/js/dojo
CB 889 %{_usr}/share/ipa/ui/js/dojo/dojo.js
890 %dir %{_usr}/share/ipa/ui/js/libs
891 %{_usr}/share/ipa/ui/js/libs/*.js
892 %dir %{_usr}/share/ipa/ui/js/freeipa
893 %{_usr}/share/ipa/ui/js/freeipa/app.js
e3ffab 894 %{_usr}/share/ipa/ui/js/freeipa/core.js
99b6f7 895 %dir %{_usr}/share/ipa/ui/js/plugins
CB 896 %dir %{_usr}/share/ipa/ui/images
e3ffab 897 %{_usr}/share/ipa/ui/images/*.jpg
99b6f7 898 %{_usr}/share/ipa/ui/images/*.png
CB 899 %dir %{_usr}/share/ipa/wsgi
900 %{_usr}/share/ipa/wsgi/plugins.py*
901 %dir %{_sysconfdir}/ipa
902 %dir %{_sysconfdir}/ipa/html
903 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig.js
904 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig_page.js
905 %config(noreplace) %{_sysconfdir}/ipa/html/ssbrowser.html
906 %config(noreplace) %{_sysconfdir}/ipa/html/unauthorized.html
907 %config(noreplace) %{_sysconfdir}/ipa/html/browserconfig.html
908 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
909 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa.conf
910 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
911 %{_usr}/share/ipa/ipa.conf
912 %{_usr}/share/ipa/ipa-rewrite.conf
913 %{_usr}/share/ipa/ipa-pki-proxy.conf
914 %ghost %attr(0644,root,apache) %config(noreplace) %{_usr}/share/ipa/html/ca.crt
915 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/configure.jar
916 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/kerberosauth.xpi
917 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.con
918 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.js
919 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb5.ini
920 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krbrealm.con
921 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/preferences.html
922 %dir %{_usr}/share/ipa/updates/
923 %{_usr}/share/ipa/updates/*
924 %attr(755,root,root) %{plugin_dir}/libipa_pwd_extop.so
925 %attr(755,root,root) %{plugin_dir}/libipa_enrollment_extop.so
926 %attr(755,root,root) %{plugin_dir}/libipa_winsync.so
927 %attr(755,root,root) %{plugin_dir}/libipa_repl_version.so
928 %attr(755,root,root) %{plugin_dir}/libipa_uuid.so
929 %attr(755,root,root) %{plugin_dir}/libipa_modrdn.so
930 %attr(755,root,root) %{plugin_dir}/libipa_lockout.so
931 %attr(755,root,root) %{plugin_dir}/libipa_cldap.so
932 %attr(755,root,root) %{plugin_dir}/libipa_dns.so
933 %attr(755,root,root) %{plugin_dir}/libipa_range_check.so
e3ffab 934 %attr(755,root,root) %{plugin_dir}/libipa_otp_counter.so
CS 935 %attr(755,root,root) %{plugin_dir}/libipa_otp_lasttoken.so
99b6f7 936 %dir %{_localstatedir}/lib/ipa
e3ffab 937 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/backup
99b6f7 938 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysrestore
CB 939 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysupgrade
940 %attr(755,root,root) %dir %{_localstatedir}/lib/ipa/pki-ca
941 %ghost %{_localstatedir}/lib/ipa/pki-ca/publish
e3ffab 942 %ghost %{_localstatedir}/named/dyndb-ldap/ipa
99b6f7 943 %attr(755,root,root) %{_libdir}/krb5/plugins/kdb/ipadb.so
CB 944 %{_mandir}/man1/ipa-replica-conncheck.1.gz
945 %{_mandir}/man1/ipa-replica-install.1.gz
946 %{_mandir}/man1/ipa-replica-manage.1.gz
947 %{_mandir}/man1/ipa-csreplica-manage.1.gz
948 %{_mandir}/man1/ipa-replica-prepare.1.gz
949 %{_mandir}/man1/ipa-server-certinstall.1.gz
950 %{_mandir}/man1/ipa-server-install.1.gz
951 %{_mandir}/man1/ipa-dns-install.1.gz
952 %{_mandir}/man1/ipa-ca-install.1.gz
953 %{_mandir}/man1/ipa-compat-manage.1.gz
954 %{_mandir}/man1/ipa-nis-manage.1.gz
955 %{_mandir}/man1/ipa-managed-entries.1.gz
956 %{_mandir}/man1/ipa-ldap-updater.1.gz
957 %{_mandir}/man8/ipactl.8.gz
958 %{_mandir}/man8/ipa-upgradeconfig.8.gz
e3ffab 959 %{_mandir}/man1/ipa-backup.1.gz
CS 960 %{_mandir}/man1/ipa-restore.1.gz
99b6f7 961 %{_mandir}/man1/ipa-advise.1.gz
e3ffab 962 %{_mandir}/man1/ipa-otptoken-import.1.gz
CS 963 %{_mandir}/man1/ipa-cacert-manage.1.gz
99b6f7 964
CB 965 %files server-trust-ad
966 %{_sbindir}/ipa-adtrust-install
967 %attr(755,root,root) %{plugin_dir}/libipa_extdom_extop.so
968 %{_usr}/share/ipa/smb.conf.empty
969 %attr(755,root,root) %{_libdir}/samba/pdb/ipasam.so
970 %attr(755,root,root) %{plugin_dir}/libipa_sidgen.so
971 %attr(755,root,root) %{plugin_dir}/libipa_sidgen_task.so
972 %{_mandir}/man1/ipa-adtrust-install.1.gz
973 %{python_sitelib}/ipaserver/dcerpc*
974 %{python_sitelib}/ipaserver/install/adtrustinstance*
975 %ghost %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
976
977 %endif # ONLY_CLIENT
978
979 %files client
980 %defattr(-,root,root,-)
981 %doc COPYING README Contributors.txt
982 %{_sbindir}/ipa-client-install
983 %{_sbindir}/ipa-client-automount
e3ffab 984 %{_sbindir}/ipa-certupdate
99b6f7 985 %{_sbindir}/ipa-getkeytab
CB 986 %{_sbindir}/ipa-rmkeytab
987 %{_sbindir}/ipa-join
988 %dir %{_usr}/share/ipa
989 %dir %{_localstatedir}/lib/ipa-client
990 %dir %{_localstatedir}/lib/ipa-client/sysrestore
991 %dir %{python_sitelib}/ipaclient
992 %{python_sitelib}/ipaclient/*.py*
993 %{_mandir}/man1/ipa-getkeytab.1.gz
994 %{_mandir}/man1/ipa-rmkeytab.1.gz
995 %{_mandir}/man1/ipa-client-install.1.gz
996 %{_mandir}/man1/ipa-client-automount.1.gz
e3ffab 997 %{_mandir}/man1/ipa-certupdate.1.gz
99b6f7 998 %{_mandir}/man1/ipa-join.1.gz
CB 999 %{_mandir}/man5/default.conf.5.gz
1000
1001 %files admintools
1002 %defattr(-,root,root,-)
1003 %doc COPYING README Contributors.txt
1004 %{_bindir}/ipa
1005 %config %{_sysconfdir}/bash_completion.d
1006 %{_mandir}/man1/ipa.1.gz
1007
1008 %files python -f %{gettext_domain}.lang
1009 %defattr(-,root,root,-)
1010 %doc COPYING README Contributors.txt
1011 %dir %{python_sitelib}/ipapython
1012 %{python_sitelib}/ipapython/*.py*
e3ffab 1013 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 1014 %dir %{python_sitelib}/ipalib
CB 1015 %{python_sitelib}/ipalib/*
e3ffab 1016 %dir %{python_sitelib}/ipaplatform
CS 1017 %{python_sitelib}/ipaplatform/*
99b6f7 1018 %attr(0644,root,root) %{python_sitearch}/default_encoding_utf8.so
e3ffab 1019 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 1020 %{python_sitelib}/ipapython-*.egg-info
CB 1021 %{python_sitelib}/freeipa-*.egg-info
e3ffab 1022 %{python_sitelib}/ipaplatform-*.egg-info
99b6f7 1023 %{python_sitearch}/python_default_encoding-*.egg-info
e3ffab 1024 # RHEL spec file only: DELETED: Disable DNSSEC support
99b6f7 1025 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/
CB 1026 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/default.conf
1027 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/ca.crt
e3ffab 1028 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/nssdb
CS 1029 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/dnssec
1030 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/cert8.db
1031 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/key3.db
1032 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/secmod.db
1033 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/pwdfile.txt
1034 %ghost %config(noreplace) %{_sysconfdir}/pki/ca-trust/source/ipa.p11-kit
1035
1036 # RHEL spec file only: DELETED: Do not build tests
99b6f7 1037
CB 1038 %changelog
76902d 1039 * Wed Aug 05 2015 CentOS Sources <bugs@centos.org> - 4.1.0-18.el7.centos.4
CS 1040 - Roll in CentOS Branding
1041
190a2a 1042 * Tue Jul 21 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.4
CS 1043 - krb5kdc : segfault at 0 ip 00007fa9f64d82bb sp 00007fffd68b2340 error 6 in
1044   libc-2.17.so (#1245097)
ba521e 1045
0201d8 1046 * Thu Mar 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.3
CS 1047 - [ipa-python] ipalib.errors.LDAPError: failed to decode certificate:
1048   (SEC_ERROR_INVALID_ARGS) security library: invalid arguments. (#1194312)
f4fe3d 1049
0201d8 1050 * Wed Mar 18 2015 Alexander Bokovoy <abokovoy@redhat.com> - 4.1.0-18.2
CS 1051 - IPA extdom plugin fails when encountering large groups (#1193759)
1052 - CVE-2015-0283 ipa: slapi-nis: infinite loop in getgrnam_r() and getgrgid_r()
1053   (#1202997)
1054
1055 * Thu Mar  5 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.1
1056 - "an internal error has occurred" during ipa host-del --updatedns (#1198431)
1057 - Renamed patch 1013 to 0114, as it was merged upstream
1058 - Fax number not displayed for user-show when kinit'ed as normal user.
1059   (#1198430)
1060 - Replication agreement with replica not disabled when ipa-restore done without
1061   IPA installed (#1199060)
1062 - Limit deadlocks between DS plugin DNA and slapi-nis (#1199128)
1063
1064 * Thu Jan 29 2015 Martin Kosek <mkosek@redhat.com> - 4.1.0-18
e3ffab 1065 - Fix ipa-pwd-extop global configuration caching (#1187342)
CS 1066 - group-detach does not add correct objectclasses (#1187540)
9dc499 1067
e3ffab 1068 * Tue Jan 27 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-17
CS 1069 - Wrong directories created on full restore (#1186398)
1070 - ipa-restore crashes if replica is unreachable (#1186396)
1071 - idoverrideuser-add option --sshpubkey does not work (#1185410)
69f9f3 1072
e3ffab 1073 * Wed Jan 21 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-16
CS 1074 - PassSync does not sync passwords due to missing ACIs (#1181093)
1075 - ipa-replica-manage list does not list synced domain (#1181010)
1076 - Do not assume certmonger is running in httpinstance (#1181767)
1077 - ipa-replica-manage disconnect fails without password (#1183279)
1078 - Put LDIF files to their original location in ipa-restore (#1175277)
1079 - DUA profile not available anonymously (#1184149)
1080 - IPA replica missing data after master upgraded (#1176995)
8f4e66 1081
e3ffab 1082 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-15
CS 1083 - Re-add accidentally removed patches for #1170695 and #1164896
3f6981 1084
e3ffab 1085 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-14
CS 1086 - IPA Replicate creation fails with error "Update failed! Status: [10 Total
1087   update abortedLDAP error: Referral]" (#1166265)
1088 - running ipa-server-install --setup-dns results in a crash (#1072502)
1089 - DNS zones are not migrated into forward zones if 4.0+ replica is added
1090   (#1175384)
1091 - gid is overridden by uid in default trust view (#1168904)
1092 - When migrating warn user if compat is enabled (#1177133)
1093 - Clean up debug log for trust-add (#1168376)
1094 - No error message thrown on restore(full kind) on replica from full backup
1095   taken on master (#1175287)
1096 - ipa-restore proceed even IPA not configured (#1175326)
1097 - Data replication not working as expected after data restore from full backup
1098   (#1175277)
1099 - IPA externally signed CA cert expiration warning missing from log (#1178128)
1100 - ipa-upgradeconfig fails in CA-less installs (#1181767)
1101 - IPA certs fail to autorenew simultaneouly (#1173207)
1102 - More validation required on ipa-restore's options (#1176034)
1103
1104 * Wed Dec 17 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-13
1105 - Expand the token auth/sync windows (#919228)
1106 - Access is not rejected for disabled domain (#1172598)
1107 - krb5kdc crash in ldap_pvt_search (#1170695)
1108 - RHEL7.1 IPA server httpd avc denials after upgrade (#1164896)
1109
1110 * Wed Dec 10 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-12
1111 - RHEL7.1 ipa-cacert-manage renewed certificate from MS ADCS not compatible
1112   (#1169591)
1113 - CLI doesn't show SSHFP records with SHA256 added via nsupdate (regression)
1114   (#1172578)
1115
1116 * Tue Dec  9 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-11
1117 - Throw zonemgr error message before installation proceeds (#1163849)
1118 - Winsync: Setup is broken due to incorrect import of certificate (#1169867)
1119 - Enable last token deletion when password auth type is configured (#919228)
1120 - ipa-otp-lasttoken loads all user's tokens on every mod/del (#1166641)
1121 - add --hosts and --hostgroup options to allow/retrieve keytab methods
1122   (#1007367)
1123 - Extend host-show to add the view attribute in set of default attributes
1124   (#1168916)
1125 - Prefer TCP connections to UDP in krb5 clients (#919228)
1126 - [WebUI] Not able to unprovisioning service in IPA 4.1 (#1168214)
1127 - webui: increase notification duration (#1171089)
1128 - RHEL7.1 ipa automatic CA cert renewal stuck in submitting state (#1166931)
1129 - RHEL7.1 ipa-cacert-manage cannot change external to self-signed ca cert
1130   (#1170003)
1131 - Improve validation of --instance and --backend options in ipa-restore
1132   (#951581)
1133 - RHEL7.1 ipa replica unable to replicate to rhel6 master (#1167964)
1134 - Disable TLS 1.2 in nss.conf until mod_nss supports it (#1156466)
1135
1136 * Wed Nov 26 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-10
1137 - Use NSS protocol range API to set available TLS protocols (#1156466)
1138
1139 * Tue Nov 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-9
1140 - schema update on RHEL-6.6 using latest copy-schema-to-ca.py from RHEL-7.1
1141   build fails (#1167196)
1142 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
1143 - "ipa trust-add ... " cmd says : (Trust status: Established and verified)
1144   while in the logs we see "WERR_ACCESS_DENIED" during verification step.
1145   (#1144121)
1146 - POODLE: force using safe ciphers (non-SSLv3) in IPA client and server
1147   (#1156466)
1148 - Add support/hooks for a one-time password system like SecureID in IPA
1149   (#919228)
1150 - Tracebacks with latest build for --zonemgr cli option (#1167270)
1151 - ID Views: Support migration from the sync solution to the trust solution
1152   (#891984)
1153
1154 * Mon Nov 24 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-8
1155 - Improve otptoken help messages (#919228)
1156 - Ensure users exist when assigning tokens to them (#919228)
1157 - Enable QR code display by default in otptoken-add (#919228)
1158 - Show warning instead of error if CA did not start (#1158410)
1159 - CVE-2014-7850 freeipa: XSS flaw can be used to escalate privileges (#1165774)
1160 - Traceback when adding zone with long name (#1164859)
1161 - Backup & Restore mechanism (#951581)
1162 - ignoring user attributes in migrate-ds does not work if uppercase characters
1163   are returned by ldap (#1159816)
1164 - Allow ipa-getkeytab to optionally fetch existing keys (#1007367)
1165 - Failure when installing on dual stacked system with external ca (#1128380)
1166 - ipa-server should keep backup of CS.cfg (#1059135)
1167 - Tracebacks with latest build for --zonemgr cli option (#1167270)
1168 - webui: use domain name instead of domain SID in idrange adder dialog
1169   (#891984)
1170 - webui: normalize idview tab labels (#891984)
1171
1172 * Wed Nov 19 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-7
1173 - ipa-csreplica-manage connect fails (#1157735)
1174 - error message which is not understandable when IDNA2003 characters are
1175   present in --zonemgr (#1163849)
1176 - Fix warning message should not contain CLI commands (#1114013)
1177 - Renewing the CA signing certificate does not extend its validity period end
1178   (#1163498)
1179 - RHEL7.1 ipa-server-install --uninstall Could not set SELinux booleans for
1180   httpd (#1159330)
1181
1182 * Thu Nov 13 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-6
1183 - Fix: DNS installer adds invalid zonemgr email (#1056202)
1184 - ipaplatform: Use the dirsrv service, not target (#951581)
1185 - Fix: DNS policy upgrade raises asertion error (#1161128)
1186 - Fix upgrade referint plugin (#1161128)
1187 - Upgrade: fix trusts objectclass violationi (#1161128)
1188 - group-add doesn't accept gid parameter (#1149124)
1189
1190 * Tue Nov 11 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-5
1191 - Update slapi-nis dependency to pull 0.54-2 (#891984)
1192 - ipa-restore: Don't crash if AD trust is not installed (#951581)
1193 - Prohibit setting --rid-base for ranges of ipa-trust-ad-posix type (#1138791)
1194 - Trust setting not restored for CA cert with ipa-restore command (#1159011)
1195 - ipa-server-install fails when restarting named (#1162340)
1196
1197 * Thu Nov 06 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-4
1198 - Update Requires on pki-ca to 10.1.2-4 (#1129558)
1199 - build: increase java stack size for all arches
1200 - Add ipaSshPubkey and gidNumber to the ACI to read ID user overrides (#891984)
1201 - Fix dns zonemgr validation regression (#1056202)
1202 - Handle profile changes in dogtag-ipa-ca-renew-agent (#886645)
1203 - Do not wait for new CA certificate to appear in LDAP in ipa-certupdate
1204   (#886645)
1205 - Add bind-dyndb-ldap working dir to IPA specfile
1206 - Fail if certmonger can't see new CA certificate in LDAP in ipa-cacert-manage
1207   (#886645)
1208 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
1209 - Deadlock in schema compat plugin (#1161131)
1210 - ipactl stop should stop dirsrv last (#1161129)
1211 - Upgrade 3.3.5 to 4.1 failed (#1161128)
1212 - CVE-2014-7828 freeipa: password not required when OTP in use (#1160877)
1213
1214 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-3
1215 - Do not check if port 8443 is available in step 2 of external CA install
1216   (#1129481)
1217
1218 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-2
1219 - Update Requires on selinux-policy to 3.13.1-4
1220
1221 * Tue Oct 21 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-1
1222 - Update to upstream 4.1.0 (#1109726)
1223
1224 * Mon Sep 29 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-0.1.alpha1
1225 - Update to upstream 4.1.0 Alpha 1 (#1109726)
1226
1227 * Fri Sep 26 2014 Petr Vobornik <pvoborni@redhat.com> - 4.0.3-3
1228 - Add redhat-access-plugin-ipa dependency
1229
1230 * Thu Sep 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-2
1231 - Re-enable otptoken_yubikey plugin
1232
1233 * Mon Sep 15 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-1
1234 - Update to upstream 4.0.3 (#1109726)
1235
1236 * Thu Aug 14 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-29
031d60 1237 - Server installation fails using external signed certificates with
e3ffab 1238   "IndexError: list index out of range" (#1111320)
031d60 1239 - Add rhino to BuildRequires to fix Web UI build error
10ca37 1240
9991ea 1241 * Tue Apr  1 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-28
CB 1242 - ipa-client-automount fails with incompatibility error when installed against
1243   older IPA server (#1083108)
1244
1245 * Wed Mar 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-27
1246 - Proxy PKI URI /ca/ee/ca/profileSubmit to enable replication with future
1247   PKI versions (#1080865)
1248
1249 * Tue Mar 25 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-26
1250 - When IdM server trusts multiple AD forests, IPA client returns invalid group
1251   membership info (#1079498)
1252
1253 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-25
1254 - Deletion of active subdomain range should not be allowed (#1075615)
1255
1256 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-24
1257 - PKI database is ugraded during replica installation (#1075118)
1258
1259 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-23
1260 - Unable to add trust successfully with --trust-secret (#1075704)
1261
1262 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-22
1263 - ipa-replica-install never checks for 7389 port (#1075165)
1264 - Non-terminated string may be passed to LDAP search (#1075091)
1265 - ipa-sam may fail to translate group SID into GID (#1073829)
1266 - Excessive LDAP calls by ipa-sam during Samba FS operations (#1075132)
1267
1268 * Thu Mar  6 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-21
1269 - Do not fetch a principal two times, remove potential memory leak (#1070924)
1270
1271 * Wed Mar  5 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-20
1272 - trustdomain-find with pkey-only fails (#1068611)
1273 - Invalid credential cache in trust-add (#1069182)
1274 - ipa-replica-install prints unexpected error (#1069722)
1275 - Too big font in input fields in details facet in Firefox (#1069720)
1276 - trust-add for POSIX AD does not fetch trustdomains (#1070925)
1277 - Misleading trust-add error message in some cases (#1070926)
1278 - Access is not rejected for disabled domain (#1070924)
1279
1280 * Wed Feb 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-19
1281 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
1282
1283 * Wed Feb 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-18
1284 - Display server name in ipa command's verbose mode (#1061703)
1285 - Remove sourcehostcategory from default HBAC rule (#1061187)
1286 - dnszone-add cannot add classless PTR zones (#1058688)
1287 - Move ipa-otpd socket directory to /var/run/krb5kdc (#1063850)
1288
1289 * Tue Feb  4 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-17
1290 - Lockout plugin crashed during ipa-server-install (#912725)
1291
1292 * Fri Jan 31 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-16
1293 - Fallback to global policy in ipa lockout plugin (#912725)
1294 - Migration does not add users to default group (#903232)
1295
1296 * Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 3.3.3-15
1297 - Mass rebuild 2014-01-24
1298
1299 * Thu Jan 23 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-14
1300 - Fix NetBIOS name generation in CLDAP plugin (#1030517)
1301
1302 * Mon Jan 20 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-13
1303 - Do not add krbPwdPolicyReference for new accounts, hardcode it (#1045218)
1304 - Increase default timeout for IPA services (#1033273)
1305 - Error while running trustdomain-find (#1054376)
1306 - group-show lists SID instead of name for external groups (#1054391)
1307 - Fix IPA server NetBIOS name in samba configuration (#1030517)
1308 - dnsrecord-mod produces missing API version warning (#1054869)
1309 - Hide trust-resolve command as internal (#1052860)
1310 - Add Trust domain Web UI (#1054870)
1311 - ipasam cannot delete multiple child trusted domains (#1056120)
1312
1313 * Wed Jan 15 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-12
1314 - Missing objectclasses when empty password passed to host-add (#1052979)
1315 - sudoOrder missing in sudoers (#1052983)
1316 - Missing examples in sudorule help (#1049464)
1317 - Client automount does not uninstall when fstore is empty (#910899)
1318 - Error not clear for invalid realm given to trust-fetch-domains (#1052981)
1319 - trust-fetch-domains does not add idrange for subdomains found (#1049926)
1320 - Add option to show if an AD subdomain is enabled/disabled (#1052973)
1321 - ipa-adtrust-install still failed with long NetBIOS names (#1030517)
1322 - Error not clear for invalid relam given to trustdomain-find (#1049455)
1323 - renewed client cert not recognized during IPA CA renewal (#1033273)
1324
1325 * Fri Jan 10 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-11
1326 - hbactest does not work for external users (#848531)
1327
1328 * Wed Jan 08 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-10
1329 - PKI service restart after CA renewal failed (#1040018)
1330
1331 * Mon Jan 06 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-9
1332 - Move ipa-tests package to separate srpm (#1032668)
1333
1334 * Fri Jan  3 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-8
1335 - Fix status trust-add command status message (#910453)
1336 - NetBIOS was not trimmed at 15 characters (#1030517)
1337 - Harden CA subsystem certificate renewal on CA clones (#1040018)
1338
1339 * Fri Dec 27 2013 Daniel Mach <dmach@redhat.com> - 3.3.3-7
1340 - Mass rebuild 2013-12-27
1341
1342 * Mon Dec  2 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-6
1343 - Remove "Listen 443 http" hack from deployed nss.conf (#1029046)
1344 - Re-adding existing trust fails (#1033216)
1345 - IPA uninstall exits with a samba error (#1033075)
1346 - Added RELRO hardening on /usr/libexec/ipa-otpd (#1026260)
1347 - Fixed ownership of /usr/share/ipa/ui/js (#1026260)
1348 - ipa-tests: support external names for hosts (#1032668)
1349 - ipa-client-install fail due fail to obtain host TGT (#1029354)
1350
99b6f7 1351 * Fri Nov 22 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-5
CB 1352 - Trust add tries to add same value of --base-id for sub domain,
1353   causing an error (#1033068)
1354 - Improved error reporting for adding trust case (#1029856)
1355
1356 * Wed Nov 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-4
1357 - Winsync agreement cannot be created (#1023085)
1358
1359 * Wed Nov  6 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-3
1360 - Installer did not detect different server and IPA domain (#1026845)
1361 - Allow kernel keyring CCACHE when supported (#1026861)
1362
1363 * Tue Nov  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-2
1364 - ipa-server-install crashes when AD subpackage is not installed (#1026434)
1365
1366 * Fri Nov  1 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-1
1367 - Update to upstream 3.3.3 (#991064)
1368
1369 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-5
1370 - Temporarily move ipa-backup and ipa-restore functionality
1371   back to make them available in public Beta (#1003933)
1372
1373 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-4
1374 - Server install failure during client enrollment shouldn't
1375   roll back (#1023086)
1376 - nsds5ReplicaStripAttrs are not set on agreements (#1023085)
1377 - ipa-server conflicts with mod_ssl (#1018172)
1378
1379 * Wed Oct 16 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-3
1380 - Reinstalling ipa server hangs when configuring certificate
1381   server (#1018804)
1382
1383 * Fri Oct 11 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-2
1384 - Deprecate --serial-autoincrement option (#1016645)
1385 - CA installation always failed on replica (#1005446)
1386 - Re-initializing a winsync connection exited with error (#994980)
1387
1388 * Fri Oct  4 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-1
1389 - Update to upstream 3.3.2 (#991064)
1390 - Add delegation info to MS-PAC (#915799)
1391 - Warn about incompatibility with AD when IPA realm and domain
1392   differs (#1009044)
1393 - Allow PKCS#12 files with empty password in install tools (#1002639)
1394 - Privilege "SELinux User Map Administrators" did not list
1395   permissions (#997085)
1396 - SSH key upload broken when client joins an older server (#1009024)
1397
1398 * Mon Sep 23 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-5
1399 - Remove dependency on python-paramiko (#1002884)
1400 - Broken redirection when deleting last entry of DNS resource
1401   record (#1006360)
1402
1403 * Tue Sep 10 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-4
1404 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
1405
1406 * Mon Sep  9 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-3
1407 - Replica installation fails for RHEL 6.4 master (#1004680)
1408 - Server uninstallation crashes if DS is not available (#998069)
1409
1410 * Thu Sep  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-2
1411 - Unable to remove replica by ipa-replica-manage (#1001662)
1412 - Before uninstalling a server, warn about active replicas (#998069)
1413
1414 * Thu Aug 29 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.1-1
1415 - Update to upstream 3.3.1 (#991064)
1416 - Update minimum version of bind-dyndb-ldap to 3.5
1417
1418 * Tue Aug 20 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.0-7
1419 - Fix replica installation failing on certificate subject (#983075)
1420
1421 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-6
1422 - Allow ipa-tests to work with older version (1.7.7) of python-paramiko
1423
1424 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-5
1425 - Prevent multilib failures in *.pyo and *.pyc files
1426
1427 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-4
1428 - ipa-server-install fails if --subject parameter is other than default
1429   realm (#983075)
1430 - do not allow configuring bind-dyndb-ldap without persistent search (#967876)
1431
1432 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-3
1433 - diffstat was missing as a build dependency causing multilib problems
1434
1435 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-2
1436 - Remove ipa-server-selinux obsoletes as upgrades from version prior to
1437   3.3.0 are not allowed
1438 - Wrap server-trust-ad subpackage description better
9991ea 1439 - Add (noreplace) flag for %%{_sysconfdir}/tmpfiles.d/ipa.conf
99b6f7 1440 - Change permissions on default_encoding_utf8.so to fix ipa-python Provides
CB 1441
1442 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-1
1443 - Update to upstream 3.3.0 (#991064)
1444
1445 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.2.beta2
1446 - Require slapi-nis 0.47.7 delivering a core feature of 3.3.0 release
1447
1448 * Wed Aug  7 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.1.beta2
1449 - Update to upstream 3.3.0 Beta 2 (#991064)
1450
1451 * Thu Jul 18 2013 Martin Kosek <mkosek@redhat.com> - 3.2.2-1
1452 - Update to upstream 3.2.2
1453 - Drop ipa-server-selinux subpackage
1454 - Drop redundant directory /var/cache/ipa/sessions
1455 - Do not create /var/lib/ipa/pki-ca/publish, retain reference as ghost
1456 - Run ipa-upgradeconfig and server restart in posttrans to avoid inconsistency
1457   issues when there are still old parts of software (like entitlements plugin)
1458
1459 * Fri Jun 14 2013 Martin Kosek <mkosek@redhat.com> - 3.2.1-1
1460 - Update to upstream 3.2.1
1461 - Drop dogtag-pki-server-theme requires, it won't be build for RHEL-7.0
1462
1463 * Tue May 14 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-2
1464 - Add OTP patches
1465 - Add patch to set KRB5CCNAME for 389-ds-base
1466
1467 * Fri May 10 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-1
1468 - Update to upstream 3.2.0 GA
1469 - ipa-client-install fails if /etc/ipa does not exist (#961483)
1470 - Certificate status is not visible in Service and Host page (#956718)
1471 - ipa-client-install removes needed options from ldap.conf (#953991)
1472 - Handle socket.gethostbyaddr() exceptions when verifying hostnames (#953957)
1473 - Add triggerin scriptlet to support OpenSSH 6.2 (#953617)
1474 - Require nss 3.14.3-12.0 to address certutil certificate import
1475   errors (#953485)
1476 - Require pki-ca 10.0.2-3 to pull in fix for sslget and mixed IPv4/6
1477   environments. (#953464)
1478 - ipa-client-install removes 'sss' from /etc/nsswitch.conf (#953453)
1479 - ipa-server-install --uninstall doesn't stop dirsrv instances (#953432)
1480 - Add requires for openldap-2.4.35-4 to pickup fixed SASL_NOCANON behavior for
1481   socket based connections (#960222)
1482 - Require libsss_nss_idmap-python
1483 - Add Conflicts on nss-pam-ldapd < 0.8.4. The mapping from uniqueMember to
1484   member is now done automatically and having it in the config file raises
1485   an error.
1486 - Add backup and restore tools, directory.
1487 - require at least systemd 38 which provides the journal (we no longer
1488   need to require syslog.target)
1489 - Update Requires on policycoreutils to 2.1.14-37
1490 - Update Requires on selinux-policy to 3.12.1-42
1491 - Update Requires on 389-ds-base to 1.3.1.0
1492 - Remove a Requires for java-atk-wrapper
1493
1494 * Tue Apr 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.4.beta1
1495 - Remove release from krb5-server in strict sub-package to allow for rebuilds.
1496
1497 * Mon Apr 22 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.3.beta1
1498 - Add a Requires for java-atk-wrapper until we can determine which package
1499   should be pulling it in, dogtag or tomcat.
1500
1501 * Tue Apr 16 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.2.beta1
1502 - Update to upstream 3.2.0 Beta 1
1503
1504 * Tue Apr  2 2013 Martin Kosek <mkosek@redhat.com> - 3.2.0-0.1.pre1
1505 - Update to upstream 3.2.0 Prerelease 1
1506 - Use upstream reference spec file as a base for Fedora spec file
1507
1508 * Sat Mar 30 2013 Kevin Fenzi <kevin@scrye.com> 3.1.2-4
1509 - Rebuild for broken deps
1510 - Fix 389-ds-base strict dep to be 1.3.0.5 and krb5-server 1.11.1
1511
1512 * Sat Feb 23 2013 Kevin Fenzi <kevin@scrye.com> - 3.1.2-3
1513 - Rebuild for broken deps in rawhide
1514 - Fix 389-ds-base strict dep to be 1.3.0.3
1515
1516 * Wed Feb 13 2013 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 3.1.2-2
1517 - Rebuilt for https://fedoraproject.org/wiki/Fedora_19_Mass_Rebuild
1518
1519 * Wed Jan 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.1.2-1
1520 - Update to upstream 3.1.2
1521 - CVE-2012-4546: Incorrect CRLs publishing
1522 - CVE-2012-5484: MITM Attack during Join process
1523 - CVE-2013-0199: Cross-Realm Trust key leak
1524 - Updated strict dependencies to 389-ds-base = 1.3.0.2 and
1525   pki-ca = 10.0.1
1526
1527 * Thu Dec 20 2012 Martin Kosek <mkosek@redhat.com> - 3.1.0-2
1528 - Remove redundat Requires versions that are already in Fedora 17
1529 - Replace python-crypto Requires with m2crypto
1530 - Add missing Requires(post) for client and server-trust-ad subpackages
1531 - Restart httpd service when server-trust-ad subpackage is installed
1532 - Bump selinux-policy Requires to pick up PKI/LDAP port labeling fixes
1533
1534 * Mon Dec 10 2012 Rob Crittenden <rcritten@redhat.com> - 3.1.0-1
1535 - Updated to upstream 3.1.0 GA
1536 - Set minimum for sssd to 1.9.2
1537 - Set minimum for pki-ca to 10.0.0-1
1538 - Set minimum for 389-ds-base to 1.3.0
1539 - Set minimum for selinux-policy to 3.11.1-60
1540 - Remove unneeded dogtag package requires
1541
1542 * Tue Oct 23 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-3
1543 - Update Requires on krb5-server to 1.11
1544
1545 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-2
1546 - Configure CA replication to use TLS instead of SSL
1547
1548 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-1
1549 - Updated to upstream 3.0.0 GA
1550 - Set minimum for samba to 4.0.0-153.
1551 - Make sure server-trust-ad subpackage alternates winbind_krb5_locator.so
1552   plugin to /dev/null since they cannot be used when trusts are configured
1553 - Restrict krb5-server to 1.10.
1554 - Update BR for 389-ds-base to 1.3.0
1555 - Add directory /var/lib/ipa/pki-ca/publish for CRL published by pki-ca
1556 - Add Requires on zip for generating FF browser extension
1557
1558 * Fri Oct  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.10
1559 - Updated to upstream 3.0.0 rc 2
1560 - Include new FF configuration extension
1561 - Set minimum Requires of selinux-policy to 3.11.1-33
1562 - Set minimum Requires dogtag to 10.0.0-0.43.b1
1563 - Add new optional strict sub-package to allow users to limit other
1564   package upgrades.
1565
1566 * Tue Oct  2 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.9
1567 - Require samba packages instead of obsoleted samba4 packages
1568
1569 * Fri Sep 21 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.8
1570 - Updated to upstream 3.0.0 rc 1
1571 - Update BR for 389-ds-base to 1.2.11.14
1572 - Update BR for krb5 to 1.10
1573 - Update BR for samba4-devel to 4.0.0-139 (rc1)
1574 - Add BR for python-polib
1575 - Update BR and Requires on sssd to 1.9.0
1576 - Update Requires on policycoreutils to 2.1.12-5
1577 - Update Requires on 389-ds-base to 1.2.11.14
1578 - Update Requires on selinux-policy to 3.11.1-21
1579 - Update Requires on dogtag to 10.0.0-0.33.a1
1580 - Update Requires on certmonger to 0.60
1581 - Update Requires on tomcat to 7.0.29
1582 - Update minimum version of bind to 9.9.1-10.P3
1583 - Update minimum version of bind-dyndb-ldap to 1.1.0-0.16.rc1
1584 - Remove Requires on authconfig from python sub-package
1585
1586 * Wed Sep  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.7
1587 - Rebuild against samba4 beta8
1588
1589 * Fri Aug 31 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.6
1590 - Rebuild against samba4 beta7
1591
1592 * Wed Aug 22 2012 Alexander Bokovoy <abokovoy@redhat.com> - 3.0.0-0.5
1593 - Adopt to samba4 beta6 (libsecurity -> libsamba-security)
1594 - Add dependency to samba4-winbind
1595
1596 * Fri Aug 17 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.4
1597 - Updated to upstream 3.0.0 beta 2
1598
1599 * Mon Aug  6 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.3
1600 - Updated to current upstream state of 3.0.0 beta 2 development
1601
1602 * Mon Jul 23 2012 Alexander Bokovoy <abokovy@redhat.com> - 3.0.0-0.2
1603 - Rebuild against samba4 beta4
1604
1605 * Mon Jul  2 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.1
1606 - Updated to upstream 3.0.0 beta 1
1607
1608 * Thu May  3 2012 Rob Crittenden <rcritten@redhat.com> - 2.2.0-1
1609 - Updated to upstream 2.2.0 GA
1610 - Update minimum n-v-r of certmonger to 0.53
1611 - Update minimum n-v-r of slapi-nis to 0.40
1612 - Add Requires in client to oddjob-mkhomedir and python-krbV
1613 - Update minimum selinux-policy to 3.10.0-110
1614
1615 * Mon Mar 19 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.2
1616 - Update to upstream 2.2.0 beta 1 (2.1.90.rc1)
1617 - Set minimum n-v-r for pki-ca and pki-silent to 9.0.18.
1618 - Add Conflicts on mod_ssl
1619 - Update minimum n-v-r of 389-ds-base to 1.2.10.4
1620 - Update minimum n-v-r of sssd to 1.8.0
1621 - Update minimum n-v-r of slapi-nis to 0.38
1622 - Update minimum n-v-r of pki-* to 9.0.18
1623 - Update conflicts on bind-dyndb-ldap to < 1.1.0-0.9.b1
1624 - Update conflicts on bind to < 9.9.0-1
1625 - Drop requires on krb5-server-ldap
1626 - Add patch to remove escaping arguments to pkisilent
1627
1628 * Mon Feb 06 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.1
1629 - Update to upstream 2.2.0 alpha 1 (2.1.90.pre1)
1630
1631 * Wed Feb 01 2012 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-5
1632 - Force to use 389-ds 1.2.10-0.8.a7 or above
1633 - Improve upgrade script to handle systemd 389-ds change
1634 - Fix freeipa to work with python-ldap 2.4.6
1635
1636 * Wed Jan 11 2012 Martin Kosek <mkosek@redhat.com> - 2.1.4-4
1637 - Fix ipa-replica-install crashes
1638 - Fix ipa-server-install and ipa-dns-install logging
1639 - Set minimum version of pki-ca to 9.0.17 to fix sslget problem
1640   caused by FEDORA-2011-17400 update (#771357)
1641
1642 * Wed Dec 21 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-3
1643 - Allow Web-based migration to work with tightened SE Linux policy (#769440)
1644 - Rebuild slapi plugins against re-enterant version of libldap
1645
1646 * Sun Dec 11 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-2
1647 - Allow longer dirsrv startup with systemd:
1648   - IPAdmin class will wait until dirsrv instance is available up to 10 seconds
1649   - Helps with restarts during upgrade for ipa-ldap-updater
1650 - Fix pylint warnings from F16 and Rawhide
1651
1652 * Tue Dec  6 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.4-1
1653 - Update to upstream 2.1.4 (CVE-2011-3636)
1654
1655 * Mon Dec  5 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.3-8
1656 - Update SELinux policy to allow ipa_kpasswd to connect ldap and
1657   read /dev/urandom. (#759679)
1658
1659 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-7
1660 - Fix wrong path in packaging freeipa-systemd-upgrade
1661
1662 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-6
1663 - Introduce upgrade script to recover existing configuration after systemd migration
1664   as user has no means to recover FreeIPA from systemd migration
1665 - Upgrade script:
1666   - recovers symlinks in Dogtag instance install
1667   - recovers systemd configuration for FreeIPA's directory server instances
1668   - recovers freeipa.service
1669   - migrates directory server and KDC configs to use proper keytabs for systemd services
1670
1671 * Wed Oct 26 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.1.3-5
1672 - Rebuilt for glibc bug#747377
1673
1674 * Wed Oct 19 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-4
e3ffab 1675 - clean up spec
99b6f7 1676 - Depend on sssd >= 1.6.2 for better user experience
CB 1677
1678 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-3
1679 - Fix Fedora package changelog after merging systemd changes
1680
1681 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-2
1682 - Fix postin scriplet for F-15/F-16
1683
1684 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-1
1685 - 2.1.3
1686
1687 * Mon Oct 17 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.2-1
1688 - Default to systemd for Fedora 16 and onwards
1689
1690 * Tue Aug 16 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.0-1
1691 - Update to upstream 2.1.0
1692
1693 * Fri May  6 2011 Simo Sorce <ssorce@redhat.com> - 2.0.1-2
1694 - Fix bug #702633
1695
1696 * Mon May  2 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.1-1
1697 - Update minimum selinux-policy to 3.9.16-18
1698 - Update minimum pki-ca and pki-selinux to 9.0.7
1699 - Update minimum 389-ds-base to 1.2.8.0-1
1700 - Update to upstream 2.0.1
1701
1702 * Thu Mar 24 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-1
1703 - Update to upstream GA release
1704 - Automatically apply updates when the package is upgraded
1705
1706 * Fri Feb 25 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.4.rc2
1707 - Update to upstream freeipa-2.0.0.rc2
1708 - Set minimum version of python-nss to 0.11 to make sure IPv6 support is in
1709 - Set minimum version of sssd to 1.5.1
1710 - Patch to include SuiteSpotGroup when setting up 389-ds instances
1711 - Move a lot of BuildRequires so this will build with ONLY_CLIENT enabled
1712
1713 * Tue Feb 15 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.3.rc1
1714 - Set the N-V-R so rc1 is an update to beta2.
1715
1716 * Mon Feb 14 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.rc1
1717 - Set minimum version of sssd to 1.5.1
1718 - Update to upstream freeipa-2.0.0.rc1
1719 - Move server-only binaries from admintools subpackage to server
1720
1721 * Tue Feb 08 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.0.0-0.2.beta2
1722 - Rebuilt for https://fedoraproject.org/wiki/Fedora_15_Mass_Rebuild
1723
1724 * Thu Feb  3 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta2
1725 - Set min version of 389-ds-base to 1.2.8
1726 - Set min version of mod_nss 1.0.8-10
1727 - Set min version of selinux-policy to 3.9.7-27
1728 - Add dogtag themes to Requires
1729 - Update to upstream freeipa-2.0.0.pre2
1730
1731 * Thu Jan 27 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.2.beta.git80e87e7
1732 - Remove unnecessary moving of v1 CA serial number file in post script
1733 - Add Obsoletes for server-selinxu subpackage
1734 - Using git snapshot 442d6ad30ce1156914e6245aa7502499e50ec0da
1735
1736 * Wed Jan 26 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta.git80e87e7
1737 - Prepare spec file for release
1738 - Using git snapshot 80e87e75bd6ab56e3e20c49ece55bd4d52f1a503
1739
1740 * Tue Jan 25 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-41
1741 - Re-arrange doc and defattr to clean up rpmlint warnings
1742 - Remove conditionals on older releases
1743 - Move some man pages into admintools subpackage
1744 - Remove some explicit Requires in client that aren't needed
1745 - Consistent use of buildroot vs RPM_BUILD_ROOT
1746
1747 * Wed Jan 19 2011 Adam Young <ayoung@redhat.com> - 1.99-40
1748 - Moved directory install/static to install/ui
1749
1750 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-39
1751 - Remove dependency on nss_ldap/nss-pam-ldapd
1752 - The official client is sssd and that's what we use by default.
1753
1754 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-38
1755 - Remove radius subpackages
1756
1757 * Thu Jan 13 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-37
1758 - Set minimum pki-ca and pki-silent versions to 9.0.0
1759
1760 * Wed Jan 12 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-36
1761 - Drop BuildRequires on mozldap-devel
1762
1763 * Mon Dec 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-35
1764 - Add Requires on krb5-pkinit-openssl
1765
1766 * Fri Dec 10 2010 Jr Aquino <jr.aquino@citrix.com> - 1.99-34
1767 - Add ipa-host-net-manage script
1768
1769 * Tue Dec  7 2010 Simo Sorce <ssorce@redhat.com> - 1.99-33
1770 - Add ipa init script
1771
1772 * Fri Nov 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-32
1773 - Set minimum level of 389-ds-base to 1.2.7 for enhanced memberof plugin
1774
1775 * Wed Nov  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-31
1776 - remove ipa-fix-CVE-2008-3274
1777
1778 * Wed Oct  6 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-30
1779 - Remove duplicate %%files entries on share/ipa/static
1780 - Add python default encoding shared library
1781
1782 * Mon Sep 20 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-29
1783 - Drop requires on python-configobj (not used any more)
1784 - Drop ipa-ldap-updater message, upgrades are done differently now
1785
1786 * Wed Sep  8 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-28
1787 - Drop conflicts on mod_nss
1788 - Require nss-pam-ldapd on F-14 or higher instead of nss_ldap (#606847)
1789 - Drop a slew of conditionals on older Fedora releases (< 12)
1790 - Add a few conditionals against RHEL 6
1791 - Add Requires of nss-tools on ipa-client
1792
1793 * Fri Aug 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-27
1794 - Set minimum version of certmonger to 0.26 (to pck up #621670)
1795 - Set minimum version of pki-silent to 1.3.4 (adds -key_algorithm)
1796 - Set minimum version of pki-ca to 1.3.6
1797 - Set minimum version of sssd to 1.2.1
1798
1799 * Tue Aug 10 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-26
1800 - Add BuildRequires for authconfig
1801
1802 * Mon Jul 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-25
1803 - Bump up minimum version of python-nss to pick up nss_is_initialize() API
1804
1805 * Thu Jun 24 2010 Adam Young <ayoung@redhat.com> - 1.99-24
1806 - Removed python-asset based webui
1807
1808 * Thu Jun 24 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-23
1809 - Change Requires from fedora-ds-base to 389-ds-base
1810 - Set minimum level of 389-ds-base to 1.2.6 for the replication
1811   version plugin.
1812
1813 * Tue Jun  1 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-22
1814 - Drop Requires of python-krbV on ipa-client
1815
1816 * Mon May 17 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-21
1817 - Load ipa_dogtag.pp in post install
1818
1819 * Mon Apr 26 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-20
1820 - Set minimum level of sssd to 1.1.1 to pull in required hbac fixes.
1821
1822 * Thu Mar  4 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-19
1823 - No need to create /var/log/ipa_error.log since we aren't using
1824   TurboGears any more.
1825
1826 * Mon Mar 1 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-18
1827 - Fixed share/ipa/wsgi.py so .pyc, .pyo files are included
1828
1829 * Wed Feb 24 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-17
1830 - Added Require mod_wsgi, added share/ipa/wsgi.py
1831
1832 * Thu Feb 11 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-16
1833 - Require python-wehjit >= 0.2.2
1834
1835 * Wed Feb  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-15
1836 - Add sssd and certmonger as a Requires on ipa-client
1837
1838 * Wed Jan 27 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-14
1839 - Require python-wehjit >= 0.2.0
1840
1841 * Fri Dec  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-13
1842 - Add ipa-rmkeytab tool
1843
1844 * Tue Dec  1 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-12
1845 - Set minimum of python-pyasn1 to 0.0.9a so we have support for the ASN.1
1846   Any type
1847
1848 * Wed Nov 25 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-11
1849 - Remove v1-style /etc/ipa/ipa.conf, replacing with /etc/ipa/default.conf
1850
1851 * Fri Nov 13 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-10
1852 - Add bash completion script and own /etc/bash_completion.d in case it
1853   doesn't already exist
1854
1855 * Tue Nov  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-9
1856 - Remove ipa_webgui, its functions rolled into ipa_httpd
1857
1858 * Mon Oct 12 2009 Jason Gerard DeRose <jderose@redhat.com> - 1.99-8
1859 - Removed python-cherrypy from BuildRequires and Requires
1860 - Added Requires python-assets, python-wehjit
1861
1862 * Mon Aug 24 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-7
1863 - Added httpd SELinux policy so CRLs can be read
1864
1865 * Thu May 21 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-6
1866 - Move ipalib to ipa-python subpackage
1867 - Bump minimum version of slapi-nis to 0.15
1868
1869 * Wed May  6 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-5
1870 - Set 0.14 as minimum version for slapi-nis
1871
1872 * Wed Apr 22 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-4
1873 - Add Requires: python-nss to ipa-python sub-package
1874
1875 * Thu Mar  5 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-3
1876 - Remove the IPA DNA plugin, use the DS one
1877
1878 * Wed Mar  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-2
1879 - Build radius separately
1880 - Fix a few minor issues
1881
1882 * Tue Feb  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-1
1883 - Replace TurboGears requirement with python-cherrypy
1884
1885 * Sat Jan 17 2009 Tomas Mraz <tmraz@redhat.com> - 1.2.1-3
1886 - rebuild with new openssl
1887
1888 * Fri Dec 19 2008 Dan Walsh <dwalsh@redhat.com> - 1.2.1-2
1889 - Fix SELinux code
1890
1891 * Mon Dec 15 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-1
1892 - Fix breakage caused by python-kerberos update to 1.1
1893
1894 * Fri Dec 5 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-0
1895 - New upstream release 1.2.1
1896
1897 * Sat Nov 29 2008 Ignacio Vazquez-Abrams <ivazqueznet+rpm@gmail.com> - 1.2.0-4
1898 - Rebuild for Python 2.6
1899
1900 * Fri Nov 14 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-3
1901 - Respin after the tarball has been re-released upstream
1902   New hash is 506c9c92dcaf9f227cba5030e999f177
1903
1904 * Thu Nov 13 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-2
1905 - Conditionally restart also dirsrv and httpd when upgrading
1906
1907 * Wed Oct 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.2.0-1
1908 - Update to upstream version 1.2.0
1909 - Set fedora-ds-base minimum version to 1.1.3 for winsync header
1910 - Set the minimum version for SELinux policy
1911 - Remove references to Fedora 7
1912
1913 * Wed Jul 23 2008 Simo Sorce <ssorce@redhat.com> - 1.1.0-3
1914 - Fix for CVE-2008-3274
1915 - Fix segfault in ipa-kpasswd in case getifaddrs returns a NULL interface
1916 - Add fix for bug #453185
1917 - Rebuild against openldap libraries, mozldap ones do not work properly
1918 - TurboGears is currently broken in rawhide. Added patch to not build
1919   the UI locales and removed them from the ipa-server files section.
1920
1921 * Wed Jun 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-2
1922 - Add call to /usr/sbin/upgradeconfig to post install
1923
1924 * Wed Jun 11 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-1
1925 - Update to upstream version 1.1.0
1926 - Patch for indexing memberof attribute
1927 - Patch for indexing uidnumber and gidnumber
1928 - Patch to change DNA default values for replicas
1929 - Patch to fix uninitialized variable in ipa-getkeytab
1930
1931 * Fri May 16 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-5
1932 - Set fedora-ds-base minimum version to 1.1.0.1-4 and mod_nss minimum
1933   version to 1.0.7-4 so we pick up the NSS fixes.
1934 - Add selinux-policy-base(post) to Requires (446496)
1935
1936 * Tue Apr 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-4
1937 - Add missing entry for /var/cache/ipa/kpasswd (444624)
1938 - Added patch to fix permissions problems with the Apache NSS database.
1939 - Added patch to fix problem with DNS querying where the query could be
1940   returned as the answer.
1941 - Fix spec error where patch1 was in the wrong section
1942
1943 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-3
1944 - Added patch to fix problem reported by ldapmodify
1945
1946 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-2
1947 - Fix Requires for krb5-server that was missing for Fedora versions > 9
1948 - Remove quotes around test for fedora version to package egg-info
1949
1950 * Fri Apr 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-1
1951 - Update to upstream version 1.0.0
1952
1953 * Tue Mar 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-12
1954 - Pull upstream changelog 722
1955 - Add Conflicts mod_ssl (435360)
1956
1957 * Fri Feb 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-11
1958 - Pull upstream changelog 698
1959 - Fix ownership of /var/log/ipa_error.log during install (435119)
1960 - Add pwpolicy command and man page
1961
1962 * Thu Feb 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-10
1963 - Pull upstream changelog 678
1964 - Add new subpackage, ipa-server-selinux
1965 - Add Requires: authconfig to ipa-python (bz #433747)
1966 - Package i18n files
1967
1968 * Mon Feb 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-9
1969 - Pull upstream changelog 641
1970 - Require minimum version of krb5-server on F-7 and F-8
1971 - Package some new files
1972
1973 * Thu Jan 31 2008 Rob Crittenden <rcritten@redhat.com> 0.99-8
1974 - Marked with wrong license. IPA is GPLv2.
1975
1976 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-7
1977 - Ensure that /etc/ipa exists before moving user-modifiable html files there
1978 - Put html files into /etc/ipa/html instead of /etc/ipa
1979
1980 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-6
1981 - Pull upstream changelog 608 which renamed several files
1982
1983 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-5
1984 - package the sessions dir /var/cache/ipa/sessions
1985 - Pull upstream changelog 597
1986
1987 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-4
1988 - Updated upstream pull (596) to fix bug in ipa_webgui that was causing the
1989   UI to not start.
1990
1991 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-3
1992 - Included LICENSE and README in all packages for documentation
1993 - Move user-modifiable content to /etc/ipa and linked back to
1994   /usr/share/ipa/html
1995 - Changed some references to /usr to the {_usr} macro and /etc
1996   to {_sysconfdir}
1997 - Added popt-devel to BuildRequires for Fedora 8 and higher and
1998   popt for Fedora 7
1999 - Package the egg-info for Fedora 9 and higher for ipa-python
2000
2001 * Tue Jan 22 2008 Rob Crittenden <rcritten@redhat.com> 0.99-2
2002 - Added auto* BuildRequires
2003
2004 * Mon Jan 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-1
2005 - Unified spec file
2006
2007 * Thu Jan 17 2008 Rob Crittenden <rcritten@redhat.com> - 0.6.0-2
2008 - Fixed License in specfile
2009 - Include files from /usr/lib/python*/site-packages/ipaserver
2010
2011 * Fri Dec 21 2007 Karl MacMillan <kmacmill@redhat.com> - 0.6.0-1
2012 - Version bump for release
2013
2014 * Wed Nov 21 2007 Karl MacMillan <kmacmill@mentalrootkit.com> - 0.5.0-1
2015 - Preverse mode on ipa-keytab-util
2016 - Version bump for relase and rpm name change
2017
2018 * Thu Nov 15 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.1-2
2019 - Broke invididual Requires and BuildRequires onto separate lines and
2020   reordered them
2021 - Added python-tgexpandingformwidget as a dependency
2022 - Require at least fedora-ds-base 1.1
2023
2024 * Thu Nov  1 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.1-1
2025 - Version bump for release
2026
2027 * Wed Oct 31 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-6
2028 - Add dep for freeipa-admintools and acl
2029
2030 * Wed Oct 24 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-5
2031 - Add dependency for python-krbV
2032
2033 * Fri Oct 19 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-4
2034 - Require mod_nss-1.0.7-2 for mod_proxy fixes
2035
2036 * Thu Oct 18 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-3
2037 - Convert to autotools-based build
2038
2039 * Tue Sep 25 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-2
2040
2041 * Fri Sep 7 2007 Karl MacMillan <kmacmill@redhat.com> - 0.3.0-1
2042 - Added support for libipa-dna-plugin
2043
2044 * Fri Aug 10 2007 Karl MacMillan <kmacmill@redhat.com> - 0.2.0-1
2045 - Added support for ipa_kpasswd and ipa_pwd_extop
2046
2047 * Sun Aug  5 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-3
2048 - Abstracted client class to work directly or over RPC
2049
2050 * Wed Aug  1 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-2
2051 - Add mod_auth_kerb and cyrus-sasl-gssapi to Requires
2052 - Remove references to admin server in ipa-server-setupssl
2053 - Generate a client certificate for the XML-RPC server to connect to LDAP with
2054 - Create a keytab for Apache
2055 - Create an ldif with a test user
2056 - Provide a certmap.conf for doing SSL client authentication
2057
2058 * Fri Jul 27 2007 Karl MacMillan <kmacmill@redhat.com> - 0.1.0-1
2059 - Initial rpm version