The Identity, Policy and Audit system
Johnny Hughes
2018-05-14 ab4b7f7ca4a3a477df1cf61418f2d63755652dcc
commit | author | age
ac7d03 1 # Define ONLY_CLIENT to only make the ipa-client and ipa-python
e3ffab 2 # subpackages
99b6f7 3 %{!?ONLY_CLIENT:%global ONLY_CLIENT 0}
ac7d03 4 %if %{ONLY_CLIENT}
CS 5     %global enable_server_option --disable-server
6 %else
7     %global enable_server_option --enable-server
8 %endif
9
10 # Build with ipatests
11 %global with_ipatests 0
12 %if 0%{?with_ipatests}
13     %global with_ipatests_option --with-ipatests
14 %else
15     %global with_ipatests_option --without-ipatests
16 %endif
99b6f7 17
403b09 18 %if 0%{?rhel}
CS 19 %global with_python3 0
20 %else
21 %global with_python3 1
22 %endif
23
ac7d03 24 # lint is not executed during rpmbuild
CS 25 # %%global with_lint 1
26 %if 0%{?with_lint}
27     %global linter_options --enable-pylint --with-jslint
99b6f7 28 %else
ac7d03 29     %global linter_options --disable-pylint --without-jslint
99b6f7 30 %endif
ac7d03 31
CS 32 # Python wheel support and PyPI packages
33 %global with_wheels 0
99b6f7 34
e3ffab 35 %global alt_name freeipa
CS 36 %if 0%{?rhel}
ac7d03 37 # 1.15.1-7: certauth (http://krbdev.mit.edu/rt/Ticket/Display.html?id=8561)
CS 38 %global krb5_version 1.15.1-4
39 # Require 4.6.0-4 which brings RC4 for FIPS + trust fixes to priv. separation
3f51ca 40 %global samba_version 4.7.0
CS 41 # 0.7.16: https://github.com/drkjam/netaddr/issues/71
42 %global python_netaddr_version 0.7.5-9
403b09 43 %global selinux_policy_version 3.13.1-70
CS 44 %global slapi_nis_version 0.56.0-4
e3ffab 45 %else
ac7d03 46 # 1.15.1-7: certauth (http://krbdev.mit.edu/rt/Ticket/Display.html?id=8561)
CS 47 %global krb5_version 1.15.1-7
48 # Require 4.6.0-4 which brings RC4 for FIPS + trust fixes to priv. separation
3f51ca 49 %global samba_version 2:4.7.0
CS 50 # 0.7.16: https://github.com/drkjam/netaddr/issues/71
51 %global python_netaddr_version 0.7.16
403b09 52 %global selinux_policy_version 3.13.1-158.4
CS 53 %global slapi_nis_version 0.56.1
9991ea 54 %endif
CB 55
590d18 56 %define krb5_base_version %(LC_ALL=C rpm -q --qf '%%{VERSION}' krb5-devel | grep -Eo '^[^.]+\.[^.]+')
CS 57
e3ffab 58 %global plugin_dir %{_libdir}/dirsrv/plugins
590d18 59 %global etc_systemd_dir %{_sysconfdir}/systemd/system
e3ffab 60 %global gettext_domain ipa
CS 61
62 %define _hardened_build 1
63
ac7d03 64 # Work-around fact that RPM SPEC parser does not accept
CS 65 # "Version: @VERSION@" in freeipa.spec.in used for Autoconf string replacement
3f51ca 66 %define IPA_VERSION 4.5.4
ac7d03 67 %define AT_SIGN @
CS 68 # redefine IPA_VERSION only if its value matches the Autoconf placeholder
69 %if "%{IPA_VERSION}" == "%{AT_SIGN}VERSION%{AT_SIGN}"
70     %define IPA_VERSION nonsense.to.please.RPM.SPEC.parser
71 %endif
72
99b6f7 73 Name:           ipa
ac7d03 74 Version:        %{IPA_VERSION}
beb795 75 Release:        10%{?dist}.1
99b6f7 76 Summary:        The Identity, Policy and Audit system
CB 77
78 Group:          System Environment/Base
79 License:        GPLv3+
80 URL:            http://www.freeipa.org/
ac7d03 81 Source0:        https://releases.pagure.org/freeipa/freeipa-%{version}.tar.gz
CS 82 # RHEL spec file only: START: Change branding to IPA and Identity Management
731b96 83 #Source1:        header-logo.png
CS 84 #Source2:        login-screen-background.jpg
85 #Source3:        login-screen-logo.png
86 #Source4:        product-name.png
ac7d03 87 # RHEL spec file only: END: Change branding to IPA and Identity Management
99b6f7 88 BuildRoot:      %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
CB 89
e3ffab 90 # RHEL spec file only: START
3f51ca 91 Patch0001:      0001-ds-ignore-time-skew-during-initial-replication-step.patch
CS 92 Patch0002:      0002-ipa-replica-manage-implicitly-ignore-initial-time-sk.patch
93 Patch0003:      0003-Checks-if-replica-s4u2proxy.ldif-should-be-applied.patch
94 Patch0004:      0004-ldap-limit-the-retro-changelog-to-dns-subtree.patch
95 Patch0005:      0005-Fix-ipa-replica-conncheck-when-called-with-principal.patch
96 Patch0006:      0006-Include-the-CA-basic-constraint-in-CSRs-when-renewin.patch
97 Patch0007:    0007-ipa-extdom-extop-refactor-nsswitch-operations.patch
98 Patch0008:    0008-Add-the-sub-operation-for-fqdn-index-config.patch
99 Patch0009:    0009-Add-indexing-to-improve-host-find-performance.patch
100 Patch0010:    0010-ipa-getkeytab-man-page-add-more-details-about-the-r-.patch
101 Patch0011:    0011-Don-t-allow-OTP-or-RADIUS-in-FIPS-mode.patch
102 Patch0012:    0012-Fix-cert-find-for-CA-less-installations.patch
103 Patch0013:    0013-Fix-ipa-restore-python2.patch
104 Patch0014:    0014-Backup-ipa-custodia-conf-and-keys.patch
105 Patch0015:    0015-adtrust-filter-out-subdomains-when-defining-our-topo.patch
106 Patch0016:    0016-Fix-ca-less-IPA-install-on-fips-mode.patch
107 Patch0017:    0017-trust-detect-and-error-out-when-non-AD-trust-with-IP.patch
108 Patch0018:    0018-ipaserver-plugins-trust.py-fix-some-indenting-issues.patch
109 Patch0019:    0019-ipaserver-plugins-trust.py-pep8-compliance.patch
110 Patch0020:    0020-Don-t-use-admin-cert-during-KRA-installation.patch
111 Patch0021:    0021-389-ds-base-crashed-as-part-of-ipa-server-intall-in-.patch
112 Patch0022:    0022-Prevent-set_directive-from-clobbering-other-keys.patch
113 Patch0023:    0023-pep8-reduce-line-lengths-in-CAInstance.__enable_crl_.patch
114 Patch0024:    0024-installutils-refactor-set_directive.patch
115 Patch0025:    0025-Add-tests-for-installutils.set_directive.patch
116 Patch0026:    0026-Add-safe-DirectiveSetter-context-manager.patch
117 Patch0027:    0027-Old-pylint-doesn-t-support-bad-python3-option.patch
118 Patch0028:    0028-WebUI-make-keytab-tables-on-service-and-host-pages-w.patch
119 Patch0029:    0029-Idviews-fix-objectclass-violation-on-idview-add.patch
120 Patch0030:    0030-Fixing-the-cert-request-comparing-whole-email-addres.patch
121 Patch0031:    0031-Add-force-join-into-ipa-replica-install-manpage.patch
122 Patch0032:    0032-Changed-ownership-of-ldiffile-to-DS_USER.patch
123 Patch0033:    0033-Checks-if-Dir-Server-is-installed-and-running-before.patch
124 Patch0034:    0034-WebUI-Add-positive-number-validator.patch
125 Patch0035:    0035-WebUI-change-validator-of-page-size-settings.patch
126 Patch0036:    0036-WebUI-fix-jslint-error.patch
127 Patch0037:    0037-ipa-advise-for-smartcards-updated.patch 
beb795 128 Patch0038:    0038-Add-a-notice-to-restart-ipa-services-after-certs-are.patch
CS 129 Patch0039:    0039-Fix-OTP-validation-in-FIPS-mode.patch
130 Patch0040:    0040-Increase-the-default-token-key-size.patch
131 Patch0041:    0041-Revert-Don-t-allow-OTP-or-RADIUS-in-FIPS-mode.patch
132 Patch0042:    0042-Log-errors-from-NSS-during-FIPS-OTP-key-import.patch
133 Patch0043:    0043-ipa-replica-install-make-sure-that-certmonger-picks-.patch
134 Patch0044:    0044-replica-install-pass-ip-address-to-client-install.patch
99b6f7 135
ac7d03 136 Patch1001:      1001-Change-branding-to-IPA-and-Identity-Management.patch
CS 137 Patch1002:      1002-Package-copy-schema-to-ca.py.patch
138 Patch1003:      1003-Revert-Increased-mod_wsgi-socket-timeout.patch
139 Patch1004:      1004-Remove-csrgen.patch
e3ffab 140 # RHEL spec file only: END
10ca37 141
3f51ca 142 BuildRequires: libtool, automake, autoconf
99b6f7 143 BuildRequires:  openldap-devel
ac7d03 144 # For KDB DAL version, make explicit dependency so that increase of version
CS 145 # will cause the build to fail due to unsatisfied dependencies.
146 # DAL version change may cause code crash or memory leaks, it is better to fail early.
147 %if 0%{?fedora} > 25
148 BuildRequires: krb5-kdb-version = 6.1
149 %endif
150 BuildRequires:  krb5-devel >= %{krb5_version}
151 # 1.27.4: xmlrpc_curl_xportparms.gssapi_delegation
99b6f7 152 BuildRequires:  xmlrpc-c-devel >= 1.27.4
CB 153 BuildRequires:  popt-devel
154 BuildRequires:  autoconf
155 BuildRequires:  automake
156 BuildRequires:  libtool
157 BuildRequires:  gettext
ac7d03 158 BuildRequires:  gettext-devel
99b6f7 159 BuildRequires:  python-devel
CB 160 BuildRequires:  python-setuptools
ac7d03 161 %if 0%{?with_python3}
CS 162 BuildRequires:  python3-devel
163 BuildRequires:  python3-setuptools
164 %endif # with_python3
165 # %{_unitdir}, %{_tmpfilesdir}
99b6f7 166 BuildRequires:  systemd
ac7d03 167 # systemd-tmpfiles which is executed from make install requires apache user
CS 168 BuildRequires:  httpd
169 BuildRequires:  nspr-devel
170 BuildRequires:  nss-devel
171 BuildRequires:  openssl-devel
172 BuildRequires:  libini_config-devel
173 BuildRequires:  cyrus-sasl-devel
e3ffab 174 # RHEL spec file only: START
99b6f7 175 BuildRequires:  diffstat
e3ffab 176 # RHEL spec file only: END
ac7d03 177 %if ! %{ONLY_CLIENT}
3f51ca 178
CS 179 BuildRequires: java-1.7.0-openjdk-devel
180
ac7d03 181 # 1.3.3.9: DS_Sleep (https://fedorahosted.org/389/ticket/48005)
CS 182 BuildRequires:  389-ds-base-devel >= 1.3.3.9
183 BuildRequires:  svrcore-devel
184 %if 0%{?rhel}
3f51ca 185 BuildRequires:  samba-devel >= 4.7.0
ac7d03 186 %else
3f51ca 187 BuildRequires:  samba-devel >= 2:4.7.0
ac7d03 188 %endif
CS 189 BuildRequires:  libtalloc-devel
190 BuildRequires:  libtevent-devel
191 BuildRequires:  libuuid-devel
192 BuildRequires:  libsss_idmap-devel
193 BuildRequires:  libsss_certmap-devel
194 # 1.15.3: sss_nss_getlistbycert (https://pagure.io/SSSD/sssd/issue/3050)
3f51ca 195 # 1.16.0-3: sss_nss_getpwnam_timeout (https://pagure.io/SSSD/sssd/issue/2478)
CS 196 # provided in both RHEL 7.5 and Fedora 27+ as of 1.16.0-3
197 BuildRequires:  libsss_nss_idmap-devel >= 1.16.0-3
ac7d03 198 BuildRequires:  rhino
CS 199 BuildRequires:  libverto-devel
200 BuildRequires:  libunistring-devel
e3ffab 201 BuildRequires:  python-lesscpy
ac7d03 202 %endif # ONLY_CLIENT
403b09 203
ac7d03 204 #
CS 205 # Build dependencies for makeapi/makeaci
206 # makeapi/makeaci is using Python 2 only for now
207 #
208 BuildRequires:  python-ldap
209 BuildRequires:  python-nss
210 BuildRequires:  python-netaddr
211 BuildRequires:  python-pyasn1
212 BuildRequires:  python-pyasn1-modules
213 BuildRequires:  python-dns
214 BuildRequires:  python-six
215 BuildRequires:  python-libsss_nss_idmap
216 BuildRequires:  python-cffi
217
218 #
219 # Build dependencies for wheel packaging and PyPI upload
220 #
221 %if 0%{with_wheels}
222 BuildRequires:  python2-twine
223 BuildRequires:  python2-wheel
224 %if 0%{?with_python3}
225 BuildRequires:  python3-twine
226 BuildRequires:  python3-wheel
227 %endif
228 %endif # with_wheels
229
230 #
231 # Build dependencies for lint
232 #
233 %if 0%{?with_lint}
234 BuildRequires:  samba-python
235 # 1.4: the version where Certificate.serial changed to .serial_number
236 BuildRequires:  python2-cryptography >= 1.4
237 # Bump because of #1457942 certauth: use canonical principal for lookups
238 BuildRequires:  python-gssapi >= 1.2.0-3
239 BuildRequires:  pylint >= 1.6
240 # workaround for https://bugzilla.redhat.com/show_bug.cgi?id=1096506
241 BuildRequires:  python2-polib
242 BuildRequires:  python-libipa_hbac
243 BuildRequires:  python-lxml
244 # 5.0.0: QRCode.print_ascii
245 BuildRequires:  python-qrcode-core >= 5.0.0
246 # 1.15: python-dns changed return type in to_text() method in PY3
247 BuildRequires:  python-dns >= 1.12.0-3
248 BuildRequires:  jsl
249 BuildRequires:  python-yubico
250 # pki Python package
251 BuildRequires:  pki-base-python2
252 BuildRequires:  python-pytest-multihost
253 BuildRequires:  python-pytest-sourceorder
254 BuildRequires:  python-jwcrypto
255 # 0.3: sd_notify (https://pagure.io/freeipa/issue/5825)
256 BuildRequires:  python-custodia >= 0.3.0-4
257 BuildRequires:  dbus-python
258 BuildRequires:  python-dateutil
259 BuildRequires:  python-enum34
260 BuildRequires:  python-netifaces
261 BuildRequires:  python-sss
262 BuildRequires:  python-sss-murmur
263 BuildRequires:  python-sssdconfig
264 BuildRequires:  python-nose
265 BuildRequires:  python-paste
266 BuildRequires:  systemd-python
267 # RHEL spec file only: DELETED: Remove csrgen
268 # python-augeas >= 0.5 supports replace method
269 BuildRequires:  python-augeas >= 0.5
270
271 %if 0%{?with_python3}
272 # FIXME: this depedency is missing - server will not work
273 #BuildRequires:  python3-samba
274 # 1.4: the version where Certificate.serial changed to .serial_number
275 BuildRequires:  python3-cryptography >= 1.4
276 BuildRequires:  python3-gssapi >= 1.2.0
277 BuildRequires:  python3-pylint >= 1.6
278 # workaround for https://bugzilla.redhat.com/show_bug.cgi?id=1096506
279 BuildRequires:  python3-polib
280 BuildRequires:  python3-libipa_hbac
281 BuildRequires:  python3-memcached
282 BuildRequires:  python3-lxml
283 # 5.0.0: QRCode.print_ascii
284 BuildRequires:  python3-qrcode-core >= 5.0.0
285 # 1.15: python-dns changed return type in to_text() method in PY3
286 BuildRequires:  python3-dns >= 1.12.0-3
287 BuildRequires:  python3-yubico
288 # pki Python package
289 BuildRequires:  pki-base-python3
290 BuildRequires:  python3-pytest-multihost
291 BuildRequires:  python3-pytest-sourceorder
292 BuildRequires:  python3-jwcrypto
293 # 0.3: sd_notify (https://pagure.io/freeipa/issue/5825)
294 BuildRequires:  python3-custodia >= 0.3.0-4
295 BuildRequires:  python3-dbus
296 BuildRequires:  python3-dateutil
297 BuildRequires:  python3-enum34
298 BuildRequires:  python3-netifaces
299 BuildRequires:  python3-sss
300 BuildRequires:  python3-sss-murmur
301 BuildRequires:  python3-sssdconfig
302 BuildRequires:  python3-libsss_nss_idmap
303 BuildRequires:  python3-nose
304 BuildRequires:  python3-paste
305 BuildRequires:  python3-systemd
306 # RHEL spec file only: DELETED: Remove csrgen
307 # python-augeas >= 0.5 supports replace method
308 BuildRequires:  python3-augeas >= 0.5
309 %endif # with_python3
310 %endif # with_lint
311
312 #
403b09 313 # Build dependencies for unit tests
ac7d03 314 #
CS 315 %if ! %{ONLY_CLIENT}
403b09 316 BuildRequires:  libcmocka-devel
CS 317 # Required by ipa_kdb_tests
318 BuildRequires:  %{_libdir}/krb5/plugins/kdb/db2.so
ac7d03 319 %endif # ONLY_CLIENT
99b6f7 320
CB 321 %description
403b09 322 IPA is an integrated solution to provide centrally managed Identity (users,
CS 323 hosts, services), Authentication (SSO, 2FA), and Authorization
324 (host access control, SELinux user roles, services). The solution provides
325 features for further integration with Linux based clients (SUDO, automount)
326 and integration with Active Directory based infrastructures (Trusts).
327
99b6f7 328
CB 329 %if ! %{ONLY_CLIENT}
403b09 330
99b6f7 331 %package server
CB 332 Summary: The IPA authentication server
333 Group: System Environment/Base
403b09 334 Requires: %{name}-server-common = %{version}-%{release}
99b6f7 335 Requires: %{name}-client = %{version}-%{release}
403b09 336 Requires: %{name}-common = %{version}-%{release}
CS 337 Requires: python2-ipaserver = %{version}-%{release}
ac7d03 338 Requires: 389-ds-base >= 1.3.5.14
99b6f7 339 Requires: openldap-clients > 2.4.35-4
CB 340 Requires: nss >= 3.14.3-12.0
341 Requires: nss-tools >= 3.14.3-12.0
ac7d03 342 Requires(post): krb5-server >= %{krb5_version}
590d18 343 Requires(post): krb5-server >= %{krb5_base_version}, krb5-server < %{krb5_base_version}.100
ac7d03 344 Requires: krb5-pkinit-openssl >= %{krb5_version}
99b6f7 345 Requires: cyrus-sasl-gssapi%{?_isa}
CB 346 Requires: ntp
403b09 347 Requires: httpd >= 2.4.6-31
99b6f7 348 Requires: mod_wsgi
ac7d03 349 Requires: mod_auth_gssapi >= 1.5.0
CS 350 # 1.0.14-2: https://bugzilla.redhat.com/show_bug.cgi?id=1347298
351 Requires: mod_nss >= 1.0.14-2
352 Requires: mod_session
353 # 0.9.9: https://github.com/adelton/mod_lookup_identity/pull/3
354 Requires: mod_lookup_identity >= 0.9.9
e3ffab 355 Requires: python-ldap >= 2.4.15
ac7d03 356 # Bump because of #1457942 certauth: use canonical principal for lookups
CS 357 Requires: python-gssapi >= 1.2.0-3
99b6f7 358 Requires: acl
CB 359 Requires: systemd-units >= 38
590d18 360 Requires(pre): shadow-utils
99b6f7 361 Requires(pre): systemd-units
CB 362 Requires(post): systemd-units
e3ffab 363 Requires: selinux-policy >= %{selinux_policy_version}
590d18 364 Requires(post): selinux-policy-base >= %{selinux_policy_version}
403b09 365 Requires: slapi-nis >= %{slapi_nis_version}
b38368 366 # Required because of: https://bugzilla.redhat.com/show_bug.cgi?id=1475238
CS 367 # related pki-core update: https://bugzilla.redhat.com/show_bug.cgi?id=1305993
368 Requires: pki-ca >= 10.4.0-1
369 Requires: pki-kra >= 10.4.0-1
99b6f7 370 Requires(preun): python systemd-units
CB 371 Requires(postun): python systemd-units
e3ffab 372 Requires: policycoreutils >= 2.1.14-37
99b6f7 373 Requires: tar
590d18 374 Requires(pre): certmonger >= 0.78
ac7d03 375 Requires(pre): 389-ds-base >= 1.3.5.14
e3ffab 376 Requires: fontawesome-fonts
CS 377 Requires: open-sans-fonts
e0ab38 378 Requires: openssl >= 1:1.0.1e-42
590d18 379 Requires: softhsm >= 2.0.0rc1-1
CS 380 Requires: p11-kit
381 Requires: systemd-python
382 Requires: %{etc_systemd_dir}
383 Requires: gzip
403b09 384 Requires: oddjob
ac7d03 385 # 0.7.0-2: https://pagure.io/gssproxy/pull-request/172
CS 386 Requires: gssproxy >= 0.7.0-2
387 # 1.15.2: FindByNameAndCertificate (https://pagure.io/SSSD/sssd/issue/3050)
388 Requires: sssd-dbus >= 1.15.2
e3ffab 389
403b09 390 Provides: %{alt_name}-server = %{version}
e3ffab 391 Conflicts: %{alt_name}-server
CS 392 Obsoletes: %{alt_name}-server < %{version}
393
394 # RHEL spec file only: DELETED
99b6f7 395
590d18 396 # upgrade path from monolithic -server to -server + -server-dns
CS 397 Obsoletes: %{name}-server <= 4.2.0-2
99b6f7 398
CB 399 # Versions of nss-pam-ldapd < 0.8.4 require a mapping from uniqueMember to
400 # member.
401 Conflicts: nss-pam-ldapd < 0.8.4
9991ea 402
e3ffab 403 # RHEL spec file only: START: Do not build tests
9991ea 404 # ipa-tests subpackage was moved to separate srpm
CB 405 Conflicts: ipa-tests < 3.3.3-9
e3ffab 406 # RHEL spec file only: END: Do not build tests
99b6f7 407
403b09 408 # RHEL spec file only: START
CS 409 # https://bugzilla.redhat.com/show_bug.cgi?id=1296140
410 Obsoletes: redhat-access-plugin-ipa
411 Conflicts: redhat-access-plugin-ipa
412 # RHEL spec file only: END
413
99b6f7 414 %description server
403b09 415 IPA is an integrated solution to provide centrally managed Identity (users,
CS 416 hosts, services), Authentication (SSO, 2FA), and Authorization
417 (host access control, SELinux user roles, services). The solution provides
418 features for further integration with Linux based clients (SUDO, automount)
419 and integration with Active Directory based infrastructures (Trusts).
420 If you are installing an IPA server, you need to install this package.
421
422
423 %package -n python2-ipaserver
424 Summary: Python libraries used by IPA server
425 Group: System Environment/Libraries
426 BuildArch: noarch
ac7d03 427 %{?python_provide:%python_provide python2-ipaserver}
CS 428 %{!?python_provide:Provides: python-ipaserver = %{version}-%{release}}
403b09 429 Requires: %{name}-server-common = %{version}-%{release}
CS 430 Requires: %{name}-common = %{version}-%{release}
431 Requires: python2-ipaclient = %{version}-%{release}
ac7d03 432 Requires: python-custodia >= 0.3.0-4
403b09 433 Requires: python-ldap >= 2.4.15
ac7d03 434 Requires: python-lxml
CS 435 # Bump because of #1457942 certauth: use canonical principal for lookups
436 Requires: python-gssapi >= 1.2.0-3
403b09 437 Requires: python-sssdconfig
CS 438 Requires: python-pyasn1
439 Requires: dbus-python
ac7d03 440 Requires: python-dns >= 1.12.0-3
403b09 441 Requires: python-kdcproxy >= 0.3
CS 442 Requires: rpm-libs
ac7d03 443 Requires: pki-base-python2
CS 444 # python-augeas >= 0.5 supports replace method
445 Requires: python-augeas >= 0.5
403b09 446
CS 447 %description -n python2-ipaserver
448 IPA is an integrated solution to provide centrally managed Identity (users,
449 hosts, services), Authentication (SSO, 2FA), and Authorization
450 (host access control, SELinux user roles, services). The solution provides
451 features for further integration with Linux based clients (SUDO, automount)
452 and integration with Active Directory based infrastructures (Trusts).
453 If you are installing an IPA server, you need to install this package.
454
455
ac7d03 456 %if 0%{?with_python3}
CS 457
458 %package -n python3-ipaserver
459 Summary: Python libraries used by IPA server
460 Group: System Environment/Libraries
461 BuildArch: noarch
462 %{?python_provide:%python_provide python3-ipaserver}
463 Requires: %{name}-server-common = %{version}-%{release}
464 Requires: %{name}-common = %{version}-%{release}
465 Requires: python3-ipaclient = %{version}-%{release}
466 Requires: python3-custodia >= 0.3.0-4
467 Requires: python3-pyldap >= 2.4.15
468 Requires: python3-lxml
469 Requires: python3-gssapi >= 1.2.0
470 Requires: python3-sssdconfig
471 Requires: python3-pyasn1
472 Requires: python3-dbus
473 Requires: python3-dns >= 1.12.0-3
474 Requires: python3-kdcproxy >= 0.3
475 # python3-augeas >= 0.5 supports replace method
476 Requires: python3-augeas >= 0.5
477 Requires: rpm-libs
478 Requires: pki-base-python3
479
480 %description -n python3-ipaserver
481 IPA is an integrated solution to provide centrally managed Identity (users,
482 hosts, services), Authentication (SSO, 2FA), and Authorization
483 (host access control, SELinux user roles, services). The solution provides
484 features for further integration with Linux based clients (SUDO, automount)
485 and integration with Active Directory based infrastructures (Trusts).
486 If you are installing an IPA server, you need to install this package.
487
488 %endif  # with_python3
489
490
403b09 491 %package server-common
CS 492 Summary: Common files used by IPA server
493 Group: System Environment/Base
494 BuildArch: noarch
495 Requires: %{name}-client-common = %{version}-%{release}
496 Requires: httpd >= 2.4.6-31
497 Requires: systemd-units >= 38
ac7d03 498 Requires: custodia >= 0.3.0-4
403b09 499
CS 500 Provides: %{alt_name}-server-common = %{version}
501 Conflicts: %{alt_name}-server-common
502 Obsoletes: %{alt_name}-server-common < %{version}
503
504 %description server-common
505 IPA is an integrated solution to provide centrally managed Identity (users,
506 hosts, services), Authentication (SSO, 2FA), and Authorization
507 (host access control, SELinux user roles, services). The solution provides
508 features for further integration with Linux based clients (SUDO, automount)
509 and integration with Active Directory based infrastructures (Trusts).
510 If you are installing an IPA server, you need to install this package.
99b6f7 511
CB 512
590d18 513 %package server-dns
CS 514 Summary: IPA integrated DNS server with support for automatic DNSSEC signing
515 Group: System Environment/Base
403b09 516 BuildArch: noarch
590d18 517 Requires: %{name}-server = %{version}-%{release}
8ec14d 518 # bumped because of https://bugzilla.redhat.com/show_bug.cgi?id=1469480
CS 519 Requires: bind-dyndb-ldap >= 11.1-4
520 Requires: bind >= 9.9.4-51
521 Requires: bind-utils >= 9.9.4-51
522 Requires: bind-pkcs11 >= 9.9.4-51
523 Requires: bind-pkcs11-utils >= 9.9.4-51
590d18 524 Requires: opendnssec >= 1.4.6-4
CS 525
403b09 526 Provides: %{alt_name}-server-dns = %{version}
590d18 527 Conflicts: %{alt_name}-server-dns
CS 528 Obsoletes: %{alt_name}-server-dns < %{version}
529
530 # upgrade path from monolithic -server to -server + -server-dns
531 Obsoletes: %{name}-server <= 4.2.0-2
532
533 %description server-dns
534 IPA integrated DNS server with support for automatic DNSSEC signing.
535 Integrated DNS server is BIND 9. OpenDNSSEC provides key management.
536
537
99b6f7 538 %package server-trust-ad
CB 539 Summary: Virtual package to install packages required for Active Directory trusts
540 Group: System Environment/Base
403b09 541 Requires: %{name}-server = %{version}-%{release}
CS 542 Requires: %{name}-common = %{version}-%{release}
99b6f7 543 Requires: samba-python
e3ffab 544 Requires: samba >= %{samba_version}
99b6f7 545 Requires: samba-winbind
CB 546 Requires: libsss_idmap
590d18 547 Requires: python-libsss_nss_idmap
CS 548 Requires: python-sss
99b6f7 549 # We use alternatives to divert winbind_krb5_locator.so plugin to libkrb5
CB 550 # on the installes where server-trust-ad subpackage is installed because
551 # IPA AD trusts cannot be used at the same time with the locator plugin
552 # since Winbindd will be configured in a different mode
553 Requires(post): %{_sbindir}/update-alternatives
554 Requires(post): python
555 Requires(postun): %{_sbindir}/update-alternatives
556 Requires(preun): %{_sbindir}/update-alternatives
e3ffab 557
403b09 558 Provides: %{alt_name}-server-trust-ad = %{version}
e3ffab 559 Conflicts: %{alt_name}-server-trust-ad
CS 560 Obsoletes: %{alt_name}-server-trust-ad < %{version}
99b6f7 561
CB 562 %description server-trust-ad
563 Cross-realm trusts with Active Directory in IPA require working Samba 4
564 installation. This package is provided for convenience to install all required
565 dependencies at once.
566
567 %endif # ONLY_CLIENT
568
569
570 %package client
571 Summary: IPA authentication for use on clients
572 Group: System Environment/Base
403b09 573 Requires: %{name}-client-common = %{version}-%{release}
CS 574 Requires: %{name}-common = %{version}-%{release}
575 Requires: python2-ipaclient = %{version}-%{release}
99b6f7 576 Requires: python-ldap
CB 577 Requires: cyrus-sasl-gssapi%{?_isa}
578 Requires: ntp
ac7d03 579 Requires: krb5-workstation >= %{krb5_version}
99b6f7 580 Requires: authconfig
403b09 581 Requires: curl
CS 582 # NIS domain name config: /usr/lib/systemd/system/*-domainname.service
583 Requires: initscripts
99b6f7 584 Requires: libcurl >= 7.21.7-2
CB 585 Requires: xmlrpc-c >= 1.27.4
403b09 586 Requires: sssd >= 1.14.0
590d18 587 Requires: python-sssdconfig
CS 588 Requires: certmonger >= 0.78
99b6f7 589 Requires: nss-tools
CB 590 Requires: bind-utils
591 Requires: oddjob-mkhomedir
ac7d03 592 # Bump because of #1457942 certauth: use canonical principal for lookups
CS 593 Requires: python-gssapi >= 1.2.0-3
99b6f7 594 Requires: libsss_autofs
CB 595 Requires: autofs
596 Requires: libnfsidmap
597 Requires: nfs-utils
598 Requires(post): policycoreutils
e3ffab 599
403b09 600 Provides: %{alt_name}-client = %{version}
e3ffab 601 Conflicts: %{alt_name}-client
CS 602 Obsoletes: %{alt_name}-client < %{version}
99b6f7 603
ac7d03 604 Provides: %{alt_name}-admintools = %{version}
CS 605 Conflicts: %{alt_name}-admintools
606 Obsoletes: %{alt_name}-admintools < 4.4.1
607
608 Obsoletes: %{name}-admintools < 4.4.1
609 Provides: %{name}-admintools = %{version}-%{release}
610
99b6f7 611 %description client
403b09 612 IPA is an integrated solution to provide centrally managed Identity (users,
CS 613 hosts, services), Authentication (SSO, 2FA), and Authorization
614 (host access control, SELinux user roles, services). The solution provides
615 features for further integration with Linux based clients (SUDO, automount)
616 and integration with Active Directory based infrastructures (Trusts).
617 If your network uses IPA for authentication, this package should be
618 installed on every client machine.
ac7d03 619 This package provides command-line tools for IPA administrators.
403b09 620
CS 621
622 %package -n python2-ipaclient
623 Summary: Python libraries used by IPA client
624 Group: System Environment/Libraries
625 BuildArch: noarch
ac7d03 626 %{?python_provide:%python_provide python2-ipaclient}
CS 627 %{!?python_provide:Provides: python-ipaclient = %{version}-%{release}}
403b09 628 Requires: %{name}-client-common = %{version}-%{release}
CS 629 Requires: %{name}-common = %{version}-%{release}
630 Requires: python2-ipalib = %{version}-%{release}
ac7d03 631 Requires: python-dns >= 1.12.0-3
CS 632 # RHEL spec file only: DELETED: Remove csrgen
403b09 633
CS 634 %description -n python2-ipaclient
635 IPA is an integrated solution to provide centrally managed Identity (users,
636 hosts, services), Authentication (SSO, 2FA), and Authorization
637 (host access control, SELinux user roles, services). The solution provides
638 features for further integration with Linux based clients (SUDO, automount)
639 and integration with Active Directory based infrastructures (Trusts).
640 If your network uses IPA for authentication, this package should be
641 installed on every client machine.
642
643
644 %if 0%{?with_python3}
645
646 %package -n python3-ipaclient
647 Summary: Python libraries used by IPA client
648 Group: System Environment/Libraries
649 BuildArch: noarch
ac7d03 650 %{?python_provide:%python_provide python3-ipaclient}
403b09 651 Requires: %{name}-client-common = %{version}-%{release}
CS 652 Requires: %{name}-common = %{version}-%{release}
653 Requires: python3-ipalib = %{version}-%{release}
ac7d03 654 Requires: python3-dns >= 1.12.0-3
CS 655 # RHEL spec file only: DELETED: Remove csrgen
403b09 656
CS 657 %description -n python3-ipaclient
658 IPA is an integrated solution to provide centrally managed Identity (users,
659 hosts, services), Authentication (SSO, 2FA), and Authorization
660 (host access control, SELinux user roles, services). The solution provides
661 features for further integration with Linux based clients (SUDO, automount)
662 and integration with Active Directory based infrastructures (Trusts).
663 If your network uses IPA for authentication, this package should be
664 installed on every client machine.
665
666 %endif  # with_python3
667
668
669 %package client-common
670 Summary: Common files used by IPA client
671 Group: System Environment/Base
672 BuildArch: noarch
673
674 Provides: %{alt_name}-client-common = %{version}
675 Conflicts: %{alt_name}-client-common
676 Obsoletes: %{alt_name}-client-common < %{version}
677
678 %description client-common
679 IPA is an integrated solution to provide centrally managed Identity (users,
680 hosts, services), Authentication (SSO, 2FA), and Authorization
681 (host access control, SELinux user roles, services). The solution provides
682 features for further integration with Linux based clients (SUDO, automount)
683 and integration with Active Directory based infrastructures (Trusts).
684 If your network uses IPA for authentication, this package should be
685 installed on every client machine.
99b6f7 686
403b09 687
CS 688 %package python-compat
689 Summary: Compatiblity package for Python libraries used by IPA
690 Group: System Environment/Libraries
691 BuildArch: noarch
692 Obsoletes: %{name}-python < 4.2.91
693 Provides: %{name}-python = %{version}-%{release}
694 Requires: %{name}-common = %{version}-%{release}
695 Requires: python2-ipalib = %{version}-%{release}
696
697 Provides: %{alt_name}-python-compat = %{version}
698 Conflicts: %{alt_name}-python-compat
699 Obsoletes: %{alt_name}-python-compat < %{version}
700
701 Obsoletes: %{alt_name}-python < 4.2.91
702 Provides: %{alt_name}-python = %{version}
703
704 %description python-compat
705 IPA is an integrated solution to provide centrally managed Identity (users,
706 hosts, services), Authentication (SSO, 2FA), and Authorization
707 (host access control, SELinux user roles, services). The solution provides
708 features for further integration with Linux based clients (SUDO, automount)
709 and integration with Active Directory based infrastructures (Trusts).
710 This is a compatibility package to accommodate %{name}-python split into
711 python2-ipalib and %{name}-common. Packages still depending on
712 %{name}-python should be fixed to depend on python2-ipaclient or
713 %{name}-common instead.
714
715
716 %package -n python2-ipalib
99b6f7 717 Summary: Python libraries used by IPA
CB 718 Group: System Environment/Libraries
403b09 719 BuildArch: noarch
CS 720 Conflicts: %{name}-python < 4.2.91
ac7d03 721 %{?python_provide:%python_provide python2-ipalib}
CS 722 %{!?python_provide:Provides: python-ipalib = %{version}-%{release}}
403b09 723 Provides: python2-ipapython = %{version}-%{release}
ac7d03 724 %{?python_provide:%python_provide python2-ipapython}
CS 725 %{!?python_provide:Provides: python-ipapython = %{version}-%{release}}
403b09 726 Provides: python2-ipaplatform = %{version}-%{release}
ac7d03 727 %{?python_provide:%python_provide python2-ipaplatform}
CS 728 %{!?python_provide:Provides: python-ipaplatform = %{version}-%{release}}
403b09 729 Requires: %{name}-common = %{version}-%{release}
ac7d03 730 # Bump because of #1457942 certauth: use canonical principal for lookups
CS 731 Requires: python-gssapi >= 1.2.0-3
99b6f7 732 Requires: gnupg
CB 733 Requires: keyutils
734 Requires: pyOpenSSL
ac7d03 735 Requires: python >= 2.7.5-24
e3ffab 736 Requires: python-nss >= 0.16
ac7d03 737 Requires: python2-cryptography >= 1.4
3f51ca 738 Requires: python-netaddr >= %{python_netaddr_version}
590d18 739 Requires: python-libipa_hbac
e3ffab 740 Requires: python-qrcode-core >= 5.0.0
CS 741 Requires: python-pyasn1
ac7d03 742 Requires: python-pyasn1-modules
e3ffab 743 Requires: python-dateutil
590d18 744 Requires: python-yubico >= 1.2.3
CS 745 Requires: python-sss-murmur
746 Requires: dbus-python
747 Requires: python-setuptools
403b09 748 Requires: python-six
CS 749 Requires: python-jwcrypto
750 Requires: python-cffi
751 Requires: python-ldap >= 2.4.15
752 Requires: python-requests
ac7d03 753 Requires: python-dns >= 1.12.0-3
CS 754 Requires: python-enum34
403b09 755 Requires: python-netifaces >= 0.10.4
CS 756 Requires: pyusb
e3ffab 757
403b09 758 Conflicts: %{alt_name}-python < %{version}
99b6f7 759
403b09 760 %description -n python2-ipalib
CS 761 IPA is an integrated solution to provide centrally managed Identity (users,
762 hosts, services), Authentication (SSO, 2FA), and Authorization
763 (host access control, SELinux user roles, services). The solution provides
764 features for further integration with Linux based clients (SUDO, automount)
765 and integration with Active Directory based infrastructures (Trusts).
766 If you are using IPA, you need to install this package.
767
768
769 %if 0%{?with_python3}
770
771 %package -n python3-ipalib
772 Summary: Python3 libraries used by IPA
773 Group: System Environment/Libraries
774 BuildArch: noarch
ac7d03 775 %{?python_provide:%python_provide python3-ipalib}
403b09 776 Provides: python3-ipapython = %{version}-%{release}
ac7d03 777 %{?python_provide:%python_provide python3-ipapython}
403b09 778 Provides: python3-ipaplatform = %{version}-%{release}
ac7d03 779 %{?python_provide:%python_provide python3-ipaplatform}
403b09 780 Requires: %{name}-common = %{version}-%{release}
ac7d03 781 Requires: python3-gssapi >= 1.2.0
403b09 782 Requires: gnupg
CS 783 Requires: keyutils
784 Requires: python3-pyOpenSSL
785 Requires: python3-nss >= 0.16
ac7d03 786 Requires: python3-cryptography >= 1.4
3f51ca 787 Requires: python3-netaddr >= %{python_netaddr_version}
403b09 788 Requires: python3-libipa_hbac
CS 789 Requires: python3-qrcode-core >= 5.0.0
790 Requires: python3-pyasn1
ac7d03 791 Requires: python3-pyasn1-modules
403b09 792 Requires: python3-dateutil
CS 793 Requires: python3-yubico >= 1.2.3
794 Requires: python3-sss-murmur
795 Requires: python3-dbus
796 Requires: python3-setuptools
797 Requires: python3-six
798 Requires: python3-jwcrypto
799 Requires: python3-cffi
800 Requires: python3-pyldap >= 2.4.15
801 Requires: python3-requests
ac7d03 802 Requires: python3-dns >= 1.12.0-3
403b09 803 Requires: python3-netifaces >= 0.10.4
CS 804 Requires: python3-pyusb
805
806 %description -n python3-ipalib
807 IPA is an integrated solution to provide centrally managed Identity (users,
808 hosts, services), Authentication (SSO, 2FA), and Authorization
809 (host access control, SELinux user roles, services). The solution provides
810 features for further integration with Linux based clients (SUDO, automount)
811 and integration with Active Directory based infrastructures (Trusts).
812 If you are using IPA with Python 3, you need to install this package.
813
814 %endif # with_python3
815
816
817 %package common
818 Summary: Common files used by IPA
819 Group: System Environment/Libraries
820 BuildArch: noarch
821 Conflicts: %{name}-python < 4.2.91
822
823 Provides: %{alt_name}-common = %{version}
824 Conflicts: %{alt_name}-common
825 Obsoletes: %{alt_name}-common < %{version}
826
827 Conflicts: %{alt_name}-python < %{version}
828
829 %description common
830 IPA is an integrated solution to provide centrally managed Identity (users,
831 hosts, services), Authentication (SSO, 2FA), and Authorization
832 (host access control, SELinux user roles, services). The solution provides
833 features for further integration with Linux based clients (SUDO, automount)
834 and integration with Active Directory based infrastructures (Trusts).
835 If you are using IPA, you need to install this package.
836
e3ffab 837
ac7d03 838 %if 0%{?with_ipatests}
CS 839
840 %package -n python2-ipatests
841 Summary: IPA tests and test tools
842 BuildArch: noarch
843 Obsoletes: %{name}-tests < 4.2.91
844 Provides: %{name}-tests = %{version}-%{release}
845 %{?python_provide:%python_provide python2-ipatests}
846 %{!?python_provide:Provides: python-ipatests = %{version}-%{release}}
847 Requires: python2-ipaclient = %{version}-%{release}
848 Requires: python2-ipaserver = %{version}-%{release}
849 Requires: tar
850 Requires: xz
851 Requires: python-nose
852 Requires: pytest >= 2.6
853 Requires: python-paste
854 Requires: python-coverage
855 # workaround for https://bugzilla.redhat.com/show_bug.cgi?id=1096506
856 Requires: python2-polib
857 Requires: python-pytest-multihost >= 0.5
858 Requires: python-pytest-sourceorder
859 Requires: ldns-utils
860 Requires: python-sssdconfig
861 Requires: python2-cryptography >= 1.4
862
863 Provides: %{alt_name}-tests = %{version}
864 Conflicts: %{alt_name}-tests
865 Obsoletes: %{alt_name}-tests < %{version}
866
867 %description -n python2-ipatests
868 IPA is an integrated solution to provide centrally managed Identity (users,
869 hosts, services), Authentication (SSO, 2FA), and Authorization
870 (host access control, SELinux user roles, services). The solution provides
871 features for further integration with Linux based clients (SUDO, automount)
872 and integration with Active Directory based infrastructures (Trusts).
873 This package contains tests that verify IPA functionality.
874
875
876 %if 0%{?with_python3}
877
878 %package -n python3-ipatests
879 Summary: IPA tests and test tools
880 BuildArch: noarch
881 %{?python_provide:%python_provide python3-ipatests}
882 Requires: python3-ipaclient = %{version}-%{release}
883 # FIXME: uncomment once there's python3-ipaserver
884 #Requires: python3-ipaserver = %{version}-%{release}
885 Requires: tar
886 Requires: xz
887 Requires: python3-nose
888 Requires: python3-pytest >= 2.6
889 Requires: python3-coverage
890 Requires: python3-polib
891 Requires: python3-pytest-multihost >= 0.5
892 Requires: python3-pytest-sourceorder
893 Requires: ldns-utils
894 Requires: python3-sssdconfig
895 Requires: python3-cryptography >= 1.4
896
897 %description -n python3-ipatests
898 IPA is an integrated solution to provide centrally managed Identity (users,
899 hosts, services), Authentication (SSO, 2FA), and Authorization
900 (host access control, SELinux user roles, services). The solution provides
901 features for further integration with Linux based clients (SUDO, automount)
902 and integration with Active Directory based infrastructures (Trusts).
903 This package contains tests that verify IPA functionality under Python 3.
904
905 %endif # with_python3
906
907 %endif # with_ipatests
e3ffab 908
99b6f7 909
CB 910 %prep
ac7d03 911 %setup -n freeipa-%{version} -q
CS 912
99b6f7 913 # RHEL spec file only: START
CB 914 # Update timestamps on the files touched by a patch, to avoid non-equal
915 # .pyc/.pyo files across the multilib peers within a build, where "Level"
916 # is the patch prefix option (e.g. -p1)
917 # Taken from specfile for sssd and python-simplejson
918 UpdateTimestamps() {
919   Level=$1
920   PatchFile=$2
921
922   # Locate the affected files:
923   for f in $(diffstat $Level -l $PatchFile); do
924     # Set the files to have the same timestamp as that of the patch:
ac7d03 925     touch -c -r $PatchFile $f
99b6f7 926   done
CB 927 }
928 for p in %patches ; do
929     %__patch -p1 -i $p
930     UpdateTimestamps -p1 $p
931 done
932 # RHEL spec file only: END
ac7d03 933
CS 934 %if 0%{?with_python3}
935 # Workaround: We want to build Python things twice. To be sure we do not mess
936 # up something, do two separate builds in separate directories.
937 cp -r %{_builddir}/freeipa-%{version} %{_builddir}/freeipa-%{version}-python3
938 %endif # with_python3
939
940 # RHEL spec file only: START: Change branding to IPA and Identity Management
731b96 941 #cp %SOURCE1 install/ui/images/header-logo.png
CS 942 #cp %SOURCE2 install/ui/images/login-screen-background.jpg
943 #cp %SOURCE3 install/ui/images/login-screen-logo.png
944 #cp %SOURCE4 install/ui/images/product-name.png
ac7d03 945 # RHEL spec file only: END: Change branding to IPA and Identity Management
403b09 946
99b6f7 947
CB 948 %build
ac7d03 949 # RHEL spec file only: START
CS 950 autoreconf -i -f
951 # RHEL spec file only: END
e3ffab 952 # UI compilation segfaulted on some arches when the stack was lower (#1040576)
CS 953 export JAVA_STACK_SIZE="8m"
ac7d03 954 # PATH is workaround for https://bugzilla.redhat.com/show_bug.cgi?id=1005235
CS 955 export PATH=/usr/bin:/usr/sbin:$PATH
956 export PYTHON=%{__python2}
957 # Workaround: make sure all shebangs are pointing to Python 2
958 # This should be solved properly using setuptools
959 # and this hack should be removed.
960 find \
961     ! -name '*.pyc' -a \
962     ! -name '*.pyo' -a \
963     -type f -exec grep -qsm1 '^#!.*\bpython' {} \; \
964     -exec sed -i -e '1 s|^#!.*\bpython[^ ]*|#!%{__python2}|' {} \;
965 %configure --with-vendor-suffix=-%{release} \
966            %{enable_server_option} \
967            %{with_ipatests_option} \
ab4b7f 968            %{linter_options} \
JH 969            --with-ipaplatform=rhel
e3ffab 970
ac7d03 971 %make_build
e3ffab 972
ac7d03 973 %if 0%{?with_python3}
CS 974 pushd %{_builddir}/freeipa-%{version}-python3
975 export PYTHON=%{__python3}
976 # Workaround: make sure all shebangs are pointing to Python 3
977 # This should be solved properly using setuptools
978 # and this hack should be removed.
979 find \
980     ! -name '*.pyc' -a \
981     ! -name '*.pyo' -a \
982     -type f -exec grep -qsm1 '^#!.*\bpython' {} \; \
983     -exec sed -i -e '1 s|^#!.*\bpython[^ ]*|#!%{__python3}|' {} \;
3f51ca 984
CS 985 # Rebuild configure because Patch1005 adds new configure checks
986 ./autogen.sh
ac7d03 987 %configure --with-vendor-suffix=-%{release} \
CS 988            %{enable_server_option} \
989            %{with_ipatests_option} \
ab4b7f 990            %{linter_options} \
JH 991            --with-ipaplatform=rhel
ac7d03 992 popd
CS 993 %endif # with_python3
403b09 994
CS 995 %check
ac7d03 996 make %{?_smp_mflags} check VERBOSE=yes LIBDIR=%{_libdir}
403b09 997
CS 998
99b6f7 999 %install
ac7d03 1000 # Please put as much logic as possible into make install. It allows:
CS 1001 # - easier porting to other distributions
1002 # - rapid devel & install cycle using make install
1003 #   (instead of full RPM build and installation each time)
1004 #
1005 # All files and directories created by spec install should be marked as ghost.
1006 # (These are typically configuration files created by IPA installer.)
1007 # All other artifacts should be created by make install.
1008 #
1009 # Exception to this rule are test programs which where want to install
1010 # Python2/3 versions at the same time so we need to rename them. Yuck.
99b6f7 1011
403b09 1012 %if 0%{?with_python3}
ac7d03 1013 # Python 3 installation needs to be done first. Subsequent Python 2 install
CS 1014 # will overwrite /usr/bin/ipa and other scripts with variants using
1015 # python2 shebang.
1016 pushd %{_builddir}/freeipa-%{version}-python3
1017 (cd ipaclient && %make_install)
1018 (cd ipalib && %make_install)
1019 (cd ipaplatform && %make_install)
1020 (cd ipapython && %make_install)
1021 %if ! %{ONLY_CLIENT}
1022 (cd ipaserver && %make_install)
1023 %endif # ONLY_CLIENT
1024 %if 0%{?with_ipatests}
1025 (cd ipatests && %make_install)
1026 %endif # with_ipatests
1027 popd
1028
1029 %if 0%{?with_ipatests}
1030 mv %{buildroot}%{_bindir}/ipa-run-tests %{buildroot}%{_bindir}/ipa-run-tests-%{python3_version}
1031 mv %{buildroot}%{_bindir}/ipa-test-config %{buildroot}%{_bindir}/ipa-test-config-%{python3_version}
1032 mv %{buildroot}%{_bindir}/ipa-test-task %{buildroot}%{_bindir}/ipa-test-task-%{python3_version}
1033 ln -s %{_bindir}/ipa-run-tests-%{python3_version} %{buildroot}%{_bindir}/ipa-run-tests-3
1034 ln -s %{_bindir}/ipa-test-config-%{python3_version} %{buildroot}%{_bindir}/ipa-test-config-3
1035 ln -s %{_bindir}/ipa-test-task-%{python3_version} %{buildroot}%{_bindir}/ipa-test-task-3
1036 %endif # with_ipatests
1037
403b09 1038 %endif # with_python3
CS 1039
ac7d03 1040 # Python 2 installation
CS 1041 %make_install
1042
1043 %if 0%{?with_ipatests}
1044 mv %{buildroot}%{_bindir}/ipa-run-tests %{buildroot}%{_bindir}/ipa-run-tests-%{python2_version}
1045 mv %{buildroot}%{_bindir}/ipa-test-config %{buildroot}%{_bindir}/ipa-test-config-%{python2_version}
1046 mv %{buildroot}%{_bindir}/ipa-test-task %{buildroot}%{_bindir}/ipa-test-task-%{python2_version}
1047 ln -s %{_bindir}/ipa-run-tests-%{python2_version} %{buildroot}%{_bindir}/ipa-run-tests-2
1048 ln -s %{_bindir}/ipa-test-config-%{python2_version} %{buildroot}%{_bindir}/ipa-test-config-2
1049 ln -s %{_bindir}/ipa-test-task-%{python2_version} %{buildroot}%{_bindir}/ipa-test-task-2
1050 # test framework defaults to Python 2
1051 ln -s %{_bindir}/ipa-run-tests-%{python2_version} %{buildroot}%{_bindir}/ipa-run-tests
1052 ln -s %{_bindir}/ipa-test-config-%{python2_version} %{buildroot}%{_bindir}/ipa-test-config
1053 ln -s %{_bindir}/ipa-test-task-%{python2_version} %{buildroot}%{_bindir}/ipa-test-task
1054 %endif # with_ipatests
1055
1056 # remove files which are useful only for make uninstall
1057 find %{buildroot} -wholename '*/site-packages/*/install_files.txt' -exec rm {} \;
403b09 1058
CS 1059 %find_lang %{gettext_domain}
99b6f7 1060
CB 1061 %if ! %{ONLY_CLIENT}
1062 # Remove .la files from libtool - we don't want to package
1063 # these files
1064 rm %{buildroot}/%{plugin_dir}/libipa_pwd_extop.la
1065 rm %{buildroot}/%{plugin_dir}/libipa_enrollment_extop.la
1066 rm %{buildroot}/%{plugin_dir}/libipa_winsync.la
1067 rm %{buildroot}/%{plugin_dir}/libipa_repl_version.la
1068 rm %{buildroot}/%{plugin_dir}/libipa_uuid.la
1069 rm %{buildroot}/%{plugin_dir}/libipa_modrdn.la
1070 rm %{buildroot}/%{plugin_dir}/libipa_lockout.la
1071 rm %{buildroot}/%{plugin_dir}/libipa_cldap.la
1072 rm %{buildroot}/%{plugin_dir}/libipa_dns.la
1073 rm %{buildroot}/%{plugin_dir}/libipa_sidgen.la
1074 rm %{buildroot}/%{plugin_dir}/libipa_sidgen_task.la
1075 rm %{buildroot}/%{plugin_dir}/libipa_extdom_extop.la
1076 rm %{buildroot}/%{plugin_dir}/libipa_range_check.la
e3ffab 1077 rm %{buildroot}/%{plugin_dir}/libipa_otp_counter.la
CS 1078 rm %{buildroot}/%{plugin_dir}/libipa_otp_lasttoken.la
590d18 1079 rm %{buildroot}/%{plugin_dir}/libtopology.la
99b6f7 1080 rm %{buildroot}/%{_libdir}/krb5/plugins/kdb/ipadb.la
CB 1081 rm %{buildroot}/%{_libdir}/samba/pdb/ipasam.la
1082
1083 # So we can own our Apache configuration
1084 mkdir -p %{buildroot}%{_sysconfdir}/httpd/conf.d/
1085 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 1086 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 1087 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
CB 1088 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
1089 /bin/touch %{buildroot}%{_usr}/share/ipa/html/ca.crt
1090 /bin/touch %{buildroot}%{_usr}/share/ipa/html/kerberosauth.xpi
1091 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.con
1092 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.js
1093 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb5.ini
1094 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krbrealm.con
1095
1096 mkdir -p %{buildroot}%{_libdir}/krb5/plugins/libkrb5
1097 touch %{buildroot}%{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
1098
ac7d03 1099 # RHEL spec file only: START: Package copy-schema-to-ca.py
CS 1100 cp contrib/copy-schema-to-ca-RHEL6.py %{buildroot}%{_usr}/share/ipa/copy-schema-to-ca.py
1101 # RHEL spec file only: END: Package copy-schema-to-ca.py
1102
99b6f7 1103 %endif # ONLY_CLIENT
CB 1104
1105 /bin/touch %{buildroot}%{_sysconfdir}/ipa/default.conf
1106 /bin/touch %{buildroot}%{_sysconfdir}/ipa/ca.crt
e3ffab 1107
CS 1108 %if ! %{ONLY_CLIENT}
99b6f7 1109 mkdir -p %{buildroot}%{_sysconfdir}/cron.d
CB 1110 %endif # ONLY_CLIENT
403b09 1111
99b6f7 1112
CB 1113 %clean
1114 rm -rf %{buildroot}
1115
403b09 1116
99b6f7 1117 %if ! %{ONLY_CLIENT}
403b09 1118
99b6f7 1119 %post server
CB 1120 # NOTE: systemd specific section
1121     /bin/systemctl --system daemon-reload 2>&1 || :
1122 # END
1123 if [ $1 -gt 1 ] ; then
1124     /bin/systemctl condrestart certmonger.service 2>&1 || :
1125 fi
403b09 1126 /bin/systemctl reload-or-try-restart dbus
CS 1127 /bin/systemctl reload-or-try-restart oddjobd
1128
99b6f7 1129
CB 1130 %posttrans server
403b09 1131 # don't execute upgrade and restart of IPA when server is not installed
e3ffab 1132 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
403b09 1133
99b6f7 1134 if [  $? -eq 0 ]; then
403b09 1135     # This must be run in posttrans so that updates from previous
CS 1136     # execution that may no longer be shipped are not applied.
1137     /usr/sbin/ipa-server-upgrade --quiet >/dev/null || :
1138
1139     # Restart IPA processes. This must be also run in postrans so that plugins
1140     # and software is in consistent state
1141     # NOTE: systemd specific section
1142
e3ffab 1143     /bin/systemctl is-enabled ipa.service >/dev/null 2>&1
CS 1144     if [  $? -eq 0 ]; then
1145         /bin/systemctl restart ipa.service >/dev/null 2>&1 || :
1146     fi
99b6f7 1147 fi
CB 1148 # END
1149
403b09 1150
99b6f7 1151 %preun server
CB 1152 if [ $1 = 0 ]; then
1153 # NOTE: systemd specific section
1154     /bin/systemctl --quiet stop ipa.service || :
1155     /bin/systemctl --quiet disable ipa.service || :
403b09 1156     /bin/systemctl reload-or-try-restart dbus
CS 1157     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1158 # END
CB 1159 fi
403b09 1160
99b6f7 1161
CB 1162 %pre server
1163 # Stop ipa_kpasswd if it exists before upgrading so we don't have a
1164 # zombie process when we're done.
1165 if [ -e /usr/sbin/ipa_kpasswd ]; then
1166 # NOTE: systemd specific section
1167     /bin/systemctl stop ipa_kpasswd.service >/dev/null 2>&1 || :
1168 # END
1169 fi
1170
ac7d03 1171 # create users and groups
CS 1172 # create kdcproxy group and user
1173 getent group kdcproxy >/dev/null || groupadd -f -r kdcproxy
1174 getent passwd kdcproxy >/dev/null || useradd -r -g kdcproxy -s /sbin/nologin -d / -c "IPA KDC Proxy User" kdcproxy
1175 # create ipaapi group and user
1176 getent group ipaapi >/dev/null || groupadd -f -r ipaapi
1177 getent passwd ipaapi >/dev/null || useradd -r -g ipaapi -s /sbin/nologin -d / -c "IPA Framework User" ipaapi
1178 # add apache to ipaaapi group
1179 id -Gn apache | grep '\bipaapi\b' >/dev/null || usermod apache -a -G ipaapi
403b09 1180
99b6f7 1181 %postun server-trust-ad
CB 1182 if [ "$1" -ge "1" ]; then
1183     if [ "`readlink %{_sysconfdir}/alternatives/winbind_krb5_locator.so`" == "/dev/null" ]; then
1184         %{_sbindir}/alternatives --set winbind_krb5_locator.so /dev/null
1185     fi
1186 fi
1187
403b09 1188
99b6f7 1189 %post server-trust-ad
CB 1190 %{_sbindir}/update-alternatives --install %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so \
1191         winbind_krb5_locator.so /dev/null 90
590d18 1192 /bin/systemctl reload-or-try-restart dbus
CS 1193 /bin/systemctl reload-or-try-restart oddjobd
403b09 1194
99b6f7 1195
CB 1196 %posttrans server-trust-ad
e3ffab 1197 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 1198 if [  $? -eq 0 ]; then
CB 1199 # NOTE: systemd specific section
1200     /bin/systemctl try-restart httpd.service >/dev/null 2>&1 || :
1201 # END
1202 fi
1203
403b09 1204
99b6f7 1205 %preun server-trust-ad
CB 1206 if [ $1 -eq 0 ]; then
1207     %{_sbindir}/update-alternatives --remove winbind_krb5_locator.so /dev/null
590d18 1208     /bin/systemctl reload-or-try-restart dbus
CS 1209     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 1210 fi
e3ffab 1211
99b6f7 1212 %endif # ONLY_CLIENT
403b09 1213
99b6f7 1214
CB 1215 %post client
1216 if [ $1 -gt 1 ] ; then
1217     # Has the client been configured?
1218     restore=0
1219     test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1220
1221     if [ -f '/etc/sssd/sssd.conf' -a $restore -ge 2 ]; then
1222         if ! grep -E -q '/var/lib/sss/pubconf/krb5.include.d/' /etc/krb5.conf  2>/dev/null ; then
1223             echo "includedir /var/lib/sss/pubconf/krb5.include.d/" > /etc/krb5.conf.ipanew
1224             cat /etc/krb5.conf >> /etc/krb5.conf.ipanew
590d18 1225             mv -Z /etc/krb5.conf.ipanew /etc/krb5.conf
99b6f7 1226         fi
CB 1227     fi
e3ffab 1228
ac7d03 1229     if [ $restore -ge 2 ]; then
CS 1230         if grep -E -q '\s*pkinit_anchors = FILE:/etc/ipa/ca.crt$' /etc/krb5.conf 2>/dev/null; then
1231             sed -E 's|(\s*)pkinit_anchors = FILE:/etc/ipa/ca.crt$|\1pkinit_anchors = FILE:/var/lib/ipa-client/pki/kdc-ca-bundle.pem\n\1pkinit_pool = FILE:/var/lib/ipa-client/pki/ca-bundle.pem|' /etc/krb5.conf >/etc/krb5.conf.ipanew
1232             mv -Z /etc/krb5.conf.ipanew /etc/krb5.conf
1233             cp /etc/ipa/ca.crt /var/lib/ipa-client/pki/kdc-ca-bundle.pem
1234             cp /etc/ipa/ca.crt /var/lib/ipa-client/pki/ca-bundle.pem
1235         fi
1236     fi
1237
e3ffab 1238     if [ -f '/etc/sysconfig/ntpd' -a $restore -ge 2 ]; then
CS 1239         if grep -E -q 'OPTIONS=.*-u ntp:ntp' /etc/sysconfig/ntpd 2>/dev/null; then
1240             sed -r '/OPTIONS=/ { s/\s+-u ntp:ntp\s+/ /; s/\s*-u ntp:ntp\s*// }' /etc/sysconfig/ntpd >/etc/sysconfig/ntpd.ipanew
590d18 1241             mv -Z /etc/sysconfig/ntpd.ipanew /etc/sysconfig/ntpd
e3ffab 1242
CS 1243             /bin/systemctl condrestart ntpd.service 2>&1 || :
1244         fi
1245     fi
1246
403b09 1247     if [ $restore -ge 2 ]; then
ac7d03 1248         python2 -c 'from ipaclient.install.client import update_ipa_nssdb; update_ipa_nssdb()' >/var/log/ipaupgrade.log 2>&1
e3ffab 1249     fi
99b6f7 1250 fi
CB 1251
403b09 1252
CS 1253 %triggerin client -- openssh-server
99b6f7 1254 # Has the client been configured?
CB 1255 restore=0
1256 test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
1257
1258 if [ -f '/etc/ssh/sshd_config' -a $restore -ge 2 ]; then
1259     if grep -E -q '^(AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys|PubKeyAgent /usr/bin/sss_ssh_authorizedkeys %u)$' /etc/ssh/sshd_config 2>/dev/null; then
1260         sed -r '
1261             /^(AuthorizedKeysCommand(User|RunAs)|PubKeyAgentRunAs)[ \t]/ d
1262         ' /etc/ssh/sshd_config >/etc/ssh/sshd_config.ipanew
1263
ac7d03 1264         if /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandUser=nobody' 2>/dev/null; then
99b6f7 1265             sed -ri '
CB 1266                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1267                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandUser nobody/
1268             ' /etc/ssh/sshd_config.ipanew
ac7d03 1269         elif /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandRunAs=nobody' 2>/dev/null; then
99b6f7 1270             sed -ri '
CB 1271                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
1272                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandRunAs nobody/
1273             ' /etc/ssh/sshd_config.ipanew
ac7d03 1274         elif /usr/sbin/sshd -t -f /dev/null -o 'PubKeyAgent=/usr/bin/sss_ssh_authorizedkeys %u' -o 'PubKeyAgentRunAs=nobody' 2>/dev/null; then
99b6f7 1275             sed -ri '
CB 1276                 s/^AuthorizedKeysCommand (.+)$/PubKeyAgent \1 %u/
1277                 s/^PubKeyAgent .*$/\0\nPubKeyAgentRunAs nobody/
1278             ' /etc/ssh/sshd_config.ipanew
1279         fi
1280
590d18 1281         mv -Z /etc/ssh/sshd_config.ipanew /etc/ssh/sshd_config
99b6f7 1282         chmod 600 /etc/ssh/sshd_config
CB 1283
1284         /bin/systemctl condrestart sshd.service 2>&1 || :
1285     fi
1286 fi
1287
403b09 1288
99b6f7 1289 %if ! %{ONLY_CLIENT}
403b09 1290
CS 1291 %files server
99b6f7 1292 %defattr(-,root,root,-)
ac7d03 1293 %doc README.md Contributors.txt
403b09 1294 %license COPYING
e3ffab 1295 %{_sbindir}/ipa-backup
CS 1296 %{_sbindir}/ipa-restore
99b6f7 1297 %{_sbindir}/ipa-ca-install
590d18 1298 %{_sbindir}/ipa-kra-install
99b6f7 1299 %{_sbindir}/ipa-server-install
CB 1300 %{_sbindir}/ipa-replica-conncheck
1301 %{_sbindir}/ipa-replica-install
1302 %{_sbindir}/ipa-replica-prepare
1303 %{_sbindir}/ipa-replica-manage
1304 %{_sbindir}/ipa-csreplica-manage
1305 %{_sbindir}/ipa-server-certinstall
590d18 1306 %{_sbindir}/ipa-server-upgrade
99b6f7 1307 %{_sbindir}/ipa-ldap-updater
e3ffab 1308 %{_sbindir}/ipa-otptoken-import
99b6f7 1309 %{_sbindir}/ipa-compat-manage
CB 1310 %{_sbindir}/ipa-nis-manage
1311 %{_sbindir}/ipa-managed-entries
1312 %{_sbindir}/ipactl
1313 %{_sbindir}/ipa-advise
e3ffab 1314 %{_sbindir}/ipa-cacert-manage
590d18 1315 %{_sbindir}/ipa-winsync-migrate
ac7d03 1316 %{_sbindir}/ipa-pkinit-manage
e3ffab 1317 %{_libexecdir}/certmonger/dogtag-ipa-ca-renew-agent-submit
CS 1318 %{_libexecdir}/certmonger/ipa-server-guard
1319 %dir %{_libexecdir}/ipa
ac7d03 1320 %{_libexecdir}/ipa/ipa-custodia
590d18 1321 %{_libexecdir}/ipa/ipa-dnskeysyncd
CS 1322 %{_libexecdir}/ipa/ipa-dnskeysync-replica
1323 %{_libexecdir}/ipa/ipa-ods-exporter
1324 %{_libexecdir}/ipa/ipa-httpd-kdcproxy
403b09 1325 %{_libexecdir}/ipa/ipa-pki-retrieve-key
ac7d03 1326 %{_libexecdir}/ipa/ipa-otpd
403b09 1327 %dir %{_libexecdir}/ipa/oddjob
CS 1328 %attr(0755,root,root) %{_libexecdir}/ipa/oddjob/org.freeipa.server.conncheck
1329 %config(noreplace) %{_sysconfdir}/dbus-1/system.d/org.freeipa.server.conf
1330 %config(noreplace) %{_sysconfdir}/oddjobd.conf.d/ipa-server.conf
ac7d03 1331 %config(noreplace) %{_sysconfdir}/krb5.conf.d/ipa-certauth
403b09 1332 %dir %{_libexecdir}/ipa/certmonger
CS 1333 %attr(755,root,root) %{_libexecdir}/ipa/certmonger/*
1334 # NOTE: systemd specific section
1335 %attr(644,root,root) %{_unitdir}/ipa.service
1336 %attr(644,root,root) %{_unitdir}/ipa-otpd.socket
1337 %attr(644,root,root) %{_unitdir}/ipa-otpd@.service
1338 %attr(644,root,root) %{_unitdir}/ipa-dnskeysyncd.service
1339 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.socket
1340 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.service
1341 # END
1342 %attr(755,root,root) %{plugin_dir}/libipa_pwd_extop.so
1343 %attr(755,root,root) %{plugin_dir}/libipa_enrollment_extop.so
1344 %attr(755,root,root) %{plugin_dir}/libipa_winsync.so
1345 %attr(755,root,root) %{plugin_dir}/libipa_repl_version.so
1346 %attr(755,root,root) %{plugin_dir}/libipa_uuid.so
1347 %attr(755,root,root) %{plugin_dir}/libipa_modrdn.so
1348 %attr(755,root,root) %{plugin_dir}/libipa_lockout.so
1349 %attr(755,root,root) %{plugin_dir}/libipa_cldap.so
1350 %attr(755,root,root) %{plugin_dir}/libipa_dns.so
1351 %attr(755,root,root) %{plugin_dir}/libipa_range_check.so
1352 %attr(755,root,root) %{plugin_dir}/libipa_otp_counter.so
1353 %attr(755,root,root) %{plugin_dir}/libipa_otp_lasttoken.so
1354 %attr(755,root,root) %{plugin_dir}/libtopology.so
1355 %attr(755,root,root) %{plugin_dir}/libipa_sidgen.so
1356 %attr(755,root,root) %{plugin_dir}/libipa_sidgen_task.so
1357 %attr(755,root,root) %{plugin_dir}/libipa_extdom_extop.so
1358 %attr(755,root,root) %{_libdir}/krb5/plugins/kdb/ipadb.so
ac7d03 1359 %{_mandir}/man1/ipa-replica-conncheck.1*
CS 1360 %{_mandir}/man1/ipa-replica-install.1*
1361 %{_mandir}/man1/ipa-replica-manage.1*
1362 %{_mandir}/man1/ipa-csreplica-manage.1*
1363 %{_mandir}/man1/ipa-replica-prepare.1*
1364 %{_mandir}/man1/ipa-server-certinstall.1*
1365 %{_mandir}/man1/ipa-server-install.1*
1366 %{_mandir}/man1/ipa-server-upgrade.1*
1367 %{_mandir}/man1/ipa-ca-install.1*
1368 %{_mandir}/man1/ipa-kra-install.1*
1369 %{_mandir}/man1/ipa-compat-manage.1*
1370 %{_mandir}/man1/ipa-nis-manage.1*
1371 %{_mandir}/man1/ipa-managed-entries.1*
1372 %{_mandir}/man1/ipa-ldap-updater.1*
1373 %{_mandir}/man8/ipactl.8*
1374 %{_mandir}/man1/ipa-backup.1*
1375 %{_mandir}/man1/ipa-restore.1*
1376 %{_mandir}/man1/ipa-advise.1*
1377 %{_mandir}/man1/ipa-otptoken-import.1*
1378 %{_mandir}/man1/ipa-cacert-manage.1*
1379 %{_mandir}/man1/ipa-winsync-migrate.1*
1380 %{_mandir}/man1/ipa-pkinit-manage.1*
403b09 1381
ac7d03 1382 %files -n python2-ipaserver
403b09 1383 %defattr(-,root,root,-)
ac7d03 1384 %doc README.md Contributors.txt
403b09 1385 %license COPYING
ac7d03 1386 %{python2_sitelib}/ipaserver
CS 1387 %{python2_sitelib}/ipaserver-*.egg-info
1388
1389
1390 %if 0%{?with_python3}
1391
1392 %files -n python3-ipaserver
1393 %defattr(-,root,root,-)
1394 %doc README.md Contributors.txt
1395 %license COPYING
1396 %{python3_sitelib}/ipaserver
1397 %{python3_sitelib}/ipaserver-*.egg-info
1398
1399 %endif # with_python3
403b09 1400
CS 1401
1402 %files server-common
1403 %defattr(-,root,root,-)
ac7d03 1404 %doc README.md Contributors.txt
403b09 1405 %license COPYING
590d18 1406 %ghost %verify(not owner group) %dir %{_sharedstatedir}/kdcproxy
CS 1407 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/kdcproxy
1408 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-dnskeysyncd
1409 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-ods-exporter
1410 %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
403b09 1411 %attr(644,root,root) %{_unitdir}/ipa-custodia.service
CS 1412 %ghost %attr(644,root,root) %{etc_systemd_dir}/httpd.d/ipa.conf
e3ffab 1413 # END
99b6f7 1414 %dir %{_usr}/share/ipa
CB 1415 %{_usr}/share/ipa/wsgi.py*
ac7d03 1416 # RHEL spec file only: START: Package copy-schema-to-ca.py
99b6f7 1417 %{_usr}/share/ipa/copy-schema-to-ca.py*
ac7d03 1418 # RHEL spec file only: END: Package copy-schema-to-ca.py
99b6f7 1419 %{_usr}/share/ipa/*.ldif
CB 1420 %{_usr}/share/ipa/*.uldif
1421 %{_usr}/share/ipa/*.template
ac7d03 1422 %{_usr}/share/ipa/ipa.conf.tmpfiles
99b6f7 1423 %dir %{_usr}/share/ipa/advise
CB 1424 %dir %{_usr}/share/ipa/advise/legacy
1425 %{_usr}/share/ipa/advise/legacy/*.template
590d18 1426 %dir %{_usr}/share/ipa/profiles
CS 1427 %{_usr}/share/ipa/profiles/*.cfg
99b6f7 1428 %dir %{_usr}/share/ipa/html
CB 1429 %{_usr}/share/ipa/html/ffconfig.js
1430 %{_usr}/share/ipa/html/ffconfig_page.js
1431 %{_usr}/share/ipa/html/ssbrowser.html
1432 %{_usr}/share/ipa/html/browserconfig.html
1433 %{_usr}/share/ipa/html/unauthorized.html
1434 %dir %{_usr}/share/ipa/migration
1435 %{_usr}/share/ipa/migration/error.html
1436 %{_usr}/share/ipa/migration/index.html
1437 %{_usr}/share/ipa/migration/invalid.html
1438 %{_usr}/share/ipa/migration/migration.py*
1439 %dir %{_usr}/share/ipa/ui
1440 %{_usr}/share/ipa/ui/index.html
1441 %{_usr}/share/ipa/ui/reset_password.html
e3ffab 1442 %{_usr}/share/ipa/ui/sync_otp.html
99b6f7 1443 %{_usr}/share/ipa/ui/*.ico
CB 1444 %{_usr}/share/ipa/ui/*.css
1445 %{_usr}/share/ipa/ui/*.js
e3ffab 1446 %dir %{_usr}/share/ipa/ui/css
CS 1447 %{_usr}/share/ipa/ui/css/*.css
9991ea 1448 %dir %{_usr}/share/ipa/ui/js
99b6f7 1449 %dir %{_usr}/share/ipa/ui/js/dojo
CB 1450 %{_usr}/share/ipa/ui/js/dojo/dojo.js
1451 %dir %{_usr}/share/ipa/ui/js/libs
1452 %{_usr}/share/ipa/ui/js/libs/*.js
1453 %dir %{_usr}/share/ipa/ui/js/freeipa
1454 %{_usr}/share/ipa/ui/js/freeipa/app.js
e3ffab 1455 %{_usr}/share/ipa/ui/js/freeipa/core.js
99b6f7 1456 %dir %{_usr}/share/ipa/ui/js/plugins
CB 1457 %dir %{_usr}/share/ipa/ui/images
e3ffab 1458 %{_usr}/share/ipa/ui/images/*.jpg
99b6f7 1459 %{_usr}/share/ipa/ui/images/*.png
CB 1460 %dir %{_usr}/share/ipa/wsgi
1461 %{_usr}/share/ipa/wsgi/plugins.py*
1462 %dir %{_sysconfdir}/ipa
1463 %dir %{_sysconfdir}/ipa/html
1464 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig.js
1465 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig_page.js
1466 %config(noreplace) %{_sysconfdir}/ipa/html/ssbrowser.html
1467 %config(noreplace) %{_sysconfdir}/ipa/html/unauthorized.html
1468 %config(noreplace) %{_sysconfdir}/ipa/html/browserconfig.html
1469 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
1470 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 1471 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 1472 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
590d18 1473 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/ipa-kdc-proxy.conf
403b09 1474 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/dnssec
99b6f7 1475 %{_usr}/share/ipa/ipa.conf
CB 1476 %{_usr}/share/ipa/ipa-rewrite.conf
1477 %{_usr}/share/ipa/ipa-pki-proxy.conf
1478 %ghost %attr(0644,root,apache) %config(noreplace) %{_usr}/share/ipa/html/ca.crt
1479 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/kerberosauth.xpi
1480 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.con
1481 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.js
1482 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb5.ini
1483 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krbrealm.con
1484 %dir %{_usr}/share/ipa/updates/
1485 %{_usr}/share/ipa/updates/*
1486 %dir %{_localstatedir}/lib/ipa
e3ffab 1487 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/backup
ac7d03 1488 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/gssproxy
99b6f7 1489 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysrestore
CB 1490 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysupgrade
1491 %attr(755,root,root) %dir %{_localstatedir}/lib/ipa/pki-ca
1492 %ghost %{_localstatedir}/lib/ipa/pki-ca/publish
e3ffab 1493 %ghost %{_localstatedir}/named/dyndb-ldap/ipa
403b09 1494 %dir %attr(0700,root,root) %{_sysconfdir}/ipa/custodia
ac7d03 1495 %dir %{_usr}/share/ipa/schema.d
CS 1496 %attr(0644,root,root) %{_usr}/share/ipa/schema.d/README
1497 %attr(0644,root,root) %{_usr}/share/ipa/gssapi.login
1498 %{_usr}/share/ipa/ipakrb5.aug
590d18 1499
CS 1500 %files server-dns
403b09 1501 %defattr(-,root,root,-)
ac7d03 1502 %doc README.md Contributors.txt
403b09 1503 %license COPYING
590d18 1504 %{_sbindir}/ipa-dns-install
ac7d03 1505 %{_mandir}/man1/ipa-dns-install.1*
99b6f7 1506
403b09 1507
99b6f7 1508 %files server-trust-ad
403b09 1509 %defattr(-,root,root,-)
ac7d03 1510 %doc README.md Contributors.txt
403b09 1511 %license COPYING
99b6f7 1512 %{_sbindir}/ipa-adtrust-install
CB 1513 %{_usr}/share/ipa/smb.conf.empty
1514 %attr(755,root,root) %{_libdir}/samba/pdb/ipasam.so
ac7d03 1515 %{_mandir}/man1/ipa-adtrust-install.1*
99b6f7 1516 %ghost %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
590d18 1517 %{_sysconfdir}/dbus-1/system.d/oddjob-ipa-trust.conf
CS 1518 %{_sysconfdir}/oddjobd.conf.d/oddjobd-ipa-trust.conf
403b09 1519 %%attr(755,root,root) %{_libexecdir}/ipa/oddjob/com.redhat.idm.trust-fetch-domains
99b6f7 1520
CB 1521 %endif # ONLY_CLIENT
1522
403b09 1523
99b6f7 1524 %files client
CB 1525 %defattr(-,root,root,-)
ac7d03 1526 %doc README.md Contributors.txt
403b09 1527 %license COPYING
99b6f7 1528 %{_sbindir}/ipa-client-install
CB 1529 %{_sbindir}/ipa-client-automount
e3ffab 1530 %{_sbindir}/ipa-certupdate
99b6f7 1531 %{_sbindir}/ipa-getkeytab
CB 1532 %{_sbindir}/ipa-rmkeytab
1533 %{_sbindir}/ipa-join
ac7d03 1534 %{_bindir}/ipa
CS 1535 %config %{_sysconfdir}/bash_completion.d
1536 %{_mandir}/man1/ipa.1*
1537 %{_mandir}/man1/ipa-getkeytab.1*
1538 %{_mandir}/man1/ipa-rmkeytab.1*
1539 %{_mandir}/man1/ipa-client-install.1*
1540 %{_mandir}/man1/ipa-client-automount.1*
1541 %{_mandir}/man1/ipa-certupdate.1*
1542 %{_mandir}/man1/ipa-join.1*
403b09 1543
CS 1544
1545 %files -n python2-ipaclient
1546 %defattr(-,root,root,-)
ac7d03 1547 %doc README.md Contributors.txt
403b09 1548 %license COPYING
CS 1549 %dir %{python_sitelib}/ipaclient
1550 %{python_sitelib}/ipaclient/*.py*
ac7d03 1551 %dir %{python_sitelib}/ipaclient/install
CS 1552 %{python_sitelib}/ipaclient/install/*.py*
1553 %dir %{python_sitelib}/ipaclient/plugins
403b09 1554 %{python_sitelib}/ipaclient/plugins/*.py*
ac7d03 1555 %dir %{python_sitelib}/ipaclient/remote_plugins
403b09 1556 %{python_sitelib}/ipaclient/remote_plugins/*.py*
3f51ca 1557 %dir %{python_sitelib}/ipaclient/remote_plugins/2_*
403b09 1558 %{python_sitelib}/ipaclient/remote_plugins/2_*/*.py*
ac7d03 1559 # RHEL spec file only: DELETED: Remove csrgen
403b09 1560 %{python_sitelib}/ipaclient-*.egg-info
CS 1561
1562
1563 %if 0%{?with_python3}
1564
1565 %files -n python3-ipaclient
1566 %defattr(-,root,root,-)
ac7d03 1567 %doc README.md Contributors.txt
403b09 1568 %license COPYING
CS 1569 %dir %{python3_sitelib}/ipaclient
1570 %{python3_sitelib}/ipaclient/*.py
1571 %{python3_sitelib}/ipaclient/__pycache__/*.py*
ac7d03 1572 %dir %{python3_sitelib}/ipaclient/install
CS 1573 %{python3_sitelib}/ipaclient/install/*.py
1574 %{python3_sitelib}/ipaclient/install/__pycache__/*.py*
1575 %dir %{python3_sitelib}/ipaclient/plugins
403b09 1576 %{python3_sitelib}/ipaclient/plugins/*.py
CS 1577 %{python3_sitelib}/ipaclient/plugins/__pycache__/*.py*
ac7d03 1578 %dir %{python3_sitelib}/ipaclient/remote_plugins
403b09 1579 %{python3_sitelib}/ipaclient/remote_plugins/*.py
CS 1580 %{python3_sitelib}/ipaclient/remote_plugins/__pycache__/*.py*
3f51ca 1581 %dir %{python3_sitelib}/ipaclient/remote_plugins/2_*
403b09 1582 %{python3_sitelib}/ipaclient/remote_plugins/2_*/*.py
CS 1583 %{python3_sitelib}/ipaclient/remote_plugins/2_*/__pycache__/*.py*
ac7d03 1584 # RHEL spec file only: DELETED: Remove csrgen
403b09 1585 %{python3_sitelib}/ipaclient-*.egg-info
CS 1586
1587 %endif # with_python3
1588
1589
1590 %files client-common
1591 %defattr(-,root,root,-)
ac7d03 1592 %doc README.md Contributors.txt
403b09 1593 %license COPYING
CS 1594 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/
1595 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/default.conf
1596 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/ca.crt
1597 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/nssdb
1598 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/cert8.db
1599 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/key3.db
1600 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/secmod.db
1601 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/pwdfile.txt
1602 %ghost %config(noreplace) %{_sysconfdir}/pki/ca-trust/source/ipa.p11-kit
1603 %dir %{_localstatedir}/lib/ipa-client
ac7d03 1604 %dir %{_localstatedir}/lib/ipa-client/pki
403b09 1605 %dir %{_localstatedir}/lib/ipa-client/sysrestore
ac7d03 1606 %{_mandir}/man5/default.conf.5*
99b6f7 1607
403b09 1608
CS 1609 %files python-compat
99b6f7 1610 %defattr(-,root,root,-)
ac7d03 1611 %doc README.md Contributors.txt
403b09 1612 %license COPYING
CS 1613
1614
1615 %files -n python2-ipalib
1616 %defattr(-,root,root,-)
ac7d03 1617 %doc README.md Contributors.txt
403b09 1618 %license COPYING
99b6f7 1619 %dir %{python_sitelib}/ipapython
CB 1620 %{python_sitelib}/ipapython/*.py*
590d18 1621 %dir %{python_sitelib}/ipapython/install
CS 1622 %{python_sitelib}/ipapython/install/*.py*
99b6f7 1623 %dir %{python_sitelib}/ipalib
ac7d03 1624 %{python_sitelib}/ipalib/*.py*
CS 1625 %dir %{python_sitelib}/ipalib/install
1626 %{python_sitelib}/ipalib/install/*.py*
e3ffab 1627 %dir %{python_sitelib}/ipaplatform
CS 1628 %{python_sitelib}/ipaplatform/*
99b6f7 1629 %{python_sitelib}/ipapython-*.egg-info
403b09 1630 %{python_sitelib}/ipalib-*.egg-info
e3ffab 1631 %{python_sitelib}/ipaplatform-*.egg-info
403b09 1632
CS 1633
1634 %files common -f %{gettext_domain}.lang
1635 %defattr(-,root,root,-)
ac7d03 1636 %doc README.md Contributors.txt
403b09 1637 %license COPYING
CS 1638
1639
1640 %if 0%{?with_python3}
1641
1642 %files -n python3-ipalib
1643 %defattr(-,root,root,-)
ac7d03 1644 %doc README.md Contributors.txt
403b09 1645 %license COPYING
CS 1646
1647 %{python3_sitelib}/ipapython/
1648 %{python3_sitelib}/ipalib/
1649 %{python3_sitelib}/ipaplatform/
1650 %{python3_sitelib}/ipapython-*.egg-info
1651 %{python3_sitelib}/ipalib-*.egg-info
1652 %{python3_sitelib}/ipaplatform-*.egg-info
1653
1654 %endif # with_python3
1655
e3ffab 1656
ac7d03 1657 %if 0%{?with_ipatests}
CS 1658
1659 %files -n python2-ipatests
1660 %defattr(-,root,root,-)
1661 %doc README.md Contributors.txt
1662 %license COPYING
1663 %{python_sitelib}/ipatests
1664 %{python_sitelib}/ipatests-*.egg-info
1665 %{_bindir}/ipa-run-tests
1666 %{_bindir}/ipa-test-config
1667 %{_bindir}/ipa-test-task
1668 %{_bindir}/ipa-run-tests-2
1669 %{_bindir}/ipa-test-config-2
1670 %{_bindir}/ipa-test-task-2
1671 %{_bindir}/ipa-run-tests-%{python2_version}
1672 %{_bindir}/ipa-test-config-%{python2_version}
1673 %{_bindir}/ipa-test-task-%{python2_version}
1674 %{_mandir}/man1/ipa-run-tests.1*
1675 %{_mandir}/man1/ipa-test-config.1*
1676 %{_mandir}/man1/ipa-test-task.1*
1677
1678 %if 0%{?with_python3}
1679
1680 %files -n python3-ipatests
1681 %defattr(-,root,root,-)
1682 %doc README.md Contributors.txt
1683 %license COPYING
1684 %{python3_sitelib}/ipatests
1685 %{python3_sitelib}/ipatests-*.egg-info
1686 %{_bindir}/ipa-run-tests-3
1687 %{_bindir}/ipa-test-config-3
1688 %{_bindir}/ipa-test-task-3
1689 %{_bindir}/ipa-run-tests-%{python3_version}
1690 %{_bindir}/ipa-test-config-%{python3_version}
1691 %{_bindir}/ipa-test-task-%{python3_version}
1692
1693 %endif # with_python3
1694
1695 %endif # with_ipatests
99b6f7 1696
1df45c 1697
403b09 1698 %changelog
731b96 1699 * Mon May 14 2018 CentOS Sources <bugs@centos.org> - 4.5.4-10.el7.centos.1
CS 1700 - Roll in CentOS Branding
1701
beb795 1702 * Tue Apr 10 2018 Florence Blanc-Renaud <frenaud@redhat.com> - 4.5.4-11.el7
CS 1703 - Resolves: #1565519 Clarify the need to restart services in ipa-server-certinstall(1)
1704   - Add a notice to restart ipa services after certs are installed
1705 - Resolves: #1564390 OTP and Radius Authentication does not work in FIPS mode
1706   - Fix OTP validation in FIPS mode
1707   - Increase the default token key size
1708   - Revert "Don't allow OTP or RADIUS in FIPS mode"
1709   - Log errors from NSS during FIPS OTP key import
1710 - Resolves: #1565520 ipa client pointing to replica shows KDC has no support for encryption type
1711   - ipa-replica-install: make sure that certmonger picks the right master
1712 - Resolves: #1565605 DNS records updated with all IPAddresses of an interface when IPA server/replica try to install with Specific IP address of that interface
1713   - replica-install: pass --ip-address to client install
51e719 1714
3f51ca 1715 * Wed Feb 07 2018 Florence Blanc-Renaud <frenaud@redhat.com> - 4.5.4-10.el7
CS 1716 - Resolves: #1540361 ipa-advise for smartcards is out-of-date
1717   - ipa-advise for smartcards updated
c303b2 1718
3f51ca 1719 * Mon Jan 15 2018 Florence Blanc-Renaud <frenaud@redhat.com> - 4.5.4-9.el7
CS 1720 - Resolves: #1458169 --force-join option is not mentioned in ipa-replica-install man page
1721   - Add --force-join into ipa-replica-install manpage
1722 - Resolves: #1457876 ipa-backup fails silently
1723   - Changed ownership of ldiffile to DS_USER
1724 - Resolves: #1409786 Second phase of --external-ca ipa-server-install setup fails when dirsrv is not running
1725   - Checks if Dir Server is installed and running before IPA installation
1726 - Resolves: #1452086 Pagination Size under Customization in IPA WebUI accepts negative values
1727   - WebUI: Add positive number validator
1728   - WebUI: change validator of page size settings
1729   - WebUI: fix jslint error
e0b2c4 1730
3f51ca 1731 * Wed Jan 10 2018 Florence Blanc-Renaud <frenaud@redhat.com> - 4.5.4-8.el7
CS 1732 - Resolves: #1477531 Incorrect attribute level rights (ipaallowedtoperform) of service object
1733   - WebUI: make keytab tables on service and host pages writable
1734 - Resolves: #1529444 ObjectclassViolation seen while adding idview with domain-resolution-order option
1735   - Idviews: fix objectclass violation on idview-add
1736 - Resolves: #1451576 ipa cert-request failed to generate certificate from csr
1737   - Fixing the cert-request comparing whole email address case-sensitively.
1738
1739 * Wed Dec 13 2017 Florence Blanc-Renaud <frenaud@redhat.com> - 4.5.4-7.el7
1740 - Resolves: #1421869 Unable to re-add broken AD trust - Unexpected Information received
1741   - adtrust: filter out subdomains when defining our topology to AD
1742 - Resolves: #1486286 IPA failing to authenticate via password+OTP on RHEL7.4 with fips enabled
1743   - Don't allow OTP or RADIUS in FIPS mode
1744 - Resolves: #1494226 IPA User Details not being displayed in WebUI
1745   - Fix cert-find for CA-less installations
1746 - Resolves: #1498387 389-ds-base crashed as part of ipa-server-intall in ipa-uuid
1747   - 389-ds-base crashed as part of ipa-server-intall in ipa-uuid
1748 - Resolves: #1503022 ipa-getkeytab man page should have more details about consequences of krb5 key renewal
1749   - ipa-getkeytab man page: add more details about the -r option
1750 - Resolves: #1509288 IPA trust-add internal error (expected security.dom_sid got None)
1751   - ipaserver/plugins/trust.py; fix some indenting issues
1752   - trust: detect and error out when non-AD trust with IPA domain name exists
1753   - ipaserver/plugins/trust.py: pep8 compliance
1754 - Resolves: #1511019 ipa-restore broken with python2
1755   - Fix ipa-restore (python2)
1756 - Resolves: #1511607 ipa-backup does not backup Custodia keys and files
1757   - Backup ipa-custodia conf and keys
1758 - Resolves: #1512482 kra install fails after ipa cert renewed
1759   - Don't use admin cert during KRA installation
1760   - Prevent set_directive from clobbering other keys
1761   - pep8: reduce line lengths in CAInstance.__enable_crl_publish
1762   - installutils: refactor set_directive
1763   - Add tests for installutils.set_directive
1764   - Add safe DirectiveSetter context manager
1765   - Old pylint doesn't support bad python3 option
1766 - Resolves: #1514163 CA less IPA install with external certificates fails on RHEL 7 in FIPS mode
1767   - Fix ca less IPA install on fips mode
1768
1769 * Mon Dec 04 2017 Alexander Bokovoy <abokovoy@redhat.com> - 4.5.4-6.el7
1770 - Resolves: #1520279 - rebuild against samba 4.7
1771
1772 * Thu Nov 30 2017 Alexander Bokovoy <abokovoy@redhat.com> - 4.5.4-5.el7
1773 - Resolves: #1415162 ipa-exdom-extop plugin can exhaust DS worker threads
1774 - Resolves: #1378892 host-find slowness caused by missing host attributes in index
1775
1776 * Fri Nov 3 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.4-4.el7
1777 - Resolves: #1388135 [RFE] limit the retro changelog to dns subtree.
1778   - ldap: limit the retro changelog to dns subtree
1779 - Resolves: #1427798 Use X509v3 Basic Constraints "CA:TRUE" instead
1780   of "CA:FALSE" IPA CA CSR
1781   - Include the CA basic constraint in CSRs when renewing a CA
1782 - Resolves: #1493145 ipa-replica-install might fail because of an already
3f8296 1783   existing entry cn=ipa-http-delegation,cn=s4u2proxy,cn=etc,$SUFFIX
3f51ca 1784   - Checks if replica-s4u2proxy.ldif should be applied
CS 1785 - Resolves: #1493150 [RFE] set nsslapd-ignore-time-skew: on by default
1786   - ds: ignore time skew during initial replication step
1787   - ipa-replica-manage: implicitly ignore initial time skew in force-sync 
1788 - Resolves: #1500218 Replica installation at domain-level 0 fails against
1789   upgraded ipa-server
1790   - Fix ipa-replica-conncheck when called with --principal
1791 - Resolves: #1506188 server-del doesn't remove dns-server configuration
3f8296 1792   from ldap
3f51ca 1793
CS 1794 * Thu Oct 26 2017 Rob Crittenden <rcritten@redhat.com> - 4.5.4-3.el7
1795 - Drop workaround for building on AArch64 (#1482244)
1796 - Temporarily reduce Requires on python-netaddr to 0.7.5-7 (#1506485)
1797
1798 * Tue Oct 24 2017 Felipe Barreto <fbarreto@redhat.com> - 4.5.4-2.el7
1799 - Resolves: #1461177 ipa-otptoken-import  - XML file is missing PBKDF2
1800   parameters!
1801 - Resolves: #1464205 NULL LDAP context in call to ldap_search_ext_s during
1802   search in cn=ad, cn=trusts,dc=example,dc=com
1803 - Resolves: #1467887 iommu platform support for ipxe
1804 - Resolves: #1477178 [ipa-replica-install] - 406 Client Error: Failed to
1805   validate message: Incorrect number of results (0) searching forpublic key for
1806   host
1807 - Resolves: #1478251 IPA WebUI does not work after upgrade from IPA 4.4 to
1808   4.5
1809 - Resolves: #1480102 ipa-server-upgrade failes with "This entry already
1810   exists"
1811 - Resolves: #1482802 Unable to set ca renewal master on replica
1812 - Resolves: #1484428 Updating from RHEL 7.3 fails with Server-Cert not found
1813   (ipa-server-upgrade)
1814 - Resolves: #1484826 FreeIPA/IdM installations which were upgraded from
1815   versions with 389 DS prior to 1.3.3.0 doesn't have whomai plugin enabled and
1816   thus startup of Web UI fails
1817 - Resolves: #1486283 TypeError in renew_ca_cert prevents from swiching back
1818   to self-signed CA
1819 - Resolves: #1469246 Replica install fails to configure IPA-specific
1820   temporary files/directories
1821 - Resolves: #1469480 bind package is not automatically updated during
1822   ipa-server upgrade process
1823 - Resolves: #1475238 Use CommonNameToSANDefault in default profile (new
1824   installs only)
1825 - Resolves: #1477703 IPA upgrade fails for latest ipa package
1826
1827 * Fri Oct 20 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.4-1.el7
1828 - Use OpenJDK 8 to bootstrap on AArch64 until RH1482244 is resolved in
1829   buildroot
1830 - Resolves: #1470177 - Rebase IPA to latest 4.5.x version
1831 - Resolves: #1398594 ipa topologysuffix-verify should only warn about 
1832   maximum number of replication agreements. 
1833 - Resolves: #1404236 Web UI: Change "Host Based" and "Role Based" 
1834   to "Host-Based" and "Role-Based" 
1835 - Resolves: #1409786 Second phase of --external-ca ipa-server-install
1836   setup fails when dirsrv is not running
1837 - Resolves: #1451576 ipa cert-request failed to generate certificate from csr 
1838 - Resolves: #1452086 Pagination Size under Customization in IPA WebUI 
1839   accepts negative values
1840 - Resolves: #1458169 --force-join option is not mentioned in 
1841   ipa-replica-install man page 
1842 - Resolves: #1463186 IPA shouldn't allow objectclass if not all in lower case 
1843 - Resolves: #1478322 user-show command fails when sizelimit is configured 
1844   to number <= number of entity which is user member of 
1845 - Resolves: #1496775 Enterprise principals should be able to trigger
1846   a refresh of the trusted domain data in the KDC
1847 - Resolves: #1502533 Changing cert-find to go through the proxy 
1848   instead of using the port 8080
1849 - Resolves: #1502663 pkinit-status command fails after an upgrade from
1850   a pre-4.5 IPA
1851 - Resolves: #1498168 Error when trying to modify a PTR record
1852 - Resolves: #1457876 ipa-backup fails silently
1853 - Resolves: #1493531 In case full PKINIT configuration is failing during 
1854   server/replica install the error message should be more meaningful.
1855 - Resolves: #1449985 Suggest CA installation command in KRA installation
1856   warning
8ae601 1857
460745 1858 * Wed Sep 20 2017 Felipe Barreto <fbarreto@redhat.com> - 4.5.0-21.el7.2.2
3f51ca 1859 - Resolves: #1477367 ipa-server-upgrade timeouts on wait_for_open ports
460745 1860   expecting IPA services listening on IPv6 ports
CS 1861     - Make sure upgrade also checks for IPv6 stack
1862     - control logging of host_port_open from caller
1863     - log progress of wait_for_open_ports
3f51ca 1864 - Resolves: #1477243 ipa help command returns traceback when no cache
460745 1865   is present
CS 1866     - Store help in Schema before writing to disk
1867     - Disable pylint in get_help function because of type confusion.
54aec5 1868
460745 1869 * Tue Sep 19 2017 Felipe Barreto <fbarreto@redhat.com> - 4.5.0-21.el7.2
3f51ca 1870 - Resolves: #1477178 - [ipa-replica-install] - 406 Client Error: Failed to
460745 1871   validate message: Incorrect number of results (0) searching forpublic
CS 1872   key for host
1873     - Always check peer has keys before connecting
3f51ca 1874 - Resolves: #1482802 - Unable to set ca renewal master on replica
460745 1875     - Fix ipa config-mod --ca-renewal-master
3f51ca 1876 - Resolves: #1486283 - TypeError in renew_ca_cert prevents from swiching
460745 1877   back to self-signed CA
CS 1878     - Backport PR 988 to ipa-4-5 Fix Certificate renewal (with ext ca)
3f51ca 1879 - Resolves: #1480102 - ipa-server-upgrade failes with "This entry already exists"
460745 1880     - Backport PR 1008 to ipa-4-5 Fix ipa-server-upgrade: This entry already exists
3f51ca 1881 - Resolves: #1484826 - FreeIPA/IdM installations which were upgraded from
460745 1882   versions with 389 DS prior to 1.3.3.0 doesn't have whomai plugin enabled and
CS 1883   thus startup of Web UI fails
1884     - Adds whoami DS plugin in case that plugin is missing
3f51ca 1885 - Resolves: #1478251 - IPA WebUI does not work after upgrade from IPA 4.4 to 4.5
460745 1886     - Fixing how sssd.conf is updated when promoting a client to replica
3f51ca 1887 - Resolves: #1461177 - ipa-otptoken-import - XML file is missing PBKDF2
460745 1888   parameters!
CS 1889     - ipa-otptoken-import: Make PBKDF2 refer to the pkcs5 namespace
3f51ca 1890 - Resolves: #1484428 - Updating from RHEL 7.3 fails with Server-Cert not found
460745 1891   (ipa-server-upgrade)
CS 1892     - Backport 4-5: Fix ipa-server-upgrade with server cert tracking
3169c7 1893
3f51ca 1894 * Thu Aug 17 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-21.el7.1.2
CS 1895 - Resolves: #1477703 IPA upgrade fails for latest ipa package
1896     - Restore old version of caIPAserviceCert for upgrade only
b38368 1897
CS 1898 * Tue Aug 15 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-21.el7.1.1
3f51ca 1899 - Resolves: #1475238 Use CommonNameToSANDefault in default profile
b38368 1900   (new installs only)
CS 1901   - Restore old version of caIPAserviceCert for upgrade only
1902
3f51ca 1903 * Fri Jul 28 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-21.el7.1
CS 1904 - Resolves: #1455946 Provide a tooling automating the configuration 
b38368 1905   of Smart Card authentication on a FreeIPA master
CS 1906   - smart-card advises: configure systemwide NSS DB also on master
1907   - smart-card advises: add steps to store smart card signing CA cert
1908   - Allow to pass in multiple CA cert paths to the smart card advises
1909   - add a class that tracks the indentation in the generated advises
1910   - delegate the indentation handling in advises to dedicated class
1911   - advise: add an infrastructure for formatting Bash compound statements
1912   - delegate formatting of compound Bash statements to dedicated classes
1913   - Fix indentation of statements in Smart card advises
1914   - Use the compound statement formatting API for configuring PKINIT
1915   - smart card advises: use a wrapper around Bash `for` loops
1916   - smart card advise: use password when changing trust flags on HTTP cert
1917   - smart-card-advises: ensure that krb5-pkinit is installed on client
3f51ca 1918 - Resolves: #1475238 Use CommonNameToSANDefault in default profile 
b38368 1919   (new installs only)
CS 1920   - Add CommonNameToSANDefault to default cert profile
3f51ca 1921 - Resolves: #1464205 NULL LDAP context in call to ldap_search_ext_s
b38368 1922   during search in cn=ad,cn=trusts,dc=example,dc=com
CS 1923   - NULL LDAP context in call to ldap_search_ext_s during search
080ee6 1924
8ec14d 1925 * Wed Jul 12 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-21.el7
3f51ca 1926 - Resolves: #1469246 Replica install fails to configure IPA-specific
8ec14d 1927   temporary files/directories
CS 1928   - replica install: drop-in IPA specific config to tmpfiles.d
3f51ca 1929 - Resolves: #1469480 bind package is not automatically updated during
8ec14d 1930   ipa-server upgrade process
CS 1931   - Bumped Required version of bind-dyndb-ldap and bind package
0c092f 1932
ac7d03 1933 * Tue Jun 27 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-20.el7
CS 1934 - Resolves: #1452216 Replica installation grants HTTP principal
1935   access in WebUI
1936   - Make sure we check ccaches in all rpcserver paths
1937
1938 * Wed Jun 21 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-19.el7
1939 - Resolves: #1462112 ipaserver installation fails in FIPS mode: OpenSSL
1940   internal error, assertion failed: Digest MD4 forbidden in FIPS mode!
1941   - ipa-sam: replace encode_nt_key() with E_md4hash() 
1942   - ipa_pwd_extop: do not generate NT hashes in FIPS mode
1943 - Resolves: #1377973 ipa-server-install fails when the provided or resolved
1944   IP address is not found on local interfaces 
1945   - Fix local IP address validation 
1946   - ipa-dns-install: remove check for local ip address
1947   - refactor CheckedIPAddress class
1948   - CheckedIPAddress: remove match_local param
1949   - Remove ip_netmask from option parser
1950   - replica install: add missing check for non-local IP address
1951   - Remove network and broadcast address warnings
1952
1953 * Thu Jun 15 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-18.el7
1954 - Resolves: #1449189 ipa-kra-install timeouts on replica
1955   - kra: promote: Get ticket before calling custodia
1956
1957 * Wed Jun 14 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-17.el7
1958 - Resolve: #1455946 Provide a tooling automating the configuration 
1959   of Smart Card authentication on a FreeIPA master
1960   - server certinstall: update KDC master entry
1961   - pkinit manage: introduce ipa-pkinit-manage
1962   - server upgrade: do not enable PKINIT by default
1963   - Extend the advice printing code by some useful abstractions
1964   - Prepare advise plugin for smart card auth configuration
1965 - Resolve: #1461053 allow to modify list of UPNs of a trusted forest
1966   - trust-mod: allow modifying list of UPNs of a trusted forest
1967   - WebUI: add support for changing trust UPN suffixes
1968
1969 * Wed Jun 7 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-16.el7
1970 - Resolves: #1377973 ipa-server-install fails when the provided or resolved
1971   IP address is not found on local interfaces
1972   - Only warn when specified server IP addresses don't match intf
1973 - Resolves: #1438016 gssapi errors after IPA server upgrade
1974   - Bump version of python-gssapi
1975 - Resolves: #1457942 certauth: use canonical principal for lookups
1976   - ipa-kdb: use canonical principal in certauth plugin
1977 - Resolves: #1459153 Do not send Max-Age in ipa_session cookie to avoid
1978   breaking older clients
1979   - Add code to be able to set default kinit lifetime
1980   - Revert setting sessionMaxAge for old clients
1981
1982 * Wed Jun 7 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-15.el7
1983 - Resolves: #1442233 IPA client commands fail when pointing to replica 
1984   - httpinstance: wait until the service entry is replicated
1985 - Resolves: #1456769 ipaAnchorUUID index incorrectly configured and then
1986   not indexed
1987   - Fix index definition for ipaAnchorUUID
1988 - Resolves: #1438016 gssapi errors after IPA server upgrade
1989   - Avoid possible endless recursion in RPC call
1990   - rpc: preparations for recursion fix
1991   - rpc: avoid possible recursion in create_connection
1992 - Resolves: #1446087 services entries missing krbCanonicalName attribute.
1993   - Changing cert-find to do not use only primary key to search in LDAP.
1994 - Resolves: #1452763 ipa certmaprule change not reflected in krb5kdc workers
1995   - ipa-kdb: reload certificate mapping rules periodically
1996 - Resolves: #1455541 after upgrade login from web ui breaks
1997   - kdc.key should not be visible to all 
1998 - Resolves: #1435606 Add pkinit_indicator option to KDC configuration
1999   - ipa-kdb: add pkinit authentication indicator in case of a successful
2000     certauth
2001 - Resolves: #1455945 Enabling OCSP checks in mod_nss breaks certificate
2002   issuance when ipa-ca records are not resolvable
2003   - Turn off OCSP check
2004 - Resolves: #1454483 rhel73 ipa ui - cannot del server - IPA Error 903 -
2005   server_del - TypeError: 'NoneType' object is not iterable
2006   - fix incorrect suffix handling in topology checks
2007
2008 * Wed May 24 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-14.el7
2009 - Resolves: #1438731 Extend ipa-server-certinstall and ipa-certupdate to 
2010   handle PKINIT certificates/anchors
2011   - certdb: add named trust flag constants
2012   - certdb, certs: make trust flags argument mandatory
2013   - certdb: use custom object for trust flags
2014   - install: trust IPA CA for PKINIT
2015   - client install: fix client PKINIT configuration
2016   - install: introduce generic Kerberos Augeas lens
2017   - server install: fix KDC PKINIT configuration
2018   - ipapython.ipautil.run: Add option to set umask before executing command
2019   - certs: do not export keys world-readable in install_key_from_p12
2020   - certs: do not export CA certs in install_pem_from_p12
2021   - server install: fix KDC certificate validation in CA-less
2022   - replica install: respect --pkinit-cert-file
2023   - cacert manage: support PKINIT
2024   - server certinstall: support PKINIT
2025 - Resolves: #1444432 CA-less pkinit not installable with --pkinit-cert-file
2026   option
2027   - certs: do not export CA certs in install_pem_from_p12
2028   - server install: fix KDC certificate validation in CA-less
2029 - Resolves: #1451228 ipa-kra-install fails when primary KRA server has been
2030   decommissioned
2031   - ipa-kra-install: fix pkispawn setting for pki_security_domain_hostname 
2032 - Resolves: #1451712 KRA installation fails on server that was originally
2033   installed as CA-less
2034   - ipa-ca-install: append CA cert chain into /etc/ipa/ca.crt
2035 - Resolves: #1441499 ipa cert-show does not raise error if no file name
2036   specified
2037   - ca/cert-show: check certificate_out in options
2038 - Resolves: #1449522 Deprecate `ipa pkinit-anonymous` command in FreeIPA 4.5+
2039   - Remove pkinit-anonymous command
2040 - Resolves: #1449523 Provide an API command to retrieve PKINIT status
2041   in the FreeIPA topology
2042   - Allow for multivalued server attributes
2043   - Refactor the role/attribute member reporting code
2044   - Add an attribute reporting client PKINIT-capable servers
2045   - Add the list of PKINIT servers as a virtual attribute to global config
2046   - Add `pkinit-status` command
2047   - test_serverroles: Get rid of MockLDAP and use ldap2 instead
2048 - Resolves: #1452216 Replica installation grants HTTP principal access in WebUI
2049   - Fix rare race condition with missing ccache file
2050 - Resolves: #1455045 Simple service uninstallers must be able to handle
2051   missing service files gracefully
2052   - only stop/disable simple service if it is installed
2053 - Resolves: #1455541 after upgrade login from web ui breaks
2054   - krb5: make sure KDC certificate is readable
2055 - Resolves: #1455862 "ipa: ERROR: an internal error has occurred" on executing
2056   command "ipa cert-request --add" after upgrade
2057   - Change python-cryptography to python2-cryptography 
2058
2059 * Thu May 18 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-13.el7
2060 - Resolves: #1451804 "AttributeError: 'tuple' object has no attribute 'append'"
2061   error observed during ipa upgrade with latest package. 
2062   - ipa-server-install: fix uninstall
2063 - Resolves: #1445390 ipa-[ca|kra]-install with invalid DM password break
2064   replica 
2065   - ca install: merge duplicated code for DM password
2066   - installutils: add DM password validator
2067   - ca, kra install: validate DM password
2068
2069 * Tue May 16 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-12.el7
2070 - Resolves: #1447284 Upgrade from ipa-4.1 fails when enabling KDC proxy
2071   - python2-ipalib: add missing python dependency
2072   - installer service: fix typo in service entry
2073   - upgrade: add missing suffix to http instance
2074 - Resolves: #1444791 Update man page of ipa-kra-install 
2075   - ipa-kra-install manpage: document domain-level 1
2076 - Resolves: #1441493 ipa cert-show raises stack traces when
2077   --certificate-out=/tmp 
2078   - cert-show: writable files does not mean dirs 
2079 - Resolves: #1441192 Add the name of URL parameter which will be check for
2080   username during cert login
2081   - Bump version of ipa.conf file
2082 - Resolves: #1378797 Web UI must check OCSP and CRL during smartcard login
2083   - Turn on NSSOCSP check in mod_nss conf
2084 - Resolves: #1322963 Errors from AD when trying to sign ipa.csr, conflicting
2085   template on
2086   - renew agent: respect CA renewal master setting
2087   - server upgrade: always fix certmonger tracking request
2088   - cainstance: use correct profile for lightweight CA certificates
2089   - renew agent: allow reusing existing certs
2090   - renew agent: always export CSR on IPA CA certificate renewal
2091   - renew agent: get rid of virtual profiles
2092   - ipa-cacert-manage: add --external-ca-type
2093 - Resolves: #1441593 error adding authenticator indicators to host 
2094   - Fixing adding authenticator indicators to host
2095 - Resolves: #1449525 Set directory ownership in spec file 
2096   - Added plugins directory to ipaclient subpackages
2097   - ipaclient: fix missing RPM ownership
2098 - Resolves: #1451279 otptoken-add-yubikey KeyError: 'ipatokenotpdigits'
2099   - otptoken-add-yubikey: When --digits not provided use default value
2100
2101 * Wed May 10 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-11.el7
2102 - Resolves: #1449189 ipa-kra-install timeouts on replica
2103   - ipa-kra-install: fix check_host_keys
2104
2105 * Wed May  3 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-10.el7
2106 - Resolves: #1438833 [ipa-replica-install] - 406 Client Error: Failed to
2107   validate message: Incorrect number of results (0) searching forpublic key for
2108   host
2109   - Make sure remote hosts have our keys
2110 - Resolves: #1442815 Replica install fails during migration from older IPA
2111   master
2112   - Refresh Dogtag RestClient.ca_host property
2113   - Remove the cachedproperty class
2114 - Resolves: #1444787 Update warning message when KRA installation fails
2115   - kra install: update installation failure message
2116 - Resolves: #1444896 ipa-server-install with external-ca fails in FIPS mode
2117   - ipa-server-install with external CA: fix pkinit cert issuance
2118 - Resolves: #1445397 GET in KerberosSession.finalize_kerberos_acquisition()
2119   must use FreeIPA CA
2120   - kerberos session: use CA cert with full cert chain for obtaining cookie
2121 - Resolves: #1447375 ipa-client-install: extra space in pkinit_anchors
2122   definition
2123   - ipa-client-install: remove extra space in pkinit_anchors definition
2124 - Resolves: #1447703 Fix SELinux contex of http.keytab during upgrade
2125   - Use proper SELinux context with http.keytab
2126
2127 * Fri Apr 28 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-9.el7
2128 - Resolves: #1200767 [RFE] Allow Kerberos authentication for users with
2129   certificates on smart cards (pkinit)
2130   - spec file: bump krb5 Requires for certauth fixes
2131 - Resolves: #1438729 Configure local PKINIT on DL0 or when '--no-pkinit' option
2132   is used
2133   - separate function to set ipaConfigString values on service entry
2134   - Allow for configuration of all three PKINIT variants when deploying KDC
2135   - API for retrieval of master's PKINIT status and publishing it in LDAP
2136   - Use only anonymous PKINIT to fetch armor ccache
2137   - Stop requesting anonymous keytab and purge all references of it
2138   - Use local anchor when armoring password requests
2139   - Upgrade: configure local/full PKINIT depending on the master status
2140   - Do not test anonymous PKINIT after install/upgrade
2141 - Resolves: #1442427 ipa.ipaserver.install.plugins.adtrust.
2142   update_tdo_gidnumber: ERROR Default SMB Group not found
2143   - upgrade: adtrust update_tdo_gidnumber plugin must check if adtrust is
2144     installed
2145 - Resolves: #1442932 ipa restore fails to restore IPA user
2146   - restore: restart/reload gssproxy after restore
2147 - Resolves: #1444896 ipa-server-install with external-ca fails in FIPS mode
2148   - Fix CA/server cert validation in FIPS
2149 - Resolves: #1444947 Deadlock between topology and schema-compat plugins
2150   - compat-manage: behave the same for all users
2151   - Move the compat plugin setup at the end of install
2152   - compat: ignore cn=topology,cn=ipa,cn=etc subtree
2153 - Resolves: #1445358 ipa vault-add raises TypeError
2154   - vault: piped input for ipa vault-add fails
2155 - Resolves: #1445382 ipa vault-retrieve fails to retrieve data from vault
2156   - Vault: Explicitly default to 3DES CBC
2157 - Resolves: #1445432 uninstall ipa client automount failed with RuntimeWarning
2158   - automount install: fix checking of SSSD functionality on uninstall
2159 - Resolves: #1446137 pki_client_database_password is shown in
2160   ipaserver-install.log
2161   - Hide PKI Client database password in log file
2162
2163 * Thu Apr 20 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-8.el7
2164 - Resolves: #1443869 Command "openssl pkcs12 ..." failed during IPA upgrade
2165   - Fix CAInstance.import_ra_cert for empty passwords
2166
2167 * Wed Apr 19 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-7.el7
2168 - Resolves: #1431520 ipa cert-find runs a large number of searches, so IPA
2169   WebUI is slow to display user details page
2170   - cert: defer cert-find result post-processing
2171 - Resolves: #1435611 Tracebacks seen from dogtag-ipa-ca-renew-agent-submit
2172   helper when installing replica
2173   - server-install: No double Kerberos install
2174 - Resolves: #1437502 ipa-replica-install fails with requirement to
2175   use --force-join that is a client install option.
2176   - Add the force-join option to replica install
2177   - replicainstall: better client install exception handling
2178 - Resolves: #1437953 Server CA-less impossible option check
2179   - server-install: remove broken no-pkinit check
2180 - Resolves: #1441160 FreeIPA client <= 4.4 fail to parse 4.5 cookies
2181   - Add debug log in case cookie retrieval went wrong
2182 - Resolves: #1441548 ipa server install fails with --external-ca option
2183   - ext. CA: correctly write the cert chain
2184 - Resolves: #1441718 Conversion of CA-less server to CA fails on CA instance
2185   spawn
2186   - Fix CA-less to CA-full upgrade
2187 - Resolves: #1442133 Do not link libkrad, liblber, libldap_r and
2188   libsss_nss_idmap to every binary in IPA
2189   - configure: fix AC_CHECK_LIB usage
2190 - Resolves: #1442815 Replica install fails during migration from older IPA
2191   master
2192   - Fix RA cert import during DL0 replication
2193 - Related: #1442004 Building IdM/FreeIPA internally on all architectures -
2194   filtering unsupported packages
2195   - Build all subpackages on all architectures
2196
2197 * Wed Apr 12 2017 Pavel Vomacka <pvomacka@redhat.com> - 4.5.0-6.el7
2198 - Resolves: #1382053 Need to have validation for idrange names
2199   - idrange-add: properly handle empty --dom-name option
2200 - Resolves: #1435611 Tracebacks seen from dogtag-ipa-ca-renew-agent-submit
2201   helper when installing replica
2202   - dsinstance: reconnect ldap2 after DS is restarted by certmonger
2203   - httpinstance: avoid httpd restart during certificate request
2204   - dsinstance, httpinstance: consolidate certificate request code
2205   - install: request service certs after host keytab is set up
2206   - renew agent: revert to host keytab authentication
2207   - renew agent, restart scripts: connect to LDAP after kinit
2208 - Resolves: #1436987 ipasam: gidNumber attribute is not created in the trusted
2209   domain entry
2210   - ipa-sam: create the gidNumber attribute in the trusted domain entry
2211   - Upgrade: add gidnumber to trusted domain entry
2212 - Resolves: #1438679 [ipa-replica-install] - IncorrectPasswordException:
2213   Incorrect client security database password
2214   - Add pki_pin only when needed
2215 - Resolves: #1438348 Console output message while adding trust should be
2216   mapped with texts changed in Samba.
2217   - ipaserver/dcerpc: unify error processing
2218 - Resolves: #1438366 ipa trust-fetch-domains: ValidationError: invalid
2219   'Credentials': Missing credentials for cross-forest communication
2220   - trust: always use oddjobd helper for fetching trust information
2221 - Resolves: #1441192 Add the name of URL parameter which will be check for
2222   username during cert login
2223   - WebUI: cert login: Configure name of parameter used to pass username
2224 - Resolves: #1437879 [copr] Replica install failing
2225   - Create system users for FreeIPA services during package installation
2226 - Resolves: #1441316 WebUI cert auth fails after ipa-adtrust-install
2227   - Fix s4u2self with adtrust
2228
2229 * Wed Apr  5 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-5.el7
2230 - Resolves: #1318186 Misleading error message during external-ca IPA master
2231   install
2232   - httpinstance: make sure NSS database is backed up
2233 - Resolves: #1331443 Re-installing ipa-server after uninstall fails with "ERROR
2234   CA certificate chain in ... incomplete"
2235   - httpinstance: make sure NSS database is backed up
2236 - Resolves: #1393726 Enumerate all available request type options in ipa
2237   cert-request help
2238   - Hide request_type doc string in cert-request help
2239 - Resolves: #1402959 [RFE] Universal Smart Card to Identity mapping
2240   - spec file: bump libsss_nss_idmap-devel BuildRequires
2241   - server: make sure we test for sss_nss_getlistbycert
2242 - Resolves: #1437378 ipa-adtrust-install produced an error and failed on
2243   starting smb when hostname is not FQDN
2244   - adtrust: make sure that runtime hostname result is consistent with the
2245     configuration
2246 - Resolves: #1437555 ipa-replica-install with DL0 fails to get annonymous
2247   keytab
2248   - Always check and create anonymous principal during KDC install
2249   - Remove duplicate functionality in upgrade
2250 - Resolves: #1437946 Upgrade to FreeIPA 4.5.0 does not configure anonymous
2251   principal for PKINIT
2252   - Upgrade: configure PKINIT after adding anonymous principal
2253   - Remove unused variable from failed anonymous PKINIT handling
2254   - Split out anonymous PKINIT test to a separate method
2255   - Ensure KDC is propery configured after upgrade
2256 - Resolves: #1437951 Remove pkinit-related options from server/replica-install
2257   on DL0
2258   - Fix the order of cert-files check
2259   - Don't allow setting pkinit-related options on DL0
2260   - replica-prepare man: remove pkinit option refs
2261   - Remove redundant option check for cert files
2262 - Resolves: #1438490 CA-less installation fails on publishing CA certificate
2263   - Get correct CA cert nickname in CA-less
2264   - Remove publish_ca_cert() method from NSSDatabase
2265 - Resolves: #1438838 Avoid arch-specific path in /etc/krb5.conf.d/ipa-certmap
2266   - IPA-KDB: use relative path in ipa-certmap config snippet
2267 - Resolves: #1439038 Allow erasing ipaDomainResolutionOrder attribute
2268   - Allow erasing ipaDomainResolutionOrder attribute
2269
2270 * Wed Mar 29 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-4.el7
2271 - Resolves: #1434032 Run ipa-custodia with custom SELinux context
2272   - Require correct custodia version
2273
2274 * Tue Mar 28 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-3.el7
2275 - Resolves: #800545 [RFE] Support SUDO command rename
2276   - Reworked the renaming mechanism
2277   - Allow renaming of the sudorule objects
2278 - Resolves: #872671 IPA WebUI login for AD Trusted User fails
2279   - WebUI: check principals in lowercase
2280   - WebUI: add method for disabling item in user dropdown menu
2281   - WebUI: Add support for login for AD users
2282 - Resolves: #1200767 [RFE] Allow Kerberos authentication for users with
2283   certificates on smart cards (pkinit)
2284   - ipa-kdb: add ipadb_fetch_principals_with_extra_filter()
2285   - IPA certauth plugin
2286   - ipa-kdb: do not depend on certauth_plugin.h
2287   - spec file: bump krb5-devel BuildRequires for certauth
2288 - Resolves: #1264370 RFE: disable last successful authentication by default in
2289   ipa.
2290   - Set "KDC:Disable Last Success" by default
2291 - Resolves: #1318186 Misleading error message during external-ca IPA master
2292   install
2293   - certs: do not implicitly create DS pin.txt
2294   - httpinstance: clean up /etc/httpd/alias on uninstall
2295 - Resolves: #1331443 Re-installing ipa-server after uninstall fails with "ERROR
2296   CA certificate chain in ... incomplete"
2297   - certs: do not implicitly create DS pin.txt
2298   - httpinstance: clean up /etc/httpd/alias on uninstall
2299 - Resolves: #1366572 [RFE] Web UI: allow Smart Card authentication
2300   - configure: fix --disable-server with certauth plugin
2301   - rpcserver.login_x509: Actually return reply from __call__ method
2302   - spec file: Bump requires to make Certificate Login in WebUI work
2303 - Resolves: #1402959 [RFE] Universal Smart Card to Identity mapping
2304   - extdom: do reverse search for domain separator
2305   - extdom: improve cert request
2306 - Resolves: #1430363 [RFE] HBAC rule names command rename
2307   - Reworked the renaming mechanism
2308   - Allow renaming of the HBAC rule objects
2309 - Resolves: #1433082 systemctl daemon-reload needs to be called after
2310   httpd.service.d/ipa.conf is manipulated
2311   - tasks: run `systemctl daemon-reload` after httpd.service.d updates
2312 - Resolves: #1434032 Run ipa-custodia with custom SELinux context
2313   - Use Custodia 0.3.1 features
2314 - Resolves: #1434384 RPC client should use HTTP persistent connection
2315   - Use connection keep-alive
2316   - Add debug logging for keep-alive
2317   - Increase Apache HTTPD's default keep alive timeout
2318 - Resolves: #1434729 man ipa-cacert-manage install needs clarification
2319   - man ipa-cacert-manage install needs clarification
2320 - Resolves: #1434910 replica install against IPA v3 master fails with ACIError
2321   - Fixing replica install: fix ldap connection in domlvl 0
2322 - Resolves: #1435394 Ipa-kra-install fails with weird output when backspace is
2323   used during typing Directory Manager password
2324   - ipapython.ipautil.nolog_replace: Do not replace empty value
2325 - Resolves: #1435397 ipa-replica-install can't install replica file produced by
2326   ipa-replica-prepare on 4.5
2327   - replica prepare: fix wrong IPA CA nickname in replica file
2328 - Resolves: #1435599 WebUI: in self-service Vault menu item is shown even if
2329   KRA is not installed
2330   - WebUI: Fix showing vault in selfservice view
2331 - Resolves: #1435718 As a ID user I cannot call a command with --rights option
2332   - ldap2: use LDAP whoami operation to retrieve bind DN for current connection
2333 - Resolves: #1436319 "Truncated search results" pop-up appears in user details
2334   in WebUI
2335   - WebUI: Add support for suppressing warnings
2336   - WebUI: suppress truncation warning in select widget
2337 - Resolves: #1436333 Uninstall fails with No such file or directory:
2338   '/var/run/ipa/services.list'
2339   - Create temporaty directories at the begining of uninstall
2340 - Resolves: #1436334 WebUI: Adding certificate mapping data using certificate
2341   fails
2342   - WebUI: Allow to add certs to certmapping with CERT LINES around
2343 - Resolves: #1436338 CLI doesn't work after ipa-restore
2344   - Backup ipa-specific httpd unit-file
2345   - Backup CA cert from kerberos folder
2346 - Resolves: #1436342 Bump samba version, required for FIPS mode and privilege
2347   separation
2348   - Bump samba version for FIPS and priv. separation
2349 - Resolves: #1436642 [ipalib/rpc.py] - "maximum recursion depth exceeded" with
2350   ipa vault commands
2351   - Avoid growing FILE ccaches unnecessarily
2352   - Handle failed authentication via cookie
2353   - Work around issues fetching session data
2354   - Prevent churn on ccaches
2355 - Resolves: #1436657 Add workaround for pki_pin for FIPS
2356   - Generate PIN for PKI to help Dogtag in FIPS
2357 - Resolves: #1436714 [vault] cache KRA transport cert
2358   - Simplify KRA transport cert cache
2359 - Resolves: #1436723 cert-find does not find all certificates without
2360   sizelimit=0
2361   - cert: do not limit internal searches in cert-find
2362 - Resolves: #1436724 Renewal of IPA RA fails on replica
2363   - dogtag-ipa-ca-renew-agent-submit: fix the is_replicated() function
2364 - Resolves: #1436753 Master tree fails to install
2365   - httpinstance.disable_system_trust: Don't fail if module 'Root Certs' is not
2366     available
2367
2368 * Tue Mar 21 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-2.el7
2369 - Resolves: #1432630 python2-jinja2 needed for python2-ipaclient
2370   - Remove csrgen
2371 - Resolves: #1432903 Set GssProxy options to enable caching of ldap tickets
2372   - Add options to allow ticket caching
2373
2374 * Wed Mar 15 2017 Jan Cholasta <jcholast@redhat.com> - 4.5.0-1.el7
2375 - Resolves: #828866 [RFE] enhance --subject option for ipa-server-install
2376 - Resolves: #1160555 ipa-server-install: Cannot handle double hyphen "--" in
2377   hostname
2378 - Resolves: #1286288 Insufficient 'write' privilege to the 'ipaExternalMember'
2379   attribute
2380 - Resolves: #1321652 ipa-server-install fails when using external certificates
2381   that encapsulate RDN components in double quotes
2382 - Resolves: #1327207 ipa cert-revoke --help doesn't provide enough info on
2383   revocation reasons
2384 - Resolves: #1340880 ipa-server-install: improve prompt on interactive
2385   installation
2386 - Resolves: #1353841 ipa-replica-install fails to install when resolv.conf
2387   incomplete entries
2388 - Resolves: #1356104 cert-show command does not display Subject Alternative
2389   Names
2390 - Resolves: #1357511 Traceback message seen when ipa is provided with invalid
2391   configuration file name
2392 - Resolves: #1358752 ipa-ca-install fails on replica when IPA server is
2393   converted from CA-less to CA-full
2394 - Resolves: #1366572 [RFE] Web UI: allow Smart Card authentication
2395 - Resolves: #1367572 improve error message in ipa migrate-ds: mention ipa
2396   config-mod --enable-migration=TRUE
2397 - Resolves: #1367868 Add options to retrieve lightweight CA certificate/chain
2398 - Resolves: #1371927 Implement ca-enable/disable commands.
2399 - Resolves: #1372202 Add Users into User Group editors fails to show Full names
2400 - Resolves: #1373091 Adding an auth indicator from the CLI creates an extra
2401   check box in the UI
2402 - Resolves: #1375596 Ipa-server WebUI - long user/group name show wrong error
2403   message
2404 - Resolves: #1375905 "Normal" group type in the UI is confusing
2405 - Resolves: #1376040 IPA client ipv6 - invalid --ip-address shows traceback
2406 - Resolves: #1376630 IDM admin password gets written to
2407   /root/.dogtag/pki-tomcat/ca/pkcs12_password.conf
2408 - Resolves: #1376729 ipa-server-install script option --no_hbac_allow should
2409   match other options
2410 - Resolves: #1378461 IPA Allows Password Reuse with History value defined when
2411   admin resets the password.
2412 - Resolves: #1379029 conncheck failing intermittently during single step
2413   replica installs
2414 - Resolves: #1379858 [RFE] better debugging for ipa-replica-conncheck
2415 - Resolves: #1384310 ipa dnsrecord-add fails with Keyerror stack trace
2416 - Resolves: #1392778 Update man page for ipa-adtrust-install by
2417   removing --no-msdcs option
2418 - Resolves: #1392858 Rebase to FreeIPA 4.5+
2419   - Rebase to 4.5.0
2420 - Resolves: #1399133 Delete option shouldn't be available for hosts applied to
2421   view.
2422 - Resolves: #1399190 [RFE] Certificates issued by externally signed IdM CA
2423   should contain full trust chain
2424 - Resolves: #1400416 RFE: Provide option to take backup of IPA server before
2425   uninstalling IPA server
2426 - Resolves: #1400529 cert-request is not aware of Kerberos principal aliases
2427 - Resolves: #1401526 IPA WebUI certificates are grayed out on overview page but
2428   not on details page
2429 - Resolves: #1402959 [RFE] Universal Smart Card to Identity mapping
2430 - Resolves: #1404750 ipa-client-install fails to get CA cert via LDAP when
2431   non-FQDN name of IPA server is first in /etc/hosts
2432 - Resolves: #1409628 [RFE] Semi-automatic integration with external DNS using
2433   nsupdate
2434 - Resolves: #1413742 Backport request for bug/issue Change IP address
2435   validation errors to warnings
2436 - Resolves: #1415652 IPA replica install log shows password in plain text
2437 - Resolves: #1427897 different behavior regarding system wide certs in master
2438   and replica.
2439 - Resolves: #1430314 The ipa-managed-entries command failed, exception:
2440   AttributeError: ldap2
5239bb 2441
76b7d5 2442 * Tue Mar 14 2017 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.7
ac7d03 2443 - Resolves: #1419735 ipa-replica-install fails promotecustodia.create_replica
76b7d5 2444   with cert errors (untrusted)
CS 2445   - added ssl verification using IPA trust anchor
ac7d03 2446 - Resolves: #1428472 batch param compatibility is incorrect
76b7d5 2447   - compat: fix `Any` params in `batch` and `dnsrecord`
CS 2448 - Renamed patches 1011 and 1012 to 0159 and 0157, as they were merged upstream
b2aa39 2449
ff14fa 2450 * Tue Jan 31 2017 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.6
ac7d03 2451 - Resolves: #1416454 replication race condition prevents IPA to install
ff14fa 2452   - wait_for_entry: use only DN as parameter
CS 2453   - Wait until HTTPS principal entry is replicated to replica
2454   - Use proper logging for error messages
2455
2456 * Tue Jan 31 2017 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.5
ac7d03 2457 - Resolves: #1365858 ipa-ca-install fails on replica when IPA Master is
ff14fa 2458   installed without CA
CS 2459   - Set up DS TLS on replica in CA-less topology
ac7d03 2460 - Resolves: #1398600 IPA replica install fails with dirsrv errors.
CS 2461   - Do not configure PKI ajp redirection to use "::1"
ff14fa 2462 - Resolves: #1413137 CVE-2017-2590 ipa: Insufficient permission check for
CS 2463   ca-del, ca-disable and ca-enable commands
2464   - ca: correctly authorise ca-del, ca-enable and ca-disable
8ffc8b 2465
34b659 2466 * Fri Dec 16 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.4
53a374 2467 - Resolves: #1370493 CVE-2016-7030 ipa: DoS attack against kerberized services
CS 2468   by abusing password policy
2469   - ipa-kdb: search for password policies globally
34b659 2470 - Renamed patches 1011 and 1012 to 0151 and 0150, as they were merged upstream
CS 2471
2472 * Tue Dec 13 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.3
ac7d03 2473 - Resolves: #1398670 Check IdM Topology for broken record caused by replication
34b659 2474   conflict before upgrading it
CS 2475   - Check for conflict entries before raising domain level
2476
2477 * Tue Dec 13 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.2
ac7d03 2478 - Resolves: #1382812 Creation of replica for disconnected environment is
CS 2479   failing with CA issuance errors; Need good steps.
2480   - gracefully handle setting replica bind dn group on old masters
2481 - Resolves: #1397439 ipa-ca-install on promoted replica hangs on creating a
34b659 2482   temporary CA admin
CS 2483   - replication: ensure bind DN group check interval is set on replica config
2484   - add missing attribute to ipaca replica during CA topology update
ac7d03 2485 - Resolves: #1401088 IPA upgrade of replica without DNS fails during restart of
34b659 2486   named-pkcs11
CS 2487   - bindinstance: use data in named.conf to determine configuration status
53a374 2488
CS 2489 * Mon Dec 12 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14.1
2490 - Resolves: #1370493 CVE-2016-7030 ipa: DoS attack against kerberized services
2491   by abusing password policy
2492   - password policy: Add explicit default password policy for hosts and
2493     services
2494 - Resolves: #1395311 CVE-2016-9575 ipa: Insufficient permission check in
2495   certprofile-mod
2496   - certprofile-mod: correctly authorise config update
a46197 2497
fef02c 2498 * Tue Nov  1 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-14
CS 2499 - Resolves: #1378353 Replica install fails with old IPA master sometimes during
2500   replication process
2501   - spec file: bump minimal required version of 389-ds-base
2502 - Resolves: #1387779 Make httpd publish CA certificate on Domain Level 1
2503   - Fix missing file that fails DL1 replica installation
2504 - Resolves: #1387782 WebUI: Services are not displayed correctly after upgrade
2505   - WebUI: services without canonical name are shown correctly
2506 - Resolves: #1389709 Traceback seen in error_log when trustdomain-del is run
2507   - trustdomain-del: fix the way how subdomain is searched
2508
2509 * Mon Oct 31 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-13
2510 - Resolves: #1318616 CA fails to start after doing ipa-ca-install --external-ca
2511   - Keep NSS trust flags of existing certificates
2512 - Resolves: #1360813 ipa-server-certinstall does not update all certificate
2513   stores and doesn't set proper trust permissions
2514   - Add cert checks in ipa-server-certinstall
2515 - Resolves: #1371479 cert-find --all does not show information about revocation
2516   - cert: add revocation reason back to cert-find output
2517 - Resolves: #1375133 WinSync users who have First.Last casing creates users who
2518   can have their password set
2519   - ipa passwd: use correct normalizer for user principals
2520 - Resolves: #1377858 Users with 2FA tokens are not able to login to IPA servers
2521   - Properly handle LDAP socket closures in ipa-otpd
2522 - Resolves: #1387779 Make httpd publish CA certificate on Domain Level 1
2523   - Make httpd publish its CA certificate on DL1
21794d 2524
403b09 2525 * Fri Sep 16 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-12
CS 2526 - Resolves: #1373910 IPA server upgrade fails with DNS timed out errors.
2527 - Resolves: #1375269 ipa trust-fetch-domains throws internal error
2528
2529 * Tue Sep 13 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-11
2530 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
2531   - Fix regression introduced in ipa-certupdate
2532
2533 * Wed Sep  7 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-10
2534 - Resolves: #1355753 adding two way non transitive(external) trust displays
2535   internal error on the console
2536   - Always fetch forest info from root DCs when establishing two-way trust
2537   - factor out `populate_remote_domain` method into module-level function
2538   - Always fetch forest info from root DCs when establishing one-way trust
2539 - Resolves: #1356101 Lightweight sub-CA certs are not tracked by certmonger
2540   after `ipa-replica-install`
2541   - Track lightweight CAs on replica installation
2542 - Resolves: #1357488 ipa command stuck forever on higher versioned client with
2543   lower versioned server
2544   - compat: Save server's API version in for pre-schema servers
2545   - compat: Fix ping command call
2546   - schema cache: Store and check info for pre-schema servers
2547 - Resolves: #1363905 man page for ipa-replica-manage has a typo in -c flag
2548   - Fix man page ipa-replica-manage: remove duplicate -c option
2549     from --no-lookup
2550 - Resolves: #1367865 webui: cert_revoke should use --cacn to set correct CA
2551   when revoking certificate
2552   - cert: include CA name in cert command output
2553   - WebUI add support for sub-CAs while revoking certificates
2554 - Resolves: #1368424 Unable to view certificates issued by Sub CA in Web UI
2555   - Add support for additional options taken from table facet
2556   - WebUI: Fix showing certificates issued by sub-CA
2557 - Resolves: #1368557 dnsrecord-add does not prompt for missing record parts
2558   internactively
2559   - dns: normalize record type read interactively in dnsrecord_add
2560   - dns: prompt for missing record parts in CLI
2561   - dns: fix crash in interactive mode against old servers
2562 - Resolves: #1370519 Certificate revocation in service-del and host-del isn't
2563   aware of Sub CAs
2564   - cert: fix cert-find --certificate when the cert is not in LDAP
2565   - Make host/service cert revocation aware of lightweight CAs
2566 - Resolves: #1371901 Use OAEP padding with custodia
2567   - Use RSA-OAEP instead of RSA PKCS#1 v1.5
2568 - Resolves: #1371915 When establishing external two-way trust, forest root
2569   Administrator account is used to fetch domain info
2570   - do not use trusted forest name to construct domain admin principal
2571 - Resolves: #1372597 Incorrect CA ACL evaluation of SAN DNS names in
2572   certificate request
2573   - Fix CA ACL Check on SubjectAltNames
2574 - Resolves: #1373272 CLI always sends default command version
2575   - cli: use full name when executing a command
2576 - Resolves: #1373359 ipa-certupdate fails with "CA is not configured"
2577   - Fix ipa-certupdate for CA-less installation
2578 - Resolves: #1373540 client-install with IPv6 address fails on link-local
2579   address (always)
2580   - Fix parse errors with link-local addresses
2581
2582 * Fri Sep  2 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-9
2583 - Resolves: #1081561 CA not start during ipa server install in pure IPv6 env
2584   - Fix ipa-server-install in pure IPv6 environment
2585 - Resolves: #1318169 Tree-root domains in a trusted AD forest aren't marked as
2586   reachable via the forest root
2587   - trust: make sure ID range is created for the child domain even if it exists
2588   - ipa-kdb: simplify trusted domain parent search
2589 - Resolves: #1335567 Update Warning in IdM Web UI API browser
2590   - WebUI: add API browser is tech preview warning
2591 - Resolves: #1348560 Mulitple domain Active Directory Trust conflict
2592   - ipaserver/dcerpc: reformat to make the code closer to pep8
2593   - trust: automatically resolve DNS trust conflicts for triangle trusts
80f874 2594 - Resolves: #1351593 CVE-2016-5404 ipa: Insufficient privileges check in
CS 2595   certificate revocation
2596   - cert-revoke: fix permission check bypass (CVE-2016-5404)
403b09 2597 - Resolves: #1353936 custodia.conf and server.keys file is world-readable.
CS 2598   - Remove Custodia server keys from LDAP
2599   - Secure permissions of Custodia server.keys
2600 - Resolves: #1358752 ipa-ca-install fails on replica when IPA server is
2601   converted from CA-less to CA-full
2602   - custodia: include known CA certs in the PKCS#12 file for Dogtag
2603   - custodia: force reconnect before retrieving CA certs from LDAP
2604 - Resolves: #1362333 ipa vault container owner cannot add vault
2605   - Fix: container owner should be able to add vault
2606 - Resolves: #1365546 External trust with root domain is transitive
2607   - trust: make sure external trust topology is correctly rendered
2608 - Resolves: #1365572 IPA server broken after upgrade
2609   - Require pki-core-10.3.3-7
2610 - Resolves: #1367864 Server assumes latest version of command instead of
2611   version 1 for old / 3rd party clients
2612   - rpcserver: assume version 1 for unversioned command calls
2613   - rpcserver: fix crash in XML-RPC system commands
2614 - Resolves: #1367773 thin client ignores locale change
2615   - schema cache: Fallback to 'en_us' when locale is not available
2616 - Resolves: #1368754 ipa server uninstall fails with Python "Global Name error"
2617   - Fail on topology disconnect/last role removal
2618 - Resolves: #1368981 ipa otptoken-add --type=hotp --key creates wrong OTP
2619   - otptoken, permission: Convert custom type parameters on server
2620 - Resolves: #1369414 ipa server-del fails with Python stack trace
2621   - Handled empty hostname in server-del command
2622 - Resolves: #1369761 ipa-server must depend on a version of httpd that support
2623   mod_proxy with UDS
2624   - Require httpd 2.4.6-31 with mod_proxy Unix socket support
2625 - Resolves: #1370512 Received ACIError instead of DuplicatedError in
2626   stageuser_tests
2627   - Raise DuplicatedEnrty error when user exists in delete_container
2628 - Resolves: #1371479 cert-find --all does not show information about revocation
2629   - cert: add missing param values to cert-find output
2630 - Renamed patch 1011 to 0100, as it was merged upstream
198fa5 2631
403b09 2632 * Wed Aug 17 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-8
CS 2633 - Resolves: #1298288 [RFE] Improve performance in large environments.
2634   - cert: speed up cert-find
2635 - Resolves: #1317379 [EXPERIMENTAL][RFE] Web UI: allow Smart Card
2636   authentication
2637   - service: add flag to allow S4U2Self
2638   - Add 'trusted to auth as user' checkbox
2639   - Added new authentication method
2640 - Resolves: #1353881 ipa-replica-install suggests about
2641   non-existent --force-ntpd option
2642   - Don't show --force-ntpd option in replica install
2643 - Resolves: #1354441 DNS forwarder check is too strict: unable to add
2644   sub-domain to already-broken domain
2645   - DNS: allow to add forward zone to already broken sub-domain
2646 - Resolves: #1356146 performance regression in CLI help
2647   - schema: Speed up schema cache
2648   - frontend: Change doc, summary, topic and NO_CLI to class properties
2649   - schema: Introduce schema cache format
2650   - schema: Generate bits for help load them on request
2651   - help: Do not create instances to get information about commands and topics
2652   - schema cache: Do not reset ServerInfo dirty flag
2653   - schema cache: Do not read fingerprint and format from cache
2654   - Access data for help separately
2655   - frontent: Add summary class property to CommandOverride
2656   - schema cache: Read server info only once
2657   - schema cache: Store API schema cache in memory
2658   - client: Do not create instance just to check isinstance
2659   - schema cache: Read schema instead of rewriting it when SchemaUpToDate
2660 - Resolves: #1360769 ipa-server-certinstall couldnt unlock private key file
2661   - server install: do not prompt for cert file PIN repeatedly
2662 - Resolves: #1364113 ipa-password: ipa: ERROR: RuntimeError: Unable to create
2663   cache directory: [Errno 13] Permission denied: '/home/test_user'
2664   - schema: Speed up schema cache
2665 - Resolves: #1366604 `cert-find` crashes on invalid certificate data
2666   - cert: do not crash on invalid data in cert-find
2667 - Resolves: #1366612 Middle replica uninstallation in line topology works
2668   without '--ignore-topology-disconnect'
2669   - Fail on topology disconnect/last role removal
2670 - Resolves: #1366626 caacl-add-service: incorrect error message when service
2671   does not exists
2672   - Fix ipa-caalc-add-service error message
2673 - Resolves: #1367022 The ipa-server-upgrade command failed when named-pkcs11
2674   does not happen to run during dnf upgrade
2675   - DNS server upgrade: do not fail when DNS server did not respond
2676 - Resolves: #1367759 [RFE] [webui] warn admin if there is only one IPA server
2677   with CA
2678   - Add warning about only one existing CA server
2679   - Set servers list as default facet in topology facet group
2680 - Resolves: #1367773 thin client ignores locale change
2681   - schema check: Check current client language against cached one
2682
2683 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-7
2684 - Resolves: #1361119 UPN-based search for AD users does not match an entry in
2685   slapi-nis map cache
2686   - support multiple uid values in schema compatibility tree
2687
2688 * Wed Aug 10 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-6
2689 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
2690   - Revert "spec: add conflict with bind-chroot to freeipa-server-dns"
2691 - Resolves: #1341249 Subsequent external CA installation fails
2692   - install: fix external CA cert validation
2693 - Resolves: #1353831 ipa-server-install fails in container because of
2694   hostnamectl set-hostname
2695   - server-install: Fix --hostname option to always override api.env values
2696   - install: Call hostnamectl set-hostname only if --hostname option is used
2697 - Resolves: #1356091 ipa-cacert-manage --help and man differ
2698   - Improvements for the ipa-cacert-manage man and help
2699 - Resolves: #1360631 ipa-backup is not keeping the
2700   /etc/tmpfiles.d/dirsrv-<instance>.conf
2701   - ipa-backup: backup /etc/tmpfiles.d/dirsrv-<instance>.conf
2702 - Resolves: #1361047 ipa-replica-install --help usage line suggests the replica
2703   file is needed
2704   - Update ipa-replica-install documentation
2705 - Resolves: #1361545 ipa-client-install starts rhel-domainname.service but does
2706   not rpm-require it
2707   - client: RPM require initscripts to get *-domainname.service
2708 - Resolves: #1364197 caacl: error when instantiating rules with service
2709   principals
2710   - caacl: fix regression in rule instantiation
2711 - Resolves: #1364310 ipa otptoken-add bytes object has no attribute confirm
2712   - parameters: move the `confirm` kwarg to Param
2713 - Resolves: #1364464 Topology graph: ca and domain adders shows question marks
2714   instead of plus icon
2715   - Fix unicode characters in ca and domain adders
2716 - Resolves: #1365083 Incomplete output returned for command ipa vault-add
2717   - client: add missing output params to client-side commands
2718 - Resolves: #1365526 build fails during "make check"
2719   - ipa-kdb: Fix unit test after packaging changes in krb5
2720
2721 * Fri Aug  5 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-5
2722 - Resolves: #1353829 traceback message seen in ipaserver-uninstall.log file.
2723   - Do not initialize API in ipa-client-automount uninstall
2724 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
2725   client changes
2726   - idrange: fix unassigned global variable
2727 - Resolves: #1360792 Migrating users doesn't update krbCanonicalName
2728   - re-set canonical principal name on migrated users
2729 - Resolves: #1362012 ipa hbactest produces error about cannot concatenate 'str'
2730   and 'bool' objects
2731   - Fix ipa hbactest output
2732 - Resolves: #1362260 ipa vault-mod no longer allows defining salt
2733   - vault: add missing salt option to vault_mod
2734 - Resolves: #1362312 ipa vault-retrieve internal error when using the wrong
2735   public key
2736   - vault: Catch correct exception in decrypt
2737 - Resolves: #1362537 ipa-server-install fails to create symlink from
2738   /etc/ipa/kdcproxy/ to /etc/httpd/conf.d/
2739   - Correct path to HTTPD's systemd service directory
2740 - Resolves: #1363756 Increase length of passwords generated by installer
2741   - Increase default length of auto generated passwords
2742
2743 * Fri Jul 29 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-4
2744 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
2745   aliases)
2746   - harden the check for trust namespace overlap in new principals
2747 - Resolves: #1351142 CLI is not using session cookies for communication with
2748   IPA API
2749   - Fix session cookies
2750 - Resolves: #1353888 Fix the help for ipa otp and other topics
2751   - help: Add dnsserver commands to help topic 'dns'
2752 - Resolves: #1354406 host-del updatedns options complains about missing ptr
2753   record for host
2754   - Host-del: fix behavior of --updatedns and PTR records
2755 - Resolves: #1355718 ipa-replica-manage man page example output differs actual
2756   command output
2757   - Minor fix in ipa-replica-manage MAN page
2758 - Resolves: #1358229 Traceback message should be fixed, seen while editing
2759   winsync migrated user information in Default trust view.
2760   - baseldap: Fix MidairCollision instantiation during entry modification
2761 - Resolves: #1358849 CA replica install logs to wrong log file
2762   - unite log file name of ipa-ca-install
2763 - Resolves: #1359130 ipa-server-install command fails to install IPA server.
2764   - DNS Locations: fix update-system-records unpacking error
2765 - Resolves: #1359237 AVC on dirsrv config caused by IPA installer
2766   - Use copy when replacing files to keep SELinux context
2767 - Resolves: #1359692 ipa-client-install join fail with traceback against
2768   RHEL-6.8 ipa-server
2769   - compat: fix ping call
2770 - Resolves: #1359738 ipa-replica-install --domain=<IPA primary domain> option
2771   does not work
2772   - replica-install: Fix --domain
2773 - Resolves: #1360778 Vault commands are available in CLI even when the server
2774   does not support them
2775   - Revert "Enable vault-* commands on client"
2776   - client: fix hiding of commands which lack server support
2777 - Related: #1281704 Rebase to softhsm 2.1.0
2778   - Remove the workaround for softhsm bug #1293340
2779 - Related: #1298288 [RFE] Improve performance in large environments.
2780   - Create indexes for krbCanonicalName attribute
2781
2782 * Fri Jul 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-3
2783 - Resolves: #1296140 Remove redhat-access-plugin-ipa support
2784   - Obsolete and conflict redhat-access-plugin-ipa
2785 - Resolves: #1351119 Multiple issues while uninstalling ipa-server
2786   - server uninstall fails to remove krb principals
2787 - Resolves: #1351758 ipa commands not showing expected error messages
2788   - frontend: copy command arguments to output params on client
2789   - Show full error message for selinuxusermap-add-hostgroup
2790 - Resolves: #1352883 Traceback on adding default automember group and hostgroup
2791   set
2792   - allow 'value' output param in commands without primary key
2793 - Resolves: #1353888 Fix the help for ipa otp and other topics
2794   - schema: Fix subtopic -> topic mapping
2795 - Resolves: #1354348 ipa trustconfig-show throws internal error.
2796   - allow 'value' output param in commands without primary key
2797 - Resolves: #1354381 ipa trust-add with raw option gives internal error.
2798   - trust-add: handle `--all/--raw` options properly
2799 - Resolves: #1354493 Replica install fails with old IPA master
2800   - DNS install: Ensure that DNS servers container exists
2801 - Resolves: #1354628 ipa hostgroup-add-member does not return error message
2802   when adding itself as member
2803   - frontend: copy command arguments to output params on client
2804 - Resolves: #1355856 ipa otptoken-add --type=totp gives internal error
2805   - messages: specify message type for ResultFormattingError
2806 - Resolves: #1356063 "ipa radiusproxy-add" command needs to prompt to enter
2807   secret key
2808   - expose `--secret` option in radiusproxy-* commands
2809   - prevent search for RADIUS proxy servers by secret
2810 - Resolves: #1356099 Bug in the ipapwd plugin
2811   - Heap corruption in ipapwd plugin
2812 - Resolves: #1356899 com.redhat.idm.trust.fetch_domains need update after thin
2813   client changes
2814   - Use server API in com.redhat.idm.trust-fetch-domains oddjob helper
2815 - Resolves: #1356964 Renaming a user removes all of his principal aliases
2816   - Preserve user principal aliases during rename operation
2817
2818 * Fri Jul 15 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2.1
2819 - Resolves: #1274524 [RFE] Qualify up to 60 IdM replicas
2820 - Resolves: #1320838 [RFE] Support IdM Client in a DNS domain controlled by AD
2821 - Related: #1356134 'kinit -E' does not work for IPA user
2822
2823 * Thu Jul 14 2016 Petr Vobornik <pvoborni@redhat.com> - 4.4.0-2
2824 - Resolves: #1356102 Server uninstall does not stop tracking lightweight sub-CA
2825   with certmonger
2826   - uninstall: untrack lightweight CA certs
2827 - Resolves: #1351807 ipa-nis-manage config.get_dn missing
2828   - ipa-nis-manage: Use server API to retrieve plugin status
2829 - Resolves: #1353452 ipa-compat-manage command failed,
2830   exception: NotImplementedError: config.get_dn()
2831   - ipa-compat-manage: use server API to retrieve plugin status
2832 - Resolves: #1353899 ipa-advise: object of type 'type' has no len()
2833   - ipa-advise: correct handling of plugin namespace iteration
2834 - Resolves: #1356134 'kinit -E' does not work for IPA user
2835   - kdb: check for local realm in enterprise principals
2836 - Resolves: #1353072 ipa unknown command vault-add
2837   - Enable vault-* commands on client
2838   - vault-add: set the default vault type on the client side if none was given
2839 - Resolves: #1353995 Default CA can be used without a CA ACL
2840   - caacl: expand plugin documentation
2841 - Resolves: #1356144 host-find should not print SSH keys by default, only
2842   SSH fingerprints
2843   - host-find: do not show SSH key by default
2844 - Resolves: #1353506 ipa migrate-ds command fails for IPA in RHEL 7.3
2845   - Removed unused method parameter from migrate-ds
2846
2847 * Fri Jul  1 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-1
2848 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
2849 - Resolves: #826790 Disabling password expiration (--maxlife=0 and --minlife=0)
2850   in the default global_policy in IPA sets user's password expiration
2851   (krbPasswordExpiration) to be 90 days
2852 - Resolves: #896699 ipa-replica-manage -H does not delete DNS SRV records
2853 - Resolves: #1084018 [RFE] Add IdM user password change support for legacy
2854   client compat tree
2855 - Resolves: #1117306 [RFE] Allow multiple Principals per host entry (Kerberos
2856   aliases)
2857   - Fix incorrect check for principal type when evaluating CA ACLs
2858 - Resolves: #1146860 [RFE] Offer OTP generation for host enrollment in the UI
2859 - Resolves: #1238190 ipasam unable to lookup group in directory yet manual
2860   search works
2861 - Resolves: #1250110 search by users which don't have read rights for all attrs
2862   in search_attributes fails
2863 - Resolves: #1263764 Show Certificate displays in useless format
2864 - Resolves: #1272491 [WebUI] Certificate action dropdown does not display all
2865   the options after adding new certificate
2866 - Resolves: #1292141 Rebase to FreeIPA 4.4+
2867   - Rebase to 4.4.0
2868 - Resolves: #1294503 IPA fails to issue 3rd party certs
2869 - Resolves: #1298242 [RFE] API compatibility - compatibility of clients
2870 - Resolves: #1298848 [RFE] Centralized topology management
2871 - Resolves: #1298966 [RFE] Extend Smart Card support
2872 - Resolves: #1315146 Multiple clients cannot join domain simultaneously:
35e84f 2873   /var/run/httpd/ipa/clientcaches race condition?
403b09 2874 - Resolves: #1318903 ipa server install failing when SUBCA signs the cert
CS 2875 - Resolves: #1319003 ipa-winsync-migrate: Traceback should be fixed with proper
2876   console output
2877 - Resolves: #1324055 IPA always qualify requests for admin
2878 - Resolves: #1328552 [RFE] Allow users to authenticate with alternative names
2879 - Resolves: #1334582 Inconsistent UI and CLI options for removing certificate
2880   hold
2881 - Resolves: #1346321 Exclude o=ipaca subtree from Retro Changelog (syncrepl)
2882 - Resolves: #1349281 Fix `Conflicts` with ipa-python
2883 - Resolves: #1350695 execution of copy-schema script fails
2884 - Resolves: #1351118 upgrade failed for RHEL-7.3 from RHEL-7.2.z
2885 - Resolves: #1351153 AVC seen on Replica during ipa-server upgrade test
2886   execution to 7.3
2887 - Resolves: #1351276 ipa-server-install with dns cannot resolve itself to
2888   create ipa-ca entry
2889 - Related: #1343422 [RFE] Add GssapiImpersonate option
b31a75 2890
403b09 2891 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.2.alpha1
CS 2892 - Resolves: #1348948 IPA server install fails with build
2893   ipa-server-4.4.0-0.el7.1.alpha1
2894   - Revert "Increased mod_wsgi socket-timeout"
db5969 2895
403b09 2896 * Wed Jun 22 2016 Jan Cholasta <jcholast@redhat.com> - 4.4.0-0.1.alpha1
CS 2897 - Resolves: #712109 "krbExtraData not allowed" is logged in DS error log while
2898   setting password for default sudo binddn.
2899 - Resolves: #747612 [RFE] IPA should support and manage DNS sites
2900 - Resolves: #768316 [RFE] ipa-getkeytab should auto-detect the ipa server name
2901 - Resolves: #825391 [RFE] Replica installation should provide a means for
2902   inheriting nssldap security access settings
2903 - Resolves: #921497 Incorrect *.py[co] files placement
2904 - Resolves: #1029640 RHEL7 IPA to add DNA Plugin config for dnaRemote support
2905 - Resolves: #1029905 389 DS cache sizes not replicated to IPA replicas
2906 - Resolves: #1196958 IPA replica installation failing with high number of users
2907   (160000).
2908 - Resolves: #1219402 IPA suggests to uninstall a client when the user needs to
2909   uninstall a replica
2910 - Resolves: #1224057 [RFE] TGS authorization decisions in KDC based on
2911   Authentication Indicator
2912 - Resolves: #1234222 [WebUI] UI error message is not appropriate for "Kerberos
2913   principal expiration"
2914 - Resolves: #1234223 [WebUI] General invalid password error message appearing
2915   for "Locked user"
2916 - Resolves: #1254267 ipa-server-install failure applying ldap updates with
2917   limits exceeded
2918 - Resolves: #1258626 realmdomains-mod --add-domain command throwing error when
2919   doamin already is in forwardzone.
2920 - Resolves: #1259020 ipa-server-adtrust-install doesn't allow
2921   NetBIOS-name=EXAMPLE-TEST.COM (dash character)
2922 - Resolves: #1260993 DNSSEC signing enablement on dnszone should throw error
2923   message when DNSSEC master not installed
2924 - Resolves: #1262747 dnssec options missing in ipa-dns-install man page
2925 - Resolves: #1265900 Fail installation immediately after dirsrv fails to
2926   install using ipa-server-install
2927 - Resolves: #1265915 idoverrideuser-find fails if any SID anchor is not
2928   resolvable anymore
2929 - Resolves: #1268027 ipa-dnskeysync-replica crash with backtrace -
2930   LimitsExceeded: limits exceeded for this query
2931 - Resolves: #1269089 Certificate of managed-by host/service fails to resubmit
2932 - Resolves: #1269200 ipa-server crashing while trying to preserve admin user
2933 - Resolves: #1271321 Reduce ioblocktimeout and idletimeout defaults
2934 - Resolves: #1271579 Automember rule expressions disappear from tables on
2935   single expression delete
2936 - Resolves: #1275816 Incomplete ports for IPA ad-trust
2937 - Resolves: #1276351 [RFE] Remove
2938   /usr/share/ipa/updates/50-lockout-policy.update file from IPA releases
2939 - Resolves: #1277109 Add tool tips for Revert, Refresh, Undo, and Undo All in
2940   the IPA UI
2941 - Resolves: #1278426 Better error message needed for invalid ca-signing-algo
2942   option
2943 - Resolves: #1279932 ipa-client-install --request-cert needs workaround in
2944   anaconda chroot
2945 - Resolves: #1282521 Creating a user w/o private group fails when doing so in
2946   WebUI
2947 - Resolves: #1283879 ipa-winsync-migrate: Traceback message should be replaced
2948   by "IPA is not configured on this system"
2949 - Resolves: #1285071 ipa-kra-install fails on replica looking for admin cert
2950   file
2951 - Resolves: #1287194 [RFE] Support of UPN for trusted domains
2952 - Resolves: #1288967 Normalize Manager entry in ipa user-add
2953 - Resolves: #1289487 Priority field missing in Password Policy detail tab
2954 - Resolves: #1291140 ipa client should configure kpasswd_server directive in
2955   krb5.conf
2956 - Resolves: #1292141 Rebase to FreeIPA 4.4+
2957   - Rebase to 4.4.0.alpha1
2958 - Resolves: #1298848 [RFE] Centralized topology management
2959 - Resolves: #1300576 Browser setup page includes instructions for Internet
2960   Explorer
2961 - Resolves: #1301586 ipa host-del --updatedns should remove related dns
2962   entries.
2963 - Resolves: #1304618 Residual Files After IPA Server Uninstall
2964 - Resolves: #1305144 ipa-python does not require its dependencies
2965 - Resolves: #1309700 Process /usr/sbin/winbindd was killed by signal 6
2966 - Resolves: #1313798 Console output post ipa-winsync-migrate command should be
2967   corrected.
2968 - Resolves: #1314786 [RFE] External Trust with Active Directory domain
2969 - Resolves: #1319023 Include description for 'status' option in man page for
2970   ipactl command.
2971 - Resolves: #1319912 ipa-server-install does not completely change hostname and
2972   named-pkcs11 fails
2973 - Resolves: #1320891 IPA Error 3009: Validation error: Invalid 'ptrrecord':
2974   Reverse zone in-addr.arpa. requires exactly 4 IP address compnents, 5 given
2975 - Resolves: #1327207 ipa cert-revoke --help doesn't provide enough info on
2976   revocation reasons
2977 - Resolves: #1328549 "ipa-kra-install" command reports incorrect message when
2978   it is executed on server already installed with KRA.
2979 - Resolves: #1329209 ipa-nis-manage enable: change service name from 'portmap'
2980   to 'rpcbind'
2981 - Resolves: #1329275 ipa-nis-manage command should include status option
2982 - Resolves: #1330843 'man ipa' should be updated with latest commands
2983 - Resolves: #1333755 ipa cert-request causes internal server error while
2984   requesting certificate
2985 - Resolves: #1337484 EOF is not handled for ipa-client-install command
2986 - Resolves: #1338031 Insufficient 'write' privilege on some attributes for the
2987   members of the role which has "User Administrators" privilege.
2988 - Resolves: #1343142 IPA DNS should do better verification of DNS zones
2989 - Resolves: #1347928 Frontpage exposes runtime error with no cookies enabled in
2990   browser
2991
2992 * Wed May 25 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3.1
2993 - Resolves: #1339483 ipa-server-install fails with ERROR pkinit_cert_files
2994   - Fix incorrect rebase of patch 1001
2995
2996 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605241723GIT1b427d3
2997 - Resolves: #1339233 CA installed on replica is always marked as renewal master
2998 - Related: #1292141 Rebase to FreeIPA 4.4+
2999   - Rebase to 4.3.1.201605241723GIT1b427d3
3000
3001 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37.1
3002 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
3003   because of missing dependencies
3004   - Rebuild with krb5-1.14.1
3005
3006 * Fri May 20 2016 Jan Cholasta <jcholast@redhat.com> - 4.3.1-0.201605191449GITf8edf37
3007 - Resolves: #837369 [RFE] Switch to client promotion to replica model
3008 - Resolves: #1199516 [RFE] Move replication topology to the shared tree
3009 - Resolves: #1206588 [RFE] Visualize FreeIPA server replication topology
3010 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
3011 - Resolves: #1212713 ipa-csreplica-manage: it could be nice to have also
3012   list-ruv / clean-ruv / abort-clean-ruv for o=ipaca backend
3013 - Resolves: #1267206 ipa-server-install uninstall should warn if no
3014   installation found
3015 - Resolves: #1295865 The Domain option is not correctly set in idmapd.conf when
3016   ipa-client-automount is executed.
3017 - Resolves: #1327092 URI details missing and OCSP-URI details are incorrectly
db5969 3018   displayed when certificate generated using IPA on RHEL 7.2up2.
403b09 3019 - Resolves: #1332809 ipa-server-4.2.0-15.el7_2.6.1.x86_64 fails to install
CS 3020   because of missing dependencies
3021 - Related: #1292141 Rebase to FreeIPA 4.4+
3022   - Rebase to 4.3.1.201605191449GITf8edf37
a809a6 3023
403b09 3024 * Mon Apr 18 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-16
CS 3025 - Resolves: #1277696 IPA certificate auto renewal fail with "Invalid
3026   Credential"
3027   - cert renewal: make renewal of ipaCert atomic
3028 - Resolves: #1278330 installer options are not validated at the beginning of
3029   installation
3030   - install: fix command line option validation
3031 - Resolves: #1282845 sshd_config change on ipa-client-install can prevent sshd
3032   from starting up
3033   - client install: do not corrupt OpenSSH config with Match sections
3034 - Resolves: #1282935 ipa upgrade causes vault internal error
3035   - install: export KRA agent PEM file in ipa-kra-install
3036 - Resolves: #1283429 Default CA ACL rule is not created during
3037   ipa-replica-install
3038   - TLS and Dogtag HTTPS request logging improvements
3039   - Avoid race condition caused by profile delete and recreate
3040   - Do not erroneously reinit NSS in Dogtag interface
3041   - Add profiles and default CA ACL on migration
3042   - disconnect ldap2 backend after adding default CA ACL profiles
3043   - do not disconnect when using existing connection to check default CA ACLs
3044 - Resolves: #1283430 ipa-kra-install: fails to apply updates
3045   - suppress errors arising from adding existing LDAP entries during KRA
3046     install
3047 - Resolves: #1283748 Caching of ipaconfig does not work in framework
3048   - fix caching in get_ipa_config
3049 - Resolves: #1283943 IPA DNS Zone/DNS Forward Zone details missing after
3050   upgrade from RHEL 7.0 to RHEL 7.2
3051   - upgrade: fix migration of old dns forward zones
3052   - Fix upgrade of forwardzones when zone is in realmdomains
3053 - Resolves: #1284413 ipa-cacert-manage renew fails on nonexistent ldap
3054   connection
3055   - ipa-cacert-renew: Fix connection to ldap.
3056 - Resolves: #1284414 ipa-otptoken-import fails on nonexistent ldap connection
3057   - ipa-otptoken-import: Fix connection to ldap.
3058 - Resolves: #1286635 IPA server upgrade fails from RHEL 7.0 to RHEL 7.2 using
e0ab38 3059   "yum update ipa* sssd"
CS 3060   - Set minimal required version for openssl
403b09 3061 - Resolves: #1286781 ipa-nis-manage does not update ldap with all NIS maps
e0ab38 3062   - Upgrade: Fix upgrade of NIS Server configuration
403b09 3063 - Resolves: #1289311 umask setting causes named-pkcs11 issue with directory
e0ab38 3064   permissions on /var/lib/ipa/dnssec
CS 3065   - DNS: fix file permissions
3066   - Explicitly call chmod on newly created directories
3067   - Fix: replace mkdir with chmod
403b09 3068 - Resolves: #1290142 Broken 7.2.0 to 7.2.z upgrade - flawed version comparison
e0ab38 3069   - Fix version comparison
CS 3070   - use FFI call to rpmvercmp function for version comparison
403b09 3071 - Resolves: #1292595 In IPA-AD trust environment some secondary IPA based Posix
CS 3072   groups are missing
3073   - ipa-kdb: map_groups() consider all results
3074 - Resolves: #1293870 User should be notified for wrong password in password
3075   reset page
3076   - Fixed login error message box in LoginScreen page
3077 - Resolves: #1296196 Sysrestore did not restore state if a key is specified in
e0ab38 3078   mixed case
CS 3079   - Allow to used mixed case for sysrestore
403b09 3080 - Resolves: #1296214 DNSSEC key purging is not handled properly
e0ab38 3081   - DNSSEC: Improve error reporting from ipa-ods-exporter
CS 3082   - DNSSEC: Make sure that current state in OpenDNSSEC matches key state in
3083     LDAP
3084   - DNSSEC: Make sure that current key state in LDAP matches key state in BIND
3085   - DNSSEC: remove obsolete TODO note
3086   - DNSSEC: add debug mode to ldapkeydb.py
3087   - DNSSEC: logging improvements in ipa-ods-exporter
3088   - DNSSEC: remove keys purged by OpenDNSSEC from master HSM from LDAP
3089   - DNSSEC: ipa-dnskeysyncd: Skip zones with old DNSSEC metadata in LDAP
3090   - DNSSEC: ipa-ods-exporter: add ldap-cleanup command
3091   - DNSSEC: ipa-dnskeysyncd: call ods-signer ldap-cleanup on zone removal
3092   - DNSSEC: Log debug messages at log level DEBUG
403b09 3093 - Resolves: #1296216 ipa-server-upgrade fails if certmonger is not running
e0ab38 3094   - prevent crash of CA-less server upgrade due to absent certmonger
403b09 3095   - always start certmonger during IPA server configuration upgrade
CS 3096 - Resolves: #1297811 The ipa -e skip_version_check=1 still issues
e0ab38 3097   incompatibility error when called against RHEL 6 server
CS 3098   - ipalib: assume version 2.0 when skip_version_check is enabled
403b09 3099 - Resolves: #1298289 install fails when locale is "fr_FR.UTF-8"
CS 3100   - Do not decode HTTP reason phrase from Dogtag
3101 - Resolves: #1300252 shared certificateProfiles container is missing on a
3102   freshly installed RHEL7.2 system
3103   - upgrade: unconditional import of certificate profiles into LDAP
3104 - Resolves: #1301674 --setup-dns and other options is forgotten for using an
3105   external PKI
3106   - installer: Propagate option values from components instead of copying them.
3107   - installer: Fix logic of reading option values from cache.
3108 - Resolves: #1301687 issues with migration from RHEL 6 self-signed to RHEL 7 CA
3109   IPA setup
3110   - ipa-ca-install: print more specific errors when CA is already installed
3111   - cert renewal: import all external CA certs on IPA CA cert renewal
3112   - CA install: explicitly set dogtag_version to 10
3113   - fix standalone installation of externally signed CA on IPA master
3114   - replica install: validate DS and HTTP server certificates
3115   - replica install: improvements in the handling of CA-related IPA config
3116     entries
3117 - Resolves: #1301901 [RFE] compat tree: show AD members of IPA groups
3118   - slapi-nis: update configuration to allow external members of IPA groups
3119 - Resolves: #1305533 ipa trust-add succeded but after that ipa trust-find
3120   returns "0 trusts matched"
3121   - upgrade: fix config of sidgen and extdom plugins
3122   - trusts: use ipaNTTrustPartner attribute to detect trust entries
3123   - Warn user if trust is broken
3124   - fix upgrade: wait for proper DS socket after DS restart
3125   - Insure the admin_conn is disconnected on stop
3126   - Fix connections to DS during installation
3127   - Fix broken trust warnings
3128 - Resolves: #1321092 Installers fail when there are multiple versions of the
3129   same certificate
3130   - certdb: never use the -r option of certutil
3131 - Related: #1317381 Crash during IPA upgrade due to slapd
3132   - spec file: update minimum required version of slapi-nis
3133 - Related: #1322691 CVE-2015-5370 CVE-2016-2110 CVE-2016-2111 CVE-2016-2112
3134   CVE-2016-2113 CVE-2016-2114 CVE-2016-2115 CVE-2016-2118 samba: various flaws
3135   [rhel-7.3]
3136   - Rebuild against newer Samba version
8eb28c 3137
590d18 3138 * Tue Oct 13 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15
CS 3139 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
3140   - vault: fix private service vault creation
76902d 3141
590d18 3142 * Mon Oct 12 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-14
CS 3143 - Resolves: #1262996 ipa vault internal error on replica without KRA
3144   - upgrade: make sure ldap2 is connected in export_kra_agent_pem
3145 - Resolves: #1270608 IPA upgrade fails for server with CA cert signed by
3146   external CA
3147   - schema: do not derive ipaVaultPublicKey from ipaPublicKey
3148
3149 * Thu Oct  8 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-13
3150 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
3151   - Fix an integer underflow bug in libotp
3152 - Resolves: #1262996 ipa vault internal error on replica without KRA
3153   - install: always export KRA agent PEM file
3154   - vault: select a server with KRA for vault operations
3155 - Resolves: #1269777 IPA restore overwrites /etc/passwd and /etc/group files
3156   - do not overwrite files with local users/groups when restoring authconfig
3157 - Renamed patch 1011 to 0138, as it was merged upstream
3158
3159 * Wed Sep 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-12
3160 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
3161   Trusts
3162   - winsync-migrate: Convert entity names to posix friendly strings
3163   - winsync-migrate: Properly handle collisions in the names of external groups
3164 - Resolves: #1261074 Adjust Firefox configuration to new extension signing
3165   policy
3166   - webui: use manual Firefox configuration for Firefox >= 40
3167 - Resolves: #1263337 IPA Restore failed with installed KRA
3168   - ipa-backup: Add mechanism to store empty directory structure
3169 - Resolves: #1264793 CVE-2015-5284 ipa: ipa-kra-install includes certificate
3170   and private key in world readable file [rhel-7.2]
3171   - install: fix KRA agent PEM file permissions
3172 - Resolves: #1265086 Mark IdM API Browser as experimental
3173   - WebUI: add API browser is experimental warning
3174 - Resolves: #1265277 Fix kdcproxy user creation
3175   - install: create kdcproxy user during server install
3176   - platform: add option to create home directory when adding user
3177   - install: fix kdcproxy user home directory
3178 - Resolves: #1265559 GSS failure after ipa-restore
3179   - destroy httpd ccache after stopping the service
3180
3181 * Thu Sep 17 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-11
3182 - Resolves: #1258965 ipa vault: set owner of vault container
3183   - baseldap: make subtree deletion optional in LDAPDelete
3184   - vault: add vault container commands
3185   - vault: set owner to current user on container creation
3186   - vault: update access control
3187   - vault: add permissions and administrator privilege
3188   - install: support KRA update
3189 - Resolves: #1261586 ipa config-mod addattr fails for ipauserobjectclasses
3190   - config: allow user/host attributes with tagging options
3191 - Resolves: #1262315 Unable to establish winsync replication
3192   - winsync: Add inetUser objectclass to the passsync sysaccount
3193
3194 * Wed Sep 16 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-10
3195 - Resolves: #1260663 crash of ipa-dnskeysync-replica component during
3196   ipa-restore
3197   - IPA Restore: allows to specify files that should be removed
3198 - Resolves: #1261806 Installing ipa-server package breaks httpd
3199   - Handle timeout error in ipa-httpd-kdcproxy
3200 - Resolves: #1262322 Failed to backup CS.cfg message in upgrade.
3201   - Server Upgrade: backup CS.cfg when dogtag is turned off
3202
3203 * Wed Sep  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-9
3204 - Resolves: #1257074 The KRA agent cert is stored in a PEM file that is not
3205   tracked
3206   - cert renewal: Include KRA users in Dogtag LDAP update
3207   - cert renewal: Automatically update KRA agent PEM file
3208 - Resolves: #1257163 renaming certificatte profile with --rename option leads
3209   to integrity issues
3210   - certprofile: remove 'rename' option
3211 - Resolves: #1257968 kinit stop working after ipa-restore
3212   - Backup: back up the hosts file
3213 - Resolves: #1258926 Remove 'DNSSEC is experimental' warnings
3214   - DNSSEC: remove "DNSSEC is experimental" warnings
3215 - Resolves: #1258929 Uninstallation of IPA leaves extra entry in /etc/hosts
3216   - Installer: do not modify /etc/hosts before user agreement
3217 - Resolves: #1258944 DNSSEC daemons may deadlock when processing more than 1
3218   zone
3219   - DNSSEC: backup and restore opendnssec zone list file
3220   - DNSSEC: remove ccache and keytab of ipa-ods-exporter
3221   - DNSSEC: prevent ipa-ods-exporter from looping after service auto-restart
3222   - DNSSEC: Fix deadlock in ipa-ods-exporter <-> ods-enforcerd interaction
3223   - DNSSEC: Fix HSM synchronization in ipa-dnskeysyncd when running on DNSSEC
3224     key master
3225   - DNSSEC: Fix key metadata export
3226   - DNSSEC: Wrap master key using RSA OAEP instead of old PKCS v1.5.
3227 - Resolves: #1258964 revert to use ldapi to add kra agent in KRA install
3228   - Using LDAPI to setup CA and KRA agents.
3229 - Resolves: #1259848 server closes connection and refuses commands after
3230   deleting user that is still logged in
3231   - ldap: Make ldap2 connection management thread-safe again
3232 - Resolves: #1259996 AttributeError: 'NameSpace' object has no attribute
3233   'ra_certprofile' while ipa-ca-install
3234   - load RA backend plugins during standalone CA install on CA-less IPA master
3235
3236 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-8
3237 - Resolves: #1254689 Storing big file as a secret in vault raises traceback
3238   - vault: Limit size of data stored in vault
3239 - Resolves: #1255880 ipactl status should distinguish between different
3240   pki-tomcat services
3241   - ipactl: Do not start/stop/restart single service multiple times
3242
3243 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-7
3244 - Resolves: #1256840 [webui] majority of required fields is no longer marked as
3245   required
3246   - fix missing information in object metadata
3247 - Resolves: #1256842 [webui] no option to choose trust type when creating a
3248   trust
3249   - webui: add option to establish bidirectional trust
3250 - Resolves: #1256853 Clear text passwords in KRA install log
3251   - Removed clear text passwords from KRA install log.
3252 - Resolves: #1257072 The "Standard Vault" MUST not be the default and must be
3253   discouraged
3254   - vault: change default vault type to symmetric
3255 - Resolves: #1257163 renaming certificatte profile with --rename option leads
3256   to integrity issues
3257   - certprofile: prevent rename (modrdn)
3258
3259 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-6
3260 - Resolves: #1249226 IPA dnssec-validation not working for AD dnsforwardzone
3261   - DNSSEC: fix forward zone forwarders checks
3262 - Resolves: #1250190 idrange is not added for sub domain
3263   - trusts: format Kerberos principal properly when fetching trust topology
3264 - Resolves: #1252334 User life cycle: missing ability to provision a stage user
3265   from a preserved user
3266   - Add user-stage command
3267 - Resolves: #1252863 After applying RHBA-2015-1554 errata, IPA service fails to
3268   start.
3269   - spec file: Add Requires(post) on selinux-policy
3270 - Resolves: #1254304 Changing vault encryption attributes
3271   - Change internal rsa_(public|private)_key variable names
3272   - Added support for changing vault encryption.
3273 - Resolves: #1256715 Executing user-del --preserve twice removes the user
3274   pernamently
3275   - improve the usability of `ipa user-del --preserve` command
3276
3277 * Wed Aug 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-5
3278 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
3279   - user-undel: Fix error messages.
3280 - Resolves: #1200694 [RFE] Support for multiple cert profiles
3281   - Prohibit deletion of predefined profiles
3282 - Resolves: #1232819 testing ipa-restore on fresh system install fails
3283   - Backup/resore authentication control configuration
3284 - Resolves: #1243331 pkispawn fails when migrating to 4.2 server from 3.0
3285   server
3286   - Require Dogtag PKI >= 10.2.6
3287 - Resolves: #1245225 Asymmetric vault drops traceback when the key is not
3288   proper
3289   - Asymmetric vault: validate public key in client
3290 - Resolves: #1248399 Missing DNSSEC related files in backup
3291   - fix typo in BasePathNamespace member pointing to ods exporter config
3292   - ipa-backup: archive DNSSEC zone file and kasp.db
3293 - Resolves: #1248405 PassSync should be disabled after ipa-winsync-migrate is
3294   finished
3295   - winsync-migrate: Add warning about passsync
3296   - winsync-migrate: Expand the man page
3297 - Resolves: #1248524 User can't find any hosts using "ipa host-find $HOSTNAME"
3298   - adjust search so that it works for non-admin users
3299 - Resolves: #1250093 ipa certprofile-import accepts invalid config
3300   - Require Dogtag PKI >= 10.2.6
3301 - Resolves: #1250107 IPA framework should not allow modifying trust on AD trust
3302   agents
3303   - trusts: Detect missing Samba instance
3304 - Resolves: #1250111 User lifecycle - preserved users can be assigned
3305   membership
3306   - ULC: Prevent preserved users from being assigned membership
3307 - Resolves: #1250145 Add permission for user to bypass caacl enforcement
3308   - Add permission for bypassing CA ACL enforcement
3309 - Resolves: #1250190 idrange is not added for sub domain
3310   - idranges: raise an error when local IPA ID range is being modified
3311   - trusts: harden trust-fetch-domains oddjobd-based script
3312 - Resolves: #1250928 Man page for ipa-server-install is out of sync
3313   - install: Fix server and replica install options
3314 - Resolves: #1251225 IPA default CAACL does not allow cert-request for services
3315   after upgrade
3316   - Fix default CA ACL added during upgrade
3317 - Resolves: #1251561 ipa vault-add Unknown option: ipavaultpublickey
3318   - validate mutually exclusive options in vault-add
3319 - Resolves: #1251579 ipa vault-add --user should set container owner equal to
3320   user on first run
3321   - Fixed vault container ownership.
3322 - Resolves: #1252517 cert-request rejects request with correct
3323   krb5PrincipalName SAN
3324   - Fix KRB5PrincipalName / UPN SAN comparison
3325 - Resolves: #1252555 ipa vault-find doesn't work for services
3326   - vault: Add container information to vault command results
3327   - Add flag to list all service and user vaults
3328 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
3329   - Added CLI param and ACL for vault service operations.
3330 - Resolves: #1252557 certprofile: improve profile format documentation
3331   - certprofile-import: improve profile format documentation
3332   - certprofile: add profile format explanation
3333 - Resolves: #1253443 ipa vault-add creates vault with invalid type
3334   - vault: validate vault type
3335 - Resolves: #1253480 ipa vault-add-owner does not fail when adding an existing
3336   owner
3337   - baseldap: Allow overriding member param label in LDAPModMember
3338   - vault: Fix param labels in output of vault owner commands
3339 - Resolves: #1253511 ipa vault-find does not use criteria
3340   - vault: Fix vault-find with criteria
3341 - Resolves: #1254038 ipa-replica-install pk12util error returns exit status 10
3342   - install: Fix replica install with custom certificates
3343 - Resolves: #1254262 ipa-dnskeysync-replica crash cannot contact kdc
3344   - improve the handling of krb5-related errors in dnssec daemons
3345 - Resolves: #1254412 when dirsrv is off ,upgrade from 7.1 to 7.2 fails with
3346   starting CA and named-pkcs11.service
3347   - Server Upgrade: Start DS before CA is started.
3348 - Resolves: #1254637 Add ACI and permission for managing user userCertificate
3349   attribute
3350   - add permission: System: Manage User Certificates
3351 - Resolves: #1254641 Remove CSR allowed-extensions restriction
3352   - cert-request: remove allowed extensions check
3353 - Resolves: #1254693 vault --service does not normalize service principal
3354   - vault: normalize service principal in service vault operations
3355 - Resolves: #1254785 ipa-client-install does not properly handle dual stacked
3356   hosts
3357   - client: Add support for multiple IP addresses during installation.
3358   - Add dependency to SSSD 1.13.1
3359   - client: Add description of --ip-address and --all-ip-addresses to man page
3360
3361 * Tue Aug 11 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-4
3362 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
3363   users in IdM
3364   - store certificates issued for user entries as
3365   - user-show: add --out option to save certificates to file
3366 - Resolves: #1145748 [RFE] IPA running with One Way Trust
3367   - Fix upgrade of sidgen and extdom plugins
3368 - Resolves: #1195339 ipa-client-install changes the label on various files
3369   which causes SELinux denials
3370   - Use 'mv -Z' in specfile to restore SELinux context
3371 - Resolves: #1198796 Text in UI should describe differing LDAP vs Krb behavior
3372   for combinations of "User authentication types"
3373   - webui: add LDAP vs Kerberos behavior description to user auth
3374 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
3375   - ULC: Fix stageused-add --from-delete command
3376 - Resolves: #1200694 [RFE] Support for multiple cert profiles
3377   - certprofile-import: do not require profileId in profile data
3378   - Give more info on virtual command access denial
3379   - Allow SAN extension for cert-request self-service
3380   - Add profile for DNP3 / IEC 62351-8 certificates
3381   - Work around python-nss bug on unrecognised OIDs
3382 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
3383   - Validate vault's file parameters
3384   - Fixed missing KRA agent cert on replica.
3385 - Resolves: #1225866 display browser config options that apply to the browser.
3386   - webui: add Kerberos configuration instructions for Chrome
3387   - Remove ico files from Makefile
3388 - Resolves: #1246342 Unapply idview raises internal error
3389   - idviews: Check for the Default Trust View only if applying the view
3390 - Resolves: #1248102 [webui] regression - incorrect/no failed auth messages
3391   - webui: fix regressions failed auth messages
3392 - Resolves: #1248396 Internal error in DomainValidator.__search_in_dc
3393   - dcerpc: Fix UnboundLocalError for ccache_name
3394 - Resolves: #1249455 ipa trust-add failed CIFS server configuration does not
3395   allow access to \\pipe\lsarpc
3396   - Fix selector of protocol for LSA RPC binding string
3397   - dcerpc: Simplify generation of LSA-RPC binding strings
3398 - Resolves: #1250192 Error in ipa trust-fecth-domains
3399   - Fix incorrect type comparison in trust-fetch-domains
3400 - Resolves: #1251553 Winsync setup fails with unexpected error
3401   - replication: Fix incorrect exception invocation
3402 - Resolves: #1251854 ipa aci plugin is not parsing aci's correctly.
3403   - ACI plugin: correctly parse bind rules enclosed in
3404 - Resolves: #1252414 Trust agent install does not detect available replicas to
3405   add to master
3406   - adtrust-install: Correctly determine 4.2 FreeIPA servers
3407
3408 * Fri Jul 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-3
3409 - Resolves: #1170770 [AD TRUST]IPA should detect inconsistent realm domains
3410   that conflicts with AD DC
3411   - trusts: Check for AD root domain among our trusted domains
3412 - Resolves: #1195339 ipa-client-install changes the label on various files
3413   which causes SELinux denials
3414   - sysrestore: copy files instead of moving them to avoind SELinux issues
3415 - Resolves: #1196656 [ipa-client][rhel71] enable debugging for spawned
3416   commands / ntpd -qgc $tmpfile hangs
3417   - enable debugging of ntpd during client installation
3418 - Resolves: #1205264 Migration UI Does Not Work When Anonymous Bind is Disabled
3419   - migration: Use api.env variables.
3420 - Resolves: #1212719 abort-clean-ruv subcommand should allow
3421   replica-certifyall: no
3422   - Allow value 'no' for replica-certify-all attr in abort-clean-ruv subcommand
3423 - Resolves: #1216935 ipa trust-add shows ipa: ERROR: an internal error has
3424   occurred
3425   - dcerpc: Expand explanation for WERR_ACCESS_DENIED
3426   - dcerpc: Fix UnboundLocalError for ccache_name
3427 - Resolves: #1222778 idoverride group-del can delete user and user-del can
3428   delete group
3429   - dcerpc: Add get_trusted_domain_object_type method
3430   - idviews: Restrict anchor to name and name to anchor conversions
3431   - idviews: Enforce objectclass check in idoverride*-del
3432 - Resolves: #1234919 Be able to request certificates without certmonger service
3433   running
3434   - cermonger: Use private unix socket when DBus SystemBus is not available.
3435   - ipa-client-install: Do not (re)start certmonger and DBus daemons.
3436 - Resolves: #1240939 Please add dependency on bind-pkcs11
3437   - Create server-dns sub-package.
3438   - ipaplatform: Add constants submodule
3439   - DNS: check if DNS package is installed
3440 - Resolves: #1242914 Bump minimal selinux-policy and add booleans to allow
3441   calling out oddjobd-activated services
3442   - selinux: enable httpd_run_ipa to allow communicating with oddjobd services
3443 - Resolves: #1243261 non-admin users cannot search hbac rules
3444   - fix hbac rule search for non-admin users
3445   - fix selinuxusermap search for non-admin users
3446 - Resolves: #1243652 Client has missing dependency on memcache
3447   - do not import memcache on client
3448 - Resolves: #1243835 [webui] user change password dialog does not work
3449   - webui: fix user reset password dialog
3450 - Resolves: #1244802 spec: selinux denial during kdcproxy user creation
3451   - Fix selinux denial during kdcproxy user creation
3452 - Resolves: #1246132 trust-fetch-domains: Do not chown keytab to the sssd user
3453   - oddjob: avoid chown keytab to sssd if sssd user does not exist
3454 - Resolves: #1246136 Adding a privilege to a permission avoids validation
3455   - Validate adding privilege to a permission
3456 - Resolves: #1246141 DNS Administrators cannot search in zones
3457   - DNS: Consolidate DNS RR types in API and schema
3458 - Resolves: #1246143 User plugin - user-find doesn't work properly with manager
3459   option
3460   - fix broken search for users by their manager
3461
3462 * Wed Jul 15 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-2
3463 - Resolves: #1131907 [ipa-client-install] cannot write certificate file
3464   '/etc/ipa/ca.crt.new': must be string or buffer, not None
3465 - Resolves: #1195775 unsaved changes dialog internally inconsistent
3466 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
3467   - Stageusedr-activate: show username instead of DN
3468 - Resolves: #1200694 [RFE] Support for multiple cert profiles
3469   - Prevent to rename certprofile profile id
3470 - Resolves: #1222047 IPA to AD Trust: IPA ERROR 4016: Remote Retrieve Error
3471 - Resolves: #1224769 copy-schema-to-ca.py does not overwrites schema files
3472   - copy-schema-to-ca: allow to overwrite schema files
3473 - Resolves: #1241941 kdc component installation of IPA failed
3474   - spec file: Update minimum required version of krb5
3475 - Resolves: #1242036 Replica install fails to update DNS records
3476   - Fix DNS records installation for replicas
3477 - Resolves: #1242884 Upgrade to 4.2.0 fails when enabling kdc proxy
3478