The Identity, Policy and Audit system
CentOS Sources
2016-06-23 b31a75ba28838bc9807580d7ea230442d884a80e
commit | author | age
e3ffab 1 # Define ONLY_CLIENT to only make the ipa-admintools, ipa-client and ipa-python
CS 2 # subpackages
99b6f7 3 %{!?ONLY_CLIENT:%global ONLY_CLIENT 0}
CB 4
e3ffab 5 # RHEL spec file only: START
99b6f7 6 %ifarch x86_64 %{ix86}
CB 7 # Nothing, we want to force just building client on non-Intel
8 %else
9 %global ONLY_CLIENT 1
10 %endif
590d18 11 %global VERSION 4.2.0
e3ffab 12 # RHEL spec file only: END
99b6f7 13
e3ffab 14 %global alt_name freeipa
CS 15 %if 0%{?rhel}
d73e7d 16 %global samba_version 4.2.10-1
590d18 17 %global selinux_policy_version 3.13.1-32
e3ffab 18 %else
d73e7d 19 %global samba_version 2:4.2.10-1
590d18 20 %global selinux_policy_version 3.13.1-128.6
9991ea 21 %endif
CB 22
590d18 23 %define krb5_base_version %(LC_ALL=C rpm -q --qf '%%{VERSION}' krb5-devel | grep -Eo '^[^.]+\.[^.]+')
CS 24
e3ffab 25 %global plugin_dir %{_libdir}/dirsrv/plugins
590d18 26 %global etc_systemd_dir %{_sysconfdir}/systemd/system
e3ffab 27 %global gettext_domain ipa
CS 28 %if 0%{?rhel}
29 %global platform_module rhel
30 %else
31 %global platform_module fedora
32 %endif
33
34 %define _hardened_build 1
35
99b6f7 36 Name:           ipa
590d18 37 Version:        4.2.0
db5969 38 Release:        15%{?dist}.17
99b6f7 39 Summary:        The Identity, Policy and Audit system
CB 40
41 Group:          System Environment/Base
42 License:        GPLv3+
43 URL:            http://www.freeipa.org/
44 Source0:        http://www.freeipa.org/downloads/src/freeipa-%{VERSION}.tar.gz
e3ffab 45 # RHEL spec file only: START: Change branding to IPA and Identity-Management
b31a75 46 #Source1:        header-logo.png
CS 47 #Source2:        login-screen-background.jpg
48 #Source3:        login-screen-logo.png
49 #Source4:        product-name.png
e3ffab 50 # RHEL spec file only: END: Change branding to IPA and Identity-Management
99b6f7 51 BuildRoot:      %{_tmppath}/%{name}-%{version}-%{release}-root-%(%{__id_u} -n)
CB 52
e3ffab 53 # RHEL spec file only: START
590d18 54 Patch0001:      0001-Start-dirsrv-for-kdcproxy-upgrade.patch
CS 55 Patch0002:      0002-Fix-DNS-records-installation-for-replicas.patch
56 Patch0003:      0003-Prevent-to-rename-certprofile-profile-id.patch
57 Patch0004:      0004-Stageusedr-activate-show-username-instead-of-DN.patch
58 Patch0005:      0005-copy-schema-to-ca-allow-to-overwrite-schema-files.patch
59 Patch0006:      0006-spec-file-Update-minimum-required-version-of-krb5.patch
60 Patch0007:      0007-do-not-import-memcache-on-client.patch
61 Patch0008:      0008-selinux-enable-httpd_run_ipa-to-allow-communicating-.patch
62 Patch0009:      0009-oddjob-avoid-chown-keytab-to-sssd-if-sssd-user-does-.patch
63 Patch0010:      0010-webui-fix-user-reset-password-dialog.patch
64 Patch0011:      0011-fix-hbac-rule-search-for-non-admin-users.patch
65 Patch0012:      0012-fix-selinuxusermap-search-for-non-admin-users.patch
66 Patch0013:      0013-Validate-adding-privilege-to-a-permission.patch
67 Patch0014:      0014-migration-Use-api.env-variables.patch
68 Patch0015:      0015-sysrestore-copy-files-instead-of-moving-them-to-avoi.patch
69 Patch0016:      0016-Allow-value-no-for-replica-certify-all-attr-in-abort.patch
70 Patch0017:      0017-trusts-Check-for-AD-root-domain-among-our-trusted-do.patch
71 Patch0018:      0018-enable-debugging-of-ntpd-during-client-installation.patch
72 Patch0019:      0019-cermonger-Use-private-unix-socket-when-DBus-SystemBu.patch
73 Patch0020:      0020-ipa-client-install-Do-not-re-start-certmonger-and-DB.patch
74 Patch0021:      0021-DNS-Consolidate-DNS-RR-types-in-API-and-schema.patch
75 Patch0022:      0022-ipaplatform-Add-constants-submodule.patch
76 Patch0023:      0023-DNS-check-if-DNS-package-is-installed.patch
77 Patch0024:      0024-dcerpc-Expand-explanation-for-WERR_ACCESS_DENIED.patch
78 Patch0025:      0025-dcerpc-Fix-UnboundLocalError-for-ccache_name.patch
79 Patch0026:      0026-fix-broken-search-for-users-by-their-manager.patch
80 Patch0027:      0027-dcerpc-Add-get_trusted_domain_object_type-method.patch
81 Patch0028:      0028-idviews-Restrict-anchor-to-name-and-name-to-anchor-c.patch
82 Patch0029:      0029-idviews-Enforce-objectclass-check-in-idoverride-del.patch
83 Patch0030:      0030-idviews-Check-for-the-Default-Trust-View-only-if-app.patch
84 Patch0031:      0031-replication-Fix-incorrect-exception-invocation.patch
85 Patch0032:      0032-webui-add-Kerberos-configuration-instructions-for-Ch.patch
86 Patch0033:      0033-Remove-ico-files-from-Makefile.patch
87 Patch0034:      0034-ACI-plugin-correctly-parse-bind-rules-enclosed-in-pa.patch
88 Patch0035:      0035-ULC-Fix-stageused-add-from-delete-command.patch
89 Patch0036:      0036-webui-fix-regressions-failed-auth-messages.patch
90 Patch0037:      0037-Validate-vault-s-file-parameters.patch
91 Patch0038:      0038-certprofile-import-do-not-require-profileId-in-profi.patch
92 Patch0039:      0039-user-show-add-out-option-to-save-certificates-to-fil.patch
93 Patch0040:      0040-store-certificates-issued-for-user-entries-as-userCe.patch
94 Patch0041:      0041-Fix-incorrect-type-comparison-in-trust-fetch-domains.patch
95 Patch0042:      0042-Fix-selector-of-protocol-for-LSA-RPC-binding-string.patch
96 Patch0043:      0043-dcerpc-Simplify-generation-of-LSA-RPC-binding-string.patch
97 Patch0044:      0044-Fixed-missing-KRA-agent-cert-on-replica.patch
98 Patch0045:      0045-webui-add-LDAP-vs-Kerberos-behavior-description-to-u.patch
99 Patch0046:      0046-Fix-upgrade-of-sidgen-and-extdom-plugins.patch
100 Patch0047:      0047-Give-more-info-on-virtual-command-access-denial.patch
101 Patch0048:      0048-Allow-SAN-extension-for-cert-request-self-service.patch
102 Patch0049:      0049-Add-profile-for-DNP3-IEC-62351-8-certificates.patch
103 Patch0050:      0050-Work-around-python-nss-bug-on-unrecognised-OIDs.patch
104 Patch0051:      0051-adtrust-install-Correctly-determine-4.2-FreeIPA-serv.patch
105 Patch0052:      0052-certprofile-import-improve-profile-format-documentat.patch
106 Patch0053:      0053-Fix-default-CA-ACL-added-during-upgrade.patch
107 Patch0054:      0054-Fix-KRB5PrincipalName-UPN-SAN-comparison.patch
108 Patch0055:      0055-adjust-search-so-that-it-works-for-non-admin-users.patch
109 Patch0056:      0056-validate-mutually-exclusive-options-in-vault-add.patch
110 Patch0057:      0057-idranges-raise-an-error-when-local-IPA-ID-range-is-b.patch
111 Patch0058:      0058-install-Fix-server-and-replica-install-options.patch
112 Patch0059:      0059-certprofile-add-profile-format-explanation.patch
113 Patch0060:      0060-ULC-Prevent-preserved-users-from-being-assigned-memb.patch
114 Patch0061:      0061-Asymmetric-vault-validate-public-key-in-client.patch
115 Patch0062:      0062-add-permission-System-Manage-User-Certificates.patch
116 Patch0063:      0063-Add-permission-for-bypassing-CA-ACL-enforcement.patch
117 Patch0064:      0064-Added-CLI-param-and-ACL-for-vault-service-operations.patch
118 Patch0065:      0065-trusts-Detect-missing-Samba-instance.patch
119 Patch0066:      0066-winsync-migrate-Add-warning-about-passsync.patch
120 Patch0067:      0067-winsync-migrate-Expand-the-man-page.patch
121 Patch0068:      0068-fix-typo-in-BasePathNamespace-member-pointing-to-ods.patch
122 Patch0069:      0069-ipa-backup-archive-DNSSEC-zone-file-and-kasp.db.patch
123 Patch0070:      0070-baseldap-Allow-overriding-member-param-label-in-LDAP.patch
124 Patch0071:      0071-vault-Fix-param-labels-in-output-of-vault-owner-comm.patch
125 Patch0072:      0072-Fixed-vault-container-ownership.patch
126 Patch0073:      0073-vault-normalize-service-principal-in-service-vault-o.patch
127 Patch0074:      0074-vault-validate-vault-type.patch
128 Patch0075:      0075-install-Fix-replica-install-with-custom-certificates.patch
129 Patch0076:      0076-trusts-harden-trust-fetch-domains-oddjobd-based-scri.patch
130 Patch0077:      0077-user-undel-Fix-error-messages.patch
131 Patch0078:      0078-Prohibit-deletion-of-predefined-profiles.patch
132 Patch0079:      0079-improve-the-handling-of-krb5-related-errors-in-dnsse.patch
133 Patch0080:      0080-client-Add-support-for-multiple-IP-addresses-during-.patch
134 Patch0081:      0081-vault-Fix-vault-find-with-criteria.patch
135 Patch0082:      0082-vault-Add-container-information-to-vault-command-res.patch
136 Patch0083:      0083-Server-Upgrade-Start-DS-before-CA-is-started.patch
137 Patch0084:      0084-cert-request-remove-allowed-extensions-check.patch
138 Patch0085:      0085-client-Add-description-of-ip-address-and-all-ip-addr.patch
139 Patch0086:      0086-Backup-resore-authentication-control-configuration.patch
140 Patch0087:      0087-Add-flag-to-list-all-service-and-user-vaults.patch
141 Patch0088:      0088-Add-user-stage-command.patch
142 Patch0089:      0089-trusts-format-Kerberos-principal-properly-when-fetch.patch
143 Patch0090:      0090-Change-internal-rsa_-public-private-_key-variable-na.patch
144 Patch0091:      0091-improve-the-usability-of-ipa-user-del-preserve-comma.patch
145 Patch0092:      0092-DNSSEC-fix-forward-zone-forwarders-checks.patch
146 Patch0093:      0093-Added-support-for-changing-vault-encryption.patch
147 Patch0094:      0094-vault-change-default-vault-type-to-symmetric.patch
148 Patch0095:      0095-fix-missing-information-in-object-metadata.patch
149 Patch0096:      0096-webui-add-option-to-establish-bidirectional-trust.patch
150 Patch0097:      0097-Removed-clear-text-passwords-from-KRA-install-log.patch
151 Patch0098:      0098-certprofile-prevent-rename-modrdn.patch
152 Patch0099:      0099-vault-Limit-size-of-data-stored-in-vault.patch
153 Patch0100:      0100-ipactl-Do-not-start-stop-restart-single-service-mult.patch
154 Patch0101:      0101-cert-renewal-Include-KRA-users-in-Dogtag-LDAP-update.patch
155 Patch0102:      0102-cert-renewal-Automatically-update-KRA-agent-PEM-file.patch
156 Patch0103:      0103-DNSSEC-remove-DNSSEC-is-experimental-warnings.patch
157 Patch0104:      0104-Backup-back-up-the-hosts-file.patch
158 Patch0105:      0105-certprofile-remove-rename-option.patch
159 Patch0106:      0106-Installer-do-not-modify-etc-hosts-before-user-agreem.patch
160 Patch0107:      0107-DNSSEC-backup-and-restore-opendnssec-zone-list-file.patch
161 Patch0108:      0108-DNSSEC-remove-ccache-and-keytab-of-ipa-ods-exporter.patch
162 Patch0109:      0109-DNSSEC-prevent-ipa-ods-exporter-from-looping-after-s.patch
163 Patch0110:      0110-DNSSEC-Fix-deadlock-in-ipa-ods-exporter-ods-enforcer.patch
164 Patch0111:      0111-DNSSEC-Fix-HSM-synchronization-in-ipa-dnskeysyncd-wh.patch
165 Patch0112:      0112-DNSSEC-Fix-key-metadata-export.patch
166 Patch0113:      0113-DNSSEC-Wrap-master-key-using-RSA-OAEP-instead-of-old.patch
167 Patch0114:      0114-ldap-Make-ldap2-connection-management-thread-safe-ag.patch
168 Patch0115:      0115-Using-LDAPI-to-setup-CA-and-KRA-agents.patch
169 Patch0116:      0116-load-RA-backend-plugins-during-standalone-CA-install.patch
170 Patch0117:      0117-Handle-timeout-error-in-ipa-httpd-kdcproxy.patch
171 Patch0118:      0118-Server-Upgrade-backup-CS.cfg-when-dogtag-is-turned-o.patch
172 Patch0119:      0119-IPA-Restore-allows-to-specify-files-that-should-be-r.patch
173 Patch0120:      0120-config-allow-user-host-attributes-with-tagging-optio.patch
174 Patch0121:      0121-winsync-Add-inetUser-objectclass-to-the-passsync-sys.patch
175 Patch0122:      0122-baseldap-make-subtree-deletion-optional-in-LDAPDelet.patch
176 Patch0123:      0123-vault-add-vault-container-commands.patch
177 Patch0124:      0124-vault-set-owner-to-current-user-on-container-creatio.patch
178 Patch0125:      0125-vault-update-access-control.patch
179 Patch0126:      0126-vault-add-permissions-and-administrator-privilege.patch
180 Patch0127:      0127-install-support-KRA-update.patch
181 Patch0128:      0128-webui-use-manual-Firefox-configuration-for-Firefox-4.patch
182 Patch0129:      0129-ipa-backup-Add-mechanism-to-store-empty-directory-st.patch
183 Patch0130:      0130-install-create-kdcproxy-user-during-server-install.patch
184 Patch0131:      0131-destroy-httpd-ccache-after-stopping-the-service.patch
185 Patch0132:      0132-platform-add-option-to-create-home-directory-when-ad.patch
186 Patch0133:      0133-install-fix-kdcproxy-user-home-directory.patch
187 Patch0134:      0134-winsync-migrate-Convert-entity-names-to-posix-friend.patch
188 Patch0135:      0135-winsync-migrate-Properly-handle-collisions-in-the-na.patch
189 Patch0136:      0136-Fix-an-integer-underflow-bug-in-libotp.patch
190 Patch0137:      0137-do-not-overwrite-files-with-local-users-groups-when-.patch
191 Patch0138:      0138-install-fix-KRA-agent-PEM-file-permissions.patch
192 Patch0139:      0139-install-always-export-KRA-agent-PEM-file.patch
193 Patch0140:      0140-vault-select-a-server-with-KRA-for-vault-operations.patch
194 Patch0141:      0141-schema-do-not-derive-ipaVaultPublicKey-from-ipaPubli.patch
195 Patch0142:      0142-upgrade-make-sure-ldap2-is-connected-in-export_kra_a.patch
196 Patch0143:      0143-vault-fix-private-service-vault-creation.patch
2e9388 197 Patch0144:      0144-install-fix-command-line-option-validation.patch
CS 198 Patch0145:      0145-install-export-KRA-agent-PEM-file-in-ipa-kra-install.patch
199 Patch0146:      0146-cert-renewal-make-renewal-of-ipaCert-atomic.patch
200 Patch0147:      0147-suppress-errors-arising-from-adding-existing-LDAP-en.patch
201 Patch0148:      0148-fix-caching-in-get_ipa_config.patch
202 Patch0149:      0149-client-install-do-not-corrupt-OpenSSH-config-with-Ma.patch
203 Patch0150:      0150-upgrade-fix-migration-of-old-dns-forward-zones.patch
204 Patch0151:      0151-TLS-and-Dogtag-HTTPS-request-logging-improvements.patch
205 Patch0152:      0152-Avoid-race-condition-caused-by-profile-delete-and-re.patch
206 Patch0153:      0153-ipa-cacert-renew-Fix-connection-to-ldap.patch
207 Patch0154:      0154-ipa-otptoken-import-Fix-connection-to-ldap.patch
208 Patch0155:      0155-Do-not-erroneously-reinit-NSS-in-Dogtag-interface.patch
209 Patch0156:      0156-Add-profiles-and-default-CA-ACL-on-migration.patch
210 Patch0157:      0157-disconnect-ldap2-backend-after-adding-default-CA-ACL.patch
211 Patch0158:      0158-do-not-disconnect-when-using-existing-connection-to-.patch
212 Patch0159:      0159-Fix-upgrade-of-forwardzones-when-zone-is-in-realmdom.patch
e0ab38 213 Patch0160:      0160-Fix-version-comparison.patch
CS 214 Patch0161:      0161-DNS-fix-file-permissions.patch
215 Patch0162:      0162-Explicitly-call-chmod-on-newly-created-directories.patch
216 Patch0163:      0163-Fix-replace-mkdir-with-chmod.patch
217 Patch0164:      0164-DNSSEC-Improve-error-reporting-from-ipa-ods-exporter.patch
218 Patch0165:      0165-DNSSEC-Make-sure-that-current-state-in-OpenDNSSEC-ma.patch
219 Patch0166:      0166-DNSSEC-Make-sure-that-current-key-state-in-LDAP-matc.patch
220 Patch0167:      0167-DNSSEC-remove-obsolete-TODO-note.patch
221 Patch0168:      0168-DNSSEC-add-debug-mode-to-ldapkeydb.py.patch
222 Patch0169:      0169-DNSSEC-logging-improvements-in-ipa-ods-exporter.patch
223 Patch0170:      0170-DNSSEC-remove-keys-purged-by-OpenDNSSEC-from-master-.patch
224 Patch0171:      0171-DNSSEC-ipa-dnskeysyncd-Skip-zones-with-old-DNSSEC-me.patch
225 Patch0172:      0172-DNSSEC-ipa-ods-exporter-add-ldap-cleanup-command.patch
226 Patch0173:      0173-DNSSEC-ipa-dnskeysyncd-call-ods-signer-ldap-cleanup-.patch
227 Patch0174:      0174-DNSSEC-Log-debug-messages-at-log-level-DEBUG.patch
228 Patch0175:      0175-Allow-to-used-mixed-case-for-sysrestore.patch
229 Patch0176:      0176-prevent-crash-of-CA-less-server-upgrade-due-to-absen.patch
230 Patch0177:      0177-Upgrade-Fix-upgrade-of-NIS-Server-configuration.patch
231 Patch0178:      0178-use-FFI-call-to-rpmvercmp-function-for-version-compa.patch
232 Patch0179:      0179-ipalib-assume-version-2.0-when-skip_version_check-is.patch
233 Patch0180:      0180-always-start-certmonger-during-IPA-server-configurat.patch
aa60fb 234 Patch0181:      0181-ipa-kdb-map_groups-consider-all-results.patch
CS 235 Patch0182:      0182-ipa-ca-install-print-more-specific-errors-when-CA-is.patch
236 Patch0183:      0183-installer-Propagate-option-values-from-components-in.patch
237 Patch0184:      0184-installer-Fix-logic-of-reading-option-values-from-ca.patch
238 Patch0185:      0185-Fixed-login-error-message-box-in-LoginScreen-page.patch
239 Patch0186:      0186-cert-renewal-import-all-external-CA-certs-on-IPA-CA-.patch
240 Patch0187:      0187-CA-install-explicitly-set-dogtag_version-to-10.patch
241 Patch0188:      0188-fix-standalone-installation-of-externally-signed-CA-.patch
242 Patch0189:      0189-replica-install-validate-DS-and-HTTP-server-certific.patch
243 Patch0190:      0190-Do-not-decode-HTTP-reason-phrase-from-Dogtag.patch
244 Patch0191:      0191-upgrade-unconditional-import-of-certificate-profiles.patch
245 Patch0192:      0192-upgrade-fix-config-of-sidgen-and-extdom-plugins.patch
246 Patch0193:      0193-trusts-use-ipaNTTrustPartner-attribute-to-detect-tru.patch
247 Patch0194:      0194-Warn-user-if-trust-is-broken.patch
248 Patch0195:      0195-fix-upgrade-wait-for-proper-DS-socket-after-DS-resta.patch
249 Patch0196:      0196-slapi-nis-update-configuration-to-allow-external-mem.patch
250 Patch0197:      0197-Insure-the-admin_conn-is-disconnected-on-stop.patch
251 Patch0198:      0198-Fix-connections-to-DS-during-installation.patch
252 Patch0199:      0199-Fix-broken-trust-warnings.patch
253 Patch0200:      0200-replica-install-improvements-in-the-handling-of-CA-r.patch
254 Patch0201:      0201-certdb-never-use-the-r-option-of-certutil.patch
db5969 255 Patch0202:      0202-Prevent-replica-install-from-overwriting-cert-profil.patch
CS 256 Patch0203:      0203-Detect-and-repair-incorrect-caIPAserviceCert-config.patch
257 Patch0204:      0204-replica-install-do-not-set-CA-renewal-master-flag.patch
99b6f7 258
CB 259 Patch1001:      1001-Hide-pkinit-functionality-from-production-version.patch
260 Patch1002:      1002-Remove-pkinit-plugin.patch
261 Patch1003:      1003-Remove-pkinit-references-from-tool-man-pages.patch
262 Patch1004:      1004-Change-branding-to-IPA-and-Identity-Management.patch
263 Patch1005:      1005-Remove-pylint-from-build-process.patch
264 Patch1006:      1006-Remove-i18test-from-build-process.patch
e3ffab 265 Patch1007:      1007-Do-not-build-tests.patch
CS 266 Patch1008:      1008-RCUE.patch
267 Patch1009:      1009-Do-not-allow-installation-in-FIPS-mode.patch
590d18 268 Patch1010:      1010-WebUI-add-API-browser-is-experimental-warning.patch
b31a75 269 Patch1011:      ipa-centos-branding.patch
e3ffab 270 # RHEL spec file only: END
10ca37 271
99b6f7 272 %if ! %{ONLY_CLIENT}
590d18 273 BuildRequires:  389-ds-base-devel >= 1.3.4.0
99b6f7 274 BuildRequires:  svrcore-devel
e3ffab 275 BuildRequires:  policycoreutils >= 2.1.14-37
99b6f7 276 BuildRequires:  systemd-units
e3ffab 277 BuildRequires:  samba-devel >= %{samba_version}
99b6f7 278 BuildRequires:  samba-python
CB 279 BuildRequires:  libwbclient-devel
280 BuildRequires:  libtalloc-devel
281 BuildRequires:  libtevent-devel
282 %endif # ONLY_CLIENT
283 BuildRequires:  nspr-devel
284 BuildRequires:  nss-devel
285 BuildRequires:  openssl-devel
286 BuildRequires:  openldap-devel
590d18 287 BuildRequires:  krb5-devel >= 1.13
99b6f7 288 BuildRequires:  krb5-workstation
CB 289 BuildRequires:  libuuid-devel
290 BuildRequires:  libcurl-devel >= 7.21.7-2
291 BuildRequires:  xmlrpc-c-devel >= 1.27.4
292 BuildRequires:  popt-devel
293 BuildRequires:  autoconf
294 BuildRequires:  automake
295 BuildRequires:  m4
296 BuildRequires:  libtool
297 BuildRequires:  gettext
298 BuildRequires:  python-devel
299 BuildRequires:  python-ldap
300 BuildRequires:  python-setuptools
301 BuildRequires:  python-krbV
302 BuildRequires:  python-nss
590d18 303 BuildRequires:  python-cryptography
99b6f7 304 BuildRequires:  python-netaddr
e3ffab 305 BuildRequires:  python-kerberos >= 1.1-15
99b6f7 306 BuildRequires:  python-rhsm
CB 307 BuildRequires:  pyOpenSSL
e3ffab 308 # RHEL spec file only: DELETED: Remove pylint from build process
CS 309 # RHEL spec file only: DELETED: Remove i18test from build process
590d18 310 BuildRequires:  python-libipa_hbac
99b6f7 311 BuildRequires:  python-memcached
590d18 312 BuildRequires:  sssd >= 1.13.0-6
99b6f7 313 BuildRequires:  python-lxml
CB 314 BuildRequires:  python-pyasn1 >= 0.0.9a
e3ffab 315 BuildRequires:  python-qrcode-core >= 5.0.0
CS 316 BuildRequires:  python-dns >= 1.11.1-2
99b6f7 317 BuildRequires:  m2crypto
CB 318 BuildRequires:  check
319 BuildRequires:  libsss_idmap-devel
e3ffab 320 BuildRequires:  libsss_nss_idmap-devel >= 1.12.2
CS 321 BuildRequires:  java-headless
031d60 322 BuildRequires:  rhino
99b6f7 323 BuildRequires:  libverto-devel
CB 324 BuildRequires:  systemd
325 BuildRequires:  libunistring-devel
e3ffab 326 # RHEL spec file only: START
99b6f7 327 BuildRequires:  diffstat
e3ffab 328 # RHEL spec file only: END
CS 329 BuildRequires:  python-lesscpy
590d18 330 BuildRequires:  python-yubico >= 1.2.3
CS 331 # RHEL spec file only: START
e3ffab 332 BuildRequires:  python-backports-ssl_match_hostname
590d18 333 # RHEL spec file only: END
CS 334 BuildRequires:  softhsm-devel >= 2.0.0rc1-1
335 BuildRequires:  openssl-devel
336 BuildRequires:  p11-kit-devel
337 BuildRequires:  pki-base >= 10.2.5-5
338 # RHEL spec file only: DELETED: Do not build tests
339 BuildRequires:  python-kdcproxy >= 0.3
99b6f7 340
CB 341 %description
342 IPA is an integrated solution to provide centrally managed Identity (machine,
343 user, virtual machines, groups, authentication credentials), Policy
344 (configuration settings, access control information) and Audit (events,
345 logs, analysis thereof).
346
347 %if ! %{ONLY_CLIENT}
348 %package server
349 Summary: The IPA authentication server
350 Group: System Environment/Base
351 Requires: %{name}-python = %{version}-%{release}
352 Requires: %{name}-client = %{version}-%{release}
353 Requires: %{name}-admintools = %{version}-%{release}
590d18 354 Requires: 389-ds-base >= 1.3.4.0
99b6f7 355 Requires: openldap-clients > 2.4.35-4
CB 356 Requires: nss >= 3.14.3-12.0
357 Requires: nss-tools >= 3.14.3-12.0
590d18 358 Requires(post): krb5-server >= %{krb5_base_version}, krb5-server < %{krb5_base_version}.100
99b6f7 359 Requires: krb5-pkinit-openssl
CB 360 Requires: cyrus-sasl-gssapi%{?_isa}
361 Requires: ntp
9991ea 362 Requires: httpd >= 2.4.6-7
99b6f7 363 Requires: mod_wsgi
590d18 364 Requires: mod_auth_gssapi >= 1.1.0-2
9991ea 365 Requires: mod_nss >= 1.0.8-26
e3ffab 366 Requires: python-ldap >= 2.4.15
99b6f7 367 Requires: python-krbV
590d18 368 Requires: python-sssdconfig
99b6f7 369 Requires: acl
CB 370 Requires: python-pyasn1
371 Requires: memcached
372 Requires: python-memcached
e3ffab 373 Requires: dbus-python
99b6f7 374 Requires: systemd-units >= 38
590d18 375 Requires(pre): shadow-utils
99b6f7 376 Requires(pre): systemd-units
CB 377 Requires(post): systemd-units
e3ffab 378 Requires: selinux-policy >= %{selinux_policy_version}
590d18 379 Requires(post): selinux-policy-base >= %{selinux_policy_version}
aa60fb 380 Requires: slapi-nis >= 0.54-8
590d18 381 Requires: pki-ca >= 10.2.5-5
CS 382 Requires: pki-kra >= 10.2.5-5
99b6f7 383 Requires(preun): python systemd-units
CB 384 Requires(postun): python systemd-units
e3ffab 385 Requires: python-dns >= 1.11.1-2
590d18 386 Requires: python-kdcproxy >= 0.3
99b6f7 387 Requires: zip
e3ffab 388 Requires: policycoreutils >= 2.1.14-37
99b6f7 389 Requires: tar
590d18 390 Requires(pre): certmonger >= 0.78
CS 391 Requires(pre): 389-ds-base >= 1.3.4.0
e3ffab 392 Requires: fontawesome-fonts
CS 393 Requires: open-sans-fonts
e0ab38 394 # RHEL spec file only: START
CS 395 Requires(pre): openssl >= 1:1.0.1e-42
396 # RHEL spec file only: END
397 Requires: openssl >= 1:1.0.1e-42
590d18 398 Requires: softhsm >= 2.0.0rc1-1
CS 399 Requires: p11-kit
400 Requires: systemd-python
401 Requires: %{etc_systemd_dir}
402 Requires: gzip
e3ffab 403 # RHEL spec file only: START
b31a75 404 # Requires: redhat-access-plugin-ipa
e3ffab 405 # RHEL spec file only: END
CS 406
407 Conflicts: %{alt_name}-server
408 Obsoletes: %{alt_name}-server < %{version}
409
410 # RHEL spec file only: DELETED
99b6f7 411
590d18 412 # upgrade path from monolithic -server to -server + -server-dns
CS 413 Obsoletes: %{name}-server <= 4.2.0-2
99b6f7 414
CB 415 # Versions of nss-pam-ldapd < 0.8.4 require a mapping from uniqueMember to
416 # member.
417 Conflicts: nss-pam-ldapd < 0.8.4
9991ea 418
e3ffab 419 # RHEL spec file only: START: Do not build tests
9991ea 420 # ipa-tests subpackage was moved to separate srpm
CB 421 Conflicts: ipa-tests < 3.3.3-9
e3ffab 422 # RHEL spec file only: END: Do not build tests
99b6f7 423
CB 424 %description server
425 IPA is an integrated solution to provide centrally managed Identity (machine,
426 user, virtual machines, groups, authentication credentials), Policy
427 (configuration settings, access control information) and Audit (events,
428 logs, analysis thereof). If you are installing an IPA server you need
429 to install this package (in other words, most people should NOT install
430 this package).
431
432
590d18 433 %package server-dns
CS 434 Summary: IPA integrated DNS server with support for automatic DNSSEC signing
435 Group: System Environment/Base
436 Requires: %{name}-server = %{version}-%{release}
437 Requires: bind-dyndb-ldap >= 6.0-4
438 %if 0%{?fedora} >= 21
439 Requires: bind >= 9.9.6-3
440 Requires: bind-utils >= 9.9.6-3
441 Requires: bind-pkcs11 >= 9.9.6-3
442 Requires: bind-pkcs11-utils >= 9.9.6-3
443 %else
444 Requires: bind >= 9.9.4-21
445 Requires: bind-utils >= 9.9.4-21
446 Requires: bind-pkcs11 >= 9.9.4-21
447 Requires: bind-pkcs11-utils >= 9.9.4-21
448 %endif
449 Requires: opendnssec >= 1.4.6-4
450
451 Conflicts: %{alt_name}-server-dns
452 Obsoletes: %{alt_name}-server-dns < %{version}
453
454 # upgrade path from monolithic -server to -server + -server-dns
455 Obsoletes: %{name}-server <= 4.2.0-2
456
457 %description server-dns
458 IPA integrated DNS server with support for automatic DNSSEC signing.
459 Integrated DNS server is BIND 9. OpenDNSSEC provides key management.
460
461
99b6f7 462 %package server-trust-ad
CB 463 Summary: Virtual package to install packages required for Active Directory trusts
464 Group: System Environment/Base
465 Requires: %{name}-server = %version-%release
466 Requires: m2crypto
467 Requires: samba-python
e3ffab 468 Requires: samba >= %{samba_version}
99b6f7 469 Requires: samba-winbind
CB 470 Requires: libsss_idmap
590d18 471 Requires: python-libsss_nss_idmap
CS 472 Requires: oddjob
473 Requires: python-sss
99b6f7 474 # We use alternatives to divert winbind_krb5_locator.so plugin to libkrb5
CB 475 # on the installes where server-trust-ad subpackage is installed because
476 # IPA AD trusts cannot be used at the same time with the locator plugin
477 # since Winbindd will be configured in a different mode
478 Requires(post): %{_sbindir}/update-alternatives
479 Requires(post): python
480 Requires(postun): %{_sbindir}/update-alternatives
481 Requires(preun): %{_sbindir}/update-alternatives
e3ffab 482
CS 483 Conflicts: %{alt_name}-server-trust-ad
484 Obsoletes: %{alt_name}-server-trust-ad < %{version}
99b6f7 485
CB 486 %description server-trust-ad
487 Cross-realm trusts with Active Directory in IPA require working Samba 4
488 installation. This package is provided for convenience to install all required
489 dependencies at once.
490
491 %endif # ONLY_CLIENT
492
493
494 %package client
495 Summary: IPA authentication for use on clients
496 Group: System Environment/Base
497 Requires: %{name}-python = %{version}-%{release}
498 Requires: python-ldap
499 Requires: cyrus-sasl-gssapi%{?_isa}
500 Requires: ntp
501 Requires: krb5-workstation
502 Requires: authconfig
503 Requires: pam_krb5
504 Requires: wget
505 Requires: libcurl >= 7.21.7-2
506 Requires: xmlrpc-c >= 1.27.4
aa60fb 507 Requires: sssd >= 1.13.0-40.el7_2.2
590d18 508 Requires: python-sssdconfig
CS 509 Requires: certmonger >= 0.78
99b6f7 510 Requires: nss-tools
CB 511 Requires: bind-utils
512 Requires: oddjob-mkhomedir
513 Requires: python-krbV
e3ffab 514 Requires: python-dns >= 1.11.1
99b6f7 515 Requires: libsss_autofs
CB 516 Requires: autofs
517 Requires: libnfsidmap
518 Requires: nfs-utils
590d18 519 # RHEL spec file only: START
e3ffab 520 Requires: python-backports-ssl_match_hostname
590d18 521 # RHEL spec file only: END
99b6f7 522 Requires(post): policycoreutils
e3ffab 523
CS 524 Conflicts: %{alt_name}-client
525 Obsoletes: %{alt_name}-client < %{version}
99b6f7 526
CB 527 %description client
528 IPA is an integrated solution to provide centrally managed Identity (machine,
529 user, virtual machines, groups, authentication credentials), Policy
530 (configuration settings, access control information) and Audit (events,
531 logs, analysis thereof). If your network uses IPA for authentication,
532 this package should be installed on every client machine.
533
534
535 %package admintools
536 Summary: IPA administrative tools
537 Group: System Environment/Base
538 Requires: %{name}-python = %{version}-%{release}
539 Requires: %{name}-client = %{version}-%{release}
540 Requires: python-krbV
541 Requires: python-ldap
542
e3ffab 543 Conflicts: %{alt_name}-admintools
CS 544 Obsoletes: %{alt_name}-admintools < %{version}
545
99b6f7 546 %description admintools
CB 547 IPA is an integrated solution to provide centrally managed Identity (machine,
548 user, virtual machines, groups, authentication credentials), Policy
549 (configuration settings, access control information) and Audit (events,
550 logs, analysis thereof). This package provides command-line tools for
551 IPA administrators.
552
553 %package python
554 Summary: Python libraries used by IPA
555 Group: System Environment/Libraries
e3ffab 556 Requires: python-kerberos >= 1.1-15
99b6f7 557 Requires: gnupg
CB 558 Requires: iproute
559 Requires: keyutils
560 Requires: pyOpenSSL
e3ffab 561 Requires: python-nss >= 0.16
590d18 562 Requires: python-cryptography
99b6f7 563 Requires: python-lxml
CB 564 Requires: python-netaddr
590d18 565 Requires: python-libipa_hbac
e3ffab 566 Requires: python-qrcode-core >= 5.0.0
CS 567 Requires: python-pyasn1
568 Requires: python-dateutil
590d18 569 Requires: python-yubico >= 1.2.3
CS 570 Requires: python-sss-murmur
571 Requires: wget
572 Requires: dbus-python
573 Requires: python-setuptools
e3ffab 574
CS 575 Conflicts: %{alt_name}-python
576 Obsoletes: %{alt_name}-python < %{version}
99b6f7 577
CB 578 %description python
579 IPA is an integrated solution to provide centrally managed Identity (machine,
580 user, virtual machines, groups, authentication credentials), Policy
581 (configuration settings, access control information) and Audit (events,
582 logs, analysis thereof). If you are using IPA you need to install this
583 package.
e3ffab 584
CS 585 # RHEL spec file only: DELETED: Do not build tests
586
99b6f7 587
CB 588 %prep
589 # RHEL spec file only: START
590 # Update timestamps on the files touched by a patch, to avoid non-equal
591 # .pyc/.pyo files across the multilib peers within a build, where "Level"
592 # is the patch prefix option (e.g. -p1)
593 # Taken from specfile for sssd and python-simplejson
594 UpdateTimestamps() {
595   Level=$1
596   PatchFile=$2
597
598   # Locate the affected files:
599   for f in $(diffstat $Level -l $PatchFile); do
600     # Set the files to have the same timestamp as that of the patch:
601     touch -r $PatchFile $f
602   done
603 }
604
605 %setup -n freeipa-%{VERSION} -q
606
607 for p in %patches ; do
608     %__patch -p1 -i $p
609     UpdateTimestamps -p1 $p
610 done
e3ffab 611
CS 612 # Red Hat's Identity Management branding
b31a75 613 #cp %SOURCE1 install/ui/images/header-logo.png
CS 614 #cp %SOURCE2 install/ui/images/login-screen-background.jpg
615 #cp %SOURCE3 install/ui/images/login-screen-logo.png
616 #cp %SOURCE4 install/ui/images/product-name.png
99b6f7 617 # RHEL spec file only: END
CB 618
619 %build
e3ffab 620 # UI compilation segfaulted on some arches when the stack was lower (#1040576)
CS 621 export JAVA_STACK_SIZE="8m"
622
9991ea 623 export CFLAGS="%{optflags} $CFLAGS"
CB 624 export LDFLAGS="%{__global_ldflags} $LDFLAGS"
e3ffab 625 export SUPPORTED_PLATFORM=%{platform_module}
CS 626
99b6f7 627 # Force re-generate of platform support
e3ffab 628 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 629 rm -f ipapython/version.py
630 rm -f ipaplatform/services.py
631 rm -f ipaplatform/tasks.py
632 rm -f ipaplatform/paths.py
590d18 633 rm -f ipaplatform/constants.py
99b6f7 634 make version-update
CB 635 cd ipa-client; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
636 %if ! %{ONLY_CLIENT}
0201d8 637 # RHEL SPEC file only: START: Force re-generation of the makefiles
CS 638 find daemons -name Makefile.in |egrep -v '(libotp|lockout|otp-counter|lasttoken)'|xargs rm -f
639 # RHEL SPEC file only: END: Force re-generation of the makefiles
99b6f7 640 cd daemons; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir} --with-openldap; cd ..
CB 641 cd install; ../autogen.sh --prefix=%{_usr} --sysconfdir=%{_sysconfdir} --localstatedir=%{_localstatedir} --libdir=%{_libdir} --mandir=%{_mandir}; cd ..
642 %endif # ONLY_CLIENT
643
644 %if ! %{ONLY_CLIENT}
645 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} all
646 %else
647 make IPA_VERSION_IS_GIT_SNAPSHOT=no %{?_smp_mflags} client
648 %endif # ONLY_CLIENT
649
650 %install
651 rm -rf %{buildroot}
e3ffab 652 export SUPPORTED_PLATFORM=%{platform_module}
99b6f7 653 # Force re-generate of platform support
e3ffab 654 export IPA_VENDOR_VERSION_SUFFIX=-%{release}
CS 655 rm -f ipapython/version.py
656 rm -f ipaplatform/services.py
657 rm -f ipaplatform/tasks.py
658 rm -f ipaplatform/paths.py
590d18 659 rm -f ipaplatform/constants.py
e3ffab 660 make version-update
99b6f7 661 %if ! %{ONLY_CLIENT}
CB 662 make install DESTDIR=%{buildroot}
663 %else
664 make client-install DESTDIR=%{buildroot}
665 %endif # ONLY_CLIENT
666 %find_lang %{gettext_domain}
667
e3ffab 668
CS 669 mkdir -p %{buildroot}%{_usr}/share/ipa
99b6f7 670
CB 671 %if ! %{ONLY_CLIENT}
672 # Remove .la files from libtool - we don't want to package
673 # these files
674 rm %{buildroot}/%{plugin_dir}/libipa_pwd_extop.la
675 rm %{buildroot}/%{plugin_dir}/libipa_enrollment_extop.la
676 rm %{buildroot}/%{plugin_dir}/libipa_winsync.la
677 rm %{buildroot}/%{plugin_dir}/libipa_repl_version.la
678 rm %{buildroot}/%{plugin_dir}/libipa_uuid.la
679 rm %{buildroot}/%{plugin_dir}/libipa_modrdn.la
680 rm %{buildroot}/%{plugin_dir}/libipa_lockout.la
681 rm %{buildroot}/%{plugin_dir}/libipa_cldap.la
682 rm %{buildroot}/%{plugin_dir}/libipa_dns.la
683 rm %{buildroot}/%{plugin_dir}/libipa_sidgen.la
684 rm %{buildroot}/%{plugin_dir}/libipa_sidgen_task.la
685 rm %{buildroot}/%{plugin_dir}/libipa_extdom_extop.la
686 rm %{buildroot}/%{plugin_dir}/libipa_range_check.la
e3ffab 687 rm %{buildroot}/%{plugin_dir}/libipa_otp_counter.la
CS 688 rm %{buildroot}/%{plugin_dir}/libipa_otp_lasttoken.la
590d18 689 rm %{buildroot}/%{plugin_dir}/libtopology.la
99b6f7 690 rm %{buildroot}/%{_libdir}/krb5/plugins/kdb/ipadb.la
CB 691 rm %{buildroot}/%{_libdir}/samba/pdb/ipasam.la
692
693 # Some user-modifiable HTML files are provided. Move these to /etc
694 # and link back.
695 mkdir -p %{buildroot}/%{_sysconfdir}/ipa/html
696 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysrestore
697 mkdir -p %{buildroot}/%{_localstatedir}/cache/ipa/sysupgrade
698 mkdir %{buildroot}%{_usr}/share/ipa/html/
699 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig.js \
700     %{buildroot}%{_usr}/share/ipa/html/ffconfig.js
701 ln -s ../../../..%{_sysconfdir}/ipa/html/ffconfig_page.js \
702     %{buildroot}%{_usr}/share/ipa/html/ffconfig_page.js
703 ln -s ../../../..%{_sysconfdir}/ipa/html/ssbrowser.html \
704     %{buildroot}%{_usr}/share/ipa/html/ssbrowser.html
705 ln -s ../../../..%{_sysconfdir}/ipa/html/unauthorized.html \
706     %{buildroot}%{_usr}/share/ipa/html/unauthorized.html
707 ln -s ../../../..%{_sysconfdir}/ipa/html/browserconfig.html \
708     %{buildroot}%{_usr}/share/ipa/html/browserconfig.html
709
710 # So we can own our Apache configuration
711 mkdir -p %{buildroot}%{_sysconfdir}/httpd/conf.d/
712 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 713 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 714 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
CB 715 /bin/touch %{buildroot}%{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
716 mkdir -p %{buildroot}%{_usr}/share/ipa/html/
717 /bin/touch %{buildroot}%{_usr}/share/ipa/html/ca.crt
718 /bin/touch %{buildroot}%{_usr}/share/ipa/html/configure.jar
719 /bin/touch %{buildroot}%{_usr}/share/ipa/html/kerberosauth.xpi
720 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.con
721 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb.js
722 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krb5.ini
723 /bin/touch %{buildroot}%{_usr}/share/ipa/html/krbrealm.con
724 /bin/touch %{buildroot}%{_usr}/share/ipa/html/preferences.html
725 mkdir -p %{buildroot}%{_initrddir}
726 mkdir %{buildroot}%{_sysconfdir}/sysconfig/
727 install -m 644 init/ipa_memcached.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa_memcached
590d18 728 install -m 644 init/ipa-dnskeysyncd.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 729 install -m 644 init/ipa-ods-exporter.conf %{buildroot}%{_sysconfdir}/sysconfig/ipa-ods-exporter
730 install -m 644 daemons/dnssec/ipa-ods-exporter.socket %{buildroot}%{_unitdir}/ipa-ods-exporter.socket
731 install -m 644 daemons/dnssec/ipa-ods-exporter.service %{buildroot}%{_unitdir}/ipa-ods-exporter.service
732 install -m 644 daemons/dnssec/ipa-dnskeysyncd.service %{buildroot}%{_unitdir}/ipa-dnskeysyncd.service
e3ffab 733
CS 734 # dnssec daemons
735 mkdir -p %{buildroot}%{_libexecdir}/ipa/
590d18 736 install daemons/dnssec/ipa-dnskeysyncd %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysyncd
CS 737 install daemons/dnssec/ipa-dnskeysync-replica %{buildroot}%{_libexecdir}/ipa/ipa-dnskeysync-replica
738 install daemons/dnssec/ipa-ods-exporter %{buildroot}%{_libexecdir}/ipa/ipa-ods-exporter
99b6f7 739
CB 740 # Web UI plugin dir
741 mkdir -p %{buildroot}%{_usr}/share/ipa/ui/js/plugins
590d18 742
CS 743 # KDC proxy config (Apache config sets KDCPROXY_CONFIG to load this file)
744 mkdir -p %{buildroot}%{_sysconfdir}/ipa/kdcproxy/
745 install -m 644 install/share/kdcproxy.conf %{buildroot}%{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 746
CB 747 # NOTE: systemd specific section
e3ffab 748 mkdir -p %{buildroot}%{_tmpfilesdir}
CS 749 install -m 0644 init/systemd/ipa.conf.tmpfiles %{buildroot}%{_tmpfilesdir}/%{name}.conf
99b6f7 750 # END
CB 751
752 mkdir -p %{buildroot}%{_localstatedir}/run/
753 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa_memcached/
754 install -d -m 0700 %{buildroot}%{_localstatedir}/run/ipa/
590d18 755 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa
CS 756 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/clientcaches
757 install -d -m 0700 %{buildroot}%{_localstatedir}/run/httpd/ipa/krbcache
99b6f7 758
CB 759 mkdir -p %{buildroot}%{_libdir}/krb5/plugins/libkrb5
760 touch %{buildroot}%{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
761
762 # NOTE: systemd specific section
763 mkdir -p %{buildroot}%{_unitdir}
590d18 764 mkdir -p %{buildroot}%{etc_systemd_dir}
99b6f7 765 install -m 644 init/systemd/ipa.service %{buildroot}%{_unitdir}/ipa.service
CB 766 install -m 644 init/systemd/ipa_memcached.service %{buildroot}%{_unitdir}/ipa_memcached.service
590d18 767 install -m 644 init/systemd/httpd.service %{buildroot}%{etc_systemd_dir}/httpd.service
99b6f7 768 # END
e3ffab 769 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa/backup
99b6f7 770 %endif # ONLY_CLIENT
CB 771
772 mkdir -p %{buildroot}%{_sysconfdir}/ipa/
773 /bin/touch %{buildroot}%{_sysconfdir}/ipa/default.conf
774 /bin/touch %{buildroot}%{_sysconfdir}/ipa/ca.crt
e3ffab 775 mkdir -p %{buildroot}%{_sysconfdir}/ipa/dnssec
CS 776 mkdir -p %{buildroot}%{_sysconfdir}/ipa/nssdb
99b6f7 777 mkdir -p %{buildroot}/%{_localstatedir}/lib/ipa-client/sysrestore
CB 778 mkdir -p %{buildroot}%{_sysconfdir}/bash_completion.d
779 install -pm 644 contrib/completion/ipa.bash_completion %{buildroot}%{_sysconfdir}/bash_completion.d/ipa
e3ffab 780
CS 781 %if ! %{ONLY_CLIENT}
99b6f7 782 mkdir -p %{buildroot}%{_sysconfdir}/cron.d
CB 783
784 (cd %{buildroot}/%{python_sitelib}/ipaserver && find . -type f  | \
785     grep -v dcerpc | grep -v adtrustinstance | \
786     sed -e 's,\.py.*$,.*,g' | sort -u | \
787     sed -e 's,\./,%%{python_sitelib}/ipaserver/,g' ) >server-python.list
e3ffab 788
CS 789 # RHEL spec file only: DELETED: Do not build tests
99b6f7 790 %endif # ONLY_CLIENT
CB 791
792 %clean
793 rm -rf %{buildroot}
794
795 %if ! %{ONLY_CLIENT}
796 %post server
797 # NOTE: systemd specific section
798     /bin/systemctl --system daemon-reload 2>&1 || :
799 # END
800 if [ $1 -gt 1 ] ; then
801     /bin/systemctl condrestart certmonger.service 2>&1 || :
802 fi
803
804 %posttrans server
805 # This must be run in posttrans so that updates from previous
806 # execution that may no longer be shipped are not applied.
590d18 807 /usr/sbin/ipa-server-upgrade --quiet >/dev/null || :
99b6f7 808
CB 809 # Restart IPA processes. This must be also run in postrans so that plugins
810 # and software is in consistent state
e3ffab 811 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 812 # NOTE: systemd specific section
CB 813 if [  $? -eq 0 ]; then
e3ffab 814     /bin/systemctl is-enabled ipa.service >/dev/null 2>&1
CS 815     if [  $? -eq 0 ]; then
816         /bin/systemctl restart ipa.service >/dev/null 2>&1 || :
817     fi
99b6f7 818 fi
CB 819 # END
820
821 %preun server
822 if [ $1 = 0 ]; then
823 # NOTE: systemd specific section
824     /bin/systemctl --quiet stop ipa.service || :
825     /bin/systemctl --quiet disable ipa.service || :
826 # END
827 fi
828
829 %pre server
830 # Stop ipa_kpasswd if it exists before upgrading so we don't have a
831 # zombie process when we're done.
832 if [ -e /usr/sbin/ipa_kpasswd ]; then
833 # NOTE: systemd specific section
834     /bin/systemctl stop ipa_kpasswd.service >/dev/null 2>&1 || :
835 # END
836 fi
837
838 %postun server-trust-ad
839 if [ "$1" -ge "1" ]; then
840     if [ "`readlink %{_sysconfdir}/alternatives/winbind_krb5_locator.so`" == "/dev/null" ]; then
841         %{_sbindir}/alternatives --set winbind_krb5_locator.so /dev/null
842     fi
843 fi
844
845 %post server-trust-ad
846 %{_sbindir}/update-alternatives --install %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so \
847         winbind_krb5_locator.so /dev/null 90
590d18 848 /bin/systemctl reload-or-try-restart dbus
CS 849 /bin/systemctl reload-or-try-restart oddjobd
99b6f7 850
CB 851 %posttrans server-trust-ad
e3ffab 852 python2 -c "import sys; from ipaserver.install import installutils; sys.exit(0 if installutils.is_ipa_configured() else 1);" > /dev/null 2>&1
99b6f7 853 if [  $? -eq 0 ]; then
CB 854 # NOTE: systemd specific section
855     /bin/systemctl try-restart httpd.service >/dev/null 2>&1 || :
856 # END
857 fi
858
859 %preun server-trust-ad
860 if [ $1 -eq 0 ]; then
861     %{_sbindir}/update-alternatives --remove winbind_krb5_locator.so /dev/null
590d18 862     /bin/systemctl reload-or-try-restart dbus
CS 863     /bin/systemctl reload-or-try-restart oddjobd
99b6f7 864 fi
e3ffab 865
99b6f7 866 %endif # ONLY_CLIENT
CB 867
868 %post client
869 if [ $1 -gt 1 ] ; then
870     # Has the client been configured?
871     restore=0
872     test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
873
874     if [ -f '/etc/sssd/sssd.conf' -a $restore -ge 2 ]; then
875         if ! grep -E -q '/var/lib/sss/pubconf/krb5.include.d/' /etc/krb5.conf  2>/dev/null ; then
876             echo "includedir /var/lib/sss/pubconf/krb5.include.d/" > /etc/krb5.conf.ipanew
877             cat /etc/krb5.conf >> /etc/krb5.conf.ipanew
590d18 878             mv -Z /etc/krb5.conf.ipanew /etc/krb5.conf
99b6f7 879         fi
CB 880     fi
e3ffab 881
CS 882     if [ -f '/etc/sysconfig/ntpd' -a $restore -ge 2 ]; then
883         if grep -E -q 'OPTIONS=.*-u ntp:ntp' /etc/sysconfig/ntpd 2>/dev/null; then
884             sed -r '/OPTIONS=/ { s/\s+-u ntp:ntp\s+/ /; s/\s*-u ntp:ntp\s*// }' /etc/sysconfig/ntpd >/etc/sysconfig/ntpd.ipanew
590d18 885             mv -Z /etc/sysconfig/ntpd.ipanew /etc/sysconfig/ntpd
e3ffab 886
CS 887             /bin/systemctl condrestart ntpd.service 2>&1 || :
888         fi
889     fi
890
891     if [ ! -f '/etc/ipa/nssdb/cert8.db' -a $restore -ge 2 ]; then
892         python2 -c 'from ipapython.certdb import create_ipa_nssdb; create_ipa_nssdb()' >/dev/null 2>&1
893         tempfile=$(mktemp)
894         if certutil -L -d /etc/pki/nssdb -n 'IPA CA' -a >"$tempfile" 2>/var/log/ipaupgrade.log; then
895             certutil -A -d /etc/ipa/nssdb -n 'IPA CA' -t CT,C,C -a -i "$tempfile" >/var/log/ipaupgrade.log 2>&1
896         elif certutil -L -d /etc/pki/nssdb -n 'External CA cert' -a >"$tempfile" 2>/var/log/ipaupgrade.log; then
897             certutil -A -d /etc/ipa/nssdb -n 'External CA cert' -t C,, -a -i "$tempfile" >/var/log/ipaupgrade.log 2>&1
898         fi
899         rm -f "$tempfile"
900     fi
99b6f7 901 fi
CB 902
e3ffab 903 %triggerin -n %{name}-client -- openssh-server
99b6f7 904 # Has the client been configured?
CB 905 restore=0
906 test -f '/var/lib/ipa-client/sysrestore/sysrestore.index' && restore=$(wc -l '/var/lib/ipa-client/sysrestore/sysrestore.index' | awk '{print $1}')
907
908 if [ -f '/etc/ssh/sshd_config' -a $restore -ge 2 ]; then
909     if grep -E -q '^(AuthorizedKeysCommand /usr/bin/sss_ssh_authorizedkeys|PubKeyAgent /usr/bin/sss_ssh_authorizedkeys %u)$' /etc/ssh/sshd_config 2>/dev/null; then
910         sed -r '
911             /^(AuthorizedKeysCommand(User|RunAs)|PubKeyAgentRunAs)[ \t]/ d
912         ' /etc/ssh/sshd_config >/etc/ssh/sshd_config.ipanew
913
914         if /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandUser=nobody'; then
915             sed -ri '
916                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
917                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandUser nobody/
918             ' /etc/ssh/sshd_config.ipanew
919         elif /usr/sbin/sshd -t -f /dev/null -o 'AuthorizedKeysCommand=/usr/bin/sss_ssh_authorizedkeys' -o 'AuthorizedKeysCommandRunAs=nobody'; then
920             sed -ri '
921                 s/^PubKeyAgent (.+) %u$/AuthorizedKeysCommand \1/
922                 s/^AuthorizedKeysCommand .*$/\0\nAuthorizedKeysCommandRunAs nobody/
923             ' /etc/ssh/sshd_config.ipanew
924         elif /usr/sbin/sshd -t -f /dev/null -o 'PubKeyAgent=/usr/bin/sss_ssh_authorizedkeys %u' -o 'PubKeyAgentRunAs=nobody'; then
925             sed -ri '
926                 s/^AuthorizedKeysCommand (.+)$/PubKeyAgent \1 %u/
927                 s/^PubKeyAgent .*$/\0\nPubKeyAgentRunAs nobody/
928             ' /etc/ssh/sshd_config.ipanew
929         fi
930
590d18 931         mv -Z /etc/ssh/sshd_config.ipanew /etc/ssh/sshd_config
99b6f7 932         chmod 600 /etc/ssh/sshd_config
CB 933
934         /bin/systemctl condrestart sshd.service 2>&1 || :
935     fi
936 fi
937
938 %if ! %{ONLY_CLIENT}
939 %files server -f server-python.list
940 %defattr(-,root,root,-)
941 %doc COPYING README Contributors.txt
e3ffab 942 %{_sbindir}/ipa-backup
CS 943 %{_sbindir}/ipa-restore
99b6f7 944 %{_sbindir}/ipa-ca-install
590d18 945 %{_sbindir}/ipa-kra-install
99b6f7 946 %{_sbindir}/ipa-server-install
CB 947 %{_sbindir}/ipa-replica-conncheck
948 %{_sbindir}/ipa-replica-install
949 %{_sbindir}/ipa-replica-prepare
950 %{_sbindir}/ipa-replica-manage
951 %{_sbindir}/ipa-csreplica-manage
952 %{_sbindir}/ipa-server-certinstall
590d18 953 %{_sbindir}/ipa-server-upgrade
99b6f7 954 %{_sbindir}/ipa-ldap-updater
e3ffab 955 %{_sbindir}/ipa-otptoken-import
99b6f7 956 %{_sbindir}/ipa-compat-manage
CB 957 %{_sbindir}/ipa-nis-manage
958 %{_sbindir}/ipa-managed-entries
959 %{_sbindir}/ipactl
960 %{_sbindir}/ipa-upgradeconfig
961 %{_sbindir}/ipa-advise
e3ffab 962 %{_sbindir}/ipa-cacert-manage
590d18 963 %{_sbindir}/ipa-winsync-migrate
e3ffab 964 %{_libexecdir}/certmonger/dogtag-ipa-ca-renew-agent-submit
CS 965 %{_libexecdir}/certmonger/ipa-server-guard
99b6f7 966 %{_libexecdir}/ipa-otpd
e3ffab 967 %dir %{_libexecdir}/ipa
590d18 968 %{_libexecdir}/ipa/ipa-dnskeysyncd
CS 969 %{_libexecdir}/ipa/ipa-dnskeysync-replica
970 %{_libexecdir}/ipa/ipa-ods-exporter
971 %{_libexecdir}/ipa/ipa-httpd-kdcproxy
972 %ghost %verify(not owner group) %dir %{_sharedstatedir}/kdcproxy
973 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/kdcproxy
99b6f7 974 %config(noreplace) %{_sysconfdir}/sysconfig/ipa_memcached
590d18 975 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-dnskeysyncd
CS 976 %config(noreplace) %{_sysconfdir}/sysconfig/ipa-ods-exporter
977 %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/kdcproxy.conf
99b6f7 978 %dir %attr(0700,apache,apache) %{_localstatedir}/run/ipa_memcached/
CB 979 %dir %attr(0700,root,root) %{_localstatedir}/run/ipa/
590d18 980 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/
CS 981 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/clientcaches/
982 %dir %attr(0700,apache,apache) %{_localstatedir}/run/httpd/ipa/krbcache/
99b6f7 983 # NOTE: systemd specific section
e3ffab 984 %{_tmpfilesdir}/%{name}.conf
99b6f7 985 %attr(644,root,root) %{_unitdir}/ipa.service
CB 986 %attr(644,root,root) %{_unitdir}/ipa_memcached.service
987 %attr(644,root,root) %{_unitdir}/ipa-otpd.socket
988 %attr(644,root,root) %{_unitdir}/ipa-otpd@.service
590d18 989 %attr(644,root,root) %{_unitdir}/ipa-dnskeysyncd.service
CS 990 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.socket
991 %attr(644,root,root) %{_unitdir}/ipa-ods-exporter.service
992 %attr(644,root,root) %{etc_systemd_dir}/httpd.service
e3ffab 993 # END
99b6f7 994 %dir %{python_sitelib}/ipaserver
CB 995 %dir %{python_sitelib}/ipaserver/install
996 %dir %{python_sitelib}/ipaserver/install/plugins
590d18 997 %dir %{python_sitelib}/ipaserver/install/server
99b6f7 998 %dir %{python_sitelib}/ipaserver/advise
CB 999 %dir %{python_sitelib}/ipaserver/advise/plugins
1000 %dir %{python_sitelib}/ipaserver/plugins
1001 %dir %{_libdir}/ipa/certmonger
1002 %attr(755,root,root) %{_libdir}/ipa/certmonger/*
1003 %dir %{_usr}/share/ipa
1004 %{_usr}/share/ipa/wsgi.py*
1005 %{_usr}/share/ipa/copy-schema-to-ca.py*
1006 %{_usr}/share/ipa/*.ldif
1007 %{_usr}/share/ipa/*.uldif
1008 %{_usr}/share/ipa/*.template
1009 %dir %{_usr}/share/ipa/advise
1010 %dir %{_usr}/share/ipa/advise/legacy
1011 %{_usr}/share/ipa/advise/legacy/*.template
590d18 1012 %dir %{_usr}/share/ipa/profiles
CS 1013 %{_usr}/share/ipa/profiles/*.cfg
99b6f7 1014 %dir %{_usr}/share/ipa/ffextension
CB 1015 %{_usr}/share/ipa/ffextension/bootstrap.js
1016 %{_usr}/share/ipa/ffextension/install.rdf
1017 %{_usr}/share/ipa/ffextension/chrome.manifest
1018 %dir %{_usr}/share/ipa/ffextension/chrome
1019 %dir %{_usr}/share/ipa/ffextension/chrome/content
1020 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth.js
1021 %{_usr}/share/ipa/ffextension/chrome/content/kerberosauth_overlay.xul
1022 %dir %{_usr}/share/ipa/ffextension/locale
1023 %dir %{_usr}/share/ipa/ffextension/locale/en-US
1024 %{_usr}/share/ipa/ffextension/locale/en-US/kerberosauth.properties
1025 %dir %{_usr}/share/ipa/html
1026 %{_usr}/share/ipa/html/ffconfig.js
1027 %{_usr}/share/ipa/html/ffconfig_page.js
1028 %{_usr}/share/ipa/html/ssbrowser.html
1029 %{_usr}/share/ipa/html/browserconfig.html
1030 %{_usr}/share/ipa/html/unauthorized.html
1031 %dir %{_usr}/share/ipa/migration
1032 %{_usr}/share/ipa/migration/error.html
1033 %{_usr}/share/ipa/migration/index.html
1034 %{_usr}/share/ipa/migration/invalid.html
1035 %{_usr}/share/ipa/migration/migration.py*
1036 %dir %{_usr}/share/ipa/ui
1037 %{_usr}/share/ipa/ui/index.html
1038 %{_usr}/share/ipa/ui/reset_password.html
e3ffab 1039 %{_usr}/share/ipa/ui/sync_otp.html
99b6f7 1040 %{_usr}/share/ipa/ui/*.ico
CB 1041 %{_usr}/share/ipa/ui/*.css
1042 %{_usr}/share/ipa/ui/*.js
e3ffab 1043 %dir %{_usr}/share/ipa/ui/css
CS 1044 %{_usr}/share/ipa/ui/css/*.css
9991ea 1045 %dir %{_usr}/share/ipa/ui/js
99b6f7 1046 %dir %{_usr}/share/ipa/ui/js/dojo
CB 1047 %{_usr}/share/ipa/ui/js/dojo/dojo.js
1048 %dir %{_usr}/share/ipa/ui/js/libs
1049 %{_usr}/share/ipa/ui/js/libs/*.js
1050 %dir %{_usr}/share/ipa/ui/js/freeipa
1051 %{_usr}/share/ipa/ui/js/freeipa/app.js
e3ffab 1052 %{_usr}/share/ipa/ui/js/freeipa/core.js
99b6f7 1053 %dir %{_usr}/share/ipa/ui/js/plugins
CB 1054 %dir %{_usr}/share/ipa/ui/images
e3ffab 1055 %{_usr}/share/ipa/ui/images/*.jpg
99b6f7 1056 %{_usr}/share/ipa/ui/images/*.png
CB 1057 %dir %{_usr}/share/ipa/wsgi
1058 %{_usr}/share/ipa/wsgi/plugins.py*
1059 %dir %{_sysconfdir}/ipa
1060 %dir %{_sysconfdir}/ipa/html
1061 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig.js
1062 %config(noreplace) %{_sysconfdir}/ipa/html/ffconfig_page.js
1063 %config(noreplace) %{_sysconfdir}/ipa/html/ssbrowser.html
1064 %config(noreplace) %{_sysconfdir}/ipa/html/unauthorized.html
1065 %config(noreplace) %{_sysconfdir}/ipa/html/browserconfig.html
1066 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-rewrite.conf
1067 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa.conf
590d18 1068 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-kdc-proxy.conf
99b6f7 1069 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/httpd/conf.d/ipa-pki-proxy.conf
590d18 1070 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/kdcproxy/ipa-kdc-proxy.conf
99b6f7 1071 %{_usr}/share/ipa/ipa.conf
CB 1072 %{_usr}/share/ipa/ipa-rewrite.conf
1073 %{_usr}/share/ipa/ipa-pki-proxy.conf
590d18 1074 %{_usr}/share/ipa/kdcproxy.conf
99b6f7 1075 %ghost %attr(0644,root,apache) %config(noreplace) %{_usr}/share/ipa/html/ca.crt
CB 1076 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/configure.jar
1077 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/kerberosauth.xpi
1078 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.con
1079 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb.js
1080 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krb5.ini
1081 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/krbrealm.con
1082 %ghost %attr(0644,root,apache) %{_usr}/share/ipa/html/preferences.html
1083 %dir %{_usr}/share/ipa/updates/
1084 %{_usr}/share/ipa/updates/*
1085 %attr(755,root,root) %{plugin_dir}/libipa_pwd_extop.so
1086 %attr(755,root,root) %{plugin_dir}/libipa_enrollment_extop.so
1087 %attr(755,root,root) %{plugin_dir}/libipa_winsync.so
1088 %attr(755,root,root) %{plugin_dir}/libipa_repl_version.so
1089 %attr(755,root,root) %{plugin_dir}/libipa_uuid.so
1090 %attr(755,root,root) %{plugin_dir}/libipa_modrdn.so
1091 %attr(755,root,root) %{plugin_dir}/libipa_lockout.so
1092 %attr(755,root,root) %{plugin_dir}/libipa_cldap.so
1093 %attr(755,root,root) %{plugin_dir}/libipa_dns.so
1094 %attr(755,root,root) %{plugin_dir}/libipa_range_check.so
e3ffab 1095 %attr(755,root,root) %{plugin_dir}/libipa_otp_counter.so
CS 1096 %attr(755,root,root) %{plugin_dir}/libipa_otp_lasttoken.so
590d18 1097 %attr(755,root,root) %{plugin_dir}/libtopology.so
CS 1098 %attr(755,root,root) %{plugin_dir}/libipa_sidgen.so
1099 %attr(755,root,root) %{plugin_dir}/libipa_sidgen_task.so
1100 %attr(755,root,root) %{plugin_dir}/libipa_extdom_extop.so
99b6f7 1101 %dir %{_localstatedir}/lib/ipa
e3ffab 1102 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/backup
99b6f7 1103 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysrestore
CB 1104 %attr(700,root,root) %dir %{_localstatedir}/lib/ipa/sysupgrade
1105 %attr(755,root,root) %dir %{_localstatedir}/lib/ipa/pki-ca
1106 %ghost %{_localstatedir}/lib/ipa/pki-ca/publish
e3ffab 1107 %ghost %{_localstatedir}/named/dyndb-ldap/ipa
99b6f7 1108 %attr(755,root,root) %{_libdir}/krb5/plugins/kdb/ipadb.so
CB 1109 %{_mandir}/man1/ipa-replica-conncheck.1.gz
1110 %{_mandir}/man1/ipa-replica-install.1.gz
1111 %{_mandir}/man1/ipa-replica-manage.1.gz
1112 %{_mandir}/man1/ipa-csreplica-manage.1.gz
1113 %{_mandir}/man1/ipa-replica-prepare.1.gz
1114 %{_mandir}/man1/ipa-server-certinstall.1.gz
1115 %{_mandir}/man1/ipa-server-install.1.gz
590d18 1116 %{_mandir}/man1/ipa-server-upgrade.1.gz
99b6f7 1117 %{_mandir}/man1/ipa-ca-install.1.gz
590d18 1118 %{_mandir}/man1/ipa-kra-install.1.gz
99b6f7 1119 %{_mandir}/man1/ipa-compat-manage.1.gz
CB 1120 %{_mandir}/man1/ipa-nis-manage.1.gz
1121 %{_mandir}/man1/ipa-managed-entries.1.gz
1122 %{_mandir}/man1/ipa-ldap-updater.1.gz
1123 %{_mandir}/man8/ipactl.8.gz
1124 %{_mandir}/man8/ipa-upgradeconfig.8.gz
e3ffab 1125 %{_mandir}/man1/ipa-backup.1.gz
CS 1126 %{_mandir}/man1/ipa-restore.1.gz
99b6f7 1127 %{_mandir}/man1/ipa-advise.1.gz
e3ffab 1128 %{_mandir}/man1/ipa-otptoken-import.1.gz
CS 1129 %{_mandir}/man1/ipa-cacert-manage.1.gz
590d18 1130 %{_mandir}/man1/ipa-winsync-migrate.1.gz
CS 1131
1132 %files server-dns
1133 %{_sbindir}/ipa-dns-install
1134 %{_mandir}/man1/ipa-dns-install.1.gz
99b6f7 1135
CB 1136 %files server-trust-ad
1137 %{_sbindir}/ipa-adtrust-install
1138 %{_usr}/share/ipa/smb.conf.empty
1139 %attr(755,root,root) %{_libdir}/samba/pdb/ipasam.so
1140 %{_mandir}/man1/ipa-adtrust-install.1.gz
1141 %{python_sitelib}/ipaserver/dcerpc*
1142 %{python_sitelib}/ipaserver/install/adtrustinstance*
1143 %ghost %{_libdir}/krb5/plugins/libkrb5/winbind_krb5_locator.so
590d18 1144 %{_sysconfdir}/dbus-1/system.d/oddjob-ipa-trust.conf
CS 1145 %{_sysconfdir}/oddjobd.conf.d/oddjobd-ipa-trust.conf
1146 %%attr(755,root,root) %{_libexecdir}/ipa/com.redhat.idm.trust-fetch-domains
99b6f7 1147
CB 1148 %endif # ONLY_CLIENT
1149
1150 %files client
1151 %defattr(-,root,root,-)
1152 %doc COPYING README Contributors.txt
1153 %{_sbindir}/ipa-client-install
1154 %{_sbindir}/ipa-client-automount
e3ffab 1155 %{_sbindir}/ipa-certupdate
99b6f7 1156 %{_sbindir}/ipa-getkeytab
CB 1157 %{_sbindir}/ipa-rmkeytab
1158 %{_sbindir}/ipa-join
1159 %dir %{_usr}/share/ipa
1160 %dir %{_localstatedir}/lib/ipa-client
1161 %dir %{_localstatedir}/lib/ipa-client/sysrestore
1162 %dir %{python_sitelib}/ipaclient
1163 %{python_sitelib}/ipaclient/*.py*
1164 %{_mandir}/man1/ipa-getkeytab.1.gz
1165 %{_mandir}/man1/ipa-rmkeytab.1.gz
1166 %{_mandir}/man1/ipa-client-install.1.gz
1167 %{_mandir}/man1/ipa-client-automount.1.gz
e3ffab 1168 %{_mandir}/man1/ipa-certupdate.1.gz
99b6f7 1169 %{_mandir}/man1/ipa-join.1.gz
CB 1170 %{_mandir}/man5/default.conf.5.gz
1171
1172 %files admintools
1173 %defattr(-,root,root,-)
1174 %doc COPYING README Contributors.txt
1175 %{_bindir}/ipa
1176 %config %{_sysconfdir}/bash_completion.d
1177 %{_mandir}/man1/ipa.1.gz
1178
1179 %files python -f %{gettext_domain}.lang
1180 %defattr(-,root,root,-)
1181 %doc COPYING README Contributors.txt
1182 %dir %{python_sitelib}/ipapython
1183 %{python_sitelib}/ipapython/*.py*
590d18 1184 %dir %{python_sitelib}/ipapython/dnssec
CS 1185 %{python_sitelib}/ipapython/dnssec/*.py*
1186 %dir %{python_sitelib}/ipapython/install
1187 %{python_sitelib}/ipapython/install/*.py*
99b6f7 1188 %dir %{python_sitelib}/ipalib
CB 1189 %{python_sitelib}/ipalib/*
e3ffab 1190 %dir %{python_sitelib}/ipaplatform
CS 1191 %{python_sitelib}/ipaplatform/*
99b6f7 1192 %attr(0644,root,root) %{python_sitearch}/default_encoding_utf8.so
590d18 1193 %attr(0644,root,root) %{python_sitearch}/_ipap11helper.so
99b6f7 1194 %{python_sitelib}/ipapython-*.egg-info
CB 1195 %{python_sitelib}/freeipa-*.egg-info
e3ffab 1196 %{python_sitelib}/ipaplatform-*.egg-info
99b6f7 1197 %{python_sitearch}/python_default_encoding-*.egg-info
590d18 1198 %{python_sitearch}/_ipap11helper-*.egg-info
99b6f7 1199 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/
CB 1200 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/default.conf
1201 %ghost %attr(0644,root,apache) %config(noreplace) %{_sysconfdir}/ipa/ca.crt
e3ffab 1202 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/nssdb
CS 1203 %dir %attr(0755,root,root) %{_sysconfdir}/ipa/dnssec
1204 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/cert8.db
1205 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/key3.db
1206 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/secmod.db
1207 %ghost %config(noreplace) %{_sysconfdir}/ipa/nssdb/pwdfile.txt
1208 %ghost %config(noreplace) %{_sysconfdir}/pki/ca-trust/source/ipa.p11-kit
1209
1210 # RHEL spec file only: DELETED: Do not build tests
99b6f7 1211
CB 1212 %changelog
b31a75 1213 * Thu Jun 23 2016 CentOS Sources <bugs@centos.org> - 4.2.0-15.el7.centos.17
CS 1214 - Roll in CentOS Branding
1215
db5969 1216 * Tue May 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.17
CS 1217 - Resolves: #1339304 CA installed on replica is always marked as renewal master
1218   - replica install: do not set CA renewal master flag
1219
1220 * Fri May 20 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.16
1221 - Resolves: #1337820 URI details missing and OCSP-URI details are incorrectly
1222   displayed when certificate generated using IPA on RHEL 7.2up2.
1223   - Prevent replica install from overwriting cert profiles
1224   - Detect and repair incorrect caIPAserviceCert config
a809a6 1225
aa60fb 1226 * Mon Apr 18 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.15
CS 1227 - Related: #1327197 Crash during IPA upgrade due to slapd
1228   - spec file: update minimum required version of slapi-nis
d3dad6 1229
aa60fb 1230 * Wed Apr 06 2016 Alexander Bokovoy <abokovoy@redhat.com> - 4.2.0-15.14
d73e7d 1231 - Rebuild against newer Samba version
CS 1232 - Related: #1322690
0843e2 1233
aa60fb 1234 * Tue Apr  5 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.13
CS 1235 - Resolves: #1324060 Installers fail when there are multiple versions of the
1236   same certificate
1237   - certdb: never use the -r option of certutil
1238
1239 * Thu Mar 17 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.12
1240 - Resolves: #1309382 issues with migration from RHEL 6 self-signed to RHEL 7 CA
1241   IPA setup
1242   - replica install: improvements in the handling of CA-related IPA config
1243     entries
1244
1245 * Thu Mar 17 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.11
1246 - Resolves: #1311470 ipa trust-add succeded but after that ipa trust-find
1247   returns "0 trusts matched"
1248   - Fix broken trust warnings
1249
1250 * Wed Mar  2 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.10
1251 - Resolves: #1311470 ipa trust-add succeded but after that ipa trust-find
1252   returns "0 trusts matched"
1253   - Insure the admin_conn is disconnected on stop
1254   - Fix connections to DS during installation
1255 - Renamed patch 1011 to 0196, as it was merged upstream
1256
1257 * Wed Feb 24 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.9
1258 - Resolves: #1311468 shared certificateProfiles container is missing on a
1259   freshly installed RHEL7.2 system
1260   - upgrade: unconditional import of certificate profiles into LDAP
1261 - Resolves: #1311470 ipa trust-add succeded but after that ipa trust-find
1262   returns "0 trusts matched"
1263   - upgrade: fix config of sidgen and extdom plugins
1264   - trusts: use ipaNTTrustPartner attribute to detect trust entries
1265   - Warn user if trust is broken
1266   - fix upgrade: wait for proper DS socket after DS restart
1267 - Resolves: #1311502 [RFE] compat tree: show AD members of IPA groups
1268   - slapi-nis: update configuration to allow external members of IPA groups
1269
1270 * Tue Feb 23 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.8
1271 - Resolves: #1303052 install fails when locale is "fr_FR.UTF-8"
1272   - Do not decode HTTP reason phrase from Dogtag
1273 - Resolves: #1303059 --setup-dns and other options is forgotten for using an
1274   external PKI
1275   - installer: Propagate option values from components instead of copying them.
1276   - installer: Fix logic of reading option values from cache.
1277 - Resolves: #1309362 User should be notified for wrong password in password
1278   reset page
1279   - Fixed login error message box in LoginScreen page
1280 - Resolves: #1309382 issues with migration from RHEL 6 self-signed to RHEL 7 CA
1281   IPA setup
1282   - ipa-ca-install: print more specific errors when CA is already installed
1283   - cert renewal: import all external CA certs on IPA CA cert renewal
1284   - CA install: explicitly set dogtag_version to 10
1285   - fix standalone installation of externally signed CA on IPA master
1286   - replica install: validate DS and HTTP server certificates
1287
1288 * Mon Feb  8 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.7
1289 - Resolves: #1304333 In IPA-AD trust environment some secondary IPA based Posix
1290   groups are missing
1291   - ipa-kdb: map_groups() consider all results
1292
e0ab38 1293 * Tue Feb  2 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.6
CS 1294 - Resolves: #1298103 ipa-server-upgrade fails if certmonger is not running
1295   - always start certmonger during IPA server configuration upgrade
1296
1297 * Wed Jan 27 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.5
1298 - Resolves: #1298097 IPA server upgrade fails from RHEL 7.0 to RHEL 7.2 using
1299   "yum update ipa* sssd"
1300   - Set minimal required version for openssl
1301
1302 * Tue Jan 12 2016 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.4
1303 - Resolves: #1298097 IPA server upgrade fails from RHEL 7.0 to RHEL 7.2 using
1304   "yum update ipa* sssd"
1305   - Set minimal required version for openssl
1306 - Resolves: #1298098 ipa-nis-manage does not update ldap with all NIS maps
1307   - Upgrade: Fix upgrade of NIS Server configuration
1308 - Resolves: #1298099 umask setting causes named-pkcs11 issue with directory
1309   permissions on /var/lib/ipa/dnssec
1310   - DNS: fix file permissions
1311   - Explicitly call chmod on newly created directories
1312   - Fix: replace mkdir with chmod
1313 - Resolves: #1298100 Broken 7.2.0 to 7.2.z upgrade - flawed version comparison
1314   - Fix version comparison
1315   - use FFI call to rpmvercmp function for version comparison
1316 - Resolves: #1298101 Sysrestore did not restore state if a key is specified in
1317   mixed case
1318   - Allow to used mixed case for sysrestore
1319 - Resolves: #1298102 DNSSEC key purging is not handled properly
1320   - DNSSEC: Improve error reporting from ipa-ods-exporter
1321   - DNSSEC: Make sure that current state in OpenDNSSEC matches key state in
1322     LDAP
1323   - DNSSEC: Make sure that current key state in LDAP matches key state in BIND
1324   - DNSSEC: remove obsolete TODO note
1325   - DNSSEC: add debug mode to ldapkeydb.py
1326   - DNSSEC: logging improvements in ipa-ods-exporter
1327   - DNSSEC: remove keys purged by OpenDNSSEC from master HSM from LDAP
1328   - DNSSEC: ipa-dnskeysyncd: Skip zones with old DNSSEC metadata in LDAP
1329   - DNSSEC: ipa-ods-exporter: add ldap-cleanup command
1330   - DNSSEC: ipa-dnskeysyncd: call ods-signer ldap-cleanup on zone removal
1331   - DNSSEC: Log debug messages at log level DEBUG
1332 - Resolves: #1298103 ipa-server-upgrade fails if certmonger is not running
1333   - prevent crash of CA-less server upgrade due to absent certmonger
1334 - Resolves: #1298104 The ipa -e skip_version_check=1 still issues
1335   incompatibility error when called against RHEL 6 server
1336   - ipalib: assume version 2.0 when skip_version_check is enabled
f2e539 1337
2e9388 1338 * Wed Nov 25 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.3
CS 1339 - Resolves: #1284052 IPA DNS Zone/DNS Forward Zone details missing after
1340   upgrade from RHEL 7.0 to RHEL 7.2
1341   - Fix upgrade of forwardzones when zone is in realmdomains
1342
1343 * Tue Nov 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.2
1344 - Resolves: #1283890 installer options are not validated at the beginning of
1345   installation
1346   - Fix incorrectly rebased patch 0144
1347 - Resolves: #1284803 Default CA ACL rule is not created during
1348   ipa-replica-install
1349   - disconnect ldap2 backend after adding default CA ACL profiles
1350   - do not disconnect when using existing connection to check default CA ACLs
1351
1352 * Tue Nov 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15.1
1353 - Resolves: #1283882 IPA certificate auto renewal fail with "Invalid
1354   Credential"
1355   - cert renewal: make renewal of ipaCert atomic
1356 - Resolves: #1283883 ipa upgrade causes vault internal error
1357   - install: export KRA agent PEM file in ipa-kra-install
1358 - Resolves: #1283884 ipa-kra-install: fails to apply updates
1359   - suppress errors arising from adding existing LDAP entries during KRA
1360     install
1361 - Resolves: #1283890 installer options are not validated at the beginning of
1362   installation
1363   - install: fix command line option validation
1364 - Resolves: #1283915 Caching of ipaconfig does not work in framework
1365   - fix caching in get_ipa_config
1366 - Resolves: #1284025 sshd_config change on ipa-client-install can prevent sshd
1367   from starting up
1368   - client install: do not corrupt OpenSSH config with Match sections
1369 - Resolves: #1284052 IPA DNS Zone/DNS Forward Zone details missing after
1370   upgrade from RHEL 7.0 to RHEL 7.2
1371   - upgrade: fix migration of old dns forward zones
1372 - Resolves: #1284803 Default CA ACL rule is not created during
1373   ipa-replica-install
1374   - TLS and Dogtag HTTPS request logging improvements
1375   - Avoid race condition caused by profile delete and recreate
1376   - Do not erroneously reinit NSS in Dogtag interface
1377   - Add profiles and default CA ACL on migration
1378 - Resolves: #1284811 ipa-cacert-manage renew fails on nonexistent ldap
1379   connection
1380   - ipa-cacert-renew: Fix connection to ldap.
1381 - Resolves: #1284813 ipa-otptoken-import fails on nonexistent ldap connection
1382   - ipa-otptoken-import: Fix connection to ldap.
8eb28c 1383
590d18 1384 * Tue Oct 13 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-15
CS 1385 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
1386   - vault: fix private service vault creation
76902d 1387
590d18 1388 * Mon Oct 12 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-14
CS 1389 - Resolves: #1262996 ipa vault internal error on replica without KRA
1390   - upgrade: make sure ldap2 is connected in export_kra_agent_pem
1391 - Resolves: #1270608 IPA upgrade fails for server with CA cert signed by
1392   external CA
1393   - schema: do not derive ipaVaultPublicKey from ipaPublicKey
1394
1395 * Thu Oct  8 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-13
1396 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
1397   - Fix an integer underflow bug in libotp
1398 - Resolves: #1262996 ipa vault internal error on replica without KRA
1399   - install: always export KRA agent PEM file
1400   - vault: select a server with KRA for vault operations
1401 - Resolves: #1269777 IPA restore overwrites /etc/passwd and /etc/group files
1402   - do not overwrite files with local users/groups when restoring authconfig
1403 - Renamed patch 1011 to 0138, as it was merged upstream
1404
1405 * Wed Sep 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-12
1406 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
1407   Trusts
1408   - winsync-migrate: Convert entity names to posix friendly strings
1409   - winsync-migrate: Properly handle collisions in the names of external groups
1410 - Resolves: #1261074 Adjust Firefox configuration to new extension signing
1411   policy
1412   - webui: use manual Firefox configuration for Firefox >= 40
1413 - Resolves: #1263337 IPA Restore failed with installed KRA
1414   - ipa-backup: Add mechanism to store empty directory structure
1415 - Resolves: #1264793 CVE-2015-5284 ipa: ipa-kra-install includes certificate
1416   and private key in world readable file [rhel-7.2]
1417   - install: fix KRA agent PEM file permissions
1418 - Resolves: #1265086 Mark IdM API Browser as experimental
1419   - WebUI: add API browser is experimental warning
1420 - Resolves: #1265277 Fix kdcproxy user creation
1421   - install: create kdcproxy user during server install
1422   - platform: add option to create home directory when adding user
1423   - install: fix kdcproxy user home directory
1424 - Resolves: #1265559 GSS failure after ipa-restore
1425   - destroy httpd ccache after stopping the service
1426
1427 * Thu Sep 17 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-11
1428 - Resolves: #1258965 ipa vault: set owner of vault container
1429   - baseldap: make subtree deletion optional in LDAPDelete
1430   - vault: add vault container commands
1431   - vault: set owner to current user on container creation
1432   - vault: update access control
1433   - vault: add permissions and administrator privilege
1434   - install: support KRA update
1435 - Resolves: #1261586 ipa config-mod addattr fails for ipauserobjectclasses
1436   - config: allow user/host attributes with tagging options
1437 - Resolves: #1262315 Unable to establish winsync replication
1438   - winsync: Add inetUser objectclass to the passsync sysaccount
1439
1440 * Wed Sep 16 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-10
1441 - Resolves: #1260663 crash of ipa-dnskeysync-replica component during
1442   ipa-restore
1443   - IPA Restore: allows to specify files that should be removed
1444 - Resolves: #1261806 Installing ipa-server package breaks httpd
1445   - Handle timeout error in ipa-httpd-kdcproxy
1446 - Resolves: #1262322 Failed to backup CS.cfg message in upgrade.
1447   - Server Upgrade: backup CS.cfg when dogtag is turned off
1448
1449 * Wed Sep  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-9
1450 - Resolves: #1257074 The KRA agent cert is stored in a PEM file that is not
1451   tracked
1452   - cert renewal: Include KRA users in Dogtag LDAP update
1453   - cert renewal: Automatically update KRA agent PEM file
1454 - Resolves: #1257163 renaming certificatte profile with --rename option leads
1455   to integrity issues
1456   - certprofile: remove 'rename' option
1457 - Resolves: #1257968 kinit stop working after ipa-restore
1458   - Backup: back up the hosts file
1459 - Resolves: #1258926 Remove 'DNSSEC is experimental' warnings
1460   - DNSSEC: remove "DNSSEC is experimental" warnings
1461 - Resolves: #1258929 Uninstallation of IPA leaves extra entry in /etc/hosts
1462   - Installer: do not modify /etc/hosts before user agreement
1463 - Resolves: #1258944 DNSSEC daemons may deadlock when processing more than 1
1464   zone
1465   - DNSSEC: backup and restore opendnssec zone list file
1466   - DNSSEC: remove ccache and keytab of ipa-ods-exporter
1467   - DNSSEC: prevent ipa-ods-exporter from looping after service auto-restart
1468   - DNSSEC: Fix deadlock in ipa-ods-exporter <-> ods-enforcerd interaction
1469   - DNSSEC: Fix HSM synchronization in ipa-dnskeysyncd when running on DNSSEC
1470     key master
1471   - DNSSEC: Fix key metadata export
1472   - DNSSEC: Wrap master key using RSA OAEP instead of old PKCS v1.5.
1473 - Resolves: #1258964 revert to use ldapi to add kra agent in KRA install
1474   - Using LDAPI to setup CA and KRA agents.
1475 - Resolves: #1259848 server closes connection and refuses commands after
1476   deleting user that is still logged in
1477   - ldap: Make ldap2 connection management thread-safe again
1478 - Resolves: #1259996 AttributeError: 'NameSpace' object has no attribute
1479   'ra_certprofile' while ipa-ca-install
1480   - load RA backend plugins during standalone CA install on CA-less IPA master
1481
1482 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-8
1483 - Resolves: #1254689 Storing big file as a secret in vault raises traceback
1484   - vault: Limit size of data stored in vault
1485 - Resolves: #1255880 ipactl status should distinguish between different
1486   pki-tomcat services
1487   - ipactl: Do not start/stop/restart single service multiple times
1488
1489 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-7
1490 - Resolves: #1256840 [webui] majority of required fields is no longer marked as
1491   required
1492   - fix missing information in object metadata
1493 - Resolves: #1256842 [webui] no option to choose trust type when creating a
1494   trust
1495   - webui: add option to establish bidirectional trust
1496 - Resolves: #1256853 Clear text passwords in KRA install log
1497   - Removed clear text passwords from KRA install log.
1498 - Resolves: #1257072 The "Standard Vault" MUST not be the default and must be
1499   discouraged
1500   - vault: change default vault type to symmetric
1501 - Resolves: #1257163 renaming certificatte profile with --rename option leads
1502   to integrity issues
1503   - certprofile: prevent rename (modrdn)
1504
1505 * Wed Aug 26 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-6
1506 - Resolves: #1249226 IPA dnssec-validation not working for AD dnsforwardzone
1507   - DNSSEC: fix forward zone forwarders checks
1508 - Resolves: #1250190 idrange is not added for sub domain
1509   - trusts: format Kerberos principal properly when fetching trust topology
1510 - Resolves: #1252334 User life cycle: missing ability to provision a stage user
1511   from a preserved user
1512   - Add user-stage command
1513 - Resolves: #1252863 After applying RHBA-2015-1554 errata, IPA service fails to
1514   start.
1515   - spec file: Add Requires(post) on selinux-policy
1516 - Resolves: #1254304 Changing vault encryption attributes
1517   - Change internal rsa_(public|private)_key variable names
1518   - Added support for changing vault encryption.
1519 - Resolves: #1256715 Executing user-del --preserve twice removes the user
1520   pernamently
1521   - improve the usability of `ipa user-del --preserve` command
1522
1523 * Wed Aug 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-5
1524 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
1525   - user-undel: Fix error messages.
1526 - Resolves: #1200694 [RFE] Support for multiple cert profiles
1527   - Prohibit deletion of predefined profiles
1528 - Resolves: #1232819 testing ipa-restore on fresh system install fails
1529   - Backup/resore authentication control configuration
1530 - Resolves: #1243331 pkispawn fails when migrating to 4.2 server from 3.0
1531   server
1532   - Require Dogtag PKI >= 10.2.6
1533 - Resolves: #1245225 Asymmetric vault drops traceback when the key is not
1534   proper
1535   - Asymmetric vault: validate public key in client
1536 - Resolves: #1248399 Missing DNSSEC related files in backup
1537   - fix typo in BasePathNamespace member pointing to ods exporter config
1538   - ipa-backup: archive DNSSEC zone file and kasp.db
1539 - Resolves: #1248405 PassSync should be disabled after ipa-winsync-migrate is
1540   finished
1541   - winsync-migrate: Add warning about passsync
1542   - winsync-migrate: Expand the man page
1543 - Resolves: #1248524 User can't find any hosts using "ipa host-find $HOSTNAME"
1544   - adjust search so that it works for non-admin users
1545 - Resolves: #1250093 ipa certprofile-import accepts invalid config
1546   - Require Dogtag PKI >= 10.2.6
1547 - Resolves: #1250107 IPA framework should not allow modifying trust on AD trust
1548   agents
1549   - trusts: Detect missing Samba instance
1550 - Resolves: #1250111 User lifecycle - preserved users can be assigned
1551   membership
1552   - ULC: Prevent preserved users from being assigned membership
1553 - Resolves: #1250145 Add permission for user to bypass caacl enforcement
1554   - Add permission for bypassing CA ACL enforcement
1555 - Resolves: #1250190 idrange is not added for sub domain
1556   - idranges: raise an error when local IPA ID range is being modified
1557   - trusts: harden trust-fetch-domains oddjobd-based script
1558 - Resolves: #1250928 Man page for ipa-server-install is out of sync
1559   - install: Fix server and replica install options
1560 - Resolves: #1251225 IPA default CAACL does not allow cert-request for services
1561   after upgrade
1562   - Fix default CA ACL added during upgrade
1563 - Resolves: #1251561 ipa vault-add Unknown option: ipavaultpublickey
1564   - validate mutually exclusive options in vault-add
1565 - Resolves: #1251579 ipa vault-add --user should set container owner equal to
1566   user on first run
1567   - Fixed vault container ownership.
1568 - Resolves: #1252517 cert-request rejects request with correct
1569   krb5PrincipalName SAN
1570   - Fix KRB5PrincipalName / UPN SAN comparison
1571 - Resolves: #1252555 ipa vault-find doesn't work for services
1572   - vault: Add container information to vault command results
1573   - Add flag to list all service and user vaults
1574 - Resolves: #1252556 Missing CLI param and ACL for vault service operations
1575   - Added CLI param and ACL for vault service operations.
1576 - Resolves: #1252557 certprofile: improve profile format documentation
1577   - certprofile-import: improve profile format documentation
1578   - certprofile: add profile format explanation
1579 - Resolves: #1253443 ipa vault-add creates vault with invalid type
1580   - vault: validate vault type
1581 - Resolves: #1253480 ipa vault-add-owner does not fail when adding an existing
1582   owner
1583   - baseldap: Allow overriding member param label in LDAPModMember
1584   - vault: Fix param labels in output of vault owner commands
1585 - Resolves: #1253511 ipa vault-find does not use criteria
1586   - vault: Fix vault-find with criteria
1587 - Resolves: #1254038 ipa-replica-install pk12util error returns exit status 10
1588   - install: Fix replica install with custom certificates
1589 - Resolves: #1254262 ipa-dnskeysync-replica crash cannot contact kdc
1590   - improve the handling of krb5-related errors in dnssec daemons
1591 - Resolves: #1254412 when dirsrv is off ,upgrade from 7.1 to 7.2 fails with
1592   starting CA and named-pkcs11.service
1593   - Server Upgrade: Start DS before CA is started.
1594 - Resolves: #1254637 Add ACI and permission for managing user userCertificate
1595   attribute
1596   - add permission: System: Manage User Certificates
1597 - Resolves: #1254641 Remove CSR allowed-extensions restriction
1598   - cert-request: remove allowed extensions check
1599 - Resolves: #1254693 vault --service does not normalize service principal
1600   - vault: normalize service principal in service vault operations
1601 - Resolves: #1254785 ipa-client-install does not properly handle dual stacked
1602   hosts
1603   - client: Add support for multiple IP addresses during installation.
1604   - Add dependency to SSSD 1.13.1
1605   - client: Add description of --ip-address and --all-ip-addresses to man page
1606
1607 * Tue Aug 11 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-4
1608 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
1609   users in IdM
1610   - store certificates issued for user entries as
1611   - user-show: add --out option to save certificates to file
1612 - Resolves: #1145748 [RFE] IPA running with One Way Trust
1613   - Fix upgrade of sidgen and extdom plugins
1614 - Resolves: #1195339 ipa-client-install changes the label on various files
1615   which causes SELinux denials
1616   - Use 'mv -Z' in specfile to restore SELinux context
1617 - Resolves: #1198796 Text in UI should describe differing LDAP vs Krb behavior
1618   for combinations of "User authentication types"
1619   - webui: add LDAP vs Kerberos behavior description to user auth
1620 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
1621   - ULC: Fix stageused-add --from-delete command
1622 - Resolves: #1200694 [RFE] Support for multiple cert profiles
1623   - certprofile-import: do not require profileId in profile data
1624   - Give more info on virtual command access denial
1625   - Allow SAN extension for cert-request self-service
1626   - Add profile for DNP3 / IEC 62351-8 certificates
1627   - Work around python-nss bug on unrecognised OIDs
1628 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
1629   - Validate vault's file parameters
1630   - Fixed missing KRA agent cert on replica.
1631 - Resolves: #1225866 display browser config options that apply to the browser.
1632   - webui: add Kerberos configuration instructions for Chrome
1633   - Remove ico files from Makefile
1634 - Resolves: #1246342 Unapply idview raises internal error
1635   - idviews: Check for the Default Trust View only if applying the view
1636 - Resolves: #1248102 [webui] regression - incorrect/no failed auth messages
1637   - webui: fix regressions failed auth messages
1638 - Resolves: #1248396 Internal error in DomainValidator.__search_in_dc
1639   - dcerpc: Fix UnboundLocalError for ccache_name
1640 - Resolves: #1249455 ipa trust-add failed CIFS server configuration does not
1641   allow access to \\pipe\lsarpc
1642   - Fix selector of protocol for LSA RPC binding string
1643   - dcerpc: Simplify generation of LSA-RPC binding strings
1644 - Resolves: #1250192 Error in ipa trust-fecth-domains
1645   - Fix incorrect type comparison in trust-fetch-domains
1646 - Resolves: #1251553 Winsync setup fails with unexpected error
1647   - replication: Fix incorrect exception invocation
1648 - Resolves: #1251854 ipa aci plugin is not parsing aci's correctly.
1649   - ACI plugin: correctly parse bind rules enclosed in
1650 - Resolves: #1252414 Trust agent install does not detect available replicas to
1651   add to master
1652   - adtrust-install: Correctly determine 4.2 FreeIPA servers
1653
1654 * Fri Jul 24 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-3
1655 - Resolves: #1170770 [AD TRUST]IPA should detect inconsistent realm domains
1656   that conflicts with AD DC
1657   - trusts: Check for AD root domain among our trusted domains
1658 - Resolves: #1195339 ipa-client-install changes the label on various files
1659   which causes SELinux denials
1660   - sysrestore: copy files instead of moving them to avoind SELinux issues
1661 - Resolves: #1196656 [ipa-client][rhel71] enable debugging for spawned
1662   commands / ntpd -qgc $tmpfile hangs
1663   - enable debugging of ntpd during client installation
1664 - Resolves: #1205264 Migration UI Does Not Work When Anonymous Bind is Disabled
1665   - migration: Use api.env variables.
1666 - Resolves: #1212719 abort-clean-ruv subcommand should allow
1667   replica-certifyall: no
1668   - Allow value 'no' for replica-certify-all attr in abort-clean-ruv subcommand
1669 - Resolves: #1216935 ipa trust-add shows ipa: ERROR: an internal error has
1670   occurred
1671   - dcerpc: Expand explanation for WERR_ACCESS_DENIED
1672   - dcerpc: Fix UnboundLocalError for ccache_name
1673 - Resolves: #1222778 idoverride group-del can delete user and user-del can
1674   delete group
1675   - dcerpc: Add get_trusted_domain_object_type method
1676   - idviews: Restrict anchor to name and name to anchor conversions
1677   - idviews: Enforce objectclass check in idoverride*-del
1678 - Resolves: #1234919 Be able to request certificates without certmonger service
1679   running
1680   - cermonger: Use private unix socket when DBus SystemBus is not available.
1681   - ipa-client-install: Do not (re)start certmonger and DBus daemons.
1682 - Resolves: #1240939 Please add dependency on bind-pkcs11
1683   - Create server-dns sub-package.
1684   - ipaplatform: Add constants submodule
1685   - DNS: check if DNS package is installed
1686 - Resolves: #1242914 Bump minimal selinux-policy and add booleans to allow
1687   calling out oddjobd-activated services
1688   - selinux: enable httpd_run_ipa to allow communicating with oddjobd services
1689 - Resolves: #1243261 non-admin users cannot search hbac rules
1690   - fix hbac rule search for non-admin users
1691   - fix selinuxusermap search for non-admin users
1692 - Resolves: #1243652 Client has missing dependency on memcache
1693   - do not import memcache on client
1694 - Resolves: #1243835 [webui] user change password dialog does not work
1695   - webui: fix user reset password dialog
1696 - Resolves: #1244802 spec: selinux denial during kdcproxy user creation
1697   - Fix selinux denial during kdcproxy user creation
1698 - Resolves: #1246132 trust-fetch-domains: Do not chown keytab to the sssd user
1699   - oddjob: avoid chown keytab to sssd if sssd user does not exist
1700 - Resolves: #1246136 Adding a privilege to a permission avoids validation
1701   - Validate adding privilege to a permission
1702 - Resolves: #1246141 DNS Administrators cannot search in zones
1703   - DNS: Consolidate DNS RR types in API and schema
1704 - Resolves: #1246143 User plugin - user-find doesn't work properly with manager
1705   option
1706   - fix broken search for users by their manager
1707
1708 * Wed Jul 15 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-2
1709 - Resolves: #1131907 [ipa-client-install] cannot write certificate file
1710   '/etc/ipa/ca.crt.new': must be string or buffer, not None
1711 - Resolves: #1195775 unsaved changes dialog internally inconsistent
1712 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
1713   - Stageusedr-activate: show username instead of DN
1714 - Resolves: #1200694 [RFE] Support for multiple cert profiles
1715   - Prevent to rename certprofile profile id
1716 - Resolves: #1222047 IPA to AD Trust: IPA ERROR 4016: Remote Retrieve Error
1717 - Resolves: #1224769 copy-schema-to-ca.py does not overwrites schema files
1718   - copy-schema-to-ca: allow to overwrite schema files
1719 - Resolves: #1241941 kdc component installation of IPA failed
1720   - spec file: Update minimum required version of krb5
1721 - Resolves: #1242036 Replica install fails to update DNS records
1722   - Fix DNS records installation for replicas
1723 - Resolves: #1242884 Upgrade to 4.2.0 fails when enabling kdc proxy
1724   - Start dirsrv for kdcproxy upgrade
1725
1726 * Thu Jul  9 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-1
1727 - Resolves: #846033  [RFE] Documentation for JSONRPC IPA API
1728 - Resolves: #989091  Ability to manage IdM/IPA directly from a standard LDAP
1729   client
1730 - Resolves: #1072383 [RFE] Provide ability to map CAC identity certificates to
1731   users in IdM
1732 - Resolves: #1115294 [RFE] Add support for DNSSEC
1733 - Resolves: #1145748 [RFE] IPA running with One Way Trust
1734 - Resolves: #1199520 [RFE] Introduce single upgrade tool - ipa-server-upgrade
1735 - Resolves: #1199530 [RFE] Provide user lifecycle managment capabilities
1736 - Resolves: #1200694 [RFE] Support for multiple cert profiles
1737 - Resolves: #1200728 [RFE] Replicate PKI Profile information
1738 - Resolves: #1200735 [RFE] Allow issuing certificates for user accounts
1739 - Resolves: #1204054 SSSD database is not cleared between installs and
1740   uninstalls of ipa
1741 - Resolves: #1204205 [RFE] ID Views: Automated migration tool from Winsync to
1742   Trusts
1743 - Resolves: #1204501 [RFE] Add Password Vault (KRA) functionality
1744 - Resolves: #1204504 [RFE] Add access control so hosts can create their own
1745   services
1746 - Resolves: #1206534 [RFE] Offer Kerberos over HTTP (kdcproxy) by default
1747 - Resolves: #1206613 [RFE] Configure IPA to be a trust agent by default
1748 - Resolves: #1209476 package ipa-client does not require package dbus-python
1749 - Resolves: #1211589 [RFE] Add option to skip the verify_client_version
1750 - Resolves: #1211608 [RFE] Generic support for unknown DNS RR types (RFC 3597)
1751 - Resolves: #1215735 ipa-replica-prepare automatically adds a DNS zone
1752 - Resolves: #1217010 OTP Manager field is not exposed in the UI
1753 - Resolves: #1222475 krb5kdc : segfault at 0 ip 00007fa9f64d82bb sp
1754   00007fffd68b2340 error 6 in libc-2.17.so
1755 - Related:  #1204809 Rebase ipa to 4.2
1756   - Update to upstream 4.2.0
1757   - Move /etc/ipa/kdcproxy to the server subpackage
1758
1759 * Tue Jun 23 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.2.alpha1
1760 - Resolves: #1228671 pkispawn fails in ipa-ca-install and ipa-kra-install
1761 - Related:  #1204809 Rebase ipa to 4.2
1762   - Fix minimum version of slapi-nis
1763   - Require python-sss and python-sss-murmur (provided by sssd-1.13.0)
1764
1765 * Mon Jun 22 2015 Jan Cholasta <jcholast@redhat.com> - 4.2.0-0.1.alpha1
1766 - Resolves: #805188  [RFE] "ipa migrate-ds" ldapsearches with scope=1
1767 - Resolves: #1019272 With 20000+ users, adding a user to a group intermittently
1768   throws Internal server error
1769 - Resolves: #1035494 Unable to add Kerberos principal via kadmin.local
1770 - Resolves: #1045153 ipa-managed-entries --list -p <badpassword> still requires
1771   DM password
1772 - Resolves: #1125950 ipa-server-install --uinstall doesn't remove port 7389
1773   from ldap_port_t
1774 - Resolves: #1132540 [RFE] Expose service delegation rules in UI and CLI
1775 - Resolves: #1145584 ipaserver/install/cainstance.py creates pkiuser not
1776   matching uidgid
1777 - Resolves: #1176036 IDM client registration failure in a high load environment
1778 - Resolves: #1183116 Remove Requires: subscription-manager
1779 - Resolves: #1186054 permission-add does not prompt to enter --right option in
1780   interactive mode
1781 - Resolves: #1187524 Replication agreement with replica not disabled when
1782   ipa-restore done without IPA installed
1783 - Resolves: #1188195 Fax number not displayed for user-show when kinit'ed as
1784   normal user.
1785 - Resolves: #1189034 "an internal error has occurred" during ipa host-del
1786   --updatedns
1787 - Resolves: #1193554 ipa-client-automount: failing with error LDAP server
1788   returned UNWILLING_TO_PERFORM. This likely means that minssf is enabled.
1789 - Resolves: #1193759 IPA extdom plugin fails when encountering large groups
1790 - Resolves: #1194312 [ipa-python] ipalib.errors.LDAPError: failed to decode
1791   certificate: (SEC_ERROR_INVALID_ARGS) security library: invalid arguments.
1792 - Resolves: #1194633 Default trust view can be deleted in lower case
1793 - Resolves: #1196455 ipa-server-install step [8/27]: starting certificate
1794   server instance - confusing CA staus message on TLS error
1795 - Resolves: #1198263 Limit deadlocks between DS plugin DNA and slapi-nis
1796 - Resolves: #1199527 [RFE] Use datepicker component for datetime fields
1797 - Resolves: #1200867 [RFE] Make OTP validation window configurable
1798 - Resolves: #1200883 [RFE] Switch apache to use mod_auth_gssapi
1799 - Resolves: #1202998 CVE-2015-1827 ipa: memory corruption when using
1800   get_user_grouplist() [rhel-7.2]
1801 - Resolves: #1204637 slow group operations
1802 - Resolves: #1204642 migrate-ds: slow add o users to default group
1803 - Resolves: #1208461 IPA CA master server update stuck on checking getStatus
1804   via https
1805 - Resolves: #1211602 Hide ipa-server-install KDC master password option (-P)
1806 - Resolves: #1211708 ipa-client-install gets stuck during NTP sync
1807 - Resolves: #1215197 ipa-client-install ignores --ntp-server option during time
1808   sync
1809 - Resolves: #1215200 ipa-client-install configures IPA server as NTP source
1810   even if IPA server has not ntpd configured
1811 - Resolves: #1217009 OTP sync in UI does not work for TOTP tokens
1812 - Related:  #1204809 Rebase ipa to 4.2
1813   - Update to upstream 4.2.0.alpha1
ba521e 1814
0201d8 1815 * Thu Mar 19 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.3
CS 1816 - [ipa-python] ipalib.errors.LDAPError: failed to decode certificate:
1817   (SEC_ERROR_INVALID_ARGS) security library: invalid arguments. (#1194312)
f4fe3d 1818
0201d8 1819 * Wed Mar 18 2015 Alexander Bokovoy <abokovoy@redhat.com> - 4.1.0-18.2
CS 1820 - IPA extdom plugin fails when encountering large groups (#1193759)
1821 - CVE-2015-0283 ipa: slapi-nis: infinite loop in getgrnam_r() and getgrgid_r()
590d18 1822   (#1202998)
0201d8 1823
CS 1824 * Thu Mar  5 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-18.1
1825 - "an internal error has occurred" during ipa host-del --updatedns (#1198431)
1826 - Renamed patch 1013 to 0114, as it was merged upstream
1827 - Fax number not displayed for user-show when kinit'ed as normal user.
1828   (#1198430)
1829 - Replication agreement with replica not disabled when ipa-restore done without
1830   IPA installed (#1199060)
1831 - Limit deadlocks between DS plugin DNA and slapi-nis (#1199128)
1832
1833 * Thu Jan 29 2015 Martin Kosek <mkosek@redhat.com> - 4.1.0-18
e3ffab 1834 - Fix ipa-pwd-extop global configuration caching (#1187342)
CS 1835 - group-detach does not add correct objectclasses (#1187540)
9dc499 1836
e3ffab 1837 * Tue Jan 27 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-17
CS 1838 - Wrong directories created on full restore (#1186398)
1839 - ipa-restore crashes if replica is unreachable (#1186396)
1840 - idoverrideuser-add option --sshpubkey does not work (#1185410)
69f9f3 1841
e3ffab 1842 * Wed Jan 21 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-16
CS 1843 - PassSync does not sync passwords due to missing ACIs (#1181093)
1844 - ipa-replica-manage list does not list synced domain (#1181010)
1845 - Do not assume certmonger is running in httpinstance (#1181767)
1846 - ipa-replica-manage disconnect fails without password (#1183279)
1847 - Put LDIF files to their original location in ipa-restore (#1175277)
1848 - DUA profile not available anonymously (#1184149)
1849 - IPA replica missing data after master upgraded (#1176995)
8f4e66 1850
e3ffab 1851 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-15
CS 1852 - Re-add accidentally removed patches for #1170695 and #1164896
3f6981 1853
e3ffab 1854 * Wed Jan 14 2015 Jan Cholasta <jcholast@redhat.com> - 4.1.0-14
CS 1855 - IPA Replicate creation fails with error "Update failed! Status: [10 Total
1856   update abortedLDAP error: Referral]" (#1166265)
1857 - running ipa-server-install --setup-dns results in a crash (#1072502)
1858 - DNS zones are not migrated into forward zones if 4.0+ replica is added
1859   (#1175384)
1860 - gid is overridden by uid in default trust view (#1168904)
1861 - When migrating warn user if compat is enabled (#1177133)
1862 - Clean up debug log for trust-add (#1168376)
1863 - No error message thrown on restore(full kind) on replica from full backup
1864   taken on master (#1175287)
1865 - ipa-restore proceed even IPA not configured (#1175326)
1866 - Data replication not working as expected after data restore from full backup
1867   (#1175277)
1868 - IPA externally signed CA cert expiration warning missing from log (#1178128)
1869 - ipa-upgradeconfig fails in CA-less installs (#1181767)
1870 - IPA certs fail to autorenew simultaneouly (#1173207)
1871 - More validation required on ipa-restore's options (#1176034)
1872
1873 * Wed Dec 17 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-13
1874 - Expand the token auth/sync windows (#919228)
1875 - Access is not rejected for disabled domain (#1172598)
1876 - krb5kdc crash in ldap_pvt_search (#1170695)
1877 - RHEL7.1 IPA server httpd avc denials after upgrade (#1164896)
1878
1879 * Wed Dec 10 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-12
1880 - RHEL7.1 ipa-cacert-manage renewed certificate from MS ADCS not compatible
1881   (#1169591)
1882 - CLI doesn't show SSHFP records with SHA256 added via nsupdate (regression)
1883   (#1172578)
1884
1885 * Tue Dec  9 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-11
1886 - Throw zonemgr error message before installation proceeds (#1163849)
1887 - Winsync: Setup is broken due to incorrect import of certificate (#1169867)
1888 - Enable last token deletion when password auth type is configured (#919228)
1889 - ipa-otp-lasttoken loads all user's tokens on every mod/del (#1166641)
1890 - add --hosts and --hostgroup options to allow/retrieve keytab methods
1891   (#1007367)
1892 - Extend host-show to add the view attribute in set of default attributes
1893   (#1168916)
1894 - Prefer TCP connections to UDP in krb5 clients (#919228)
1895 - [WebUI] Not able to unprovisioning service in IPA 4.1 (#1168214)
1896 - webui: increase notification duration (#1171089)
1897 - RHEL7.1 ipa automatic CA cert renewal stuck in submitting state (#1166931)
1898 - RHEL7.1 ipa-cacert-manage cannot change external to self-signed ca cert
1899   (#1170003)
1900 - Improve validation of --instance and --backend options in ipa-restore
1901   (#951581)
1902 - RHEL7.1 ipa replica unable to replicate to rhel6 master (#1167964)
1903 - Disable TLS 1.2 in nss.conf until mod_nss supports it (#1156466)
1904
1905 * Wed Nov 26 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-10
1906 - Use NSS protocol range API to set available TLS protocols (#1156466)
1907
1908 * Tue Nov 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-9
1909 - schema update on RHEL-6.6 using latest copy-schema-to-ca.py from RHEL-7.1
1910   build fails (#1167196)
1911 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
1912 - "ipa trust-add ... " cmd says : (Trust status: Established and verified)
1913   while in the logs we see "WERR_ACCESS_DENIED" during verification step.
1914   (#1144121)
1915 - POODLE: force using safe ciphers (non-SSLv3) in IPA client and server
1916   (#1156466)
1917 - Add support/hooks for a one-time password system like SecureID in IPA
1918   (#919228)
1919 - Tracebacks with latest build for --zonemgr cli option (#1167270)
1920 - ID Views: Support migration from the sync solution to the trust solution
1921   (#891984)
1922
1923 * Mon Nov 24 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-8
1924 - Improve otptoken help messages (#919228)
1925 - Ensure users exist when assigning tokens to them (#919228)
1926 - Enable QR code display by default in otptoken-add (#919228)
1927 - Show warning instead of error if CA did not start (#1158410)
1928 - CVE-2014-7850 freeipa: XSS flaw can be used to escalate privileges (#1165774)
1929 - Traceback when adding zone with long name (#1164859)
1930 - Backup & Restore mechanism (#951581)
1931 - ignoring user attributes in migrate-ds does not work if uppercase characters
1932   are returned by ldap (#1159816)
1933 - Allow ipa-getkeytab to optionally fetch existing keys (#1007367)
1934 - Failure when installing on dual stacked system with external ca (#1128380)
1935 - ipa-server should keep backup of CS.cfg (#1059135)
1936 - Tracebacks with latest build for --zonemgr cli option (#1167270)
1937 - webui: use domain name instead of domain SID in idrange adder dialog
1938   (#891984)
1939 - webui: normalize idview tab labels (#891984)
1940
1941 * Wed Nov 19 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-7
1942 - ipa-csreplica-manage connect fails (#1157735)
1943 - error message which is not understandable when IDNA2003 characters are
1944   present in --zonemgr (#1163849)
1945 - Fix warning message should not contain CLI commands (#1114013)
1946 - Renewing the CA signing certificate does not extend its validity period end
1947   (#1163498)
1948 - RHEL7.1 ipa-server-install --uninstall Could not set SELinux booleans for
1949   httpd (#1159330)
1950
1951 * Thu Nov 13 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-6
1952 - Fix: DNS installer adds invalid zonemgr email (#1056202)
1953 - ipaplatform: Use the dirsrv service, not target (#951581)
1954 - Fix: DNS policy upgrade raises asertion error (#1161128)
1955 - Fix upgrade referint plugin (#1161128)
1956 - Upgrade: fix trusts objectclass violationi (#1161128)
1957 - group-add doesn't accept gid parameter (#1149124)
1958
1959 * Tue Nov 11 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-5
1960 - Update slapi-nis dependency to pull 0.54-2 (#891984)
1961 - ipa-restore: Don't crash if AD trust is not installed (#951581)
1962 - Prohibit setting --rid-base for ranges of ipa-trust-ad-posix type (#1138791)
1963 - Trust setting not restored for CA cert with ipa-restore command (#1159011)
1964 - ipa-server-install fails when restarting named (#1162340)
1965
1966 * Thu Nov 06 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-4
1967 - Update Requires on pki-ca to 10.1.2-4 (#1129558)
1968 - build: increase java stack size for all arches
1969 - Add ipaSshPubkey and gidNumber to the ACI to read ID user overrides (#891984)
1970 - Fix dns zonemgr validation regression (#1056202)
1971 - Handle profile changes in dogtag-ipa-ca-renew-agent (#886645)
1972 - Do not wait for new CA certificate to appear in LDAP in ipa-certupdate
1973   (#886645)
1974 - Add bind-dyndb-ldap working dir to IPA specfile
1975 - Fail if certmonger can't see new CA certificate in LDAP in ipa-cacert-manage
1976   (#886645)
1977 - Investigate & fix Coverity defects in IPA DS/KDC plugins (#1160756)
1978 - Deadlock in schema compat plugin (#1161131)
1979 - ipactl stop should stop dirsrv last (#1161129)
1980 - Upgrade 3.3.5 to 4.1 failed (#1161128)
1981 - CVE-2014-7828 freeipa: password not required when OTP in use (#1160877)
1982
1983 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-3
1984 - Do not check if port 8443 is available in step 2 of external CA install
1985   (#1129481)
1986
1987 * Wed Oct 22 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-2
1988 - Update Requires on selinux-policy to 3.13.1-4
1989
1990 * Tue Oct 21 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-1
1991 - Update to upstream 4.1.0 (#1109726)
1992
1993 * Mon Sep 29 2014 Jan Cholasta <jcholast@redhat.com> - 4.1.0-0.1.alpha1
1994 - Update to upstream 4.1.0 Alpha 1 (#1109726)
1995
1996 * Fri Sep 26 2014 Petr Vobornik <pvoborni@redhat.com> - 4.0.3-3
1997 - Add redhat-access-plugin-ipa dependency
1998
1999 * Thu Sep 25 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-2
2000 - Re-enable otptoken_yubikey plugin
2001
2002 * Mon Sep 15 2014 Jan Cholasta <jcholast@redhat.com> - 4.0.3-1
2003 - Update to upstream 4.0.3 (#1109726)
2004
2005 * Thu Aug 14 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-29
031d60 2006 - Server installation fails using external signed certificates with
e3ffab 2007   "IndexError: list index out of range" (#1111320)
031d60 2008 - Add rhino to BuildRequires to fix Web UI build error
10ca37 2009
9991ea 2010 * Tue Apr  1 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-28
CB 2011 - ipa-client-automount fails with incompatibility error when installed against
2012   older IPA server (#1083108)
2013
2014 * Wed Mar 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-27
2015 - Proxy PKI URI /ca/ee/ca/profileSubmit to enable replication with future
2016   PKI versions (#1080865)
2017
2018 * Tue Mar 25 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-26
2019 - When IdM server trusts multiple AD forests, IPA client returns invalid group
2020   membership info (#1079498)
2021
2022 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-25
2023 - Deletion of active subdomain range should not be allowed (#1075615)
2024
2025 * Thu Mar 13 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-24
2026 - PKI database is ugraded during replica installation (#1075118)
2027
2028 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-23
2029 - Unable to add trust successfully with --trust-secret (#1075704)
2030
2031 * Wed Mar 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-22
2032 - ipa-replica-install never checks for 7389 port (#1075165)
2033 - Non-terminated string may be passed to LDAP search (#1075091)
2034 - ipa-sam may fail to translate group SID into GID (#1073829)
2035 - Excessive LDAP calls by ipa-sam during Samba FS operations (#1075132)
2036
2037 * Thu Mar  6 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-21
2038 - Do not fetch a principal two times, remove potential memory leak (#1070924)
2039
2040 * Wed Mar  5 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-20
2041 - trustdomain-find with pkey-only fails (#1068611)
2042 - Invalid credential cache in trust-add (#1069182)
2043 - ipa-replica-install prints unexpected error (#1069722)
2044 - Too big font in input fields in details facet in Firefox (#1069720)
2045 - trust-add for POSIX AD does not fetch trustdomains (#1070925)
2046 - Misleading trust-add error message in some cases (#1070926)
2047 - Access is not rejected for disabled domain (#1070924)
2048
2049 * Wed Feb 26 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-19
2050 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2051
2052 * Wed Feb 12 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-18
2053 - Display server name in ipa command's verbose mode (#1061703)
2054 - Remove sourcehostcategory from default HBAC rule (#1061187)
2055 - dnszone-add cannot add classless PTR zones (#1058688)
2056 - Move ipa-otpd socket directory to /var/run/krb5kdc (#1063850)
2057
2058 * Tue Feb  4 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-17
2059 - Lockout plugin crashed during ipa-server-install (#912725)
2060
2061 * Fri Jan 31 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-16
2062 - Fallback to global policy in ipa lockout plugin (#912725)
2063 - Migration does not add users to default group (#903232)
2064
2065 * Fri Jan 24 2014 Daniel Mach <dmach@redhat.com> - 3.3.3-15
2066 - Mass rebuild 2014-01-24
2067
2068 * Thu Jan 23 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-14
2069 - Fix NetBIOS name generation in CLDAP plugin (#1030517)
2070
2071 * Mon Jan 20 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-13
2072 - Do not add krbPwdPolicyReference for new accounts, hardcode it (#1045218)
2073 - Increase default timeout for IPA services (#1033273)
2074 - Error while running trustdomain-find (#1054376)
2075 - group-show lists SID instead of name for external groups (#1054391)
2076 - Fix IPA server NetBIOS name in samba configuration (#1030517)
2077 - dnsrecord-mod produces missing API version warning (#1054869)
2078 - Hide trust-resolve command as internal (#1052860)
2079 - Add Trust domain Web UI (#1054870)
2080 - ipasam cannot delete multiple child trusted domains (#1056120)
2081
2082 * Wed Jan 15 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-12
2083 - Missing objectclasses when empty password passed to host-add (#1052979)
2084 - sudoOrder missing in sudoers (#1052983)
2085 - Missing examples in sudorule help (#1049464)
2086 - Client automount does not uninstall when fstore is empty (#910899)
2087 - Error not clear for invalid realm given to trust-fetch-domains (#1052981)
2088 - trust-fetch-domains does not add idrange for subdomains found (#1049926)
2089 - Add option to show if an AD subdomain is enabled/disabled (#1052973)
2090 - ipa-adtrust-install still failed with long NetBIOS names (#1030517)
2091 - Error not clear for invalid relam given to trustdomain-find (#1049455)
2092 - renewed client cert not recognized during IPA CA renewal (#1033273)
2093
2094 * Fri Jan 10 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-11
2095 - hbactest does not work for external users (#848531)
2096
2097 * Wed Jan 08 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-10
2098 - PKI service restart after CA renewal failed (#1040018)
2099
2100 * Mon Jan 06 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-9
2101 - Move ipa-tests package to separate srpm (#1032668)
2102
2103 * Fri Jan  3 2014 Martin Kosek <mkosek@redhat.com> - 3.3.3-8
2104 - Fix status trust-add command status message (#910453)
2105 - NetBIOS was not trimmed at 15 characters (#1030517)
2106 - Harden CA subsystem certificate renewal on CA clones (#1040018)
2107
2108 * Fri Dec 27 2013 Daniel Mach <dmach@redhat.com> - 3.3.3-7
2109 - Mass rebuild 2013-12-27
2110
2111 * Mon Dec  2 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-6
2112 - Remove "Listen 443 http" hack from deployed nss.conf (#1029046)
2113 - Re-adding existing trust fails (#1033216)
2114 - IPA uninstall exits with a samba error (#1033075)
2115 - Added RELRO hardening on /usr/libexec/ipa-otpd (#1026260)
2116 - Fixed ownership of /usr/share/ipa/ui/js (#1026260)
2117 - ipa-tests: support external names for hosts (#1032668)
2118 - ipa-client-install fail due fail to obtain host TGT (#1029354)
2119
99b6f7 2120 * Fri Nov 22 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-5
CB 2121 - Trust add tries to add same value of --base-id for sub domain,
2122   causing an error (#1033068)
2123 - Improved error reporting for adding trust case (#1029856)
2124
2125 * Wed Nov 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-4
2126 - Winsync agreement cannot be created (#1023085)
2127
2128 * Wed Nov  6 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-3
2129 - Installer did not detect different server and IPA domain (#1026845)
2130 - Allow kernel keyring CCACHE when supported (#1026861)
2131
2132 * Tue Nov  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-2
2133 - ipa-server-install crashes when AD subpackage is not installed (#1026434)
2134
2135 * Fri Nov  1 2013 Martin Kosek <mkosek@redhat.com> - 3.3.3-1
2136 - Update to upstream 3.3.3 (#991064)
2137
2138 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-5
2139 - Temporarily move ipa-backup and ipa-restore functionality
2140   back to make them available in public Beta (#1003933)
2141
2142 * Tue Oct 29 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-4
2143 - Server install failure during client enrollment shouldn't
2144   roll back (#1023086)
2145 - nsds5ReplicaStripAttrs are not set on agreements (#1023085)
2146 - ipa-server conflicts with mod_ssl (#1018172)
2147
2148 * Wed Oct 16 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-3
2149 - Reinstalling ipa server hangs when configuring certificate
2150   server (#1018804)
2151
2152 * Fri Oct 11 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-2
2153 - Deprecate --serial-autoincrement option (#1016645)
2154 - CA installation always failed on replica (#1005446)
2155 - Re-initializing a winsync connection exited with error (#994980)
2156
2157 * Fri Oct  4 2013 Martin Kosek <mkosek@redhat.com> - 3.3.2-1
2158 - Update to upstream 3.3.2 (#991064)
2159 - Add delegation info to MS-PAC (#915799)
2160 - Warn about incompatibility with AD when IPA realm and domain
2161   differs (#1009044)
2162 - Allow PKCS#12 files with empty password in install tools (#1002639)
2163 - Privilege "SELinux User Map Administrators" did not list
2164   permissions (#997085)
2165 - SSH key upload broken when client joins an older server (#1009024)
2166
2167 * Mon Sep 23 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-5
2168 - Remove dependency on python-paramiko (#1002884)
2169 - Broken redirection when deleting last entry of DNS resource
2170   record (#1006360)
2171
2172 * Tue Sep 10 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-4
2173 - Remove ipa-backup and ipa-restore functionality from RHEL (#1003933)
2174
2175 * Mon Sep  9 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-3
2176 - Replica installation fails for RHEL 6.4 master (#1004680)
2177 - Server uninstallation crashes if DS is not available (#998069)
2178
2179 * Thu Sep  5 2013 Martin Kosek <mkosek@redhat.com> - 3.3.1-2
2180 - Unable to remove replica by ipa-replica-manage (#1001662)
2181 - Before uninstalling a server, warn about active replicas (#998069)
2182
2183 * Thu Aug 29 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.1-1
2184 - Update to upstream 3.3.1 (#991064)
2185 - Update minimum version of bind-dyndb-ldap to 3.5
2186
2187 * Tue Aug 20 2013 Rob Crittenden <rcritten@redhat.com> - 3.3.0-7
2188 - Fix replica installation failing on certificate subject (#983075)
2189
2190 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-6
2191 - Allow ipa-tests to work with older version (1.7.7) of python-paramiko
2192
2193 * Tue Aug 13 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-5
2194 - Prevent multilib failures in *.pyo and *.pyc files
2195
2196 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-4
2197 - ipa-server-install fails if --subject parameter is other than default
2198   realm (#983075)
2199 - do not allow configuring bind-dyndb-ldap without persistent search (#967876)
2200
2201 * Mon Aug 12 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-3
2202 - diffstat was missing as a build dependency causing multilib problems
2203
2204 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-2
2205 - Remove ipa-server-selinux obsoletes as upgrades from version prior to
2206   3.3.0 are not allowed
2207 - Wrap server-trust-ad subpackage description better
9991ea 2208 - Add (noreplace) flag for %%{_sysconfdir}/tmpfiles.d/ipa.conf
99b6f7 2209 - Change permissions on default_encoding_utf8.so to fix ipa-python Provides
CB 2210
2211 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-1
2212 - Update to upstream 3.3.0 (#991064)
2213
2214 * Thu Aug  8 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.2.beta2
2215 - Require slapi-nis 0.47.7 delivering a core feature of 3.3.0 release
2216
2217 * Wed Aug  7 2013 Martin Kosek <mkosek@redhat.com> - 3.3.0-0.1.beta2
2218 - Update to upstream 3.3.0 Beta 2 (#991064)
2219
2220 * Thu Jul 18 2013 Martin Kosek <mkosek@redhat.com> - 3.2.2-1
2221 - Update to upstream 3.2.2
2222 - Drop ipa-server-selinux subpackage
2223 - Drop redundant directory /var/cache/ipa/sessions
2224 - Do not create /var/lib/ipa/pki-ca/publish, retain reference as ghost
2225 - Run ipa-upgradeconfig and server restart in posttrans to avoid inconsistency
2226   issues when there are still old parts of software (like entitlements plugin)
2227
2228 * Fri Jun 14 2013 Martin Kosek <mkosek@redhat.com> - 3.2.1-1
2229 - Update to upstream 3.2.1
2230 - Drop dogtag-pki-server-theme requires, it won't be build for RHEL-7.0
2231
2232 * Tue May 14 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-2
2233 - Add OTP patches
2234 - Add patch to set KRB5CCNAME for 389-ds-base
2235
2236 * Fri May 10 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-1
2237 - Update to upstream 3.2.0 GA
2238 - ipa-client-install fails if /etc/ipa does not exist (#961483)
2239 - Certificate status is not visible in Service and Host page (#956718)
2240 - ipa-client-install removes needed options from ldap.conf (#953991)
2241 - Handle socket.gethostbyaddr() exceptions when verifying hostnames (#953957)
2242 - Add triggerin scriptlet to support OpenSSH 6.2 (#953617)
2243 - Require nss 3.14.3-12.0 to address certutil certificate import
2244   errors (#953485)
2245 - Require pki-ca 10.0.2-3 to pull in fix for sslget and mixed IPv4/6
2246   environments. (#953464)
2247 - ipa-client-install removes 'sss' from /etc/nsswitch.conf (#953453)
2248 - ipa-server-install --uninstall doesn't stop dirsrv instances (#953432)
2249 - Add requires for openldap-2.4.35-4 to pickup fixed SASL_NOCANON behavior for
2250   socket based connections (#960222)
2251 - Require libsss_nss_idmap-python
2252 - Add Conflicts on nss-pam-ldapd < 0.8.4. The mapping from uniqueMember to
2253   member is now done automatically and having it in the config file raises
2254   an error.
2255 - Add backup and restore tools, directory.
2256 - require at least systemd 38 which provides the journal (we no longer
2257   need to require syslog.target)
2258 - Update Requires on policycoreutils to 2.1.14-37
2259 - Update Requires on selinux-policy to 3.12.1-42
2260 - Update Requires on 389-ds-base to 1.3.1.0
2261 - Remove a Requires for java-atk-wrapper
2262
2263 * Tue Apr 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.4.beta1
2264 - Remove release from krb5-server in strict sub-package to allow for rebuilds.
2265
2266 * Mon Apr 22 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.3.beta1
2267 - Add a Requires for java-atk-wrapper until we can determine which package
2268   should be pulling it in, dogtag or tomcat.
2269
2270 * Tue Apr 16 2013 Rob Crittenden <rcritten@redhat.com> - 3.2.0-0.2.beta1
2271 - Update to upstream 3.2.0 Beta 1
2272
2273 * Tue Apr  2 2013 Martin Kosek <mkosek@redhat.com> - 3.2.0-0.1.pre1
2274 - Update to upstream 3.2.0 Prerelease 1
2275 - Use upstream reference spec file as a base for Fedora spec file
2276
2277 * Sat Mar 30 2013 Kevin Fenzi <kevin@scrye.com> 3.1.2-4
2278 - Rebuild for broken deps
2279 - Fix 389-ds-base strict dep to be 1.3.0.5 and krb5-server 1.11.1
2280
2281 * Sat Feb 23 2013 Kevin Fenzi <kevin@scrye.com> - 3.1.2-3
2282 - Rebuild for broken deps in rawhide
2283 - Fix 389-ds-base strict dep to be 1.3.0.3
2284
2285 * Wed Feb 13 2013 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 3.1.2-2
2286 - Rebuilt for https://fedoraproject.org/wiki/Fedora_19_Mass_Rebuild
2287
2288 * Wed Jan 23 2013 Rob Crittenden <rcritten@redhat.com> - 3.1.2-1
2289 - Update to upstream 3.1.2
2290 - CVE-2012-4546: Incorrect CRLs publishing
2291 - CVE-2012-5484: MITM Attack during Join process
2292 - CVE-2013-0199: Cross-Realm Trust key leak
2293 - Updated strict dependencies to 389-ds-base = 1.3.0.2 and
2294   pki-ca = 10.0.1
2295
2296 * Thu Dec 20 2012 Martin Kosek <mkosek@redhat.com> - 3.1.0-2
2297 - Remove redundat Requires versions that are already in Fedora 17
2298 - Replace python-crypto Requires with m2crypto
2299 - Add missing Requires(post) for client and server-trust-ad subpackages
2300 - Restart httpd service when server-trust-ad subpackage is installed
2301 - Bump selinux-policy Requires to pick up PKI/LDAP port labeling fixes
2302
2303 * Mon Dec 10 2012 Rob Crittenden <rcritten@redhat.com> - 3.1.0-1
2304 - Updated to upstream 3.1.0 GA
2305 - Set minimum for sssd to 1.9.2
2306 - Set minimum for pki-ca to 10.0.0-1
2307 - Set minimum for 389-ds-base to 1.3.0
2308 - Set minimum for selinux-policy to 3.11.1-60
2309 - Remove unneeded dogtag package requires
2310
2311 * Tue Oct 23 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-3
2312 - Update Requires on krb5-server to 1.11
2313
2314 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-2
2315 - Configure CA replication to use TLS instead of SSL
2316
2317 * Fri Oct 12 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-1
2318 - Updated to upstream 3.0.0 GA
2319 - Set minimum for samba to 4.0.0-153.
2320 - Make sure server-trust-ad subpackage alternates winbind_krb5_locator.so
2321   plugin to /dev/null since they cannot be used when trusts are configured
2322 - Restrict krb5-server to 1.10.
2323 - Update BR for 389-ds-base to 1.3.0
2324 - Add directory /var/lib/ipa/pki-ca/publish for CRL published by pki-ca
2325 - Add Requires on zip for generating FF browser extension
2326
2327 * Fri Oct  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.10
2328 - Updated to upstream 3.0.0 rc 2
2329 - Include new FF configuration extension
2330 - Set minimum Requires of selinux-policy to 3.11.1-33
2331 - Set minimum Requires dogtag to 10.0.0-0.43.b1
2332 - Add new optional strict sub-package to allow users to limit other
2333   package upgrades.
2334
2335 * Tue Oct  2 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.9
2336 - Require samba packages instead of obsoleted samba4 packages
2337
2338 * Fri Sep 21 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.8
2339 - Updated to upstream 3.0.0 rc 1
2340 - Update BR for 389-ds-base to 1.2.11.14
2341 - Update BR for krb5 to 1.10
2342 - Update BR for samba4-devel to 4.0.0-139 (rc1)
2343 - Add BR for python-polib
2344 - Update BR and Requires on sssd to 1.9.0
2345 - Update Requires on policycoreutils to 2.1.12-5
2346 - Update Requires on 389-ds-base to 1.2.11.14
2347 - Update Requires on selinux-policy to 3.11.1-21
2348 - Update Requires on dogtag to 10.0.0-0.33.a1
2349 - Update Requires on certmonger to 0.60
2350 - Update Requires on tomcat to 7.0.29
2351 - Update minimum version of bind to 9.9.1-10.P3
2352 - Update minimum version of bind-dyndb-ldap to 1.1.0-0.16.rc1
2353 - Remove Requires on authconfig from python sub-package
2354
2355 * Wed Sep  5 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.7
2356 - Rebuild against samba4 beta8
2357
2358 * Fri Aug 31 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.6
2359 - Rebuild against samba4 beta7
2360
2361 * Wed Aug 22 2012 Alexander Bokovoy <abokovoy@redhat.com> - 3.0.0-0.5
2362 - Adopt to samba4 beta6 (libsecurity -> libsamba-security)
2363 - Add dependency to samba4-winbind
2364
2365 * Fri Aug 17 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.4
2366 - Updated to upstream 3.0.0 beta 2
2367
2368 * Mon Aug  6 2012 Martin Kosek <mkosek@redhat.com> - 3.0.0-0.3
2369 - Updated to current upstream state of 3.0.0 beta 2 development
2370
2371 * Mon Jul 23 2012 Alexander Bokovoy <abokovy@redhat.com> - 3.0.0-0.2
2372 - Rebuild against samba4 beta4
2373
2374 * Mon Jul  2 2012 Rob Crittenden <rcritten@redhat.com> - 3.0.0-0.1
2375 - Updated to upstream 3.0.0 beta 1
2376
2377 * Thu May  3 2012 Rob Crittenden <rcritten@redhat.com> - 2.2.0-1
2378 - Updated to upstream 2.2.0 GA
2379 - Update minimum n-v-r of certmonger to 0.53
2380 - Update minimum n-v-r of slapi-nis to 0.40
2381 - Add Requires in client to oddjob-mkhomedir and python-krbV
2382 - Update minimum selinux-policy to 3.10.0-110
2383
2384 * Mon Mar 19 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.2
2385 - Update to upstream 2.2.0 beta 1 (2.1.90.rc1)
2386 - Set minimum n-v-r for pki-ca and pki-silent to 9.0.18.
2387 - Add Conflicts on mod_ssl
2388 - Update minimum n-v-r of 389-ds-base to 1.2.10.4
2389 - Update minimum n-v-r of sssd to 1.8.0
2390 - Update minimum n-v-r of slapi-nis to 0.38
2391 - Update minimum n-v-r of pki-* to 9.0.18
2392 - Update conflicts on bind-dyndb-ldap to < 1.1.0-0.9.b1
2393 - Update conflicts on bind to < 9.9.0-1
2394 - Drop requires on krb5-server-ldap
2395 - Add patch to remove escaping arguments to pkisilent
2396
2397 * Mon Feb 06 2012 Rob Crittenden <rcritten@redhat.com> - 2.1.90-0.1
2398 - Update to upstream 2.2.0 alpha 1 (2.1.90.pre1)
2399
2400 * Wed Feb 01 2012 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-5
2401 - Force to use 389-ds 1.2.10-0.8.a7 or above
2402 - Improve upgrade script to handle systemd 389-ds change
2403 - Fix freeipa to work with python-ldap 2.4.6
2404
2405 * Wed Jan 11 2012 Martin Kosek <mkosek@redhat.com> - 2.1.4-4
2406 - Fix ipa-replica-install crashes
2407 - Fix ipa-server-install and ipa-dns-install logging
2408 - Set minimum version of pki-ca to 9.0.17 to fix sslget problem
2409   caused by FEDORA-2011-17400 update (#771357)
2410
2411 * Wed Dec 21 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-3
2412 - Allow Web-based migration to work with tightened SE Linux policy (#769440)
2413 - Rebuild slapi plugins against re-enterant version of libldap
2414
2415 * Sun Dec 11 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.4-2
2416 - Allow longer dirsrv startup with systemd:
2417   - IPAdmin class will wait until dirsrv instance is available up to 10 seconds
2418   - Helps with restarts during upgrade for ipa-ldap-updater
2419 - Fix pylint warnings from F16 and Rawhide
2420
2421 * Tue Dec  6 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.4-1
2422 - Update to upstream 2.1.4 (CVE-2011-3636)
2423
2424 * Mon Dec  5 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.3-8
2425 - Update SELinux policy to allow ipa_kpasswd to connect ldap and
2426   read /dev/urandom. (#759679)
2427
2428 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-7
2429 - Fix wrong path in packaging freeipa-systemd-upgrade
2430
2431 * Wed Nov 30 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-6
2432 - Introduce upgrade script to recover existing configuration after systemd migration
2433   as user has no means to recover FreeIPA from systemd migration
2434 - Upgrade script:
2435   - recovers symlinks in Dogtag instance install
2436   - recovers systemd configuration for FreeIPA's directory server instances
2437   - recovers freeipa.service
2438   - migrates directory server and KDC configs to use proper keytabs for systemd services
2439
2440 * Wed Oct 26 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.1.3-5
2441 - Rebuilt for glibc bug#747377
2442
2443 * Wed Oct 19 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-4
e3ffab 2444 - clean up spec
99b6f7 2445 - Depend on sssd >= 1.6.2 for better user experience
CB 2446
2447 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-3
2448 - Fix Fedora package changelog after merging systemd changes
2449
2450 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-2
2451 - Fix postin scriplet for F-15/F-16
2452
2453 * Tue Oct 18 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.3-1
2454 - 2.1.3
2455
2456 * Mon Oct 17 2011 Alexander Bokovoy <abokovoy@redhat.com> - 2.1.2-1
2457 - Default to systemd for Fedora 16 and onwards
2458
2459 * Tue Aug 16 2011 Rob Crittenden <rcritten@redhat.com> - 2.1.0-1
2460 - Update to upstream 2.1.0
2461
2462 * Fri May  6 2011 Simo Sorce <ssorce@redhat.com> - 2.0.1-2
2463 - Fix bug #702633
2464
2465 * Mon May  2 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.1-1
2466 - Update minimum selinux-policy to 3.9.16-18
2467 - Update minimum pki-ca and pki-selinux to 9.0.7
2468 - Update minimum 389-ds-base to 1.2.8.0-1
2469 - Update to upstream 2.0.1
2470
2471 * Thu Mar 24 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-1
2472 - Update to upstream GA release
2473 - Automatically apply updates when the package is upgraded
2474
2475 * Fri Feb 25 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.4.rc2
2476 - Update to upstream freeipa-2.0.0.rc2
2477 - Set minimum version of python-nss to 0.11 to make sure IPv6 support is in
2478 - Set minimum version of sssd to 1.5.1
2479 - Patch to include SuiteSpotGroup when setting up 389-ds instances
2480 - Move a lot of BuildRequires so this will build with ONLY_CLIENT enabled
2481
2482 * Tue Feb 15 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.3.rc1
2483 - Set the N-V-R so rc1 is an update to beta2.
2484
2485 * Mon Feb 14 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.rc1
2486 - Set minimum version of sssd to 1.5.1
2487 - Update to upstream freeipa-2.0.0.rc1
2488 - Move server-only binaries from admintools subpackage to server
2489
2490 * Tue Feb 08 2011 Fedora Release Engineering <rel-eng@lists.fedoraproject.org> - 2.0.0-0.2.beta2
2491 - Rebuilt for https://fedoraproject.org/wiki/Fedora_15_Mass_Rebuild
2492
2493 * Thu Feb  3 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta2
2494 - Set min version of 389-ds-base to 1.2.8
2495 - Set min version of mod_nss 1.0.8-10
2496 - Set min version of selinux-policy to 3.9.7-27
2497 - Add dogtag themes to Requires
2498 - Update to upstream freeipa-2.0.0.pre2
2499
2500 * Thu Jan 27 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.2.beta.git80e87e7
2501 - Remove unnecessary moving of v1 CA serial number file in post script
2502 - Add Obsoletes for server-selinxu subpackage
2503 - Using git snapshot 442d6ad30ce1156914e6245aa7502499e50ec0da
2504
2505 * Wed Jan 26 2011 Rob Crittenden <rcritten@redhat.com> - 2.0.0-0.1.beta.git80e87e7
2506 - Prepare spec file for release
2507 - Using git snapshot 80e87e75bd6ab56e3e20c49ece55bd4d52f1a503
2508
2509 * Tue Jan 25 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-41
2510 - Re-arrange doc and defattr to clean up rpmlint warnings
2511 - Remove conditionals on older releases
2512 - Move some man pages into admintools subpackage
2513 - Remove some explicit Requires in client that aren't needed
2514 - Consistent use of buildroot vs RPM_BUILD_ROOT
2515
2516 * Wed Jan 19 2011 Adam Young <ayoung@redhat.com> - 1.99-40
2517 - Moved directory install/static to install/ui
2518
2519 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-39
2520 - Remove dependency on nss_ldap/nss-pam-ldapd
2521 - The official client is sssd and that's what we use by default.
2522
2523 * Thu Jan 13 2011 Simo Sorce <ssorce@redhat.com> - 1.99-38
2524 - Remove radius subpackages
2525
2526 * Thu Jan 13 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-37
2527 - Set minimum pki-ca and pki-silent versions to 9.0.0
2528
2529 * Wed Jan 12 2011 Rob Crittenden <rcritten@redhat.com> - 1.99-36
2530 - Drop BuildRequires on mozldap-devel
2531
2532 * Mon Dec 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-35
2533 - Add Requires on krb5-pkinit-openssl
2534
2535 * Fri Dec 10 2010 Jr Aquino <jr.aquino@citrix.com> - 1.99-34
2536 - Add ipa-host-net-manage script
2537
2538 * Tue Dec  7 2010 Simo Sorce <ssorce@redhat.com> - 1.99-33
2539 - Add ipa init script
2540
2541 * Fri Nov 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-32
2542 - Set minimum level of 389-ds-base to 1.2.7 for enhanced memberof plugin
2543
2544 * Wed Nov  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-31
2545 - remove ipa-fix-CVE-2008-3274
2546
2547 * Wed Oct  6 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-30
2548 - Remove duplicate %%files entries on share/ipa/static
2549 - Add python default encoding shared library
2550
2551 * Mon Sep 20 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-29
2552 - Drop requires on python-configobj (not used any more)
2553 - Drop ipa-ldap-updater message, upgrades are done differently now
2554
2555 * Wed Sep  8 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-28
2556 - Drop conflicts on mod_nss
2557 - Require nss-pam-ldapd on F-14 or higher instead of nss_ldap (#606847)
2558 - Drop a slew of conditionals on older Fedora releases (< 12)
2559 - Add a few conditionals against RHEL 6
2560 - Add Requires of nss-tools on ipa-client
2561
2562 * Fri Aug 13 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-27
2563 - Set minimum version of certmonger to 0.26 (to pck up #621670)
2564 - Set minimum version of pki-silent to 1.3.4 (adds -key_algorithm)
2565 - Set minimum version of pki-ca to 1.3.6
2566 - Set minimum version of sssd to 1.2.1
2567
2568 * Tue Aug 10 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-26
2569 - Add BuildRequires for authconfig
2570
2571 * Mon Jul 19 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-25
2572 - Bump up minimum version of python-nss to pick up nss_is_initialize() API
2573
2574 * Thu Jun 24 2010 Adam Young <ayoung@redhat.com> - 1.99-24
2575 - Removed python-asset based webui
2576
2577 * Thu Jun 24 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-23
2578 - Change Requires from fedora-ds-base to 389-ds-base
2579 - Set minimum level of 389-ds-base to 1.2.6 for the replication
2580   version plugin.
2581
2582 * Tue Jun  1 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-22
2583 - Drop Requires of python-krbV on ipa-client
2584
2585 * Mon May 17 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-21
2586 - Load ipa_dogtag.pp in post install
2587
2588 * Mon Apr 26 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-20
2589 - Set minimum level of sssd to 1.1.1 to pull in required hbac fixes.
2590
2591 * Thu Mar  4 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-19
2592 - No need to create /var/log/ipa_error.log since we aren't using
2593   TurboGears any more.
2594
2595 * Mon Mar 1 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-18
2596 - Fixed share/ipa/wsgi.py so .pyc, .pyo files are included
2597
2598 * Wed Feb 24 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-17
2599 - Added Require mod_wsgi, added share/ipa/wsgi.py
2600
2601 * Thu Feb 11 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-16
2602 - Require python-wehjit >= 0.2.2
2603
2604 * Wed Feb  3 2010 Rob Crittenden <rcritten@redhat.com> - 1.99-15
2605 - Add sssd and certmonger as a Requires on ipa-client
2606
2607 * Wed Jan 27 2010 Jason Gerard DeRose <jderose@redhat.com> - 1.99-14
2608 - Require python-wehjit >= 0.2.0
2609
2610 * Fri Dec  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-13
2611 - Add ipa-rmkeytab tool
2612
2613 * Tue Dec  1 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-12
2614 - Set minimum of python-pyasn1 to 0.0.9a so we have support for the ASN.1
2615   Any type
2616
2617 * Wed Nov 25 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-11
2618 - Remove v1-style /etc/ipa/ipa.conf, replacing with /etc/ipa/default.conf
2619
2620 * Fri Nov 13 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-10
2621 - Add bash completion script and own /etc/bash_completion.d in case it
2622   doesn't already exist
2623
2624 * Tue Nov  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-9
2625 - Remove ipa_webgui, its functions rolled into ipa_httpd
2626
2627 * Mon Oct 12 2009 Jason Gerard DeRose <jderose@redhat.com> - 1.99-8
2628 - Removed python-cherrypy from BuildRequires and Requires
2629 - Added Requires python-assets, python-wehjit
2630
2631 * Mon Aug 24 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-7
2632 - Added httpd SELinux policy so CRLs can be read
2633
2634 * Thu May 21 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-6
2635 - Move ipalib to ipa-python subpackage
2636 - Bump minimum version of slapi-nis to 0.15
2637
2638 * Wed May  6 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-5
2639 - Set 0.14 as minimum version for slapi-nis
2640
2641 * Wed Apr 22 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-4
2642 - Add Requires: python-nss to ipa-python sub-package
2643
2644 * Thu Mar  5 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-3
2645 - Remove the IPA DNA plugin, use the DS one
2646
2647 * Wed Mar  4 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-2
2648 - Build radius separately
2649 - Fix a few minor issues
2650
2651 * Tue Feb  3 2009 Rob Crittenden <rcritten@redhat.com> - 1.99-1
2652 - Replace TurboGears requirement with python-cherrypy
2653
2654 * Sat Jan 17 2009 Tomas Mraz <tmraz@redhat.com> - 1.2.1-3
2655 - rebuild with new openssl
2656
2657 * Fri Dec 19 2008 Dan Walsh <dwalsh@redhat.com> - 1.2.1-2
2658 - Fix SELinux code
2659
2660 * Mon Dec 15 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-1
2661 - Fix breakage caused by python-kerberos update to 1.1
2662
2663 * Fri Dec 5 2008 Simo Sorce <ssorce@redhat.com> - 1.2.1-0
2664 - New upstream release 1.2.1
2665
2666 * Sat Nov 29 2008 Ignacio Vazquez-Abrams <ivazqueznet+rpm@gmail.com> - 1.2.0-4
2667 - Rebuild for Python 2.6
2668
2669 * Fri Nov 14 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-3
2670 - Respin after the tarball has been re-released upstream
2671   New hash is 506c9c92dcaf9f227cba5030e999f177
2672
2673 * Thu Nov 13 2008 Simo Sorce <ssorce@redhat.com> - 1.2.0-2
2674 - Conditionally restart also dirsrv and httpd when upgrading
2675
2676 * Wed Oct 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.2.0-1
2677 - Update to upstream version 1.2.0
2678 - Set fedora-ds-base minimum version to 1.1.3 for winsync header
2679 - Set the minimum version for SELinux policy
2680 - Remove references to Fedora 7
2681
2682 * Wed Jul 23 2008 Simo Sorce <ssorce@redhat.com> - 1.1.0-3
2683 - Fix for CVE-2008-3274
2684 - Fix segfault in ipa-kpasswd in case getifaddrs returns a NULL interface
2685 - Add fix for bug #453185
2686 - Rebuild against openldap libraries, mozldap ones do not work properly
2687 - TurboGears is currently broken in rawhide. Added patch to not build
2688   the UI locales and removed them from the ipa-server files section.
2689
2690 * Wed Jun 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-2
2691 - Add call to /usr/sbin/upgradeconfig to post install
2692
2693 * Wed Jun 11 2008 Rob Crittenden <rcritten@redhat.com> - 1.1.0-1
2694 - Update to upstream version 1.1.0
2695 - Patch for indexing memberof attribute
2696 - Patch for indexing uidnumber and gidnumber
2697 - Patch to change DNA default values for replicas
2698 - Patch to fix uninitialized variable in ipa-getkeytab
2699
2700 * Fri May 16 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-5
2701 - Set fedora-ds-base minimum version to 1.1.0.1-4 and mod_nss minimum
2702   version to 1.0.7-4 so we pick up the NSS fixes.
2703 - Add selinux-policy-base(post) to Requires (446496)
2704
2705 * Tue Apr 29 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-4
2706 - Add missing entry for /var/cache/ipa/kpasswd (444624)
2707 - Added patch to fix permissions problems with the Apache NSS database.
2708 - Added patch to fix problem with DNS querying where the query could be
2709   returned as the answer.
2710 - Fix spec error where patch1 was in the wrong section
2711
2712 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-3
2713 - Added patch to fix problem reported by ldapmodify
2714
2715 * Fri Apr 25 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-2
2716 - Fix Requires for krb5-server that was missing for Fedora versions > 9
2717 - Remove quotes around test for fedora version to package egg-info
2718
2719 * Fri Apr 18 2008 Rob Crittenden <rcritten@redhat.com> - 1.0.0-1
2720 - Update to upstream version 1.0.0
2721
2722 * Tue Mar 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-12
2723 - Pull upstream changelog 722
2724 - Add Conflicts mod_ssl (435360)
2725
2726 * Fri Feb 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-11
2727 - Pull upstream changelog 698
2728 - Fix ownership of /var/log/ipa_error.log during install (435119)
2729 - Add pwpolicy command and man page
2730
2731 * Thu Feb 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-10
2732 - Pull upstream changelog 678
2733 - Add new subpackage, ipa-server-selinux
2734 - Add Requires: authconfig to ipa-python (bz #433747)
2735 - Package i18n files
2736
2737 * Mon Feb 18 2008 Rob Crittenden <rcritten@redhat.com> 0.99-9
2738 - Pull upstream changelog 641
2739 - Require minimum version of krb5-server on F-7 and F-8
2740 - Package some new files
2741
2742 * Thu Jan 31 2008 Rob Crittenden <rcritten@redhat.com> 0.99-8
2743 - Marked with wrong license. IPA is GPLv2.
2744
2745 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-7
2746 - Ensure that /etc/ipa exists before moving user-modifiable html files there
2747 - Put html files into /etc/ipa/html instead of /etc/ipa
2748
2749 * Tue Jan 29 2008 Rob Crittenden <rcritten@redhat.com> 0.99-6
2750 - Pull upstream changelog 608 which renamed several files
2751
2752 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-5
2753 - package the sessions dir /var/cache/ipa/sessions
2754 - Pull upstream changelog 597
2755
2756 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-4
2757 - Updated upstream pull (596) to fix bug in ipa_webgui that was causing the
2758   UI to not start.
2759
2760 * Thu Jan 24 2008 Rob Crittenden <rcritten@redhat.com> 0.99-3
2761 - Included LICENSE and README in all packages for documentation
2762 - Move user-modifiable content to /etc/ipa and linked back to
2763   /usr/share/ipa/html
2764 - Changed some references to /usr to the {_usr} macro and /etc
2765   to {_sysconfdir}
2766 - Added popt-devel to BuildRequires for Fedora 8 and higher and
2767   popt for Fedora 7
2768 - Package the egg-info for Fedora 9 and higher for ipa-python
2769
2770 * Tue Jan 22 2008 Rob Crittenden <rcritten@redhat.com> 0.99-2
2771 - Added auto* BuildRequires
2772
2773 * Mon Jan 21 2008 Rob Crittenden <rcritten@redhat.com> 0.99-1
2774 - Unified spec file
2775
2776 * Thu Jan 17 2008 Rob Crittenden <rcritten@redhat.com> - 0.6.0-2
2777 - Fixed License in specfile
2778 - Include files from /usr/lib/python*/site-packages/ipaserver
2779
2780 * Fri Dec 21 2007 Karl MacMillan <kmacmill@redhat.com> - 0.6.0-1
2781 - Version bump for release
2782
2783 * Wed Nov 21 2007 Karl MacMillan <kmacmill@mentalrootkit.com> - 0.5.0-1
2784 - Preverse mode on ipa-keytab-util
2785 - Version bump for relase and rpm name change
2786
2787 * Thu Nov 15 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.1-2
2788 - Broke invididual Requires and BuildRequires onto separate lines and
2789   reordered them
2790 - Added python-tgexpandingformwidget as a dependency
2791 - Require at least fedora-ds-base 1.1
2792
2793 * Thu Nov  1 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.1-1
2794 - Version bump for release
2795
2796 * Wed Oct 31 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-6
2797 - Add dep for freeipa-admintools and acl
2798
2799 * Wed Oct 24 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-5
2800 - Add dependency for python-krbV
2801
2802 * Fri Oct 19 2007 Rob Crittenden <rcritten@redhat.com> - 0.4.0-4
2803 - Require mod_nss-1.0.7-2 for mod_proxy fixes
2804
2805 * Thu Oct 18 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-3
2806 - Convert to autotools-based build
2807
2808 * Tue Sep 25 2007 Karl MacMillan <kmacmill@redhat.com> - 0.4.0-2
2809
2810 * Fri Sep 7 2007 Karl MacMillan <kmacmill@redhat.com> - 0.3.0-1
2811 - Added support for libipa-dna-plugin
2812
2813 * Fri Aug 10 2007 Karl MacMillan <kmacmill@redhat.com> - 0.2.0-1
2814 - Added support for ipa_kpasswd and ipa_pwd_extop
2815
2816 * Sun Aug  5 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-3
2817 - Abstracted client class to work directly or over RPC
2818
2819 * Wed Aug  1 2007 Rob Crittenden <rcritten@redhat.com> - 0.1.0-2
2820 - Add mod_auth_kerb and cyrus-sasl-gssapi to Requires
2821 - Remove references to admin server in ipa-server-setupssl
2822 - Generate a client certificate for the XML-RPC server to connect to LDAP with
2823 - Create a keytab for Apache
2824 - Create an ldif with a test user
2825 - Provide a certmap.conf for doing SSL client authentication
2826
2827 * Fri Jul 27 2007 Karl MacMillan <kmacmill@redhat.com> - 0.1.0-1
2828 - Initial rpm version