<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=utf-8" http-equiv="Content-Type">
<title>
GitLab
</title>



<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">
<h3>
Timo Aaltonen pushed to branch upstream
at <a href="https://salsa.debian.org/freeipa-team/freeipa">FreeIPA packaging / freeipa</a>
</h3>
<h4>
Commits:
</h4>
<ul>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e5ff6041a168e6164e6626bd8be92d5a3ca80932">e5ff6041</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-05T18:28:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">VERSION.m4: Set back to git snapshot
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/112ea43d9541608bac53d431a13e31f0d329e22d">112ea43d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-09T15:43:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: provide meaningful err msg for wrong PIN

ipa-server-install or ipa-replica-install do not provide
a meaningful error message in CA-less mode when the install
fails because of a wrong PIN.

Update the err msg so that it provides a hint to the user.

Fixes https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c7d7638bd3203adb44904c7f66ecd6218402293b">c7d7638b</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-09T15:43:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa tests: CA less

Remove the annotation pytest.mark.xfail as issue 5378 has been fixed.

Related to https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/193bedc5b70a727e4e2b0824a8e1678a29044667">193bedc5</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-10T11:51:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">adtrust: define Guests mapping after creating cifs/ principal

All Samba utilities load passdb modules from the configuration file. As
result, 'net groupmap' call would try to initialize ipasam passdb module
and that one would try to connect to LDAP using Kerberos authentication.

We should be running it after cifs/ principal is actually created in
ipa-adtrust-install or otherwise setting up group mapping will fail.

This only affects new installations. For older ones 'net groupmap' would
work just fine because adtrust is already configured and all principals
exist already.

A re-run of 'ipa-server-upgrade' is a workaround too but better to fix
the initial setup.

Related: https://pagure.io/freeipa/issue/7705
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a1267bda6f6c67a1a1bb5d3b9458e6a37db701b3">a1267bda</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-12T07:45:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaclient: Remove --no-sssd and --no-ac options

Client installation with --no-sssd option has already beeen deprecated
with https://pagure.io/freeipa/issue/5860. Authconfig support has been
removed, therefore --no-ac option can be removed also.

ipatests/test_integration/test_authselect.py: Skip no_sssd and no_ac tests.

See: https://pagure.io/freeipa/issue/7671
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/67875c3b75ad1af493ff5930f9c5fd5e9797b775">67875c3b</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-12T07:50:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Find orphan automember rules

If groups or hostgroups have been removed after automember rules have been
created using them, then automember-rebuild, automember-add, host-add and
more commands could fail.

A new command has been added to the ipa tool:

  ipa automember-find-orphans --type={hostgroup,group} [--remove]

This command retuns the list of orphan automember rules in the same way as
automember-find. With the --remove option the orphan rules are also removed.

The IPA API version has been increased and a test case has been added.

Using ideas from a patch by: Rob Crittenden <rcritten@redhat.com>

See: https://pagure.io/freeipa/issue/6476
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/be5513ba7d70cecba5aa7654b66c1aa4015f7de2">be5513ba</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-15T08:16:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable LDAP debug output in client to display TLS errors in join

If ipa-join fails due to a TLS connection error when doing an
LDAP-based enroll then nothing is logged by default except an
Invalid Password error which is misleading (because the failure
occurs during the bind).

The only way that debugging would have been sufficient is if
the user passed --debug to ipa-client-install which is not great.

This log level is otherwise very quiet and only logs one or two
lines on errors which is perfect.

https://pagure.io/freeipa/issue/7728

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/13b6fec04582d43bfc057a4cc3dbb7e652c8a64f">13b6fec0</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-15T12:07:12Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move ipa's systemd tmpfiles from /var/run to /run

systemd 239 complains about the legacy of ipa's tmpfiles which
are located on /var/run.

Fixes: https://pagure.io/freeipa/issue/7732
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d0978c8dc37fbef0d453cbc30fa2dc3fb671177e">d0978c8d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-15T12:08:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bump requires 389-ds-base

ipa-replica-install sometimes fails with
--
[28/41]: setting up initial replication
Starting replication, please wait until this has completed.
[ldap://master.ipa.test:389] reports: Replica Busy! Status: [Error (1) Replication error acquiring replica: replica busy]
 [error] RuntimeError: Failed to start replication
--
which is caused by a 389-ds issue
(https://pagure.io/389-ds-base/issue/49818)
Bump requires to include the fix.

Fixes: https://pagure.io/freeipa/issue/7642
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6a066cc6f81a57be434964aceb49ce406d75ceed">6a066cc6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-18T06:08:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix path in expected error message

The test is putting server.p12 / replica.p12 in the test_dir directory,
and the error message is printing the file name with its full path.

Related to https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f3e3da509329881c4ba770d1f9418ad180ee98ae">f3e3da50</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-19T17:35:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Handle NTP configuration in a replica server installation

There were two separate issues:

1. If not enrolling on a pre-configured client then the ntp-server and
   ntp-pool options are not being passed down to the client installer
   invocation.
2. If the client is already enrolled then the ntp options are ignored
   altogether.

In the first case simply pass down the options to the client
installer invocation.

If the client is pre-enrolled and NTP options are provided then
raise an exception.

https://pagure.io/freeipa/issue/7723

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9cfd07e87964f37465dd699a50444e6953291f59">9cfd07e8</a></strong>
<div>
<span>by Petr Vobornik</span>
<i>at 2018-10-23T14:48:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-advise: update url of cacerdir_rehash tool

On legacy systems which don't have cacerdir_rehash tool (provided by authconfig)
the generated advise script downloads this tool from project page and uses it.

After decommision of Fedorahosted and move of authconfig project to Pagure,
this url was not updated in FreeIPA project.

This patch updates the url.

https://pagure.io/freeipa/issue/7731

Signed-off-by: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fb653a04be396945b4e74480cb9ed7873202d87a">fb653a04</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-24T11:29:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update annobin to fix continuous-integration/travis-ci/pr issues

gcc is updated with the dnf builddep line, but annobin is not. Therefore
configure fails with "C compiler cannot create executables".

This is related to https://bugzilla.redhat.com/show_bug.cgi?id=1574478

Same change for .test_runner_config_py3_temp.yaml has been added for 4-7
branch.

See: https://pagure.io/freeipa/issue/7740
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b745b407774ffc91563f11c6c24a5b2652153a99">b745b407</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-24T14:17:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">net groupmap: force using empty config when mapping Guests

When we define a group mapping for BUILTIN\Guests to 'nobody' group in
we run 'net groupmap add ...' with a default /etc/samba/smb.conf which
is now configured to use ipasam passdb module. We authenticate to LDAP
with GSSAPI in ipasam passdb module initialization.

If GSSAPI authentication failed (KDC is offline, for example, during
server upgrade), 'net groupmap add' crashes after ~10 attempts to
re-authenticate. This is intended behavior in smbd/winbindd as they
cannot work anymore. However, for the command line tools there are
plenty of operations where passdb module is not needed.

Additionally, GSSAPI authentication uses the default ccache in the
environment and a key from /etc/samba/samba.keytab keytab. This means
that if you'd run 'net *' as root, it will replace whatever Kerberos
tickets you have with a TGT for cifs/`hostname` and a service ticket to
ldap/`hostname` of IPA master.

Apply a simple solution to avoid using /etc/samba/smb.conf when we
set up the group mapping by specifying '-s /dev/null' in 'net groupmap'
call.

For upgrade code this is enough as in
a678336b8b36cdbea2512e79c09e475fdc249569 we enforce use of empty
credentials cache during upgrade to prevent tripping on individual
ccaches from KEYRING: or KCM: cache collections.

Related: https://pagure.io/freeipa/issue/7705
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/be968ea01adf1721b0afd7393872a8d311d89d0c">be968ea0</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-24T14:21:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install --setup-adtrust: check for package ipa-server-trust-ad

When adding the option --setup-adtrust to ipa-replica-install,
we need to check that the package freeipa-server-trust-ad is
installed.
To avoid relying on OS-specific commands like yum, the check is instead
ensuring that the file /usr/share/ipa/smb.conf.empty is present
(this file is delivered by the package).
When the check is unsuccessful, ipa-replica-install exits with an error
message.

Fixes: https://pagure.io/freeipa/issue/7602
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/705e280eafb13b1b55fc0b91001e4721ce79fbdf">705e280e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-24T14:23:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ressource leak in client/config.c get_config_entry

The leak happens due to using strndup to create a temporary string without
freeing it afterwards.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ebb14ed6f57c5504dc2f44339274b108483efd16">ebb14ed6</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-24T14:23:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ressource leak in daemons/ipa-slapi-plugins/ipa-cldap/ipa_cldap_netlogon.c ipa_cldap_netlogon

The leak happens due to using strndup in a for loop to create a temporary
string without freeing it in all cases.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/305150416429b85d46ad4162bac492db303cf9cf">30515041</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T15:46:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ipadb_multires resource handling

* ipadb_get_pwd_policy() initializes struct ipadb_multires *res to NULL.
* ipadb_multires_free() supports NULL as no-op.
* ipadb_multibase_search() consistently frees and NULLs
  struct ipadb_multires **res on error.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4ca3120b9a09ad48866446af29b38ca7c005b0d0">4ca3120b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T15:46:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't abuse strncpy() length limitation

On two occasions C code abused strncpy()'s length limitation to copy a
string of known length without the trailing NULL byte. Recent GCC is
raising the compiler warning:

  warning: ‘strncpy’ output truncated before terminating nul copying as
  many bytes from a string as its length [-Wstringop-truncation]

Use memcpy() instead if strncpy() to copy data of known size.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/64045c5dbaf24340dea5cf0bdb629c29f70a4a9d">64045c5d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-25T07:26:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace hard-coded interpreter with sys.executable

Instead of hard-coding python3, the smart card advise script now uses
the current executable path from sys.executable as interpreter.

Fixes: https://pagure.io/freeipa/issue/7741
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c64030a357401467d74e77d610d3bc268412220d">c64030a3</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T15:18:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove the authselect profile warning if sssd was not configured.

On a plain uninstall there should not be a bunch of confusing
warning/error messages.

Related to https://pagure.io/freeipa/issue/7729

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ec5e821f05cbc20517af6c9578e813f1963a9e8c">ec5e821f</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T15:18:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix misleading errors during client install rollback

Some incorrect errors are possible if a client installation
fails and a configuration rollback is required.

These include:

1. Unconfigured automount client failed: CalledProcessError(Command
['/usr/sbin/ipa-client-automount', '--uninstall', '--debug']
returned non-zero exit status 1: '')

Caused by check_client_configuration() not returning the correct
return value (2).

2. WARNING: Unable to revert to the pre-installation state ('authconfig'
tool has been deprecated in favor of 'authselect'). The default sssd
profile will be used instead.
The authconfig arguments would have been: authconfig --disableldap
--disablekrb5 --disablesssdauth --disablemkhomedir

If installation fails before SSSD is configured there is no state
to roll back to. Detect this condition.

3. An error occurred while removing SSSD's cache.Please remove the
cache manually by executing sssctl cache-remove -o.

Again, if SSSD is not configured yet then there is no cache to
remove. Also correct the missing space after the period.

https://pagure.io/freeipa/issue/7729

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/db960e32f155412c34807e204add4858090d3e94">db960e32</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T15:18:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Collect the client and server uninstall logs in tests

When running the integration tests capture the uninstallation
logs as well as the installation logs.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/78bf80e55dd74fc0279cf6a76345865b0d5e5d32">78bf80e5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T19:13:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Keep Dogtag's client db in external CA step 1

Don't remove /root/.dogtag/pki-tomcat when performing step 1 of external
CA installation process. Dogtag 10.6.7 changed behavior and no longer
re-creates the client database in step 2.

Fixes: https://pagure.io/freeipa/issue/7742
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6214fc51789dcfc70d4df18c0153877b92625ad2">6214fc51</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T19:13:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use tasks.install_master() in external_ca tests

The install_master() function performs additional steps besides just
installing a server. It also sets up log collection and performs
additional tests.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/75cb16f1e778681058be5763cff4507996d85166">75cb16f1</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-26T19:40:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-backup: restart services before compressing the backup

ipa-backup gathers all the files needed for the backup, then compresses
the file and finally restarts the IPA services. When the backup is a
large file, the compression may take time and widen the unavailabity
window.

This fix restarts the services as soon as all the required files are
gathered, and compresses after services are restarted.

Fixes: https://pagure.io/freeipa/issue/7632
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cec39f52616cdfad4b4467a8174dd47f481e08c6">cec39f52</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-26T19:40:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatest: add functional test for ipa-backup

The test ensures that ipa-backup compresses the files after the
IPA services are restarted.

Related to: https://pagure.io/freeipa/issue/7632

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/de6a10c8399947734fffe6cbfe761001c716930a">de6a10c8</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-06T13:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Pass a list of values into add_master_dns_records

During replica installation the local IP addresses should be
added to DNS but will fail because a string is being passed
to an argument expecting a list. Convert to a list before
passing in individual IPs.

Discovered when fixing https://pagure.io/freeipa/issue/7408

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1d23d101630e06770e1e4347a8d6686f2b461337">1d23d101</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-06T13:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Demote log message in custodia _wait_keys to debug

This was previously suppressed because of the log level in
an installation was set to error so it was never displayed
Keeping consistency and demoting it to debug since the
log level is increased to info.

Related: https://pagure.io/freeipa/issue/7408

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d7dc732fe36398802b55bc6aee78a44e59a873c8">d7dc732f</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-06T13:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable replica install info logging to match ipa-server-install

Increase log level to info by setting verbose=True and adding
a console format.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7408

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0344354c555c88c012aac68b8d28ceb37bf0aa4b">0344354c</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-07T12:08:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Restore KRA clone installation integration test

This Dogtag issue that caused KRA clone installation failure in some
scenarios has been fixed (https://pagure.io/dogtagpki/issue/3055).
This reverts commit 2488813260a407477c7516b33ce4238b69c8dd8d and
bumps the pki-core dependency.

Fixes: https://pagure.io/freeipa/issue/7654
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/795fe62cf32b4226757451bf16edc3b4376c40fb">795fe62c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T12:08:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require Dogtag 10.6.7-3

10.6.7-3 fixes a problem with ipa-ca-install and ipa-kra-install on
replicas.

See: https://pagure.io/dogtagpki/issue/3073
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a06fb8d0f7b7c6aba942186b93d87823398f5337">a06fb8d0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T13:22:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">has_krbprincipalkey: avoid double free

Set keys to NULL after free rder to avoid potential double free.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2884ab69babfd7d40f951ba814234ce4763b0cd8">2884ab69</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T13:22:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipadb_mspac_get_trusted_domains: NULL ptr deref

Fix potential NULL pointer deref in ipadb_mspac_get_trusted_domains().
In theory, dn could be empty and rdn NULL. The man page for ldap_str2dn()
does not guarantee that it returns a non-empty result.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/28b89df5ed8a9a060227433e8eeebf7eea844bb9">28b89df5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T13:22:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipapwd_pre_mod: NULL ptr deref

In ipapwd_pre_mod, check userpw for NULL before dereferencing its first
element.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4c0e7d69e461a28a254e7c7a27c2768be3163a3d">4c0e7d69</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-07T13:40:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">rpc: always read response

If the server responds 401 and the response body is empty, the
client raises ResponseNotReady.  This occurs because:

1. For a non-200 response, the response read only if the
   Content-Length header occurs.

2. The response must be read before another request (e.g. the
   follow-up request with WWW-Authenticate header set), and this
   condition was not met.  For details see
   https://github.com/python/cpython/blob/v3.6.7/Lib/http/client.py#L1305-L1321.

This situation should not arise in regular use, because the client
either has a session cookie, or, knowing the details of the server
it is contacting, it establishes the GSS-API context and includes
the WWW-Authenticate header in the initial request.

Nevertheless, this problem has been observed in the wild.  I do not
know its ordinary cause(s), but one can force the issue by removing
an authenticated user's session cache from /run/ipa/ccaches, then
performing a request.

Resolve the issue by always reading the response.  It is safe to
call response.read() regardless of whether the Content-Length header
appears, or whether the body is empty.

Fixes: https://pagure.io/freeipa/issue/7752
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9e7e9c1014c10f838b341a45436aba0840ad5b07">9e7e9c10</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-07T13:51:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaldap: avoid invalid modlist when attribute encoding differs

ipaldap does not take into account the possibility of the attribute
encoding returned by python-ldap differing from the attribute
encoding produced by FreeIPA.  In particular this can occur with DNs
with special characters that require escaping.  For example,
python-ldap (or the underlying LDAP library) escapes special
characters using hex encoding:

  CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\2C Inc.,L=Brisbane,C=AU

Whereas FreeIPA, when encoding the DN, escapes the character
directly:

  CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\, Inc.,L=Brisbane,C=AU

Therefore it is possible to generate an invalid modlist. For
example, during external CA certificate renewal, if the issuer DN
includes a comma in one of the attribute values (as above), an
invalid modlist will be generated:

  [ (ldap.MOD_ADD, 'ipacaissuerdn',
      [b'CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\, Inc.,L=Brisbane,C=AU'])
  , (ldap.MOD_DELETE, 'ipacaissuerdn',
      [b'CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\2C Inc.,L=Brisbane,C=AU'])
  ]

Although encoded differently, these are the same value.  If this
modification is applied to the object, attributeOrValueExists (error
20) occurs.

To avoid the issue, put deletes before adds in the modlist.  If a
value is present (with different encodings) as both an addition and
a deletion, it must be because the original object contained the
value with a different encoding.  Therefore it is safe to delete it,
then add it back.

Note that the modlist is not optimal.  In the simplest case (like
above example), there should be no modification to perform.  It is
considerably more complex (and more computation) to implement this
because the raw attribute values must be decoded before comparison.

Fixes: https://pagure.io/freeipa/issue/7750
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/55e7a582d9b398f1232291412fc0ce6cad9a87c1">55e7a582</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T14:14:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_cli_fsencoding on Python 3.7

Starting with Python 3.7, PEP 538 addresses the locale issue. Python now
supports UTF-8 file system encoding with non-UTF-8 C locale.

See: https://docs.python.org/3/whatsnew/3.7.html#whatsnew37-pep538
See: https://pagure.io/freeipa/issue/5887
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eca02e1c9a6d2efa58ae8c7fc529cc8e4d292c5c">eca02e1c</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2018-11-07T15:10:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-advise for enabling sudo for admins group

Test that
1) sudo is not enabled for members of admins group by default
2) sudo is enabled for them after execution of script provided
by ipa-advise enable_admins_sudo

Related to https://pagure.io/freeipa/issue/7538

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/785c496dceb76a8f628249ce598e0540b1dfec6e">785c496d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T07:16:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow ipaapi user to access SSSD's info pipe

For smart card authentication, ipaapi must be able to access to sss-ifp.
During installation and upgrade, the ipaapi user is now added to
[ifp]allowed_uids.

The commit also fixes two related issues:

* The server upgrade code now enables ifp service in sssd.conf. The
  existing code modified sssd.conf but never wrote the changes to disk.
* sssd_enable_service() no longer fails after it has detected an
  unrecognized service.

Fixes: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5abe3d9feff3c0e66a43fa3799611521f83ee893">5abe3d9f</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-08T11:14:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver.install.adtrust: fix CID 323644

Fix Coverity finding CID 323644: logically dead code path

The code to determine whether NetBIOS name was already set or need to be
set after deriving it from a domain or asking a user for an interactive
input, was refactored at some point to avoid retrieving the whole LDAP
entry. Instead, it was provided with the actual NetBIOS name retrieved.

As result, a part of the code got neglected and was never executed.

Fix this code and provide a test that tries to test predefined,
interactively provided and automatically derived NetBIOS name depending
on how the installer is being run.

We mock up the actual execution so that no access to LDAP or Samba is
needed.

Backport to ipa-4-7 takes into account Python 2.7 differences:
 - uses mock instead of unittest.mock if the latter is not available
 - derives ApiMockup from object

Fixes: https://pagure.io/freeipa/issue/7753
Reviewed-By: Christian Heimes <cheimes@redhat.com>
(cherry picked from commit 82af034023b03ae64f005c8160b9e961e7b9fd55)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/48a6048be2a3c6cf496a67a2732b8aaee91af620">48a6048b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T13:53:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Copy-paste error in permssions plugin, CID 323649

Address a bug in the code block for attributeLevelRights for old clients.
The backward compatibility code for deprecated options was not triggered,
because the new name was checked against wrong dict.

Coverity Scan issue 323649, Copy-paste error

   The copied code will not have its intended effect.
   In postprocess_result: A copied piece of code is inconsistent with the
   original (CWE-398)

See: Fixes: https://pagure.io/freeipa/issue/7753
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/27344b331f81b01a44e7bd050da90c6748d867a2">27344b33</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T18:53:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace messagebus with modern name dbus

"messagebus" is an old, archaic name for dbus. Upstream dbus has started
to move away from the old name. Let's use the modern term in FreeIPA,
too.

Fixes: https://pagure.io/freeipa/issue/7754
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7b7efe954767b448447cdbac658187e57c3c5608">7b7efe95</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T18:55:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_cli_fsencoding on Python 3.7, take 2

0a5a7bdef7c300cb8f8a8128ce6cf5b115683cbe introduced another problem. The
test is now failing on systems without a full IPA client or server
installation. Use IPA_CONFDIR env var to override location of
default.conf, so that the command always fails.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1853e2ecd6b5cbe389507a8c3fc751deaf512bb6">1853e2ec</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-12T07:52:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add sysadm_r to default SELinux user map order

It is a standard SELinux user role included in RHEL (like
user_r, staff_r, guest_r) and used quite often.

Fixes: https://pagure.io/freeipa/issue/7658
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c7cc9896e89b3214c439e5601bf93b405dc1c72b">c7cc9896</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-12T12:11:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: ensure non-empty Subject Key Identifier

Installation or IPA CA renewal with externally-signed CA accepts an
IPA CA certificate with empty Subject Key Identifier. This is
technically legal in X.509, but is an operational issue.
Furthermore, due to an extant bug in Dogtag
(https://pagure.io/dogtagpki/issue/3079) it will cause Dogtag
startup failure.

Reject CA certificates with empty Subject Key Identifier.

Fixes: https://pagure.io/freeipa/issue/7762
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8b0f74961b45d7b2f4cdbccc65d48ce55bc90952">8b0f7496</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-13T11:43:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tests for ipa-cacert-manage install

Some basic tests like re-loading a certificate, loading a
PKCS#7 cert and bad cert handling.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7579

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/30995f8f16b6b048af19960489477938eadfd471">30995f8f</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-13T11:43:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add support for multiple certificates/formats to ipa-cacert-manage

Only a single cert in DER or PEM format would be loaded from the
provided file. Extend this to include PKCS#7 format and load all
certificates found in the file.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7579

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/79b7f07cf571b4268de91dedd3bcaa899f0aa3fb">79b7f07c</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T13:26:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa user-add: add optional objectclass for radius-username

The command "ipa user-add --radius-username" fails with
ipa: ERROR: attribute "ipatokenRadiusUserName" not allowed
because it does not add the objectclass ipatokenradiusproxyuser
that is required by the attribute ipatokenradiususername.

The issue happens with ipa user-add / stageuser-add / user-mod / stageuser-mod.

The fix adds the objectclass when needed in the pre_common_callback method
of baseuser_add and baseuser_mod (ensuring that user and stageuser commands
are fixed).

Fixes https://pagure.io/freeipa/issue/7569

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/10ccc3bab0b32dc5eaffb91aa280b9a826ba532b">10ccc3ba</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T13:26:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: add xmlrpc test for ipa user-add --radius-username

Add a xmlrpc test for ipa user-add/user-mod --radius-username
The command were previously failing because the objectclass
ipatokenradiusproxyuser was not automatically added when the
attribute ipatokenRadiusUserName was added to the entry.

The test ensures that the command is now succeeding.

Related to https://pagure.io/freeipa/issue/7569

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/22be7b4deaded601ac3a273116e26eb468a360ce">22be7b4d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T13:26:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">radiusproxy: add permission for reading radius proxy servers

A non-admin user which has the "User Administrator" role cannot
add a user with ipa user-add --radius=<proxy> because the
call needs to read the radius proxy server entries.

The fix adds a System permission for reading radius proxy server
entries (all attributes except the ipatokenradiussecret). This
permission is added to the already existing privileges "User
Administrators" and "Stage User Administrators", so that the role
"User Administrator" can call ipa [stage]user-add|mod --radius=<proxy>

Fixes: https://pagure.io/freeipa/issue/7570
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/918dbdfee7a8ffd5264ea780a4a4c02099db9186">918dbdfe</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T13:26:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add integration test for "Read radius servers" perm

Add a new integration test for the following scenario:
- create a user with the "User Administrator" role
- as this user, create a user with a --radius=<radius_proxy_server>

This scenario was previously failing because ipa user-add --radius
requires read access to the radius server entries, and there was no
permission granting this access.

Related to https://pagure.io/freeipa/issue/7570

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/595c8eefcb37ee1aeac64d0a0f31158df126d0e3">595c8eef</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Ignore W504 code style like in travis config

pycodestyle both complains about "W504 line break after binary operator"
and "W503 line break before binary operator" when all warnings are
enabled. FreeIPA already ignores W504 in travis config. Let's ignore it
in fastcheck, too.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5250c1fe60a36936d54fc784bf2fcf425d1fd705">5250c1fe</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address pylint violations in lite-server

Teach pylint that env instance has lite_* members

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/74c8ac9b29cef81f0140bdea2cf952e6b89a6848">74c8ac9b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address inconsistent-return-statements

Pylint warns about inconsistent return statements when some paths of a
function return None implicitly. Make all implicit returns either
explicit or raise a proper exception.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4b0b321598b3c9a718d2fb747992db4e59d92592">4b0b3215</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Ignore consider-using-enumerate for now

Ignore new consider-using-enumerate warning for now and clean up code
later.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f4f0fe24d75c54e4f5db0aeccbf0c6c5283711a2">f4f0fe24</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address consider-using-in

Replace multiple comparisons with 'in' operation.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/28fb5cca455a6189f34c9246ac77e375267faeb8">28fb5cca</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix comparison-with-callable

Pylint warns about comparing callable. Replace equality with identity
test.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7ece66ba6b526c3395e2df327224708b84b7b498">7ece66ba</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix useless-import-alias

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8cce2c27860c10056322ad1a3bac01efdab0dd71">8cce2c27</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix Module 'pytest' has no 'config' member

pytest.config is created dynamically.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/204032d7a9c602df90fa6e8fdacb957420e068d7">204032d7</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix various dict related pylint warnings

* dict-keys-not-iterating
* dict-values-not-iterating
* dict-items-not-iterating
* dict-iter-method

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/984fd02ec6dea84b5552f43913811fd128e19c94">984fd02e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix raising-format-tuple

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2011a427ff141bc6a29ba7b3aea6aee0273565f5">2011a427</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Silence comparison-with-itself in tests

Test code performs comparison to itself in order to verify __eq__ and
__ne__ implementations.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fdbd463352833f92bf8230c841eee2eabd00add6">fdbd4633</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T14:23:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require pylint 2.1.1-2

pylint 2.1.1-2 contains a backport of pylint's fix for RHBZ#1648299:

  is_subclass_of fails with AttributeError: 'NoneType' object has no
  attribute 'name'

pylint 2.1.1-2 is in @freeipa/freeipa-master COPR.

See: https://github.com/PyCQA/pylint/pull/2429
See: https://bugzilla.redhat.com/show_bug.cgi?id=1648299
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b8a1ca0eeabbb236167a3121f7e2db9783364a87">b8a1ca0e</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-13T16:44:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Print correct subject on CA cert verification failure

In load_external_cert(), if verification fails for a certificate in
the trust chain, the error message contains the last subject name
from a previous iteration of the trust chain, instead of the subject
name of the current certificate.

To report the correct subject, look it up using the current
nickname.

Part of: https://pagure.io/freeipa/issue/7761

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1c7e179c3e64a4f761b239490b16ddbafe4e7f2b">1c7e179c</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-13T16:44:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: validate certificate signatures

When verifying a CA certificate, validate its signature.  This
causes FreeIPA to reject certificate chains with bad signatures,
signatures using unacceptable algorithms, or certificates with
unacceptable key sizes.  The '-e' option to 'certutil -V' was the
missing ingredient.

An an example of a problem prevented by this change, a certifiate
signed by a 1024-bit intermediate CA, would previously have been
imported by ipa-cacert-manage, but would cause Dogtag startup
failure due to failing self-test.  With this change,
ipa-cacert-manage will reject the certificate:

  # ipa-cacert-manage renew --external-cert-file /tmp/ipa.p7
  Importing the renewed CA certificate, please wait
  CA certificate CN=Certificate Authority,O=IPA.LOCAL 201809261455
  in /tmp/ipa.p7 is not valid: certutil: certificate is invalid: The
  certificate was signed using a signature algorithm that is
  disabled because it is not secure.

Fixes: https://pagure.io/freeipa/issue/7761
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6032285ba243c8969d99e3f0aa659c691d5fe191">6032285b</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-13T16:48:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-4-7: merge translations from zanata

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c2ae6380b3f6b3804ebd2a7dd2b159b779eb756c">c2ae6380</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-14T09:34:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: validate server cert signature

PR https://github.com/freeipa/freeipa/pull/2554 added the '-e' option for CA
cert validation. Let's also verify signature, key size, and signing algorithm
of server certs. With the '-e' option, the installer and other
tools will catch weak certs early.

Fixes: pagure.io/freeipa/issue/7761
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3e7d12f5e70c921d0c92c2093db25c509eaf8d34">3e7d12f5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-15T22:55:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix pytest deprecation warning

conftest uses the Function attribute of a pytest.Function object. Latest
pytest has deprecated the attribute:

  _pytest.warning_types.RemovedInPytest4Warning: usage of Function.Function
   is deprecated, please use pytest.Function instead

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/97e07f18d632ed8afa38605e408146483d9ce432">97e07f18</a></strong>
<div>
<span>by sudharsanomprakash</span>
<i>at 2018-11-16T15:13:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't use deprecated Apache Access options.

httpd-2.4+ has deprecated the Order, Allow and Deny directives. Use the Require directive instead.

Signed-off-by: Sudharsan Omprakash <sudharsan.omprakash@yahoo.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fb062cc4d8cd2c9c266be5a8277ffad4e95975a8">fb062cc4</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-16T15:15:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">freeipa.spec.in: add BuildRequires for python3-lib389

freeipa.spec.in is missing BuildRequires for python3-lib389. The
consequence is that make fasttest is failing.

Fixes https://pagure.io/freeipa/issue/7767

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/86d4b1c0163f84c53e07b5dfc40ad131db2f4ba2">86d4b1c0</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-19T08:45:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-kdb: reduce LDAP operations timeout to 30 seconds

Since LDAP operations used by ipa-kdb driver are synchronous, the
timeout specified here is blocking entire KDC. It is worth reducing the
timeout and since AS REQ processing timeout in KDC is 1 minute, reducing
the timeout for LDAP operations down to 30 seconds allows KDC to
respond promptly in worst case scenario as well.

Fixes: https://pagure.io/freeipa/issue/7217
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Robbie Harwood <rharwood@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fd3f5153beb3221be077f277b07d886b6ca53b10">fd3f5153</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T03:21:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install: password and admin-password options mutually exclusive

Currently it is possible to run ipa-replica-install in one step,
and provide --password and --admin-password simultaneously.
This is confusing as --password is intended for one-time pwd
when the ipa-replica-install command is delegated to a user
who doesn't know the admin password.

The fix makes --password and --admin-password options
mutually exclusive.

Fixes https://pagure.io/freeipa/issue/6353

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b155f98e7b9ced739233242ff53e2d4b4c7f063">2b155f98</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T03:21:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-replica-install options

Add a test checking that --password and --admin-password
options are mutually exclusive.

Related to https://pagure.io/freeipa/issue/6353

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1f6bed485332151a18e6911f597817b7817b34cf">1f6bed48</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T06:41:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix test_replica_uninstall_deletes_ruvs

test_topology.py is failing because of a wrong scenario.
Currently, test_replica_uninstall_deletes_ruvs does:
- install master + replica with CA
- ipa-replica-manage list-ruv to check that the repl is
propery setup
- ipa-replica-manage del $replica
- (on replica) ipa-server-install --uninstall -U
- ipa-replica-manage list-ruv to check that replica
does not appear any more in the RUV list

When ipa-replica-manage del is run, the topology plugin
creates 2 tasks cleanallruvs (one for the domain, one for the ca)
and they are run asynchronously. This means that the ruvs may
still be present when the test moves forward and calls list-ruv.

The test should wait for the cleanallruvs tasks to finish before
checking that list-ruv does not display replica anymore.

Fixes https://pagure.io/freeipa/issue/7545
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1189634d2a7d105052c27fc8e18e146ca384f320">1189634d</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2018-11-21T12:31:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-restore in multi-master configuration

Test ensures that after ipa-restore on the master, the replica can be
re-synchronized and a new replica can be created.

https://pagure.io/freeipa/issue/7455

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/858859187a1353cbaa893642cc7b27f9f644b18b">85885918</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-23T09:54:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a shared-vault-retrieve test

Add a shared-vault-retrieve test when:
* master has KRA installed
* replica has no KRA
This currently fails because of issue#7691

Related-to: https://pagure.io/freeipa/issue/7691
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d57d97ea7f911e18ac75d532e19833c4efaafa96">d57d97ea</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-23T09:54:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a "Find enabled services" ACI in 20-aci.update so that all users can find IPA servers and services. ACI suggested by Christian Heimes.

Fixes: https://pagure.io/freeipa/issue/7691
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a20fe7c19b810f2d3e3654602425a5a4f6f2f312">a20fe7c1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-23T11:58:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI: Restart rpcbind when it blocks kadmin port

Every now and then, a PR-CI job fails because rpcbind blocks the kadmin
port 749/UDP and kadmin.service fails to start. When NFS secure port is
configured, rpcbind reserves a random low port.

A new workaround detects the blocked port and restarts rpcbind.service.

See: https://pagure.io/freeipa/issue/7769
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d3c90b329f2cee1072ba7b68a74640235866192b">d3c90b32</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2018-11-26T09:30:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added test for ipa-client-install with a non-standard ldap.conf file Ticket: https://pagure.io/freeipa/issue/7418

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bc3e24c1725a429422481655d72e80e0dad62456">bc3e24c1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-28T16:17:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint 2.2: Fix unnecessary pass statement

pylint 2.2.0 has a new checker for unnecessary pass statements. There is
no need to have a pass statement in functions or classes with a doc
string.

Fixes: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0ae08969c16ea51784517dec5dee8c54dc416a90">0ae08969</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-28T16:17:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint: Fix duplicate-string-formatting-argument

pylint 2.2 has a checker for duplicate string formatting argument.
Instead of passing the same argument multiple times, reference the
argument by position.

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f991319da03fbdec442fe55a06086cf8485d642e">f991319d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-28T16:17:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint: also verify scripts

Build all scripts in install/tools/ to check them with pylint, so that
``make pylint`` always checks all scripts. The script files are
generated by make.

Please note that fastlint does not check script files.

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fa78de9ae2db865dbe9f9f8f6a7a48472b73c32d">fa78de9a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-28T16:17:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address misc pylint issues in CLI scripts

The CLI script files have additional pylint issues that were not noticed
before. The violations include using dict.keys() without directly
iterating of the result, inconsistent return statements and set([])
instead of set literals.

* dict-keys-not-iterating
* inconsistent-return-statements
* onsider-using-set-comprehensio

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/77d814b73ff7d8237b249922c46ec0d2ee2a96df">77d814b7</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-28T23:15:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaldap.py: fix method creating a ldap filter for IPACertificate

ipa user-find --certificate and ipa host-find --certificate
fail to return matching entries, because the method transforming
the attribute into a LDAP filter does not properly handle
IPACertificate objects.
Directory Server logs show a filter with
(usercertificate=ipalib.x509.IPACertificate object at 0x7fc0a5575b90>)

When the attribute contains a cryptography.x509.Certificate,
the method needs to extract the public bytes instead of calling str(value).

Fixes https://pagure.io/freeipa/issue/7770

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/769003074a63faec7da29194eddb777a319d2729">76900307</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-28T23:15:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add xmlrpc test for user|host-find --certificate

There were no xmlrpc tests for ipa user-find --certificate
or ipa host-find --certificate.
The commit adds tests for these commands.

Related to https://pagure.io/freeipa/issue/7770

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0e3a9f683d374a3fb815b4ea63b314ef2e037b97">0e3a9f68</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-29T09:09:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase debugging for blocked port 749 and 464

kadmin.service is still failing to start sometimes. List and check both
source and destination ports of listening and non-listening TCP and UDP
sockets.

See: https://pagure.io/freeipa/issue/7769
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/05c5be1b1c5ae63c5547d248d926b3411bff2733">05c5be1b</a></strong>
<div>
<span>by Adam Williamson</span>
<i>at 2018-11-29T15:58:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix authselect invocations to work with 1.0.2

Since authselect 1.0.2, invoking an authselect command sequence
like this:

['authselect', 'sssd', '', '--force']

does not work: authselect barfs on the empty string arg and
errors out. We must only pass a features arg if we actually have
some text to go in it.

This broke uninstallation.

In all cases, features are now passed as separate arguments instead of one
argument separated by space.

Fixes: https://pagure.io/freeipa/issue/7776
Signed-off-by: Adam Williamson <awilliam@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ba636cec3e70769735686c73c426b490fb31c6d6">ba636cec</a></strong>
<div>
<span>by Francisco Trivino</span>
<i>at 2018-11-30T09:28:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">prci_definitions: update vagrant memory topology requirements

Memory requirements for master and replica have been increased
due to OOM issues. This PR updates prci_definitions accordingly.

This PR also roll-back ipaserver mem reqs to the previous value
since the WebUI tests were split into different blocks.

Fixes https://pagure.io/freeipa/issue/7777

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8ee3779ded64ff55c3981fb8c2db50cdcd3abc5b">8ee3779d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-30T14:20:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa upgrade: handle double-encoded certificates

Issue is linked to the ticket
 #3477 LDAP upload CA cert sometimes double-encodes the value
In old FreeIPA releases (< 3.2), the upgrade plugin was encoding twice
the value of the certificate in cn=cacert,cn=ipa,cn=etc,$BASEDN.

The fix for 3477 is only partial as it prevents double-encoding when a
new cert is uploaded but does not fix wrong values already present in LDAP.

With this commit, the code first tries to read a der cert. If it fails,
it logs a debug message and re-writes the value caCertificate;binary
to repair the entry.

Fixes https://pagure.io/freeipa/issue/7775
Signed-off-by: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b0f3a1abb9067a0a5ba8e59762bc41dc51608e2">2b0f3a1a</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-30T14:20:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add upgrade test for double-encoded cacert

Create a test for upgrade with the following scenario:
- install master
- write a double-encoded cert in the entry
cn=cacert,,cn=ipa,cn=etc,$basedn
to simulate bug 7775
- call ipa-server-upgrade
- check that the upgrade fixed the value

The upgrade should finish successfully and repair
the double-encoded cert.

Related to https://pagure.io/freeipa/issue/7775

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e224a317d27ae6cfda053d8b0164a65fb923aed1">e224a317</a></strong>
<div>
<span>by Francisco Trivino</span>
<i>at 2018-11-30T19:04:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI: Move to Fedora 29 template, version 0.2.0

Memory requirements for master and replica have been increased
due to OOM issues. This PR updates prci_definitions accordingly.

This PR also roll-back ipaserver mem reqs to the previous value
since the WebUI tests were split into different blocks.

Fixes https://pagure.io/freeipa/issue/7777

Reviewed-By: Diogo Nunes <dnunes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/83e2c01102add014c798a4c89c2e69ed0330017e">83e2c011</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-03T09:38:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update temp commit template to F29

The temp_commit.yaml template now uses F29 as well. It also contains all
topology configurations from the nightly jobs.

Fixes: https://pagure.io/freeipa/issue/7779
Signed-off-by: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bf646a6ec6f151a50d0c6d2061ca09afedaa080d">bf646a6e</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-03T10:29:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Become IPA 4.7.2
</pre>
</li>
</ul>
<h4>30 changed files:</h4>
<ul>
<li class="file-stats">
<a href="#b9d1853a1785388cebd4dc3ba4a473c163eed9f5">
.test_runner_config.yaml
</a>
</li>
<li class="file-stats">
<a href="#90ddfe544cbcefffa3b76ad4cd9b1cebb4f4fafd">
.test_runner_config_py3_temp.yaml
</a>
</li>
<li class="file-stats">
<a href="#4831b637d596df850dfe2919331d9904c0403eaa">
ACI.txt
</a>
</li>
<li class="file-stats">
<a href="#9dcdfc1feccc97e073d5d4710f3da3b5f37ad1f5">
API.txt
</a>
</li>
<li class="file-stats">
<a href="#d5b4de16d947214ec306bd57bed1bd23a939b5f9">
Makefile.am
</a>
</li>
<li class="file-stats">
<a href="#438c41c93b7f0c8b476c65c3eb42284f234bd810">
VERSION.m4
</a>
</li>
<li class="file-stats">
<a href="#f0c97a66d3a930cf0a968545ddd64eed73d18863">
client/config.c
</a>
</li>
<li class="file-stats">
<a href="#e4eba71132ec40f9516ea0fa207f3b4601f7e665">
client/ipa-join.c
</a>
</li>
<li class="file-stats">
<a href="#c353f68be99056278f9117d02e4294a759188b14">
daemons/ipa-kdb/ipa_kdb.c
</a>
</li>
<li class="file-stats">
<a href="#e6e81c333807018770e0077a10a9030e631871fb">
daemons/ipa-kdb/ipa_kdb_common.c
</a>
</li>
<li class="file-stats">
<a href="#802b9419e8b735ec9553dc46fca0f6d2cc715aec">
daemons/ipa-kdb/ipa_kdb_mspac.c
</a>
</li>
<li class="file-stats">
<a href="#3df9b489a4788c5acf7a34026695fd2d959429ca">
daemons/ipa-kdb/ipa_kdb_pwdpolicy.c
</a>
</li>
<li class="file-stats">
<a href="#300f5dee8f2a92d7ca03fc29d597fc882644e4ca">
daemons/ipa-slapi-plugins/ipa-cldap/ipa_cldap_netlogon.c
</a>
</li>
<li class="file-stats">
<a href="#14647cf2ce3577016804b0d445a34c31460c2999">
daemons/ipa-slapi-plugins/ipa-pwd-extop/common.c
</a>
</li>
<li class="file-stats">
<a href="#be44c78059a5eef8b370f2c22206cfe6bc227c31">
daemons/ipa-slapi-plugins/ipa-pwd-extop/prepost.c
</a>
</li>
<li class="file-stats">
<a href="#866dc5074431bae6d800558b8ed5d65496e9d7d8">
freeipa.spec.in
</a>
</li>
<li class="file-stats">
<a href="#0a0f04d84dbf6d6cc798cadb052f53da1791aa9f">
init/tmpfilesd/Makefile.am
</a>
</li>
<li class="file-stats">
<a href="#15d97c99004d1ab9e920a813ce4418f8c8cc3d3b">
init/tmpfilesd/ipa.conf.in
</a>
</li>
<li class="file-stats">
<a href="#1b0815535199b14696842a1d17bc4db7b6c9f9ee">
install/share/bootstrap-template.ldif
</a>
</li>
<li class="file-stats">
<a href="#59c75d6de368ffaa836b0b88a5cdca2e77b1ad52">
install/share/ipa-kdc-proxy.conf.template
</a>
</li>
<li class="file-stats">
<a href="#21181df55ccc2487ff1678e1cab42ec5ed1d56e9">
install/share/ipa.conf.template
</a>
</li>
<li class="file-stats">
<a href="#eeca3fe50a55cb2fe36384b3a25b98d9b0d1da60">
install/share/wsgi.py
</a>
</li>
<li class="file-stats">
<a href="#26db5858a3468bf44df52fc4cf8fe2515e6d4994">
install/tools/ipa-csreplica-manage.in
</a>
</li>
<li class="file-stats">
<a href="#87cf1e7930fefd7b45ee841b34444c41c03b3c5f">
install/tools/ipa-httpd-kdcproxy.in
</a>
</li>
<li class="file-stats">
<a href="#852f556964b5c045d4afcba3e4c6ba33cb6ed983">
install/tools/ipa-replica-conncheck.in
</a>
</li>
<li class="file-stats">
<a href="#b583b98d22c00d7d48dd585e74bb6cc20d2d0024">
install/tools/ipa-replica-manage.in
</a>
</li>
<li class="file-stats">
<a href="#a3213f0226815cb51345eef6eb18b9c52bf77f44">
install/tools/man/ipa-cacert-manage.1
</a>
</li>
<li class="file-stats">
<a href="#830f7bb8e001500dadc24ad31b82dd29a8a84e99">
install/tools/man/ipa-replica-install.1
</a>
</li>
<li class="file-stats">
<a href="#812d50b1c8de71c6af882ce5f78a345469f9c9c1">
install/ui/test/data/ipa_init.json
</a>
</li>
<li class="file-stats">
<a href="#943f39bd54bf059d04a61dfaba5a008854266469">
install/updates/20-aci.update
</a>
</li>
</ul>
<h5>The diff was not included because it is too large.</h5>

</div>
<div class="footer" style="margin-top: 10px;">
<p style="font-size: small; color: #777777;">

<br>
<a href="https://salsa.debian.org/freeipa-team/freeipa/compare/7eddb981c4d0b2c333e52ad68f6f353556ba24e4...bf646a6ec6f151a50d0c6d2061ca09afedaa080d">View it on GitLab</a>.
<br>
You're receiving this email because of your account on salsa.debian.org.
If you'd like to receive fewer emails, you can
adjust your notification settings.

</p>
</div>
</body>
</html>