<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN" "http://www.w3.org/TR/REC-html40/loose.dtd">
<html lang="en">
<head>
<meta content="text/html; charset=US-ASCII" http-equiv="Content-Type">
<title>
GitLab
</title>



<style>img {
max-width: 100%; height: auto;
}
</style>
</head>
<body>
<div class="content">

<h3>
Timo Aaltonen pushed to branch master
at <a href="https://salsa.debian.org/freeipa-team/freeipa">FreeIPA packaging / freeipa</a>
</h3>
<h4>
Commits:
</h4>
<ul>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d9b8fa3fd8169efb619687ebbc51d3798e68443e">d9b8fa3f</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-07-19T15:30:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Set development version to 4.7.90
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f3faecbbb49704c182b310fb43cec9171c08ccf7">f3faecbb</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-07-20T16:53:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix $-style format string in ipa_ldap_init (util/ipa_ldap.c)

The second argument was not used, but the first one was used twice.

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fd348773706b556bfe7660c31826b24b76c7f05e">fd348773</a></strong>
<div>
<span>by Ganna Kaihorodova</span>
<i>at 2018-07-20T17:03:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add check for occuring traceback during uninstallation ipa master

Modified master uninstall task for traceback check
That approach give us wide coverage and multiple scenarious
to catch traceback during uninstallation process
Add verbose option to uninstall server and set to False

Related to: https://bugzilla.redhat.com/show_bug.cgi?id=1480502

Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0e9fb8ac62ebf4b8458786f6d845287aa6f6d9da">0e9fb8ac</a></strong>
<div>
<span>by Petr Vobornik</span>
<i>at 2018-07-23T12:26:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">webui: change indentation of freeipa/_base/debug.js

Change to use spaces for indentation as it was the the only file
which uses tabs and not spaces.

Signed-off-by: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/78cefe098f57bb731b10028a9eea12a7022656c1">78cefe09</a></strong>
<div>
<span>by Petr Vobornik</span>
<i>at 2018-07-23T12:26:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">webui: remove mixed indentation in App and LoginScreen

Only spaces should be used for indentation.

It was introduced in commits:

* 7f9f59bae2a362ce945c49ad8342393b7a5c024f
* 5d8fde0ac1a43c8f3dbc53b44d69f3663a8b36fb

Related to: https://pagure.io/freeipa/issue/7559

Signed-off-by: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/94bcd938b8728cc989e643c536a0997552f9f4e3">94bcd938</a></strong>
<div>
<span>by Orion Poplawski</span>
<i>at 2018-07-25T16:38:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaclient-install: chmod needs octal permissions

Fixes incorrect usage introduced in 792adebfabb456d154164387fb7e60acb30f4325

https://pagure.io/freeipa/issue/7650

Signed-off-by: Orion Poplawski <orion@nwra.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8f202bbd760e39138ab2a16fd304e1d9c1cb2ab0">8f202bbd</a></strong>
<div>
<span>by Felipe Barreto</span>
<i>at 2018-07-27T07:50:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Making nigthly test definition editable by FreeIPA's contributors

Now the test definition of nightly tests will be on freeipa repo. The
definition that's used on every PR (previously as .freeipa-pr-ci.yaml)
is in ipatests/prci_definitions/gating and the .freeipa-pr-ci.yaml file
is just a symlink to the real file.

In the same dir there is also nightly_master and nightly_rawhide, both
to be used in nightly tests.

Divided test_topology.py into 3 subtests.

Bumped vagrant template to version 0.1.6

This PR is the result of discussion on freeipa-devel mailing list [1].

[1] https://lists.fedoraproject.org/archives/list/freeipa-devel@lists.fedorahosted.org/message/4VAWJ4SFKKBFFICDLQCTXJWRRQHIYJLL/

Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6212423cdafeb8b132d75f96d7700c82deb98bb1">6212423c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-07-27T07:50:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix topology configuration of nightly runs

Some nightly runs didn't have enough resources configured.

See: https://pagure.io/freeipa/issue/7638
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8edde14e56ed649a6e443b6920a5e28b1f751adb">8edde14e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-07-27T07:50:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add convenient template for temp commits

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/71ba408d61839233081a0694e3cdf8d829255b7b">71ba408d</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-07-30T15:26:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/plugins/cert.py: Added reason to raise of errors.NotFound

In the case that enabledService is not found ipaConfigString kdc entry, a
NotFound error was raised without setting the reason. This resulted in a
traceback.

Fixes: https://pagure.io/freeipa/issue/7652
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/64145093434e2601b8352e9ce95b3316d7ac524d">64145093</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-02T15:07:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Rename pytest_plugins to ipatests.pytest_ipa

pytest 3.7.0 doesn't like ipatests.pytest_plugins package. The string
"pytest_plugins" is used as marker to load plugins. By populare vote and
to avoid future conflicts, we decided to rename the directory to pytest_ipa.

Fixes: https://pagure.io/freeipa/issue/7663
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f7516979241ed80a48250784051a82457e2df7aa">f7516979</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-03T11:23:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">httpinstance: Restore SELinux context of session_dir /etc/httpd/alias

The session directory /etc/httpd/alias/ could be created with the wrong
SELinux context. Therefore httpd was not able to write to this directory.

Fixes: https://pagure.io/freeipa/issue/7662

Related-to: 49b4a057f1b0459331bcec2c8d760627d00e4571 (Create missing
            /etc/httpd/alias for ipasession.key)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/354d7297e8e0d97da22c0469ab96f30fdfc4a1ea">354d7297</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-03T11:23:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa_restore: Restore SELinux context of template_dir /var/log/dirsrv/slapd-X

The template directory /var/log/dirsrv/slapd-X could be created with the
wrong SELinux context.

Related to: https://pagure.io/freeipa/issue/7662

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a71729cc01b83916b5e362a38ce3d65e129b1815">a71729cc</a></strong>
<div>
<span>by Thierry Bordaz</span>
<i>at 2018-08-03T12:39:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">In IPA 4.4 when updating userpassword with ldapmodify does not update krbPasswordExpiration nor krbLastPwdChange

When making ipa-pwd-extop TXN aware, some callbacks are call twice.
Particularily
        ipapwd_pre_add is called during PRE_ADD and TXN_PRE_ADD
        ipapwd_pre_mod is called during PRE_MOD and TXN_PRE_MOD
        ipapwd_post_modadd is called during POST_ADD and TXN_POST_ADD
        ipapwd_post_modadd is called during POST_MOD and TXN_POST_MOD
It is not the expected behavior and it results on some skipped updates krbPasswordExpiration
and krbLastPwdChange

https://pagure.io/freeipa/issue/7601

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/11ec43a557eeefd282bd7140e21aea25a95a1ace">11ec43a5</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-08-03T13:14:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">prci_definitions: fix wrong indentation in the nightly yaml

TestLineTopologyWithoutCA definition has wrong indentation.

Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c1a0c3c556e936077e6d5b386621a36113af86fe">c1a0c3c5</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-06T14:51:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Tests: add integration test for password changes by dir mgr

Add a test for issue 7601:
- add a user, perform kinit user to modify the password, read krblastpwdchange
and krbpasswordexpiration.
- perform a ldapmodify on the password as dir mgr
- make sure that krblastpwdchange and krbpasswordexpiration have been modified
- perform the same check with ldappasswd

Related to:
https://pagure.io/freeipa/issue/7601

Reviewed-By: Thierry Bordaz <tbordaz@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/016df47dedf78513210dc675a8309ac462cc75a0">016df47d</a></strong>
<div>
<span>by Pavel Picka</span>
<i>at 2018-08-07T14:31:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI Tests stabilize

- close notifications
- add wait in cert test case

Signed-off-by: Pavel Picka <ppicka@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b5fa64edbc562d545ac1d3d6adbc31484330eeb3">b5fa64ed</a></strong>
<div>
<span>by Pavel Picka</span>
<i>at 2018-08-07T21:46:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI extend timeouts

extend timeout with one hour as timed out many times in PRCI nightly
- test_dnssec
- test_replication_layouts_TestLineTopologyWithCA
- test_replication_layouts_TestLineTopologyWithCAKRA
- test_replication_layouts_TestStarTopologyWithCAKRA
- test_server_del
- test_webui

Signed-off-by: Pavel Picka <ppicka@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a9f5eaaa881140e6344909346fad08c5424e3be">2a9f5eaa</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-08T11:03:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PRCI: extend timeouts for gating

Some tests have been identified as frequently failing on timeouts. While
we are investigating PRCI potential issues, increase the timeouts to
make PRCI usable. The rule is to add 30min if the test involves CA/KRA
installation or 20min otherwise for the most problematic tests.

test_forced_client_enrolment: from 1h to 1h20
test_vault: from 1h15 to 1h45
external_ca_1: from 1h to 1h20
test_sudo: from 1h to 1h20
test_authconfig: from 1h to 1h20
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0aeccc08524931b0e37773b4836734bc32eca7f4">0aeccc08</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-08-10T15:01:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa_tests: test ssh keys login

Integration test for:

https://pagure.io/SSSD/sssd/issue/3747

IPA ticket: https://pagure.io/freeipa/issue/7664

Reviewed-By: Armando Neto <abiagion@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c5cdd5a5f01306b3a70354d34079efe64565aa69">c5cdd5a5</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:23:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaclient: Remove --no-sssd and --no-ac options

Client installation with --no-sssd option has already beeen deprecated
with https://pagure.io/freeipa/issue/5860. Authconfig support has been
removed, therefore --no-ac option can be removed also.

ipatests/test_integration/test_authselect.py: Skip no_sssd and no_ac tests.

See: https://pagure.io/freeipa/issue/7671
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f6fa2e94e40874cd8ffaaa1614e9f7e7633098b0">f6fa2e94</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Do not install ipa-replica-prepare

ipa-replica-prepare (script and man page) is only needed for DL0 support.
The script and man page are not installed anymore and also removed from
the spec file.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/38936817d28bfd0076a3a71f084bb8056c9eb0e1">38936817</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase MIN_DOMAIN_LEVEL to DOMAIN_LEVEL_1

With increasing the minimal domain level to 1 ipa-replica-install will
refuse to install if the domain has domain level 0.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0ce79ec6f51083efe7dce724503ef502481b3f65">0ce79ec6</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Mark replica_file option as deprecated

The replica_file option is only supported for DL0. The option will be
marked deprecated for now.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0377645747ee0fef4cbbd6630be1e66a8786c8e4">03776457</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Raise error if DL is set to 0 or DL0 options are used

In the case that the domain level is set to 0 or replica_file is set (not
None) an error will be raised.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a170b284c494703c1b3a60cd16fd93b3f0098164">a170b284</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove support for replica_file option from ipa-ca-install

Raise "Domain level 0 is not supported anymore" error if there are
remainaing args after parsing. Remove all "DOMAIN LEVEL 0" and
"DOMAIN LEVEL 1" prefixes from the man page.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5f5180b8254d93592eefbaf96ccf87715af43528">5f5180b8</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove support for replica_file option from ipa-kra-install

Raise "Domain level 0 is not supported anymore" error if there are
remainaing args after parsing. Remove all "DOMAIN LEVEL 0" and
"DOMAIN LEVEL 1" prefixes from the man page.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9c2b0ce77b8c7c0491bf8e2d0dbec098dc3292e8">9c2b0ce7</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific sections from ipa-replica-install man page

Remove replica_file option and all "DOMAIN LEVEL 0" and "DOMAIN LEVEL 1"
prefixes and also sections specific to DL0 form the man page.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7e172e3b77ea08fb740ec6a2c8ffe332940e841d">7e172e3b</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove "at DL1" from ipa-replica-manage man page

As there is currently only DL1, there is no need to have extra
sentences for "at domain level 1".

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0eb140ea73bff9c20bc21f983dadcfe83a617d58">0eb140ea</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove "at DL1" from ipa-server-install man page

As there is currently only DL1, there is no need to have extra
sentences for "at domain level 1".

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b99dc46a9c9977e67641783a7b5cd69385627875">b99dc46a</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move DL0 raises outside if existing conditionals to calm down pylint

This pull should not remove code, therefore it is needed to add addtional
conditionals to calm down pylint beacuse of unreachable code.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a788f1a608370bf22dcc786202c936365725a5b">2a788f1a</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: Drop test_password_option_DL0

DL0 is not supported anymore therefore this test is failing.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3b8c38ec8b5ce74fe253193c36d33cedb2107f45">3b8c38ec</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_ipaserver/test_install/test_installer.py: Drop tempfile import

This is not needed anymore due to the removal of the DL0 test

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c33cbe13fbeed3969fe1dee9074413e150ebdcc7">c33cbe13</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/install/adtrust.py: Do not use DOMAIN_LEVEL_0 for minimum

As there is the minimal domain level setting MIN_DOMAIN_LEVEL, it should
be used instead of DOMAIN_LEVEL_0.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/94159bbe13fa25f70247ebc5373d8ab0d87ce5cc">94159bbe</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_xmlrpc/tracker/server_plugin.py: Increase hard coded mindomainlevel

The hard coded mindomainlevel needs to be increased to 1.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cb7f6b7be273618902b22ce8b1e24f5d30d777ff">cb7f6b7b</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-08-13T10:35:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replicainstall: Make sure that domain fulfills minimal domain level requirement

The old domain level check to suggest to use ipa-replica-prepare has been
converted to make sure that domain fulfills minimal domain level
requirement (no DL0).

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1a0b0d2fd1b654fb1b614876c959661db4c3edf5">1a0b0d2f</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-08-13T11:03:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-extdom-extop: Update licenses to GPLv3 or later with exceptions

The code in question was supposed to have the same license as the
rest of the plugin. Fix it by updating the comment header.

Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c2e1cdf8a3b9330018c4d6ea2f32c23be5fb4c28">c2e1cdf8</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-08-13T12:25:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace logo images with new one (version 4.7)

Resolves: https://pagure.io/freeipa/issue/7362
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/de8f969f2d40722b590f43ab9bb31eada58ec4b3">de8f969f</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-08-13T12:42:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move fips_enabled to a common library to share across different plugins

Related: https://pagure.io/freeipa/issue/7659
Reviewed-By: Robbie Harwood <rharwood@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6907a0cef7f22293c16df17aa486f7ec2d8a0899">6907a0ce</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-08-13T12:42:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipasam: do not use RC4 in FIPS mode

When creating Kerberos keys for trusted domain object account, ipasam
module requests to generate keys using a series of well-known encryption
types. In FIPS mode it is not possible to generate RC4-HMAC key:
MIT Kerberos is using openssl crypto backend and openssl does not allow
use of RC4 in FIPS mode.

Thus, we have to filter out RC4-HMAC encryption type when running in
FIPS mode. A side-effect is that a trust to Active Directory running
with Windows Server 2003 will not be possible anymore in FIPS mode.

Resolves: https://pagure.io/freeipa/issue/7659
Reviewed-By: Robbie Harwood <rharwood@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/13000e2f19401549ec3797b071671087d7fc37e6">13000e2f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-13T16:49:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable DL0 specific tests

Disable tests that use domain level 0. Fail early to catch additional
tests that depend on DL0.

See: https://pagure.io/freeipa/issue/7669
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/adfd82ee74e9bfb221d77fda64a3e77d72f7f5ac">adfd82ee</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-14T12:07:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace the direct URL with config's one

To be customizable URL should be placed to "config"

Fixes: https://pagure.io/freeipa/issue/7621
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1721356d536c696450143f94863fb4e7386d98cf">1721356d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-14T12:07:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix translation of "sync_otp" plugin

To be translatable messages should be marked with '@i18n' and
present in "i18n_messages" dictionary.

Fixes: https://pagure.io/freeipa/issue/7621
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/14e21047e4c80369dafe584887fb073fb7dcf906">14e21047</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-14T12:07:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix translation of "SyncOTPScreen" widget

To be translatable messages should be marked with '@i18n' and
present in "i18n_messages" dictionary.

Fixes: https://pagure.io/freeipa/issue/7621
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f68dca24be11b7326dd221d3b5a0a4e366e0358f">f68dca24</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-08-15T10:52:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Convert members into types in sudorule-*-option

The indirect members need to be calculated and the member
attributes converted. This is normally done in
baseldap::LDAPRetrieve but these methods provide their
own execute() in order to handle the option values.

Update sudorule_add|remove_option tests to include check
that converted user/group exists in the proper format.

https://pagure.io/freeipa/issue/7649

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6fa1e6f18ef1798fa8cd5030807c81699fdfbdc6">6fa1e6f1</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2018-08-16T10:45:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Re-open the ldif file to prevent error message

There was an issue with ipa-server-upgrade and it was
showing an error while upgrading:
DN... does not exists or haven't been updated, caused
by not moving pointer to file begining when re-reading.

Resolves: https://pagure.io/freeipa/issue/7644
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/89799a14ce674f73bdfb8310256e7c8c67866a34">89799a14</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2018-08-16T10:45:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add assert to check output of upgrade

Ckeck the output of ipa-server-upgrade script for error.

Related to: https://pagure.io/freeipa/issue/7644

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/51240f3558b60f35d551188f88329f48fc456778">51240f35</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-08-16T12:23:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check if user permssions and umask 0022 is set when executing ipa-restore

This test checks if the access rights for user/group
is set to 644 on /var/lib/dirsrv/slapd-TESTRELM-TEST/ldif/*
and umask 0022 set while restoring.

related ticket: https://pagure.io/freeipa/issue/6844

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3322aad7daffdff33eb520f051ddf2217f731920">3322aad7</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2018-08-20T21:58:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add docstring to verify_kdc_cert_validity

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fc0f6b4351d0f383fa8c90d9febe2846e7ce4335">fc0f6b43</a></strong>
<div>
<span>by Alexander Scheel</span>
<i>at 2018-08-20T21:58:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing docstrings to kernel_keyring.py

Signed-off-by: Alexander Scheel <ascheel@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/77286f52010c5b9528d7e00f46350a80a24a28ae">77286f52</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-08-21T15:38:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace old login screen logo with new one

Related: https://pagure.io/freeipa/issue/7362
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6a1409ec9d112d3ef78a834864242ec40cf17425">6a1409ec</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-08-23T06:21:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">test: client uninstall fails when installed using non-existing hostname

https://pagure.io/freeipa/issue/7620

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/df8bffd9acb01fb8c355dd0c11a351d6f524aac0">df8bffd9</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-08-23T09:53:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Honor no-host-dns when creating client host in replica install

--no-host-dns is supposed to avoid all DNS lookups so pass
this as the force value when creating the host in a replica
installation.

https://pagure.io/freeipa/issue/7656

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f0228fa6497f56200ce649c10d5619700bcc5fca">f0228fa6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-23T10:06:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">uninstall -v: remove Tracebacks

ipa-server-install --uninstall -v -U prints Traceback in its log file.
This issue happens because it calls subprocess.Popen with close_fds=True
(which closes all file descriptors in the child process)
but it is trying to use the file logger in the child process
(preexec_fn is called in the child just before the child is executed).
The fix is using the logger only in the parent process.

Fixes: https://pagure.io/freeipa/issue/7681
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/79fb0cc6634c7ab76e8181d1c55ac92a123142d8">79fb0cc6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-23T10:06:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipautil.run: add test for runas parameter

Add a test for ipautil.run() method called with runas parameter.
The test is using ipautil.run() to execute /usr/bin/id and
checks that the uid/gid are consistent with the runas parameter.

Note that the test needs to be launched by the root user
(non-privileged user may not have the rights to execute ipautil.run()
with runas parameter).

Related to: https://pagure.io/freeipa/issue/7681

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a5a619abc19af23cfb25d5ce35deb4338cee7822">a5a619ab</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-23T10:08:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa commands: print 'IPA is not configured' when ipa is not setup

Some commands print tracebacks or unclear error message when
they are called on a machine where ipa packages are installed but
IPA is not configured.
Consistently report 'IPA is not configured on this system' in this
case.

Related to https://pagure.io/freeipa/issue/6261

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/10c6258929510cb99aa162c95a57b26184a0faca">10c62589</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-23T10:08:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test: test ipa-* commands when IPA is not configured

Add a test checking that ipa-* commands properly display
'IPA is not configured on this system' when called on a
system without IPA.

Related to: https://pagure.io/freeipa/issue/6261

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e4a3942e89dd0e527a767b386e92d341b1a90e51">e4a3942e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-23T12:49:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Detect and prefer platform Python

A platform Python interpreter is a special variant of the interpreter,
that is only used for system software. It's located at
/usr/libexec/platform-python.

Fixes: https://pagure.io/freeipa/issue/7680
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a347c1165073e61572993a64c00b122cb49dabe1">a347c116</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-23T12:49:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Rename Python scripts and add dynamic shebang

All Python scripts are now generated from a template with a dynamic
shebang.

ipatests/i18n.py is no longer an executable script with shebang. The
module is not executed as script directly, but rather as

    $(PYTHON) ipatests/i18n.py

Fixes: https://pagure.io/freeipa/issue/7680
All Python scripts are now template files with a dynamic shebang line.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c8da61b92ac08ab206df260765c531e70d0342f5">c8da61b9</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-23T12:49:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Generate scripts from templates

Python scripts are now generated from templates. The scripts are marked
as nodist (no distribution) but install targets. The templates for the
scripts are extra distribution data, no installation (noinst).

Fixes: https://pagure.io/freeipa/issue/7680
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/02f4a7a2d6f6b5f5030d2c53df0085b8e699b6fd">02f4a7a2</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-08-24T14:50:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">DS replication settings: fix regression with <3.3 master

Commit 811b0fdb4620938963f1a29d3fdd22257327562c introduced a regression
when configuring replication with a master < 3.3
Even if 389-ds schema is extended with nsds5ReplicaReleaseTimeout,
nsds5ReplicaBackoffMax and nsDS5ReplicaBindDnGroupCheckInterval
attributes, it will return UNWILLING_TO_PERFORM when a mod
operation is performed on the cn=replica entry.

This patch ignores the error and logs a debug msg.

See: https://pagure.io/freeipa/issue/7617
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/79cb8ffb0ae24748a45f0d7a1e6067f38c9d092a">79cb8ffb</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add MigrateScreen widget

This widget is intended to integrate password migrate page into the
entire IPA Web framework. The functionality is the same as mentioned
standalone "ipa/migration/index.html".

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/13f1471cc325dad1f841cc7ad98fed3f26ae0c51">13f1471c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add "migrate" Web UI plugin

This plugin creates and registers a facet with password migrate page.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9bc93d30ef4b963c79707a65e504c4dc2f31529d">9bc93d30</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Return the result of "password migration" procedure

So far "migration" end point redirected to "error"/"invalid" page as
a result of the client request. To use ajax requests and to not
reload/load the whole page the response should include the result of
request.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/05d7162b1d6cc1046b17fe9b77f1528734052425">05d7162b</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Integrate "migration" page to IPA Web framework.

To use all advantages of entire Web framework the "migration" page
should use "migrate" plugin. As well this allows to use IPA
translations.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8a22c65228ad8a75d8eb342389b32be7bc8bceb5">8a22c652</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Provide translatable messages for MigrateScreen widget

Translatable messages should be marked with @i18n. Also
these messages should be presented in "i18n_messages" dictionary.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9f6d5322dd09655cbb65c4fc5c4372079cfe440e">9f6d5322</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up migration "error" and "invalid" pages from project

Migration error/invalid html pages are no longer needed as their
functionality was moved to "migrate" plugin.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4088b283b4d510fbd8e6d01470c3b30d07d23275">4088b283</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add basic tests for "migration" end point

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/28f4e0e0ec2210d557ca68839bb74fdb8596e80e">28f4e0e0</a></strong>
<div>
<span>by Petr Vobornik</span>
<i>at 2018-08-27T15:10:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">webui: redable color of invalid fields on login-screen-like pages

Pages with widgets like LoginScreen, MigrateScreen use login-pf styling.
This page has dark background instead of light. Thus styling for labels
for fields with error has color which makes the label hard to read or
almost invisible.

Change it to white so it is still readable.

Fixes: https://pagure.io/freeipa/issue/7641
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@localhost.localdomain>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f0c3a3592818d132bd2b61e5fbe9e5b51b429a96">f0c3a359</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-08-27T18:31:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test if WSGI worker process count is set to 4

related ticket : https://pagure.io/freeipa/issue/7587

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6175672e8e11a5fb0a813ea11513efffb704a672">6175672e</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2018-08-28T07:32:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Do not set ca_host when --setup-ca is used

Setting ca_host caused replication failures on DL0
because it was trying to connect to wrong CA host.
Trying to avoid corner-case in ipaserver/plugins/dogtag.py
when api.env.host nor api.env.ca_host had not CA configured
and there was ca_host set to api.env.ca_host variable.

See: https://pagure.io/freeipa/issue/7566
Resolves: https://pagure.io/freeipa/issue/7629
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c3f23da49dc63865d9d7b4f13bb0bded9efa9534">c3f23da4</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-28T08:17:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix "get_key_index" to fit caller's expectations

The clients of "get_key_index" expect index of key in matching case
otherwise -1. But instead of this function returns the "undefined"
value.

Fixes: https://pagure.io/freeipa/issue/7678
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0dcce426a4fc97b0e4c8a8aa447422ba94c939e4">0dcce426</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-08-28T08:17:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reindex 'key_indicies' after item delete

The "keys.splice(i, 1)" removes one item at the specified position
from an array. Thus hashes which are stored at "that._key_indicies"
are no longer valid and should be reindexed.

Fixes: https://pagure.io/freeipa/issue/7678
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ad85cc8eae8544680bd083d76d7bf8997856d4a7">ad85cc8e</a></strong>
<div>
<span>by Pavel Picka</span>
<i>at 2018-08-28T08:32:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PRCI failures fix

test_installation.py
- ticket 7008 closed so removing xfail
  - TestInstallWithCA1
  - TestInstallWithCA
  - TestInstallWithCA_DNS1
  - TestInstallWithCA_DNS2

nightly_master
- test_backup_and_restore_TestUser[r>R]ootFilesOwnership[Permission]

Signed-off-by: Pavel Picka <ppicka@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8af6accfa5734a7e9a7c92fcf38d5440482413d4">8af6accf</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-08-29T07:03:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Retrieve certificate subject base directly instead of ipa-join

The subject base is used as a fallback to find the available
CA certificates during client enrollment if the LDAP connection
fails (e.g. due to new client connecting to very old server) and
for constructing the subject if a certificate is requested.

raw=True is passed to config-show in order to avoid parsing
the server roles which will fail because the services aren't
marked as enabled until after the client installation is
successful on a master.

ipa-join providing the subject base via stderr was fragile and
would cause client enrollment to fail if any other output was
included in stderr.

https://pagure.io/freeipa/issue/7674

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b8528da5a8e8cf4fdeabb77022cb511043544e9f">b8528da5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-30T09:37:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactor os-release and platform information

Move the /etc/os-release parser and platform detection code out of the
private _importhook module. The ipaplatform module now contains an
osinfo module that provides distribution, os, and vendor information.

See: https://www.freedesktop.org/software/systemd/man/os-release.html
See: https://pagure.io/freeipa/issue/7661
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1c03181e78b8f43e7bfd32e52c5b9d161c326fd6">1c03181e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-08-30T09:37:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't check for systemd service

ipaplatform no longer checks for the presence of a systemd service file
to detect the name of the domainname service. Instead it uses osinfo's
version to use the old name on Fedora 28 and the new name on Fedora 29.

This fixes a SELinux violation that prevented httpd from listing systemd
service files.

Fixes: https://pagure.io/freeipa/issue/7661
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/90203fb044f4e51f341781cf64a9b30c1337d2a9">90203fb0</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-08-31T10:30:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add "389-ds-base-legacy-tools" to requires.

"389-ds-base-legacy-tools" needs to be added to requires until
the switch to python installer is completed.

Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fe650087b0dd35b3dd23347e98647fdc526614f8">fe650087</a></strong>
<div>
<span>by Robbie Harwood</span>
<i>at 2018-08-31T19:01:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clear next field when returnining list elements in queue.c

The ipa-otpd code occasionally removes elements from one queue,
inspects and modifies them, and then inserts them into
another (possibly identical, possibly different) queue.  When the next
pointer isn't cleared, this can result in element membership in both
queues, leading to double frees, or even self-referential elements,
causing infinite loops at traversal time.

Rather than eliminating the pattern, make it safe by clearing the next
field any time an element enters or exits a queue.

Related https://pagure.io/freeipa/issue/7262

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ab636682c4a0274d411c702ca62a6d26ab8b7869">ab636682</a></strong>
<div>
<span>by Robbie Harwood</span>
<i>at 2018-08-31T19:01:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add cmocka unit tests for ipa otpd queue code

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/59df37ad9b55d3bd7774ab540c087f186a7986aa">59df37ad</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-09-03T11:31:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">bump PRCI template version to 0.1.8

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/911416e43dd58602df99fa06fe535655d26461ca">911416e4</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-03T11:56:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-install: do not perform forwarder validation with --no-dnssec-validation

ipa-server-install is checking if the forwarder(s) specified with
--forwarder argument support DNSSEC. When the --no-dnssec-validation
option is added, the installer should not perform the check.

Fixes: https://pagure.io/freeipa/issue/7666
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/739ddce6536502b3826f0480a9c7b69bf0f35905">739ddce6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-03T11:56:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: add test for server install with --no-dnssec-validation

Add 2 tests related to the checks performed by ipa-server-install
when --forwarder is specified:
- if the forwarder is not reachable and we require dnssec validation,
the installer must refuse to go on and exit on error.
- if the forwarder is not reachable but --no-dnssec-validation is
provided, the installer must continue.

Related to https://pagure.io/freeipa/issue/7666

Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1d3c308bf174897b38f076f0d3c036948989204c">1d3c308b</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-05T09:46:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Adapt freeipa.spec.in for latest Fedora, fix python2 ipatests packaging bug

New autoreconf -ivf call before configure

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cf1301fb064fc230c780c4bc5eeccb723899f7b6">cf1301fb</a></strong>
<div>
<span>by Armando Neto</span>
<i>at 2018-09-05T13:14:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Delete empty keytab during client installation

Client installation fails if '/etc/krb5.keytab' exists as a zero-length
file. Deleting empty keytab before proceeding with the installation
fixes the problem.

https://pagure.io/freeipa/issue/7625

Signed-off-by: Armando Neto <abiagion@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1857dc9db02d0a1d06e18993ad478c1557479d89">1857dc9d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-06T06:22:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix render validation items on keypress event at login form

There are many no needed render callings which are performed
on each keypress event at login form. It is enough to update
validation items on "CapsLock" state change.

Fixes: https://pagure.io/freeipa/issue/7679
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a227c240fae802d3625805e0905a8ce71706b2f">2a227c24</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-06T09:49:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install: fix pkinit setup

commit 7284097 (Delay enabling services until end of installer)
introduced a regression in replica installation.
When the replica requests a cert for PKINIT, a check is done
to ensure that the hostname corresponds to a machine with a
KDC service enabled (ipaconfigstring attribute of
cn=KDC,cn=<hostname>,cn=masters,cn=ipa,cn=etc,$BASEDN must contain
'enabledService').
With the commit mentioned above, the service is set to enabled only
at the end of the installation.

The fix makes a less strict check, ensuring that 'enabledService'
or 'configuredService' is in ipaconfigstring.

Fixes: https://pagure.io/freeipa/issue/7566
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bcfd18f336d752483dffc048e1d9c0edac1628fd">bcfd18f3</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-06T09:49:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Tests: test successful PKINIT install on replica

Add a test checking that ipa-replica-install successfully configures
PKINIT on the replica

Related to https://pagure.io/freeipa/issue/7566

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/31a92c1677998756aa1a2393b74fadfce817004f">31a92c16</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-09-06T11:49:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: sssd_ssh fd leaks when user cert converted into SSH key

https://pagure.io/freeipa/issue/7687

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c29581c9a0e3d3c38344b8b3f4765b971ea7713d">c29581c9</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-09-06T11:49:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">add strip_cert_header() to tasks.py

https://pagure.io/freeipa/issue/7687

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c7064494e5801d5fd4670e6aab1e07c65d7a0731">c7064494</a></strong>
<div>
<span>by Armando Neto</span>
<i>at 2018-09-06T12:36:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix certificate type error when exporting to file

Commands `ipa ca-show` and `ipa cert-show` share the same code,
this commit updates the former, closing the gap between them.

Reflecting the changes done in 5a44ca638310913ab6b0c239374f4b0ddeeedeb3.

https://pagure.io/freeipa/issue/7628

Signed-off-by: Armando Neto <abiagion@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6ad11d86d881880a4e7ada7932c2e0401dc2cda7">6ad11d86</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-06T15:32:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install: properly use the file store

In ipa-replica-install, many components use their own instance
of the FileStore to backup configuration files to the pre-install
state. This causes issues when the calls are mixed, like for
instance:
ds.do_task1_that_backups_file (using ds.filestore)
http.do_task2_that_backups_file (using http.filestore)
ds.do_task3_that_backups_file (using ds.filestore)

because the list of files managed by ds.filestore does not include
the files managed by http.filestore, and the 3rd call would remove
any file added on 2nd call.

The symptom of this bug is that ipa-replica-install does not save
/etc/httpd/conf.d/ssl.conf and subsequent uninstallation does not
restore the file, leading to a line referring to ipa-rewrite.conf
that prevents httpd startup.

The installer should consistently use the same filestore.

Fixes https://pagure.io/freeipa/issue/7684

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b2ce20c6a7c8c046911d13b9ba5b73f9d5046a27">b2ce20c6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-06T15:32:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test: scenario replica install/uninstall should restore ssl.conf

Test that the scenario ipa-replica-install/ uninstall correctly
restores the file /etc/httpd/conf.d/ssl.conf

Related to https://pagure.io/freeipa/issue/7684

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/21f14e98939d5b17d0bf9bc6b96e97cf82f7c3af">21f14e98</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-06T15:39:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove Python 2 support and packages

Remove Python 2 related code and configuration from spec file, autoconf
and CI infrastructure. From now on, FreeIPA 4.8 requires at least Python
3.6. Python 2 packages like python2-ipaserver or python2-ipaclient are
no longer available. PR-CI, lint, and tox aren't testing Python 2
compatibility either.

See: https://fedoraproject.org/wiki/Changes/FreeIPA_Python_2_Removal
Fixes: https://pagure.io/freeipa/issue/7568
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c049992c6f1a21ec084d6371c8ea287a53e194c0">c049992c</a></strong>
<div>
<span>by Armando Neto</span>
<i>at 2018-09-06T15:40:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add test for client installation with empty keytab file

Missing test case for cf1301fb064fc230c780c4bc5eeccb723899f7b6.

https://pagure.io/freeipa/issue/7625

Signed-off-by: Armando Neto <abiagion@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fe0cc9458164ba128e2d6eb30024570cb4701f76">fe0cc945</a></strong>
<div>
<span>by Michal Reznik</span>
<i>at 2018-09-11T13:20:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">bump PRCI template version to 0.1.9

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7da50cf46182cd771e45420a30b7147a78577e69">7da50cf4</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-12T08:37:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update required version of dogtag to detect when FIPS is available

When it was checking for FIPS it assumed that /proc/sys/crypto
existed which it doesn't in some containers and on Ubuntu.

This was updated in dogtag, this change is just to pull in the
fix.

https://pagure.io/freeipa/issue/7608

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6f386f2e241294497db18284a1321335afa77a63">6f386f2e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T08:44:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix translation of "unauthorized.html" Web page

Make this page message translatable as other parts of IPA framework.

Fixes: https://pagure.io/freeipa/issue/7640
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c66cdf0b601d1ca0f7dd07ff10e8d4bbd7072584">c66cdf0b</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T08:44:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix translation of "ssbrowser.html" Web page

Make this page message translatable as other parts of IPA framework.

Fixes: https://pagure.io/freeipa/issue/7640
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4b83227ac7428341e6b1c9be78f52b5d4be758a1">4b83227a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T08:44:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add basic tests to web pages which are located at /ipa/config/

The goal of these tests is to ensure that the translated text is
synced against a 'noscript' one.

Fixes: https://pagure.io/freeipa/issue/7640
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0ed3dfb44ce14d06a198de2b8238cd0df2faf4fc">0ed3dfb4</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace the direct URL with config's one

To be customizable URL should be placed to "config"

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4da736e7bca5110d99f4d75f0556bed904e15cc2">4da736e7</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add "reset_and_login" view to LoginScreen widget

Previous "reset" view is splitted to "reset" and "reset_and_login"
ones. "reset" is used to render "just reset password" logic. And
"reset_and_login" - "reset password and then log in".

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3a43bf886ba5adbc9cd67aa5559091e087c3235c">3a43bf88</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use "login" plugin instead of standalone JS file

Plugin "login" already has the same functionality as a JS code in
separated javascript file. There is no need to duplicate it.

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/30bcad4ce31503a23e866008287f98757dd60bc2">30bcad4c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Clean up reset_password.js file from project

reset_password.js is no longer needed as it's functionality is moved
to "login" plugin.

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d5c0bae9f464e0ebf68b28fa812101fa157f0cc5">d5c0bae9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix translations of messages in LoginScreen widget

To be translatable messages should be marked with '@i18n' and
present in "i18n_messages" dictionary.

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5c32ac3e59438a5c8608685e4f7a2dcc80595e77">5c32ac3e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add "bounce" logic from "reset_password.js"

This should add support for https://pagure.io/freeipa/issue/4440

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b4885d3eb7ebea175fc08d09c4f98fd2d7f0af46">b4885d3e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-12T10:41:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tests for LoginScreen widget

Add some basic tests for different aspects of LoginScreen such as
'login', 'reset_and_login', 'reset' views.

Fixes: https://pagure.io/freeipa/issue/7619
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/167791f3702afb7808d808a3e9790f4c848e65ee">167791f3</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove ipa-replica-prepare script and man page

This is part of the DL0 code removal. As ipa-replica-prepare is only needed
and useful for domain level 0, the script can be removed.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/418da605c961d1e24681c3064a376cc337c0ec83">418da605</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from ipa-ca-install

Replica files are DL0 specific therefore all the code that is related to
replica files have been removed. An additional check for the new minimal
domain level has been added.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9af0b0949ed2969c62697cd1f4c4076886234c00">9af0b094</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from cainstance and ca in ipaserver/install

cainstance.replica_ca_install_check is only used in ca.install_check if
replica_config is not None (replica installation). As it is immediately
stopped if promote is not set, therefore it can be removed.

The check for cafile in ca.install_check has been dropped. promote is set
to True in ca.install_step_0 if replica_config is not None for
cainstance.configure_instance.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/db5bff14820e39f82285252cd8a7e5ee08fddea5">db5bff14</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from ipa_kra_install in ipaserver/install

Replica files are DL0 specific therefore all the code that is related to
replica files have been removed An additional check for the new minimal
domain level has been added. The use of extra args results in an error as
this was only needed for the replica file.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eaae9935f4a626fb3fc290b9c85c4a935c3fbc25">eaae9935</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from dsinstance ipaserver/install

Promote is now hard set to True in create_replica for later use in
_get_replication_manager.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/71e19f11b4904509fbdd18af0488455b4eac1b7c">71e19f11</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from kra in ipaserver/install

The code to add missing KRA certificates has been removed from install_check
as it was only reached if replica_config is not None and promote was False
for DL0 replica installations. Also the other places.

Promote is now hard set to True if replica_config is not None in install
for later use in krainstance.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ecf80900ee494c3494bfbd53f7398894ecb9ab73">ecf80900</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove unused promote arg in krbinstance.create_replica in ipaserver/install

The argument was not used at all.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ae94aae47adf67b09f4c387bd0188817e42547a6">ae94aae4</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from ipa_replica_install in ipaserver/install

Replica files are DL0 specific therefore the knob extension for
replica_file has been removed. Also the code that is only executed if
replica_file is not None.

The new variable replica_install has been added which is used in
ServerInstallInterface.__init__

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f7e1d18d8f478a7202baf56a9e016fcb151a2630">f7e1d18d</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from __init__ in ipaserver/install/server

The methods _is_promote has been removed from all classes as this has only
been used internally to check if the domain level is correct.

The check if the installer object has the attribute replica_file has been
modified to use the new variable replica_install defined in
CompatServerReplicaInstall instead.

The DL0 specific code from ServerInstallInterface.__init__ has been removed

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2738c5c1c027386eefa6a2bb4ed55893d6f2490b">2738c5c1</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from replicainstall in ipaserver/install/server

create_replica_config is not imported anymore from
ipaserver.install.installutils.

The promote argument has been removed from these functions and function
calls:
- install_replica_ds
- ds.create_replica
- install_krb
- krbinstance.create_replica
- install_http
- httpinstance.create_instance

The function install_check has been removed completely as it is only used
to prepare the DL0 installation.

All DL0 specific code has been removed from the install function.

The varaibles promote, installer.promote/options.promote  and config.promote
have bene removed.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a42a711394178a459bde006e6b49ed799a7cce1a">a42a7113</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove create_replica_config from installutils in ipaserver/install

This function is used to load the replica file. Without DL0 support this
is not needed at all anymore.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/15bf647e4892a238003ff7a60b1790d4dd453573">15bf647e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from custodiainstance in ipaserver/install

iWithout DL0 support the custodia mode can be used to determine if a
server or replica will be installed. Therefore the use of config.promote
can be removed.

A new check has been added to make sure the mode known in
get_custodia_instance.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/842cb5f2670a0c84b1dd818ad4ed9017eb4bb14f">842cb5f2</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Rename CustodiaModes.STANDALONE to CustodiaModes.FIRST_MASTER

This is related to the DL0 code removal. FIRST_MASTER describes this
mode a lot better.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fbe003f57cf2e1d4d6849d493fe64bd0568b0007">fbe003f5</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove options.promote from install in ipaserver/install/server/install

There is no need to set options.promote to false anymore for a server
installation in the install function.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2f50d249f84304c7889d4adb2304145e3a6e2455">2f50d249</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove replica_file from ClientInstall class in ipaclient/install/client.py

There is no need to set replica_file to None for client installations.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/374138d0301da19d2c59ac5cdc7372d156272655">374138d0</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove replica_file knob from ipalib/install/service.py

The replica_file option is not needed anymore. Threfore the option can
be removed.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fca1167af48651c3454c33c77ef28ec333220040">fca1167a</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific tests from ipatests/test_integration/test_replica_promotion.py

These tests have been skipped already before. Therefore they can be removed.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7eb8695e84f6fed32fd711121c5f018930b8e481">7eb8695e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from ipatests/pytest_ipa/integration/tasks.py

The functions get_replica_filename and replica_prepare are not needed anymore
with the DL0 removal. The DL0 specific code has been removed from the
functions install_replica, install_kra and install_ca.

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b689ba7e10f46e1bbff187348bae5e2f58315ec7">b689ba7e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-09-12T11:11:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DL0 specific code from ipatests/test_integration/test_caless.py

See: https://pagure.io/freeipa/issue/7689
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c6b3cf6dd7602c8cd0d81f9850069b35178c6495">c6b3cf6d</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-12T14:43:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Advise plugin for enabling sudo for members of the admins group

Create HBAC and a sudo rule for allowing members of the admins
group to run sudo on all enrolled hosts.

https://pagure.io/freeipa/issue/7538

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/09750589f572daf816c8facb71e50a0cf5ea294f">09750589</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of remove dialog

As for now the default title of remove dialogs is set to
'Remove ${entity}', where 'entity' is also translatable text.
This construction is used via method 'create_remove_dialog'
of Search facet for the all association 'Delete' actions of
entities.

The such concatenation leads to a bad quality translation and
should be changed to an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5eea5354ca2fbd8496f6acf853bfe90d60e394fc">5eea5354</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Users' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3921210d466a44fd78bb09e0c38064b4f0c93e2b">3921210d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Hosts' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3c26a3b850644d7bc543cfd1bc3441505401abd1">3c26a3b8</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Services' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d06f4984be88b671c7f55f966d68e4120ae97e78">d06f4984</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Groups' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d23376f54f02acc05bae43d318a83ffafa09d712">d23376f5</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'ID Views' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2d9cdd924d173e3c22e8813b541df23a9c6c37e8">2d9cdd92</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Automember' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/460186806ba3e0a2d278303fb55bc54d164b073e">46018680</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'HBAC' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b5073e96705fc0ca8f52dc8d6323b89a3d2d7e1c">b5073e96</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Sudo' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/772e096de052f3901bd5337601790c21c8bb6697">772e096d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'SELinux User Maps' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8d13d4efca5b59835f8666c7308d15f7b345fd0b">8d13d4ef</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Password Policies' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dfd22e7497b0722b902d8418f47efb05f348230b">dfd22e74</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Certificates' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/93eebdb581d062329251cdb061be26d460938acb">93eebdb5</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'OTP Tokens' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/36bfd1f8021f1ca8eb9efc6b5c8b501944f41b1c">36bfd1f8</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'RADIUS Servers' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dcd903433211a8eaa3dcac11500a25fb807810f7">dcd90343</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Certificate Identity Mapping Rules' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a863cec3924b931366fc99cdd9aa1ef96742d803">a863cec3</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Automount Locations' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d5979fb24f0b3e062b4535ae2a7f24ac61d05586">d5979fb2</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'DNS' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/855e138a66827317db67c1187f5f7173a17f2d35">855e138a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'RBAC' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1f391b7c3cf1361eecd9a315c398e32afbdcf3fb">1f391b7c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'ID Ranges' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/291ea453b83ecfdede8c2f337eae3e15473d7465">291ea453</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Topology' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3e1a4a1d05a8a972cb2c547e76f1f65ead9ed573">3e1a4a1d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-18T11:51:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'Trusts' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7699
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7729bb73b477cc04d44aba3094f72e301ec11d94">7729bb73</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-19T08:13:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-advise: configure pam_cert_auth=True for smart card on client

ipa-advise config-client-for-smart-card-auth is now using authselect
instead of authconfig, but authselect enable-feature with-smartcard
does not set pam_cert_auth=True in /etc/sssd/sssd.conf.
As a result, smart card auth on a client fails.
The fix adds a step in ipa-advise to configure pam_cert_auth=True.

The fix also forces the use of python3 interpreter, and handles
newer versions of SSSD which use OpenSSL instead of NSS (the trusted
CA certs must be put into /etc/sssd/pki/sssd_auth_ca_db.pem

Fixes https://pagure.io/freeipa/issue/7532

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d0173c9548857f855d95ba4bb5b068841f356049">d0173c95</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-19T08:18:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">authselect: harden uninstallation of ipa client

When ipa client is uninstalled, the content of sysrestore.state
is read to restore the previous authselect profile and features.
The code should properly handle the case where sysrestore.state
contains the header for the authselect section, but the key=value
for profile and features are missing.

Fixes https://pagure.io/freeipa/issue/7657

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1a7e4b0ec1a7fcd7242b4ae76582a272c4f63657">1a7e4b0e</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-19T08:18:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: add test for uninstall with incomplete sysrestore.state

Add a test that performs client uninstallation when sysrestore.state
contains the header for the [authselect] section but does not
contain a value for profile and features.

Related to https://pagure.io/freeipa/issue/7657

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b3fd701565a3cb398951a04c1ddd9fd03010b8f">2b3fd701</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix hardcoded CSR in test_webui/test_cert.py

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/95928f624ff71b6cef9d21ffeca4334938fde104">95928f62</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use random IPs and domains in test_webui/test_host.py

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1212402a6139a447bb8074ea8608f8bc19b93e59">1212402a</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase request timeout for WebUI tests

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d582484bea157cf3b791626773c608e936d584d7">d582484b</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_realmdomains::test_add_single_labeled_domain (Web UI test)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1f04c481e33797486c978b7ac7c1145e7a8f0394">1f04c481</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use random realmdomains in test_webui/test_realmdomains.py

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/685cef554b64922f90fdf610dfe1793fccfb1fd8">685cef55</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_user::test_login_without_username (Web UI test)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/41258d81b562fb701830bc5cc5533f1607f82ec7">41258d81</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix unpermitted user session in test_selfservice (Web UI test)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b739701e3e0d92cacc20ef35f759d74d76ed7c5">2b739701</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add SAN extension for CSR generation in test_cert (Web UI tests)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b58bc750234b95e9dca7d2fecc2f02c76beaf3f2">b58bc750</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Generate CSR for test_host::test_certificates (Web UI test)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/93eafaec1a089aaa8ac77b83a904fb319bcd9650">93eafaec</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add cookies clearing for all Web UI tests

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/970af640ee223531dfbb0ea50293d80f339f1b14">970af640</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove unnecessary session clearing in some Web UI tests

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1affddaabe6a44fb143211b95c2eb348690cf560">1affddaa</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase some timeouts in Web UI tests

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/46eb9a38f00fd8a2028ed6e1ff467c88d174103f">46eb9a38</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix UI_driver.has_class exception. Handle situation when element has no class attribute

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d020fc49a6339ac6d8822d812b8337f8c24839b5">d020fc49</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-09-19T11:32:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Change Web UI tests setup flow

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e3820682c797c8dca86767dc347290f54f872a7c">e3820682</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-19T15:42:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Try to resolve the name passed into the password reader to a file

Rather than comparing the value passed in by Apache to a
hostname value just see if there is a file of that name in
/var/lib/ipa/passwds.

Use realpath to see if path information was passed in as one of
the options so that someone can't try to return random files from
the filesystem.

https://pagure.io/freeipa/issue/7528

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2064c72bfb79e13a32f013a0be449597c4db664b">2064c72b</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-21T08:21:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix uninstallation test, use different method to stop dirsrv

The API may not be initialized so using ds.is_running() may fail.
Call systemctl directly to ensure the dirsrv instance is stopped.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/11b3cdff677905bfb8e32ad41cb6dda695f2a593">11b3cdff</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-21T08:21:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add uninstallation tests to night master and rawhide

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2488813260a407477c7516b33ce4238b69c8dd8d">24888132</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-24T06:42:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: mark known failures as xfail

The tests in test_integration/test_installation.py
that inherit from InstallTestBase2 all fail in
test_replica2_ipa_kra_install because of ticket
7654: ipa-kra-install fails on DL1

This is an issue linked to dogtag (see
https://pagure.io/dogtagpki/issue/3055), where the
installation of a KRA clone creates a range depletion
when multiple clones are created from the same master.

Marking the tests as known failure, waiting for dogtag's
fix.

Related to https://pagure.io/freeipa/issue/7654

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/288fe328d3cea0cf2757b99c858aca37ffd17e2a">288fe328</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-24T10:55:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Tests: remove dl0 tests from nightly definition

Commit fca1167af48651c3454c33c77ef28ec333220040 removed the following tests
from ipatests/test_integration/test_replica_promotion.py:
TestReplicaPromotionLevel0
TestKRAInstall
TestCAInstall
TestReplicaManageCommands
TestOldReplicaWorksAfterDomainUpgrade
but the nightly definition was not updated accordingly.
The fix removes the unexisting tests from nightly.

Related to https://pagure.io/freeipa/issue/7689

Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ca68848ea463215fc979346328c05c33810f1436">ca68848e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of remove dialog

As for now the default title of remove dialogs, which are
initialized from 'association' facet, is set to something like
'Remove ${other_entity} from ${entity} ${primary_key}', where
'other_entity' and 'entity' are also translatable texts.
This construction is used via method 'show_remove_dialog'
of 'association' facet for the all 'Delete' actions within details
of entities.

Such concatenation leads to a bad quality translation and
should be changed to an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/35fa528cdfbdfb719efe3c24a66f7f026e846a9e">35fa528c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Users' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d97ff69ed1bf62c052f4e6e506ccd4d4e2ca585a">d97ff69e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Hosts' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c4729e1155d858be2eb34dc53bd8769711ccd4bf">c4729e11</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Services' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6e839f91fabddb4f0d73acb4a781475876017abd">6e839f91</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Groups' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ea0e6a3663f579280eb8a7a7cbff9f278de2e3b8">ea0e6a36</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'HBAC' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/db6462b826919413380bc6266e4e342428a3af9f">db6462b8</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Sudo' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f741c62f590d098c2ced087e00efde4d8dd850b4">f741c62f</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'OTP Tokens' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/715944665ccc8cde63e33813a0d8206afc626b73">71594466</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'RBAC' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9cbf16a79021f3771cec1640d6c1f04b9b7c24e4">9cbf16a7</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-25T13:16:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a title to 'remove' dialog for details of 'Trusts' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7702
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/703497532abe4189835d0a02b32f9919c889bc1c">70349753</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-09-26T09:40:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support Samba 4.9

Samba 4.9 became a bit more strict about creating a local NT token and a
failure to resolve or create BUILTIN\Guests group will cause a rejection
of the connection for a successfully authenticated one.

Add a default mapping of the nobody group to BUILTIN\Guests.

BUILTIN\Guests is a special group SID that is added to the NT token for
authenticated users.

For real guests there is 'guest account' option in smb.conf which
defaults to 'nobody' user.

This was implicit behavior before as 'guest account = nobody' by
default would pick up 'nobody' group as well.

Fixes: https://pagure.io/freeipa/issue/7705
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0659ed35025bc0555e42fff71c305c1cd830cf9a">0659ed35</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-26T09:44:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-upgrade: fix inconsistency in setup_lightweight_ca_key_retrieval

The method setup_lightweight_ca_key_retrieval is called on
server upgrade and checks first if it needs to be executed or if
a previous upgrade already did the required steps.
The issue is that it looks for setup_lwca_key_retrieval in sysupgrade.state
but writes setup_lwca_key_retieval (with a missing r).

The fix consistently uses setup_lwca_key_retieval (as older installations
may already contain this key in sysupgrade.state).

Fixes https://pagure.io/freeipa/issue/7688

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4460cc5e9f57819549147a25ce245d517783f823">4460cc5e</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-09-26T11:26:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix identifier typo in UI

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f658a3d107e0c1cb6a316b9e99e75027591b22f9">f658a3d1</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:50:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix loading 'freeipa/text' at production mode

As for now 'ssbrowser.html' and 'unauthorized.html' pages are
loaded without JS error at development mode only.

There is no standalone 'freeipa/text' module as source at
production mode. Thus 'core' one have to be loaded first and
then 'text'.

Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/43d9eda919f380fc5466f2c0a050f973a236c436">43d9eda9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of remove dialog

As for now the default title of remove dialogs, which are
initialized from 'association_table' facet, is set to something
like 'Remove ${other_entity} from ${entity} ${primary_key}',
where 'other_entity' and 'entity' are also translatable texts.
This construction is used via method 'show_remove_dialog'
of 'association_table' widget for the all 'Delete' actions within
details of entities.

Such concatenation leads to a bad quality translation and
should be changed to an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4b8509f9cd4306bc1354013e83692a2f5e41945f">4b8509f9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'remove' dialog for 'association_table' widget of 'Hosts' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0825170a58f6dfbca178d346ed518464f8daac54">0825170a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'remove' dialog for 'association_table' widget of 'Services' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/79aa59205a80cb03fcf1aad20c3b1abbfa6fec21">79aa5920</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'remove' dialog for 'association_table' widget of 'Groups' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c2e6e010b9eee5d1ee726d003fa0e86b439e8048">c2e6e010</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow having a custom title of 'Remove' dialog for 'attribute_table' widget

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8657b57a042b02ebe6294ed7a474ed8fe286d3e3">8657b57a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'Automember' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1fd6817b6be7bb4fd25003e5dbc6d31b31c8e41f">1fd6817b</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'HBAC' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c2eebee3b38ca4637527b92b9a26484949849f3e">c2eebee3</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'Sudo' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c115efd1e81b59e5a93b9ae419f724a2a6669cc0">c115efd1</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'SELinux' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ea115bf898a3c510854b6f6479c6964d426b6e81">ea115bf8</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'CA' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6eed677614b9301a095f8c6d4a48d5afac59c366">6eed6776</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'Topology' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/57e65a5c9f20b65ebcf5a1518a213d572e3d41b9">57e65a5c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'Remove' dialog for 'association_table' widget of 'Vault' entity

To improve translation quality the title of 'Remove' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6b27c20326833b055130f6bfb9d05c8f23177f35">6b27c203</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'unprovision' dialog

To improve translation quality the title of 'unprovision' dialog
should be specified explicitly in the spec and should be an entire
sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5052641a42e5252f47d0216d6e0164d03177f717">5052641a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-26T11:56:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to remove dialog of 'DNS' entity

To improve translation quality the title of Remove dialog
should be specified explicitly in the spec and should be an
entire sentence.

Fixes: https://pagure.io/freeipa/issue/7704
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e1a30d3ce32aef2492689de8eff09360f5480a99">e1a30d3c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T04:55:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Workaround for pyasn1 0.4

pyasn1 0.4 changed handling of ANY containers in a backwards
incompatible way. For 0.3.x, keep explicit wrap and unwrap in octet
strings for ANY container members. For >= 0.4, let pyasn1 do the job.

This patch also makes sorting of extended_key_usage_bytes() stable and
adds tests.

Tested with pyasn1 0.3.7 and 0.4.4.

Fixes: https://pagure.io/freeipa/issue/7685
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4a58adf79e8b6b1dfbd534f16bcec368a189131e">4a58adf7</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T08:23:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Sprinkle raw strings across the code base

tox / pytest is complaining about lots and lots of invalid escape
sequences in our code base. Sprinkle raw strings or backslash escapes
across the code base to fix most occurences of:

  DeprecationWarning: invalid escape sequence

There is still one warning that keeps repeating, though:

  source:264: DeprecationWarning: invalid escape sequence \d

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b431e9b684df11c811892bd9d2a5711355f0076e">b431e9b6</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T09:49:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Remove subclassing from object

Python 2 had old style and new style classes. Python 3 has only new
style classes. There is no point to subclass from object any more.

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/78c722d4c3b939d94d5dcfb46ede52f242ebaeb2">78c722d4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T13:35:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require sssd-ipa instead of sssd meta pkg

The sssd meta package pulls in additional dependencies that are not
required by IPA clients. Only depend on sssd-ipa.

Also update SSSD to 1.16.3-2 with fixes with support for One-Way Trust
authenticated by trust secret.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1345975
See: https://pagure.io/freeipa/issue/7710
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/964a9bdcec1110b9f108704536dc3ce5487ee80c">964a9bdc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T14:11:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Replace six.string_types with str

In Python 3, six.string_types is just an alias for str.

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ea396528b7e9575b5fcf4902ce9211cf0a67fcc6">ea396528</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T14:11:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Replace six.integer_types with int

In Python 3, six.integer_types is (int,). In most places, the alias can
be simply replaced with int. In other places, it was possible to
simplify the code by unpacking the tuple.

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/61156b0a50dc4eddff46a1352574e04d298e9af9">61156b0a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T14:11:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Replace six.text_type with str

On Python 3, six.text_type (singular) is an alias for str.

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ed967ec24dee2cd8b4204e117f7f41fac5b845a7">ed967ec2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-09-27T14:11:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Replace six.bytes_type with bytes

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/54765474167f70f6ac09c8a41dea7a242b34ff7e">54765474</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-27T14:33:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix javascript 'errors' found by jslint

There are several JavaScript errors, which have come with PRs:
2362, 2371, 2372.

JavaScript code have to follow jsl requires.

Fixes: https://pagure.io/freeipa/issue/7717
Fixes: https://pagure.io/freeipa/issue/7718
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/54a0e9e96dc42c9d67e058f8c24de05141129467">54a0e9e9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-09-27T14:33:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add jslint check to PR CI tests

For now, from all possible lint checks, pylint applies only.
jslint can prevent JavaScript errors at WebUI.

Fixes: https://pagure.io/freeipa/issue/7717
Fixes: https://pagure.io/freeipa/issue/7718
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5dbcc1a9d30cdb0bc1c4f8476be37a3ef781f9be">5dbcc1a9</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-09-28T08:27:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: mark known failure for installation_TestInstallWithCA2

The test TestInstallWithCA2 and TestInstallWithCA_DNS2 fail in
test_replica0_with_ca_kra_dns_install because they both try to
install a (first instance of) KRA.

This is a known issue, thus marking as xfail.

Related to https://pagure.io/freeipa/issue/7651

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4b60bc38148a28caa0ba0ab705d88d16de3322d9">4b60bc38</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-01T06:30:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Lint yaml and RPM spec

Let's catch broken YAML files (Travis, PR-CI) and spec file early.

- Use rpmlint to detect syntax errors in spec file early
- Attempt to parse all YAML files with PyYAML

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/234c71ca8187dede91785d595f66f70fea8efbe9">234c71ca</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of 'add' dialog

As for now the default title of 'add' dialog is set to something
like 'Add ${entity}', where 'entity' is also translatable text.
Such construction is used via method 'adder_dialog' of Entity
for the all 'Add' actions.

This leads to a bad quality translation and should be changed to
an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c6221a5104d946f6cbc10fa0df8cdb297be37792">c6221a51</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Users' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/70cb5ba0958b0a6380adcef0abfd39153359521c">70cb5ba0</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'OTP' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6881bf8d7438b5f52fd0daf4b63f479f6fac67f9">6881bf8d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Host' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8a834cdaa09b9befc3834539206a607d73e22227">8a834cda</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Service' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/794a51ea93106800ccbb91ef92618be105ad701e">794a51ea</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Groups' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/348e813b653d947353e6ce38eb84a179f3782de4">348e813b</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'ID Views' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bf49664ddd93c5191582e2faf847cae807e1b0d8">bf49664d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of 'add' dialog for 'attribute_table' widget

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e363fb3ebc73fd4d6b172f06e76816797c61b456">e363fb3e</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Automember' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fd732aaafebb5958994d05c600674b9d1545f0fc">fd732aaa</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'HBAC' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8655c9beb076c79f8b7cee9a214386c7627218a8">8655c9be</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Sudo' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e506f266ef03fe5e15311a0d96d92d52b4e81de3">e506f266</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'SELinux' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4bd03e47230c607ba56148b0c968561b1131ff48">4bd03e47</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Password Policies' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c38aab10453bdb75a6afad546797944e9d7586df">c38aab10</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Certificates' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/38ea2dae2d2592303b6ac34c55c14b4b75cdd43d">38ea2dae</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'RADIUS' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/98c290e4035f179c63a94eb59fc9f2ec9e30c01b">98c290e4</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Certificate Identity' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bafa0d5f4aaa4934ae7bbad5378a18e986977cc4">bafa0d5f</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Automount' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8dddc003bdd42ed2d379e7c7f276dae7b0145330">8dddc003</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'DNS' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f3584661b4076238eb967df3438f28572e55a012">f3584661</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Vault' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/16fed6e97a50bbb8740216fdd6e9a9c52b795a9d">16fed6e9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'RBAC' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f349479f5c0e3e9ff8f2cf2e5fe80423032dca6d">f349479f</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'ID Ranges' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e3c0c4d752a18ad1a463ec4c981b19009fb9b81d">e3c0c4d7</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Trusts' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e89493e26033a800f62a5dceb98ac3dcdcd8c17b">e89493e2</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-01T08:28:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'Topology' entity

To improve translation quality the title of 'Add' dialog should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7707
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a2ad41749027c2c5e2b03f4d8b7e0d712f98e1b3">a2ad4174</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-10-02T08:18:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix writing certificate chain to file

An client-side error occurs when cert commands are instructed to
write the certificate chain (--chain option) to a file
(--certificate-out option).  This regression was introduced in the
'cert' plugin in commit 5a44ca638310913ab6b0c239374f4b0ddeeedeb3,
and reflected in the 'ca' plugin in commit
c7064494e5801d5fd4670e6aab1e07c65d7a0731.

The server behaviour did not change; rather the client did not
correctly handle the DER-encoded certificates in the
'certificate_chain' response field.  Fix the issue by treating the
'certificate' field as base-64 encoded DER, and the
'certificate_chain' field as an array of raw DER certificates.

Add tests for checking that the relevant commands succeed and write
PEM data to the file (both with and without --chain).

Fixes: https://pagure.io/freeipa/issue/7700
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ef57be6163e74a8aa21707ae7daf73d16ed18884">ef57be61</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-02T10:10:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">When stripping PO files, sort the output

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6f6cac04594a6b2d4a82a07873a16666628f89d6">6f6cac04</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-02T10:10:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Re-sort the translations before importing new ones from Zanata

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/60cb8979a5843e1913dd6c02953d6c20c884df90">60cb8979</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-02T10:10:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Import updated translations from Zanata

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a502fa939f7e0bc9212ac102202a0ba23a7ff75c">a502fa93</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of 'Add' dialog for details of entity

As for now the 'Add' dialog title, which is initialized within
details of the entity, contains translated concatenated texts,
like:
    'Add ${other_entity} into ${entity} ${primary_key}',
where 'other_entity' and 'entity' are also translatable texts.
This construction is used via method 'show_add_dialog' of
association_facet for the all 'Add' actions within details
of entities.
The concatenation leads to a bad quality translation and
should be changed to an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dda488efc26aa10718b751852deb87b4478d0ca9">dda488ef</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Certificate' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d588d3e9e4494e0750c4dd05b3195954ca5bf149">d588d3e9</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Users' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc9e5c57d575e215afba42078c662ccfe9dd0f0b">dc9e5c57</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Hosts' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ac52facac26f466e3997661a84f527454ad68f33">ac52faca</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Services' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9e4de506cb4403da9c556f77487b72eb6d01fb30">9e4de506</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Groups' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/01eba53c80d9b1cf8a10057b5665c00cba752698">01eba53c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'ID Views' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/30094d8212e1a8159916fffb62172f3a660246e1">30094d82</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'HBAC' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/35b1b65a542e62c763d68eea60684c3a0cc35957">35b1b65a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'Sudo' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/958b10576172d2a73c491fcd97a51f7c46960375">958b1057</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'OTP Tokens' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b3ac23041814213d50db646c37079f4f9dd54d4e">b3ac2304</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for details of 'RBAC' entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/171c6a01d8a7be0960fe76cd9a6bd67f41506f2e">171c6a01</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop concatenated title of add dialog for association_table widget

As for now the default title of add dialogs, which are
initialized from 'association_table' widget, is set to something
like 'Add ${other_entity} into ${entity} ${primary_key}',
where 'other_entity' and 'entity' are also translatable texts.
This construction is used via method 'create_add_dialog' of
'association_table' widget for the all 'Add' actions within
details of entities.

Such concatenation leads to a bad quality translation and
should be changed to an entire sentence.

>From now a mentioned title is taken from a spec and should be
specified explicitly.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3c81e170f9117fc9b18e953d3f51b4e67edd942d">3c81e170</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Hosts entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/20688f0fa717cf1613e09c30dc848289c39ce290">20688f0f</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Services entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c14ef57307da188d57ec9ea0dda5f6ea3f93ed62">c14ef573</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Groups entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1ccafd487039e97ee9498bbe972d298dcbf960a4">1ccafd48</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of HBAC entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2ea8f088ba59bdb232e75d21fa3d210c18d7723c">2ea8f088</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Sudo entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0e1accdab4e3fe29bec4085ee4a2a87d545d9c96">0e1accda</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of SELinux User Maps entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/073eac085a17fd4d80d476bb6b1f383dd69ed78b">073eac08</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Certificates entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/29ca7bf30886e80e682bb7fc0ccdd2be0d226d4a">29ca7bf3</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Vaults entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0f30fd834576ab6e83247b1c2741e21e5ebeb8a5">0f30fd83</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-02T14:37:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add title to 'add' dialog for 'association_table' widget of Topology entity

To improve translation quality the title of 'Add' dialog,
which is initialized within details table of the entity, should be
specified explicitly in the spec and should be an entire sentence.

Fixes: https://pagure.io/freeipa/issue/7712
Fixes: https://pagure.io/freeipa/issue/7714
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c0c8e7f500cfd756440067ad4fce31ad451800e0">c0c8e7f5</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-05T10:00:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add entry for Serhii to mailmap

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/753264069f29e47bf222e50e95a7ec5849a7f6cb">75326406</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-05T10:02:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update list of contributors

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/15d5e44ee89ce4c0f1f366b0d7150166f1a26844">15d5e44e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-05T10:06:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Py3: Replace six.moves imports

Replace six.moves and six.StringIO/BytesIO imports with cannonical
Python 3 packages.

Note: six.moves.input behaves differently than builtin input function.
Therefore I left six.moves.input for now.

See: https://pagure.io/freeipa/issue/7715
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4f04e91be265bc7dc1984049867b6e0a5fa63d57">4f04e91b</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-05T12:59:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: remove TestReplicaManageDel (dl0)

TestReplicaManageDel is a test using domain level 0
but we do not support it any more. Remove the test.

Related to https://pagure.io/freeipa/issue/7689

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/341a12054a1363d1a202da64b50b6d62b16c0436">341a1205</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-05T13:04:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix zonemgr encoding issue

The zonemgr validator and handler performs additional encodings for IDNA
support. In Python 3, the extra steps are no longer necessary because
arguments are already proper text and stderr can handle text correctly.

This also fixes 'b' prefix in error messages like:

    option zonemgr: b'empty DNS label'

Fixes: https://pagure.io/freeipa/issue/7711
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9e1c26c755dd4ddf390d775a743105a8f6a2c460">9e1c26c7</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-09T12:53:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: provide meaningful err msg for wrong PIN

ipa-server-install or ipa-replica-install do not provide
a meaningful error message in CA-less mode when the install
fails because of a wrong PIN.

Update the err msg so that it provides a hint to the user.

Fixes https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6650d1b5631f77c0f07dd572bc27cdb98378997d">6650d1b5</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-09T12:53:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa tests: CA less

Remove the annotation pytest.mark.xfail as issue 5378 has been fixed.

Related to https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7f507519d4acb85c1e8e98bb29e26039751db8ff">7f507519</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-10T07:56:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Find orphan automember rules

If groups or hostgroups have been removed after automember rules have been
created using them, then automember-rebuild, automember-add, host-add and
more commands could fail.

A new command has been added to the ipa tool:

  ipa automember-find-orphans --type={hostgroup,group} [--remove]

This command retuns the list of orphan automember rules in the same way as
automember-find. With the --remove option the orphan rules are also removed.

The IPA API version has been increased and a test case has been added.

Using ideas from a patch by: Rob Crittenden <rcritten@redhat.com>

See: https://pagure.io/freeipa/issue/6476
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f6793043ecc0e0d04408616c856200b1462d0c0a">f6793043</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-10T09:32:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: mark known failures as xfail

Commit 5dbcc1a9d30cdb0bc1c4f8476be37a3ef781f9be marked
the base class method test_replica0_with_ca_kra_dns_install
as known failure, but this does not work with inherited
classes. The child class methods need to be marked
themselves as known failures with @pytest.mark.xfail

Furthermore, TestInstallWithCA_KRA2 and TestInstallWithCA_KRA_DNS2
tests should succeed because the master is installed with KRA
(issue 7651 is related to replica install with --setup-kra
when it is the first KRA instance).

Related to https://pagure.io/freeipa/issue/7651

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1ef0fe8bb824282c2f48417efda3a60e7c1bf580">1ef0fe8b</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-10T09:36:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">adtrust: define Guests mapping after creating cifs/ principal

All Samba utilities load passdb modules from the configuration file. As
result, 'net groupmap' call would try to initialize ipasam passdb module
and that one would try to connect to LDAP using Kerberos authentication.

We should be running it after cifs/ principal is actually created in
ipa-adtrust-install or otherwise setting up group mapping will fail.

This only affects new installations. For older ones 'net groupmap' would
work just fine because adtrust is already configured and all principals
exist already.

A re-run of 'ipa-server-upgrade' is a workaround too but better to fix
the initial setup.

Related: https://pagure.io/freeipa/issue/7705
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1e76f100a596cfd22c84f873e832f22752f31be0">1e76f100</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-12T20:55:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable LDAP debug output in client to display TLS errors in join

If ipa-join fails due to a TLS connection error when doing an
LDAP-based enroll then nothing is logged by default except an
Invalid Password error which is misleading (because the failure
occurs during the bind).

The only way that debugging would have been sufficient is if
the user passed --debug to ipa-client-install which is not great.

This log level is otherwise very quiet and only logs one or two
lines on errors which is perfect.

https://pagure.io/freeipa/issue/7728

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/531eca43086915a7ac4b83f7b5c77a6b5735376e">531eca43</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2018-10-15T08:04:33Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move ipa's systemd tmpfiles from /var/run to /run

systemd 239 complains about the legacy of ipa's tmpfiles which
are located on /var/run.

Fixes: https://pagure.io/freeipa/issue/7732
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3eac88a433744f6b1597b54528c729976b1349d4">3eac88a4</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-15T08:20:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bump requires 389-ds-base

ipa-replica-install sometimes fails with
--
[28/41]: setting up initial replication
Starting replication, please wait until this has completed.
[ldap://master.ipa.test:389] reports: Replica Busy! Status: [Error (1) Replication error acquiring replica: replica busy]
 [error] RuntimeError: Failed to start replication
--
which is caused by a 389-ds issue
(https://pagure.io/389-ds-base/issue/49818)
Bump requires to include the fix.

Fixes: https://pagure.io/freeipa/issue/7642
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e55d17d60980305797f373e4ae199f935033d587">e55d17d6</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check range name and base ID duplication

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/369fb23ed9edaddea34ebceb7e1d7410c3b432ba">369fb23e</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check adding range without primary and secondary RID bases

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b180991aca2f05277c753909227a15df214f7a8f">b180991a</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check primary RID base duplication

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dde4d19f7b40bfd96720945f374cbc18eb8b484b">dde4d19f</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check adding range with overlapping of existing local range

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/70f51c0db2948db8b65dfa9d3da7b3d4c1f9ad87">70f51c0d</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check modifying ID range with invalid or missing values

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dd590e7ea7dfc7ea84580eb8368297c98adc8056">dd590e7e</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": - check creating ID range with special characters in name - check modifying ID range with existing secondary RID base

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6595949e1d48ea9988cc6f99236c2a477ad048a3">6595949e</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check creating ID Range with overlapping of primary and secondary RID base

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2d845cc70ab71ffed8f48ec1730e4c6236bdf494">2d845cc7</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-15T12:11:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": check deleting primary local range

https://pagure.io/freeipa/issue/7709

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4c3f010461e86f1e508237e5ab7a56718d31d798">4c3f0104</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-16T07:09:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "ID Range": Clean unnecessary Python2 compatible code constructions

https://pagure.io/freeipa/issue/7709

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5466eca048530ccc26deb31a5b30005f550c37b5">5466eca0</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-16T09:16:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove tests which install KRA on replica w/o KRA on master

The KRA installation code explicity quits if trying to
install a KRA during a replica installation if there is not
already a KRA in the topology.

A KRA can be added afterward.

https://pagure.io/freeipa/issue/7651

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fbcb79af1398c6ef484c4003a39fa45ca2bb7546">fbcb79af</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-17T13:51:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix path in expected error message

The test is putting server.p12 / replica.p12 in the test_dir directory,
and the error message is printing the file name with its full path.

Related to https://pagure.io/freeipa/issue/5378

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2fba5acc5245caf62ec9af8b8707c13f59bfcff4">2fba5acc</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-19T15:53:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Handle NTP configuration in a replica server installation

There were two separate issues:

1. If not enrolling on a pre-configured client then the ntp-server and
   ntp-pool options are not being passed down to the client installer
   invocation.
2. If the client is already enrolled then the ntp options are ignored
   altogether.

In the first case simply pass down the options to the client
installer invocation.

If the client is pre-enrolled and NTP options are provided then
raise an exception.

https://pagure.io/freeipa/issue/7723

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0e22314c9bafb684e5e18f7d3937dfc7e04c8561">0e22314c</a></strong>
<div>
<span>by Petr Vobornik</span>
<i>at 2018-10-23T08:23:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-advise: update url of cacerdir_rehash tool

On legacy systems which don't have cacerdir_rehash tool (provided by authconfig)
the generated advise script downloads this tool from project page and uses it.

After decommision of Fedorahosted and move of authconfig project to Pagure,
this url was not updated in FreeIPA project.

This patch updates the url.

https://pagure.io/freeipa/issue/7731

Signed-off-by: Petr Vobornik <pvoborni@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5c0885d2667c396844150af2ce696049e6015cb9">5c0885d2</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-23T13:55:36Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update annobin to fix continuous-integration/travis-ci/pr issues

gcc is updated with the dnf builddep line, but annobin is not. Therefore
configure fails with "C compiler cannot create executables".

This is related to https://bugzilla.redhat.com/show_bug.cgi?id=1574478

See: https://pagure.io/freeipa/issue/7740
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/389c17c5c6656027fcece6ddd4322e4e64f17ff6">389c17c5</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-23T14:45:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ressource leak in client/config.c get_config_entry

The leak happens due to using strndup to create a temporary string without
freeing it afterwards.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8e98c72e5186d099eb4ac0d8b059c4fce64fd739">8e98c72e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-10-23T14:45:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ressource leak in daemons/ipa-slapi-plugins/ipa-cldap/ipa_cldap_netlogon.c ipa_cldap_netlogon

The leak happens due to using strndup in a for loop to create a temporary
string without freeing it in all cases.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3b79deae537f73ffd18e85f52e00e611543e5e45">3b79deae</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-10-23T14:50:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">net groupmap: force using empty config when mapping Guests

When we define a group mapping for BUILTIN\Guests to 'nobody' group in
we run 'net groupmap add ...' with a default /etc/samba/smb.conf which
is now configured to use ipasam passdb module. We authenticate to LDAP
with GSSAPI in ipasam passdb module initialization.

If GSSAPI authentication failed (KDC is offline, for example, during
server upgrade), 'net groupmap add' crashes after ~10 attempts to
re-authenticate. This is intended behavior in smbd/winbindd as they
cannot work anymore. However, for the command line tools there are
plenty of operations where passdb module is not needed.

Additionally, GSSAPI authentication uses the default ccache in the
environment and a key from /etc/samba/samba.keytab keytab. This means
that if you'd run 'net *' as root, it will replace whatever Kerberos
tickets you have with a TGT for cifs/`hostname` and a service ticket to
ldap/`hostname` of IPA master.

Apply a simple solution to avoid using /etc/samba/smb.conf when we
set up the group mapping by specifying '-s /dev/null' in 'net groupmap'
call.

For upgrade code this is enough as in
a678336b8b36cdbea2512e79c09e475fdc249569 we enforce use of empty
credentials cache during upgrade to prevent tripping on individual
ccaches from KEYRING: or KCM: cache collections.

Related: https://pagure.io/freeipa/issue/7705
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/23e33443c9faae79ec34ee55f8281d32f3884329">23e33443</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T08:49:12Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add lgtm.yml to analyzse C code with LGTM

See https://lgtm.com/help/lgtm/customizing-file-classification

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4600e62b6b4547c16eee085e216a56478dd8dd50">4600e62b</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-24T12:20:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install --setup-adtrust: check for package ipa-server-trust-ad

When adding the option --setup-adtrust to ipa-replica-install,
we need to check that the package freeipa-server-trust-ad is
installed.
To avoid relying on OS-specific commands like yum, the check is instead
ensuring that the file /usr/share/ipa/smb.conf.empty is present
(this file is delivered by the package).
When the check is unsuccessful, ipa-replica-install exits with an error
message.

Fixes: https://pagure.io/freeipa/issue/7602
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/836e29591c2ea08c2fdf334c7095d36fe965f0f3">836e2959</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T14:11:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix ipadb_multires resource handling

* ipadb_get_pwd_policy() initializes struct ipadb_multires *res to NULL.
* ipadb_multires_free() supports NULL as no-op.
* ipadb_multibase_search() consistently frees and NULLs
  struct ipadb_multires **res on error.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5fe3198d808346dfb36a45c89784f0e3214a88f1">5fe3198d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T14:11:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't abuse strncpy() length limitation

On two occasions C code abused strncpy()'s length limitation to copy a
string of known length without the trailing NULL byte. Recent GCC is
raising the compiler warning:

  warning: ‘strncpy’ output truncated before terminating nul copying as
  many bytes from a string as its length [-Wstringop-truncation]

Use memcpy() instead if strncpy() to copy data of known size.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4de97f496dd29d7d510759d7fc875ab720d5e90a">4de97f49</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T15:44:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace hard-coded interpreter with sys.executable

Instead of hard-coding python3, the smart card advise script now uses
the current executable path from sys.executable as interpreter.

Fixes: https://pagure.io/freeipa/issue/7741
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a42ca499a6b449fc6e4254c62b084432921ea6c8">a42ca499</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-24T16:28:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add Coverity Scan target

Add "make cov-scan" to automate Coverity scan builds. cov-build requires
extra quirks to work with recent versions of GCC on Fedora.

The make target requires a token and Coverity's build chain. Both are
available for privileged project owners on
https://scan.coverity.com/projects/freeipa-freeipa .

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/235b5bd643947eee4e31c0cfed1729b7d945719c">235b5bd6</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T06:11:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove the authselect profile warning if sssd was not configured.

On a plain uninstall there should not be a bunch of confusing
warning/error messages.

Related to https://pagure.io/freeipa/issue/7729

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e59ee6099f065c2155e3be13025459108daf7900">e59ee609</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T06:11:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix misleading errors during client install rollback

Some incorrect errors are possible if a client installation
fails and a configuration rollback is required.

These include:

1. Unconfigured automount client failed: CalledProcessError(Command
['/usr/sbin/ipa-client-automount', '--uninstall', '--debug']
returned non-zero exit status 1: '')

Caused by check_client_configuration() not returning the correct
return value (2).

2. WARNING: Unable to revert to the pre-installation state ('authconfig'
tool has been deprecated in favor of 'authselect'). The default sssd
profile will be used instead.
The authconfig arguments would have been: authconfig --disableldap
--disablekrb5 --disablesssdauth --disablemkhomedir

If installation fails before SSSD is configured there is no state
to roll back to. Detect this condition.

3. An error occurred while removing SSSD's cache.Please remove the
cache manually by executing sssctl cache-remove -o.

Again, if SSSD is not configured yet then there is no cache to
remove. Also correct the missing space after the period.

https://pagure.io/freeipa/issue/7729

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/552777293d7c0741e7f9302088ebccf1ee7ba27e">55277729</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-10-26T06:11:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Collect the client and server uninstall logs in tests

When running the integration tests capture the uninstallation
logs as well as the installation logs.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4de5ea0930d6a9697668568b0b87a868e5cae285">4de5ea09</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-26T15:21:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-backup: restart services before compressing the backup

ipa-backup gathers all the files needed for the backup, then compresses
the file and finally restarts the IPA services. When the backup is a
large file, the compression may take time and widen the unavailabity
window.

This fix restarts the services as soon as all the required files are
gathered, and compresses after services are restarted.

Fixes: https://pagure.io/freeipa/issue/7632
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fa559808d7158a7de0f21446567c2961b27a1f19">fa559808</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-10-26T15:21:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatest: add functional test for ipa-backup

The test ensures that ipa-backup compresses the files after the
IPA services are restarted.

Related to: https://pagure.io/freeipa/issue/7632

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2e7f3d1d0d56c52da800c76d9b1184364277d183">2e7f3d1d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T16:04:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Improve Python configuration for LGTM

LGTM is no longer able to analyse all Python code without importing it.
Define OS and Python package dependencies and build the project for
Python, too.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ec54fa771220409783b70e7ebca35f91cc652c4a">ec54fa77</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T18:10:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Keep Dogtag's client db in external CA step 1

Don't remove /root/.dogtag/pki-tomcat when performing step 1 of external
CA installation process. Dogtag 10.6.7 changed behavior and no longer
re-creates the client database in step 2.

Fixes: https://pagure.io/freeipa/issue/7742
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/204353e4dc8e44006dfed3d0cd6dc6d12cf41aa4">204353e4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T18:10:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use tasks.install_master() in external_ca tests

The install_master() function performs additional steps besides just
installing a server. It also sets up log collection and performs
additional tests.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4b920df4836820864199d8386fb4265d5571ea5f">4b920df4</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-10-26T19:37:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Restore KRA clone installation integration test

This Dogtag issue that caused KRA clone installation failure in some
scenarios has been fixed (https://pagure.io/dogtagpki/issue/3055).
This reverts commit 2488813260a407477c7516b33ce4238b69c8dd8d and
bumps the pki-core dependency.

Fixes: https://pagure.io/freeipa/issue/7654
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ec208e9719702b12e139a5d06efb44c611ab9d8b">ec208e97</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-10-26T19:37:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require Dogtag 10.6.7-3

10.6.7-3 fixes a problem with ipa-ca-install and ipa-kra-install on
replicas.

See: https://pagure.io/dogtagpki/issue/3073
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/49df1ab1c847b342ded475c2df6545e4e9b76793">49df1ab1</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": check search filter

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/63cbf6294eb2c201b49678d211528c020317e71e">63cbf629</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": check creating and deleting of multiple rules

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a68035dcae239644eb7c75bfdcf0c5832c1eeb21">a68035dc</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": check creating and deleting of automember rule conditions

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/33a74fb2c45dc23e4792a70c586286941e37989a">33a74fb2</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": check setting default user/host group

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cd795257cc7b88e0d93201271d03184a33fa9653">cd795257</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": Negative cases

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8949aa64d991305007a589bc84fd59a484d93301">8949aa64</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-30T15:26:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automember": Extend search cases

https://pagure.io/freeipa/issue/7721

Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1d4b43efa4d0dc48f3541a89d4d645e866b0648f">1d4b43ef</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check "Add Automount..." dialogs

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e957e0aef0273070c6823df6217a262cf3c0c0f3">e957e0ae</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check modifying map and key settings

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/97f158aeec029369588a8bbe0cba6b431e855b5f">97f158ae</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": Fix item deleting

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/de06bf2778fb7974f06a6411357b81752ac2626b">de06bf27</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check creating indirect automount map without some fields

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b7a149feb22700ccc3a84bb74799b75df963ec23">b7a149fe</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check creating automount key without some fields

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ba40590e9d0bec3846d7b13c543de1652f3203de">ba40590e</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check indirect map duplication

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6444808fd2c4bc408543127aafc1835c349fba29">6444808f</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check some negative cases

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8f2a75cb00eeef51712368a4e4f71353d593e054">8f2a75cb</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">UI tests for "Automount": check dialog confirmation using ENTER

https://pagure.io/freeipa/issue/7735

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8954521007891b85d159d8b3bfa72da04b5a9279">89545210</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-10-31T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI tests: Make possible to use kwargs with @screenshot decorator

Reviewed-By: Petr Cech <pcech@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9b7a152e9581370239b3f8930522a4db01026cbf">9b7a152e</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-01T12:08:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Pass a list of values into add_master_dns_records

During replica installation the local IP addresses should be
added to DNS but will fail because a string is being passed
to an argument expecting a list. Convert to a list before
passing in individual IPs.

Discovered when fixing https://pagure.io/freeipa/issue/7408

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4cde696d710d2d5178cc81a4b1539a33db834403">4cde696d</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-01T12:08:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Demote log message in custodia _wait_keys to debug

This was previously suppressed because of the log level in
an installation was set to error so it was never displayed
Keeping consistency and demoting it to debug since the
log level is increased to info.

Related: https://pagure.io/freeipa/issue/7408

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f4e37385b40e5f35be040768de9c554235978ee2">f4e37385</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-01T12:08:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable replica install info logging to match ipa-server-install

Increase log level to info by setting verbose=True and adding
a console format.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7408

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/aa261ba5b1c7594b3314fb606d46ec51f29f31a7">aa261ba5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-01T12:56:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">has_krbprincipalkey: avoid double free

Set keys to NULL after free rder to avoid potential double free.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/800e448aeb86acb06f714027fe70b5af9edfc8b2">800e448a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-01T12:56:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipadb_mspac_get_trusted_domains: NULL ptr deref

Fix potential NULL pointer deref in ipadb_mspac_get_trusted_domains().
In theory, dn could be empty and rdn NULL. The man page for ldap_str2dn()
does not guarantee that it returns a non-empty result.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/da2078bc6075b69a7bb52e18ab68cea4e1ecd346">da2078bc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-01T12:56:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipapwd_pre_mod: NULL ptr deref

In ipapwd_pre_mod, check userpw for NULL before dereferencing its first
element.

See: https://pagure.io/freeipa/issue/7738
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4cd26fcba5b444020536935c979e44af4fdc654b">4cd26fcb</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-06T09:59:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaldap: avoid invalid modlist when attribute encoding differs

ipaldap does not take into account the possibility of the attribute
encoding returned by python-ldap differing from the attribute
encoding produced by FreeIPA.  In particular this can occur with DNs
with special characters that require escaping.  For example,
python-ldap (or the underlying LDAP library) escapes special
characters using hex encoding:

  CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\2C Inc.,L=Brisbane,C=AU

Whereas FreeIPA, when encoding the DN, escapes the character
directly:

  CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\, Inc.,L=Brisbane,C=AU

Therefore it is possible to generate an invalid modlist. For
example, during external CA certificate renewal, if the issuer DN
includes a comma in one of the attribute values (as above), an
invalid modlist will be generated:

  [ (ldap.MOD_ADD, 'ipacaissuerdn',
      [b'CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\, Inc.,L=Brisbane,C=AU'])
  , (ldap.MOD_DELETE, 'ipacaissuerdn',
      [b'CN=Test Sub-CA 201604041620,OU=ftweedal,O=Red Hat\2C Inc.,L=Brisbane,C=AU'])
  ]

Although encoded differently, these are the same value.  If this
modification is applied to the object, attributeOrValueExists (error
20) occurs.

To avoid the issue, put deletes before adds in the modlist.  If a
value is present (with different encodings) as both an addition and
a deletion, it must be because the original object contained the
value with a different encoding.  Therefore it is safe to delete it,
then add it back.

Note that the modlist is not optimal.  In the simplest case (like
above example), there should be no modification to perform.  It is
considerably more complex (and more computation) to implement this
because the raw attribute values must be decoded before comparison.

Fixes: https://pagure.io/freeipa/issue/7750
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b8007e14ccf1d49f1c255df6344972fbe040810d">b8007e14</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-07T07:39:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">rpc: always read response

If the server responds 401 and the response body is empty, the
client raises ResponseNotReady.  This occurs because:

1. For a non-200 response, the response read only if the
   Content-Length header occurs.

2. The response must be read before another request (e.g. the
   follow-up request with WWW-Authenticate header set), and this
   condition was not met.  For details see
   https://github.com/python/cpython/blob/v3.6.7/Lib/http/client.py#L1305-L1321.

This situation should not arise in regular use, because the client
either has a session cookie, or, knowing the details of the server
it is contacting, it establishes the GSS-API context and includes
the WWW-Authenticate header in the initial request.

Nevertheless, this problem has been observed in the wild.  I do not
know its ordinary cause(s), but one can force the issue by removing
an authenticated user's session cache from /run/ipa/ccaches, then
performing a request.

Resolve the issue by always reading the response.  It is safe to
call response.read() regardless of whether the Content-Length header
appears, or whether the body is empty.

Fixes: https://pagure.io/freeipa/issue/7752
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0a5a7bdef7c300cb8f8a8128ce6cf5b115683cbe">0a5a7bde</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T12:11:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_cli_fsencoding on Python 3.7

Starting with Python 3.7, PEP 538 addresses the locale issue. Python now
supports UTF-8 file system encoding with non-UTF-8 C locale.

See: https://docs.python.org/3/whatsnew/3.7.html#whatsnew37-pep538
See: https://pagure.io/freeipa/issue/5887
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/324da5c379847fbb92e6eb71433a2aec9898cde9">324da5c3</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2018-11-07T12:48:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-advise for enabling sudo for admins group

Test that
1) sudo is not enabled for members of admins group by default
2) sudo is enabled for them after execution of script provided
by ipa-advise enable_admins_sudo

Related to https://pagure.io/freeipa/issue/7538

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8b0f3595fd94a31a0e2d5a83dc74a430c973325b">8b0f3595</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-07T15:28:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow ipaapi user to access SSSD's info pipe

For smart card authentication, ipaapi must be able to access to sss-ifp.
During installation and upgrade, the ipaapi user is now added to
[ifp]allowed_uids.

The commit also fixes two related issues:

* The server upgrade code now enables ifp service in sssd.conf. The
  existing code modified sssd.conf but never wrote the changes to disk.
* sssd_enable_service() no longer fails after it has detected an
  unrecognized service.

Fixes: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/82af034023b03ae64f005c8160b9e961e7b9fd55">82af0340</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-07T15:37:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver.install.adtrust: fix CID 323644

Fix Coverity finding CID 323644: logically dead code path

The code to determine whether NetBIOS name was already set or need to be
set after deriving it from a domain or asking a user for an interactive
input, was refactored at some point to avoid retrieving the whole LDAP
entry. Instead, it was provided with the actual NetBIOS name retrieved.

As result, a part of the code got neglected and was never executed.

Fix this code and provide a test that tries to test predefined,
interactively provided and automatically derived NetBIOS name depending
on how the installer is being run.

We mock up the actual execution so that no access to LDAP or Samba is
needed.

Fixes: https://pagure.io/freeipa/issue/7753
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/da70f397cbcc7fd464f0f165881e7f223f599d6b">da70f397</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-11-08T07:34:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase memory size for ipaserver topology (nightly-master.yaml)

Fix "Cannot allocate memory" error for Web UI tests

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/816783a1b9790dedb360e76883c295bc142e980c">816783a1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T12:16:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Copy-paste error in permssions plugin, CID 323649

Address a bug in the code block for attributeLevelRights for old clients.
The backward compatibility code for deprecated options was not triggered,
because the new name was checked against wrong dict.

Coverity Scan issue 323649, Copy-paste error

   The copied code will not have its intended effect.
   In postprocess_result: A copied piece of code is inconsistent with the
   original (CWE-398)

See: Fixes: https://pagure.io/freeipa/issue/7753
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e569afb04eddc7eb0b287d9046de05ed8de4772d">e569afb0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T15:03:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_cli_fsencoding on Python 3.7, take 2

0a5a7bdef7c300cb8f8a8128ce6cf5b115683cbe introduced another problem. The
test is now failing on systems without a full IPA client or server
installation. Use IPA_CONFDIR env var to override location of
default.conf, so that the command always fails.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4124743862cacd4a9b1c6569e19888302a7736f4">41247438</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T16:44:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace messagebus with modern name dbus

"messagebus" is an old, archaic name for dbus. Upstream dbus has started
to move away from the old name. Let's use the modern term in FreeIPA,
too.

Fixes: https://pagure.io/freeipa/issue/7754
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e64ae1d043fb00f04e1c8c77cd214a806ce308b0">e64ae1d0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T16:46:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing tests to nighly runs

Run test_customized_ds_config_install and test_dns_locations in nightly
runs.

See: https://pagure.io/freeipa/issue/7743
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4cede86673e33bd2e8c9b6dd5eec2ccdb98c3a1a">4cede866</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-08T16:46:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Speed up test_customized_ds_config_install

Reuse master instance when installing replica with custom DS config.
This avoids one extra ipa-server-install and also tests replica
installation from a master with custom DS config.

See: https://pagure.io/freeipa/issue/7743
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/60a31d3f0ebca54ae21edaeb86b8480ffafe6e23">60a31d3f</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-09T14:58:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Nightly tests: add test_user_permissions.py

Run the above test in the nightly test suites

Related to https://pagure.io/freeipa/issue/7743

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/044ffe0dd0b542e9b8310c67669285c66153c916">044ffe0d</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-09T22:16:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add sysadm_r to default SELinux user map order

It is a standard SELinux user role included in RHEL (like
user_r, staff_r, guest_r) and used quite often.

Fixes: https://pagure.io/freeipa/issue/7658
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d731f6fd74b76e7d5e2b86a74ebdcca8dcb05062">d731f6fd</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-12T10:23:16Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: ensure non-empty Subject Key Identifier

Installation or IPA CA renewal with externally-signed CA accepts an
IPA CA certificate with empty Subject Key Identifier. This is
technically legal in X.509, but is an operational issue.
Furthermore, due to an extant bug in Dogtag
(https://pagure.io/dogtagpki/issue/3079) it will cause Dogtag
startup failure.

Reject CA certificates with empty Subject Key Identifier.

Fixes: https://pagure.io/freeipa/issue/7762
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/87474cc1a3a2782088a78f56c9267109f1fd5b8c">87474cc1</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-11-12T11:04:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Split Web UI test suite in nightly PR CI configuration

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3e8f550c29bb984a87309514d277683bf2e75012">3e8f550c</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-13T09:44:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tests for ipa-cacert-manage install

Some basic tests like re-loading a certificate, loading a
PKCS#7 cert and bad cert handling.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7579

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/35d1d345c16fe1adb4cda2e0c33b715d85297dae">35d1d345</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2018-11-13T09:44:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add support for multiple certificates/formats to ipa-cacert-manage

Only a single cert in DER or PEM format would be loaded from the
provided file. Extend this to include PKCS#7 format and load all
certificates found in the file.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>

https://pagure.io/freeipa/issue/7579

Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1e6a77a6da7ee2b65477b8e843f64d4f5a5ff8e0">1e6a77a6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T09:51:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix CA less expectations

The test TestServerInstall::test_ca_2_certs has a
wrong expectation. Scenario:
install a CA-less master with
ipa-server-install --ca-cert-file root.pem
where root.pem contains the CA that signed the http and ldap
certificates + an additional (unneeded) CA cert.

The test was expecting a failure, but this scenario is not
problematic as long as the unneeded CA cert is not added.

Related to https://pagure.io/freeipa/issue/6289 which has been
closed as won't fix

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f7511edbfb8e33015c9ea3ab340ab98136794cc8">f7511edb</a></strong>
<div>
<span>by William Brown</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support the 1.4.x python installer tools in 389-ds

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8f9b0fc1dec501652815853e36d02b7d250ced0c">8f9b0fc1</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove some basic pystyle and pylint errors

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/383311a17fcfccc8d4e48e19dacd3f022c79c06b">383311a1</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't try legacy installs

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ed955d14d3bc79dbbb90590d87f7e38777602808">ed955d14</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move lib389 imports to module scope

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/56f8e200131a0972e03b15c3cc3ae1dc30bf09b0">56f8e200</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">DS uninstall: fix serverid missing in state restore

During uninstallation, we're using serverid which we get from
sysrestore.state. This was not set in the newer install,
return it back.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/104ef413ed9c3119531bb4a811958b270b31d3cc">104ef413</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">DS install: fix DS asking for NSS pin during install

DS now comes with nsslapd-security turned on and its own CA
cert in its NSS database. We're re-setting the NSS database
and setting our own CA cert to it, the DS pin file therefore
needs to be updated with the new password after this reset.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e8342d414d6ebec569d2f7c4126169f743f51d22">e8342d41</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">DS install: don't fail if SSL already configured

DS now comes with certain SSL capabilities turned on after
installation. Previously, we did not expect this and were
blindly forcing everything on without checking, whether it
needs turning on. This would result in failures if the
config entries are already set the way we want. Relax this
configuration.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8fb63966cd0622d37309934ce8cbb1e65cf6ae81">8fb63966</a></strong>
<div>
<span>by Stanislav Laznicka</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use the newer way of removing the DS instance

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a606b44f3ad091743dcdf32357271273cd1e49e0">a606b44f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop dependency on 389-ds-base-legacy-tools

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d39bb65a2f6e322b9870f2550bb977ffd4b4cad6">d39bb65a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T11:07:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DS perl paths from debian platform

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/19cd9603876845ea068b7fd0778e2f0d5ac4fc70">19cd9603</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T11:40:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa user-add: add optional objectclass for radius-username

The command "ipa user-add --radius-username" fails with
ipa: ERROR: attribute "ipatokenRadiusUserName" not allowed
because it does not add the objectclass ipatokenradiusproxyuser
that is required by the attribute ipatokenradiususername.

The issue happens with ipa user-add / stageuser-add / user-mod / stageuser-mod.

The fix adds the objectclass when needed in the pre_common_callback method
of baseuser_add and baseuser_mod (ensuring that user and stageuser commands
are fixed).

Fixes https://pagure.io/freeipa/issue/7569

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1c2c2ee6f815babc0ac59040e03e3075d7319e59">1c2c2ee6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T11:40:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: add xmlrpc test for ipa user-add --radius-username

Add a xmlrpc test for ipa user-add/user-mod --radius-username
The command were previously failing because the objectclass
ipatokenradiusproxyuser was not automatically added when the
attribute ipatokenRadiusUserName was added to the entry.

The test ensures that the command is now succeeding.

Related to https://pagure.io/freeipa/issue/7569

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5d603fce5d87a39c0a12bbed880a286b00128f34">5d603fce</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T11:40:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">radiusproxy: add permission for reading radius proxy servers

A non-admin user which has the "User Administrator" role cannot
add a user with ipa user-add --radius=<proxy> because the
call needs to read the radius proxy server entries.

The fix adds a System permission for reading radius proxy server
entries (all attributes except the ipatokenradiussecret). This
permission is added to the already existing privileges "User
Administrators" and "Stage User Administrators", so that the role
"User Administrator" can call ipa [stage]user-add|mod --radius=<proxy>

Fixes: https://pagure.io/freeipa/issue/7570
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/da4c12c3e6ac978afc1a365c3aed87eae5832a96">da4c12c3</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T11:40:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add integration test for "Read radius servers" perm

Add a new integration test for the following scenario:
- create a user with the "User Administrator" role
- as this user, create a user with a --radius=<radius_proxy_server>

This scenario was previously failing because ipa user-add --radius
requires read access to the radius server entries, and there was no
permission granting this access.

Related to https://pagure.io/freeipa/issue/7570

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1be415cd04a0fcadaa12ecf5dd2c34a7e741a504">1be415cd</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T11:42:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add missing tests for test_caless

Two tests were missing from nightly definition:
- test_caless.py::TestReplicaCALessToCAFull
- test_caless.py::TestServerCALessToExternalCA

Related to https://pagure.io/freeipa/issue/7743

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8b7e17aa16fa20b2917ee6bb2343b2658306b548">8b7e17aa</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T12:04:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: update tests for ipa-server-certinstall

The test test_http_intermediate_ca was expecting success when
it should expect a failure. Scenario:
- install IPA ca-less with certs signed by rootCA
- call ipa-server-certinstall with a cert signed by a subCA
to replace http cert.
In this case, the command should refust changing the cert
(otherwise the clients won't be able any more to use
ipa * commands as the subca is not installed in /etc/ipa/nssdb
or in /etc/ipa/ca.crt).

The commit fixes the test expectation and marks the test as
xfail (see ticket 7759).

The test test_ds_intermediate_ca was expecting success when
it should expect a failure. Same scenario as above, but for
the ldap server cert.

The commit fixes the test expectation and removes the xfail
(ticket 6959 was closed as invalid).

Note:
The behavior differs for ldap and http cert because LDAP server
is using a NSSDB and http server is using openssl, hence
ipa-server-certinstall follows 2 different code paths when
changing the server cert.

Related to https://pagure.io/freeipa/issue/7759
Related to https://pagure.io/freeipa/issue/6959

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5483f9f6bb268f42b70eef227e268f8e28922f01">5483f9f6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T12:04:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">temp commit: run test_integration/test_caless.py::TestCertInstall

Please remove before pushing

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1dd98d25178ced858112e11a63f0a4fc556775fc">1dd98d25</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T12:22:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Revert "temp commit: run test_integration/test_caless.py::TestCertInstall"

This reverts commit 5483f9f6bb268f42b70eef227e268f8e28922f01.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e6d7f2003996a64ce25a9462ed2ca8f011573979">e6d7f200</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Ignore W504 code style like in travis config

pycodestyle both complains about "W504 line break after binary operator"
and "W503 line break before binary operator" when all warnings are
enabled. FreeIPA already ignores W504 in travis config. Let's ignore it
in fastcheck, too.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8944458d3c7147a1b6ca3f5e765d3c692baa0d2b">8944458d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address pylint violations in lite-server

Teach pylint that env instance has lite_* members

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/85286beb5b4da390e24ee35b9c3cd4c2455a1961">85286beb</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address inconsistent-return-statements

Pylint warns about inconsistent return statements when some paths of a
function return None implicitly. Make all implicit returns either
explicit or raise a proper exception.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7bdc9badfd53da88647deec5dfd05c3daad91820">7bdc9bad</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Ignore consider-using-enumerate for now

Ignore new consider-using-enumerate warning for now and clean up code
later.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/496d1756c9bdde3e161c0e18de9e3563dc98dbe7">496d1756</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address consider-using-in

Replace multiple comparisons with 'in' operation.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/83cdd27f97add9c202e0a2f79862f7da84f035d8">83cdd27f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix comparison-with-callable

Pylint warns about comparing callable. Replace equality with identity
test.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/713607769e3cc91f2f944eaf5637a06a21418c72">71360776</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix useless-import-alias

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1e569c4f467b2941191316a80610c907b7c7c8cb">1e569c4f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix Module 'pytest' has no 'config' member

pytest.config is created dynamically.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c00dd211068f60d32b6310df53b28f0e9ad391b2">c00dd211</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix various dict related pylint warnings

* dict-keys-not-iterating
* dict-values-not-iterating
* dict-items-not-iterating
* dict-iter-method

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc2c71bff8915eda631ed23d0c2a7b4b3ead81da">dc2c71bf</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix raising-format-tuple

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ec61f5de3cfcc648b1a1c3170ec7afca970f9cda">ec61f5de</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Silence comparison-with-itself in tests

Test code performs comparison to itself in order to verify __eq__ and
__ne__ implementations.

See: https://pagure.io/freeipa/issue/7758
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3abfaa5754197823d2d7a1e841e3929b035e7769">3abfaa57</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-13T12:37:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require pylint 2.1.1-2

pylint 2.1.1-2 contains a backport of pylint's fix for RHBZ#1648299:

  is_subclass_of fails with AttributeError: 'NoneType' object has no
  attribute 'name'

pylint 2.1.1-2 is in @freeipa/freeipa-master COPR.

See: https://github.com/PyCQA/pylint/pull/2429
See: https://bugzilla.redhat.com/show_bug.cgi?id=1648299
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a2a293ed2f40e3688634fc53dccb8d682fd2ab22">a2a293ed</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-13T13:19:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Print correct subject on CA cert verification failure

In load_external_cert(), if verification fails for a certificate in
the trust chain, the error message contains the last subject name
from a previous iteration of the trust chain, instead of the subject
name of the current certificate.

To report the correct subject, look it up using the current
nickname.

Part of: https://pagure.io/freeipa/issue/7761

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/61e1d7a83bc357751c5eb081f537194565bc7e65">61e1d7a8</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-11-13T13:19:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: validate certificate signatures

When verifying a CA certificate, validate its signature.  This
causes FreeIPA to reject certificate chains with bad signatures,
signatures using unacceptable algorithms, or certificates with
unacceptable key sizes.  The '-e' option to 'certutil -V' was the
missing ingredient.

An an example of a problem prevented by this change, a certifiate
signed by a 1024-bit intermediate CA, would previously have been
imported by ipa-cacert-manage, but would cause Dogtag startup
failure due to failing self-test.  With this change,
ipa-cacert-manage will reject the certificate:

  # ipa-cacert-manage renew --external-cert-file /tmp/ipa.p7
  Importing the renewed CA certificate, please wait
  CA certificate CN=Certificate Authority,O=IPA.LOCAL 201809261455
  in /tmp/ipa.p7 is not valid: certutil: certificate is invalid: The
  certificate was signed using a signature algorithm that is
  disabled because it is not secure.

Fixes: https://pagure.io/freeipa/issue/7761
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/14ad844bb164b4b83b8462fe6e8fa2273acef07f">14ad844b</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-13T14:16:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add missing tests in test_backup_and_restore.py

3 tests were missing from this test file in the nightly tests:
- TestBackupAndRestoreWithReplica
- TestBackupAndRestoreDMPassword
- TestReplicaInstallAfterRestore

one test was having the wrong name in nightly_rawhide:
TestUserRootFilesOwnershipPermission

Related to https://pagure.io/freeipa/issue/7743

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ee52ceb98cdc8746e8b0a9b834afad536b282d85">ee52ceb9</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-13T16:43:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update translations from Zanata

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/13917ddc55ee0d40130cfb37173dd368642d46a9">13917ddc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-14T06:57:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certdb: validate server cert signature

PR https://github.com/freeipa/freeipa/pull/2554 added the '-e' option for CA
cert validation. Let's also verify signature, key size, and signing algorithm
of server certs. With the '-e' option, the installer and other
tools will catch weak certs early.

Fixes: pagure.io/freeipa/issue/7761
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1e2c4d5bd1fd1dc66d17309ffbac533baffcb960">1e2c4d5b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-15T14:02:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix pytest deprecation warning

conftest uses the Function attribute of a pytest.Function object. Latest
pytest has deprecated the attribute:

  _pytest.warning_types.RemovedInPytest4Warning: usage of Function.Function
   is deprecated, please use pytest.Function instead

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0c0a392dd0c8a7d77a1e9f571cf44c6af446c07f">0c0a392d</a></strong>
<div>
<span>by sudharsanomprakash</span>
<i>at 2018-11-15T22:52:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't use deprecated Apache Access options.

httpd-2.4+ has deprecated the Order, Allow and Deny directives. Use the Require directive instead.

Signed-off-by: Sudharsan Omprakash <sudharsan.omprakash@yahoo.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1ec404fafe088c5c6a2c0bf6b300093313c478af">1ec404fa</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-16T08:22:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">freeipa.spec.in: add BuildRequires for python3-lib389

freeipa.spec.in is missing BuildRequires for python3-lib389. The
consequence is that make fasttest is failing.

Fixes https://pagure.io/freeipa/issue/7767

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6dc8b0c6a75fa5d0d801d9e78e9eea5fe610f221">6dc8b0c6</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-11-16T09:55:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix nightly PR CI configuration for Web UI tests

Add strip operator for test_suite definitions (in nightly_*.yaml) to prevent inserting line breaks.

https://pagure.io/freeipa/issue/7756

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/122f968ceebbe80a47eca842a98bb39876264535">122f968c</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-11-16T21:54:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-kdb: reduce LDAP operations timeout to 30 seconds

Since LDAP operations used by ipa-kdb driver are synchronous, the
timeout specified here is blocking entire KDC. It is worth reducing the
timeout and since AS REQ processing timeout in KDC is 1 minute, reducing
the timeout for LDAP operations down to 30 seconds allows KDC to
respond promptly in worst case scenario as well.

Fixes: https://pagure.io/freeipa/issue/7217
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Robbie Harwood <rharwood@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7434a3299d25d1b96ac13ad33fb9ec96eb3da85e">7434a329</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-20T08:31:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI: Restart rpcbind when it blocks kadmin port

Every now and then, a PR-CI job fails because rpcbind blocks the kadmin
port 749/UDP and kadmin.service fails to start. When NFS secure port is
configured, rpcbind reserves a random low port.

A new workaround detects the blocked port and restarts rpcbind.service.

See: https://pagure.io/freeipa/issue/7769
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/55c0a93271cd7ea6111ac188a5c43615bae4d010">55c0a932</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-20T12:34:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix test_replica_uninstall_deletes_ruvs

test_topology.py is failing because of a wrong scenario.
Currently, test_replica_uninstall_deletes_ruvs does:
- install master + replica with CA
- ipa-replica-manage list-ruv to check that the repl is
propery setup
- ipa-replica-manage del $replica
- (on replica) ipa-server-install --uninstall -U
- ipa-replica-manage list-ruv to check that replica
does not appear any more in the RUV list

When ipa-replica-manage del is run, the topology plugin
creates 2 tasks cleanallruvs (one for the domain, one for the ca)
and they are run asynchronously. This means that the ruvs may
still be present when the test moves forward and calls list-ruv.

The test should wait for the cleanallruvs tasks to finish before
checking that list-ruv does not display replica anymore.

Fixes https://pagure.io/freeipa/issue/7545

Reviewed-By: Thierry Bordaz <tbordaz@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/23306a28c9181065ab3f2828ab2df56c152e2c62">23306a28</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-20T14:12:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-install: password and admin-password options mutually exclusive

Currently it is possible to run ipa-replica-install in one step,
and provide --password and --admin-password simultaneously.
This is confusing as --password is intended for one-time pwd
when the ipa-replica-install command is delegated to a user
who doesn't know the admin password.

The fix makes --password and --admin-password options
mutually exclusive.

Fixes https://pagure.io/freeipa/issue/6353

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/26e35dca413ecfa68df0b6115bed17ea4421fe31">26e35dca</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-20T14:12:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-replica-install options

Add a test checking that --password and --admin-password
options are mutually exclusive.

Related to https://pagure.io/freeipa/issue/6353

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1e7be6fb3d1b50e6d5f398ea385f4fec6fad6598">1e7be6fb</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T06:36:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add missing tests for test_external_ca.py

Some tests were missing from nightly definition:
test_external_ca.py::TestExternalCAdirsrvStop
test_external_ca.py::TestExternalCAInvalidCert
test_external_ca.py::TestMultipleExternalCA

Related to https://pagure.io/freeipa/issue/7743

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/19211257c64ac95d1b0cc0d83729383dea7a98d1">19211257</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T06:36:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add missing tests for test_installation.py

Some tests were missing in the nightly:
- test_installation.py::TestInstallWithCA_DNS3
- test_installation.py::TestInstallWithCA_DNS4

Relates to https://pagure.io/freeipa/issue/7743

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d18b0d558ba56f3da16c6240d46ed9809c37b256">d18b0d55</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-21T06:36:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add missing tests for test_replica_promotion.py

The following test was missing from nightly:
test_replica_promotion.py::TestReplicaInstallCustodia

Related to https://pagure.io/freeipa/issue/7743

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8decef33d310926c766f9b80ce78655b553a247d">8decef33</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-21T07:57:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Unify and simplify LDAP service discovery

Move LDAP service discovery and service definitions from
ipaserver.install to ipaserver. Simplify and unify different
implementations in favor of a single implementation.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8182ebc6c3ca636276fc277186cfbff4ea9cf5c6">8182ebc6</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2018-11-21T09:29:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for ipa-restore in multi-master configuration

Test ensures that after ipa-restore on the master, the replica can be
re-synchronized and a new replica can be created.

https://pagure.io/freeipa/issue/7455

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a709da674833a0c44cdca0c3431313a44bacb9dd">a709da67</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-21T14:41:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a shared-vault-retrieve test

Add a shared-vault-retrieve test when:
* master has KRA installed
* replica has no KRA
This currently fails because of issue#7691

Related-to: https://pagure.io/freeipa/issue/7691
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dd0490e1d8f2021b3fad8f283a73bd7e63e2178c">dd0490e1</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-11-21T14:41:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add a "Find enabled services" ACI in 20-aci.update so that all users can find IPA servers and services. ACI suggested by Christian Heimes.

Fixes: https://pagure.io/freeipa/issue/7691
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/42fb0cc6a78d6aab1a88f3bc266d0103fdfa7936">42fb0cc6</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2018-11-23T09:42:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Added test for ipa-client-install with a non-standard ldap.conf file Ticket: https://pagure.io/freeipa/issue/7418

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Mohammad Rizwan Yusuf <myusuf@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/58053b27475a6fe6f84b7cb85229938e7839af62">58053b27</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-23T09:44:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">TestBackupAndRestoreWithReplica needs 2 replicas

The test case TestBackupAndRestoreWithReplica needs two replicas but
PR-CI just had topology: *master_1repl.

Fixes: https://pagure.io/freeipa/issue/7691
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/533a5b2633e8b5d9049256ea085324cbc45c6e73">533a5b26</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-26T15:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint 2.2: Fix unnecessary pass statement

pylint 2.2.0 has a new checker for unnecessary pass statements. There is
no need to have a pass statement in functions or classes with a doc
string.

Fixes: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f800d8f8cab90dd23547c1da790ec2af69d3614a">f800d8f8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-26T15:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint: Fix duplicate-string-formatting-argument

pylint 2.2 has a checker for duplicate string formatting argument.
Instead of passing the same argument multiple times, reference the
argument by position.

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d8791f8f9b7fda3ad8a27120a3cf86ee90cdd353">d8791f8f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-26T15:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylint: also verify scripts

Build all scripts in install/tools/ to check them with pylint, so that
``make pylint`` always checks all scripts. The script files are
generated by make.

Please note that fastlint does not check script files.

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bb4b558164d4f33ca09b9c2b2fbeb0de3280e00b">bb4b5581</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-26T15:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Address misc pylint issues in CLI scripts

The CLI script files have additional pylint issues that were not noticed
before. The violations include using dict.keys() without directly
iterating of the result, inconsistent return statements and set([])
instead of set literals.

* dict-keys-not-iterating
* inconsistent-return-statements
* onsider-using-set-comprehensio

See: https://pagure.io/freeipa/issue/7772
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/07c163ca9214b1d6bb2446dd3c93ad04e1382535">07c163ca</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-11-27T13:20:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix "ID views" tests fail after running "Automember" tests

Clear default user/host group before deleting.

https://pagure.io/freeipa/issue/7771

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3243498faa19eeba01fc87586a3d6fbcd81a4fa3">3243498f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-27T13:43:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase debugging for blocked port 749 and 464

kadmin.service is still failing to start sometimes. List and check both
source and destination ports of listening and non-listening TCP and UDP
sockets.

See: https://pagure.io/freeipa/issue/7769
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/372c2fc99021c037f00a6819baa44b64900de479">372c2fc9</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-27T22:20:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaldap.py: fix method creating a ldap filter for IPACertificate

ipa user-find --certificate and ipa host-find --certificate
fail to return matching entries, because the method transforming
the attribute into a LDAP filter does not properly handle
IPACertificate objects.
Directory Server logs show a filter with
(usercertificate=ipalib.x509.IPACertificate object at 0x7fc0a5575b90>)

When the attribute contains a cryptography.x509.Certificate,
the method needs to extract the public bytes instead of calling str(value).

Fixes https://pagure.io/freeipa/issue/7770

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d2fa2ecb4be1e00a2b5f45ed0129175fc5f4dbb1">d2fa2ecb</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-27T22:20:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add xmlrpc test for user|host-find --certificate

There were no xmlrpc tests for ipa user-find --certificate
or ipa host-find --certificate.
The commit adds tests for these commands.

Related to https://pagure.io/freeipa/issue/7770

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8c650add34b6e46607d3cd53765855a9c6ca5a26">8c650add</a></strong>
<div>
<span>by Francisco Trivino</span>
<i>at 2018-11-28T19:35:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">prci_definitions: update vagrant memory topology requirements

Memory requirements for master and replica have been increased
due to OOM issues. This PR updates prci_definitions accordingly.

This PR also roll-back ipaserver mem reqs to the previous value
since the WebUI tests were split into different blocks.

Fixes https://pagure.io/freeipa/issue/7777

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7aceca2da4f4b68b942c796d6152706f12135502">7aceca2d</a></strong>
<div>
<span>by Adam Williamson</span>
<i>at 2018-11-29T15:57:33Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix authselect invocations to work with 1.0.2

Since authselect 1.0.2, invoking an authselect command sequence
like this:

['authselect', 'sssd', '', '--force']

does not work: authselect barfs on the empty string arg and
errors out. We must only pass a features arg if we actually have
some text to go in it.

This broke uninstallation.

In all cases, features are now passed as separate arguments instead of one
argument separated by space.

Fixes: https://pagure.io/freeipa/issue/7776
Signed-off-by: Adam Williamson <awilliam@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/25cfeea7691a90cb6cf5ee591504f572240dc084">25cfeea7</a></strong>
<div>
<span>by Diogo Nunes</span>
<i>at 2018-11-30T09:03:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI: Move to Fedora 29 template, version 0.2.0

Enable testing (gating and nightly) to use the new F29 template.

Fixes: https://pagure.io/freeipa/issue/7779

Signed-off-by: Diogo Nunes <dnunes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/800f2690f5b513e7e27ad739ccbebf7e420140b5">800f2690</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-30T10:05:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa upgrade: handle double-encoded certificates

Issue is linked to the ticket
 #3477 LDAP upload CA cert sometimes double-encodes the value
In old FreeIPA releases (< 3.2), the upgrade plugin was encoding twice
the value of the certificate in cn=cacert,cn=ipa,cn=etc,$BASEDN.

The fix for 3477 is only partial as it prevents double-encoding when a
new cert is uploaded but does not fix wrong values already present in LDAP.

With this commit, the code first tries to read a der cert. If it fails,
it logs a debug message and re-writes the value caCertificate;binary
to repair the entry.

Fixes https://pagure.io/freeipa/issue/7775
Signed-off-by: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/93e3fc4d8930d205be16c1bc00768f607b6d850f">93e3fc4d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-11-30T10:05:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add upgrade test for double-encoded cacert

Create a test for upgrade with the following scenario:
- install master
- write a double-encoded cert in the entry
cn=cacert,,cn=ipa,cn=etc,$basedn
to simulate bug 7775
- call ipa-server-upgrade
- check that the upgrade fixed the value

The upgrade should finish successfully and repair
the double-encoded cert.

Related to https://pagure.io/freeipa/issue/7775

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2616795b3bc91001dea1f1c0e48a73b8bed52343">2616795b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-11-30T12:13:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update temp commit template to F29

The temp_commit.yaml template now uses F29 as well. It also contains all
topology configurations from the nightly jobs.

Fixes: https://pagure.io/freeipa/issue/7779
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8a835daf478195e00ed04c206c24c09afdfd927f">8a835daf</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-12-03T09:32:36Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certupdate: add commentary about certmonger behaviour

It is not obvious why we "renew" (reuse only) the IPA CA certificate
in ipa-certupdate.  Add some commentary to explain this behaviour.

Related: https://pagure.io/freeipa/issue/7751
See also: https://github.com/freeipa/freeipa/pull/2576#issuecomment-442220840

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fc70c78e45da57e323b39f7b56d721bd3683842b">fc70c78e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">New firewall support class in ipatests/pytest_ipa/integration/firewall

The new Firewall class provides methods to enable and disable a service,
service lists and also methods to apply a passthrough rule, also to add,
prepend and also remove a list of passthrough rules:

class Firewall
    __init__(host)
        Initialize with host where firewall changes should be applied
        Unmasks, enables and starts firewalld

    enable_service(service)
        Enable firewall service in firewalld runtime and permanent
        environment

    disable_service(service)
        Disable firewall service in firewalld runtime and permanent
        environment

    enable_services(services)
        Enable list of firewall services in firewalld runtime and
        permanent environment

    disable_services(services)
        Disable list of firewall services in firewalld runtime and
        permanent environment

    passthrough_rule(rule, ipv=None)
        Generic method to get direct passthrough rules to firewalld
        rule is an ip[6]tables rule without using the ip[6]tables command.
        The rule will per default be added to the IPv4 and IPv6 firewall.
        If there are IP version specific parts in the rule, please make
        sure that ipv is set properly.
        The rule is added to the direct sub chain of the chain that is
        used in the rule

    add_passthrough_rules(rules, ipv=None)
        Add passthough rules to the end of the chain
        rules is a list of ip[6]tables rules, where the first entry of each
        rule is the chain. No --append/-A, --delete/-D should be added
        before the chain name, beacuse these are added by the method.
        If there are IP version specific parts in the rule, please make
        sure that ipv is set to either ipv4 or ipv6.

    prepend_passthrough_rules(rules, ipv=None)
        Insert passthough rules starting at position 1 as a block
        rules is a list of ip[6]tables rules, where the first entry of each
        rule is the chain. No --append/-A, --delete/-D should be added
        before the chain name, beacuse these are added by the method.
        If there are IP version specific parts in the rule, please make
        sure that ipv is set to either ipv4 or ipv6.

    remove_passthrough_rules(rules, ipv=None)
        Remove passthrough rules
        rules is a list of ip[6]tables rules, where the first entry of each
        rule is the chain. No --append/-A, --delete/-D should be added
        before the chain name, beacuse these are added by the method.
        If there are IP version specific parts in the rule, please make
        sure that ipv is set to either ipv4 or ipv6.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e3d134e66f5bd0b46a316740709c5747826d5379">e3d134e6</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/pytest_ipa/integration/tasks.py: Configure firewall

install_master: Enable firewall services freeipa-ldap and freeipa-ldaps by
default, enable dns if setup_dns is set and enable freeipa-trust if
setup_adtrust is set. The services are enabled after the master has been
successfully installed.

install_replica: Enable firewall services freeipa-ldap and freeipa-ldaps
by default, enable dns if setup_dns is set and enable freeipa-trust if
setup_adtrust is set. The services are enabled before the replica gets
installed and disabled if the installation failed.

install_adtrust: Enable firewall service freeipa-trust after
ipa-adtrust-install has been called.

uninstall_master: Disable services freeipa-ldap, freeipa-ldaps,
freeipa-trust and dns after ipa-server-install --uninstall -U has been
called.

install_dns: Enable firewall service dns after ipa-dns-install has been
called.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d427e4b2badae9d1f33722614962a3b6dcce1eeb">d427e4b2</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_forced_client_reenrollment.py: Use unshare

Instead of using iptables command, use "unshare --net" for uninstalling
client in the restore_client method.

The uninstall_client method has been extended with the additional argument
unshare (bool) which defaults to False. With unshare set, the call for
"ipa-client-install --uninstall -U" will be used with "unshare --net". The
uninstall command will not have network access.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5a740144e06e26b26d7246ca58bdce64c36fdb71">5a740144</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_http_kdc_proxy.py: Use new firewall import

Instead of using ip[6]tables commands, use new firewall class to deny
access to TCP and UDP port 88 on external machines using the OUTPUT chain.
The iptables calls in the install method are replaced by a
prepend_passthrough_rules call with the rules defined in the class.

The firewall rules are defined in the class as fw_rules without
--append/-A, --delete/-D, .. First entry of each rule is the chain name,
the argument to add or delete the rule will be added by the used Firewall
method. See firewall.py for more information.

The "iptables -F" call (IPv4 only) in the uninstall method is replaced by
a remove_passthrough_rules call with the rules defined in the class.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3ac830c7b4c7857bc86b7ae75bb93540e5a42ab9">3ac830c7</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_dnssec.py: Enable dns firewall service

The dns firewall service needs to be enabled for the servers and replicas
where dns support has not been enabled at install time. Also it is needed
to enable the dns firewall service on the replica for migrating the dns
server to the replica.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3a7153c75c4d870d1d0964a0ebd1a14bd0396def">3a7153c7</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-03T10:26:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_replica_promotion.py: Configure firewall

The tests in this file are calling ipa-[server,replica]-install directly
instead of using methods from tasks. Therefore it is required to enable
or disable the needed firewall services also.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8c5aefc2e916d1f1da199e3a521893dba9b89c40">8c5aefc2</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-03T11:03:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Revert to development after a release
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dde2aa4b16b10f39ed595fef4d2425a4229fd7d5">dde2aa4b</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2018-12-03T12:58:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add tests for NTP options usage on server, replica, and client

The following tests are added in test_ntp_options.py :: TestNTPoptions
  - test_server_and_client_install_without_option_n
  - test_server_and_client_install_with_option_n
  - test_server_and_client_install_with_multiple_ntp_server
  - test_server_replica_and_client_install_with_ntp_pool_and_ntp_server
  - test_server_and_client_install_with_mixed_options
  - test_two_step_replica_install_using_ntp_options
  - test_two_step_replica_install_without_ntp_options

Details in the ticket: https://pagure.io/freeipa/issue/7719
and https://pagure.io/freeipa/issue/7723

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/715d1223dd8d38c12c5a2812248288b20465fafb">715d1223</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2018-12-03T12:58:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">nightly_master.yaml Added test_integration/test_ntp_options.py

Signed-off-by: Varun Mylaraiah <mavrun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/83487c49f69c6ceef3fddc0c176027c4bed7aab4">83487c49</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2018-12-03T12:58:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">nightly_rawhide.yaml Added test_integration/test_ntp_options.py

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/683af82db848e457ec6855b4ea099a1b4ede66d8">683af82d</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2018-12-04T16:49:33Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">certupdate: add commentary about certmonger behaviour

It is not obvious why we "renew" (reuse only) the IPA CA certificate
in ipa-certupdate.  Add some commentary to explain this behaviour.

Related: https://pagure.io/freeipa/issue/7751
See also: https://github.com/freeipa/freeipa/pull/2576#issuecomment-442220840

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b7ae9f7a3f577a61c97953da7e65d09349053380">b7ae9f7a</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-12-05T10:00:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test KRA installtion after ca agent cert renewal

KRA installtion was failing after ca-agent cert gets renewed.
This test check if the syptoms no longer exists.

related ticket: https://pagure.io/freeipa/issue/7288

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Stanislav Laznicka <slaznick@redhat.com>
Reviewed-By: Petr Cech <pcech@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7debb4deed6ec85844a26bbe7c58f728571598e0">7debb4de</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-05T10:03:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update translations from Zanata

Following translations were updated:
 - Spanish
 - Ukranian

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ebbadc79619dc426fb6ac67cc4dfe8b045bd7eb2">ebbadc79</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-05T10:04:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update ipa-4-7 translations from Zanata

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/52c3c908756b5af3e09e8d359d11c0279f393245">52c3c908</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-05T10:06:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatest: add test for ipa-pkinit-manage enable|disable

Add a test for ipa-pkinit-manage with the following scenario:
- install master with option --no-pkinit
- call ipa-pkinit-manage enable
- call ipa-pkinit-manage disable
- call ipa-pkinit-manage enable

At each step, check that the PKINIT cert is consistent with the
expectations: when pkinit is enabled, the cert is signed by IPA
CA and tracked by 'IPA' ca helper, but when pkinit is disabled,
the cert is self-signed and tracked by 'SelfSign' CA helper.

The new test is added in the nightly definitons.

Related to https://pagure.io/freeipa/issue/7200

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a2301538370dc33797959bc1d7bab0c908fccf3e">a2301538</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-05T10:06:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PKINIT: fix ipa-pkinit-manage enable|disable

The command ipa-pkinit-manage enable|disable is reporting
success even though the PKINIT cert is not re-issued.
The command triggers the request of a new certificate
(signed by IPA CA when state=enable, selfsigned when disabled),
but as the cert file is still present, certmonger does not create
a new request and the existing certificate is kept.

The fix consists in deleting the cert and key file before calling
certmonger to request a new cert.

There was also an issue in the is_pkinit_enabled() function:
if no tracking request was found for the PKINIT cert,
is_pkinit_enabled() was returning True while it should not.

Fixes https://pagure.io/freeipa/issue/7200

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4a938adca2e19a4fe2ebb8133c58297a8eba8e0f">4a938adc</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-05T10:09:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix TestUpgrade::test_double_encoded_cacert

The test is using a stale ldap connection to the master
(obtained before calling upgrade, and the upgrade stops
and starts 389-ds, breaking the connection).

The fix re-connects before using the ldap handle.

Related to https://pagure.io/freeipa/issue/7775

Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/07e6d5148ea31c39269c1767f4ab33548e9ba0bc">07e6d514</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-05T10:35:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require Dogtag PKI 10.6.8-3

pki-core 10.6.7 was unpushed and never landed in Fedora stable. The
latest release is 10.6.8-3 with additional fixes. The new versions are
in testing and FreeIPA's master COPR.

Also remove dependency on JSS. The dependency was originally added as a
workaround. The pki-core package already requires a newer version of JSS.

Fixes: https://pagure.io/freeipa/issue/7654
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8d746c8f4470540966abf02c11fbe8e5876602e4">8d746c8f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-05T13:26:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require Dogtag PKI 10.6.8-3

pki-core 10.6.7 was unpushed and never landed in Fedora stable. The
latest release is 10.6.8-3 with additional fixes. The new versions are
in testing and FreeIPA's master COPR.

Also remove dependency on JSS. The dependency was originally added as a
workaround. The pki-core package already requires a newer version of JSS.

Fixes: https://pagure.io/freeipa/issue/7654
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f3822726a630b77508801c00e59dfc1afaec549d">f3822726</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-12-06T10:28:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test KRA installtion after ca agent cert renewal

KRA installtion was failing after ca-agent cert gets renewed.
This test check if the syptoms no longer exists.

related ticket: https://pagure.io/freeipa/issue/7288

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a299c786f93e67446d5fd227fe14884b4e0d293">2a299c78</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-06T10:37:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix TestUpgrade::test_double_encoded_cacert

The test is using a stale ldap connection to the master
(obtained before calling upgrade, and the upgrade stops
and starts 389-ds, breaking the connection).

The fix re-connects before using the ldap handle.

Related to https://pagure.io/freeipa/issue/7775
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/940755e37b06ea95c32abd056277da19fb05ed3e">940755e3</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-06T10:40:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatest: add test for ipa-pkinit-manage enable|disable

Add a test for ipa-pkinit-manage with the following scenario:
- install master with option --no-pkinit
- call ipa-pkinit-manage enable
- call ipa-pkinit-manage disable
- call ipa-pkinit-manage enable

At each step, check that the PKINIT cert is consistent with the
expectations: when pkinit is enabled, the cert is signed by IPA
CA and tracked by 'IPA' ca helper, but when pkinit is disabled,
the cert is self-signed and tracked by 'SelfSign' CA helper.

The new test is added in the nightly definitons.

Related to https://pagure.io/freeipa/issue/7200

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ffa04a1862be198b9e1a5f6205d1ae0909ac5a4d">ffa04a18</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-06T10:40:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PKINIT: fix ipa-pkinit-manage enable|disable

The command ipa-pkinit-manage enable|disable is reporting
success even though the PKINIT cert is not re-issued.
The command triggers the request of a new certificate
(signed by IPA CA when state=enable, selfsigned when disabled),
but as the cert file is still present, certmonger does not create
a new request and the existing certificate is kept.

The fix consists in deleting the cert and key file before calling
certmonger to request a new cert.

There was also an issue in the is_pkinit_enabled() function:
if no tracking request was found for the PKINIT cert,
is_pkinit_enabled() was returning True while it should not.

Fixes https://pagure.io/freeipa/issue/7200

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e7581cc0d88c3f7d83a551a3decd054589b1d86e">e7581cc0</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-12-06T13:33:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test error when yubikey hardware not present

In order to work with IPA and Yubikey, libyubikey is required.
Before the fix, if yubikey added without having packages, it used to
result in traceback. Now it the exception is handeled properly.
It needs Yubikey hardware to make command successfull. This test
just check of proper error thrown when hardware is not attached.

related ticket : https://pagure.io/freeipa/issue/6979

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/256c11bf0b4e0d721837f3f976899135c739eacf">256c11bf</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2018-12-06T19:20:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test error when yubikey hardware not present

In order to work with IPA and Yubikey, libyubikey is required.
Before the fix, if yubikey added without having packages, it used to
result in traceback. Now it the exception is handeled properly.
It needs Yubikey hardware to make command successfull. This test
just check of proper error thrown when hardware is not attached.

related ticket : https://pagure.io/freeipa/issue/6979

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/97e9e009bf21215be65676d55e19c11d5745aca7">97e9e009</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T10:39:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Resolve user/group names in idoverride*-find

ipa idoverrideuser-find and ...group-find have an --anchor argument. The
anchor argument used to support only anchor UUIDs like
':IPA:domain:UUID' or ':SID:S-sid'. The find commands now detect regular
user or group names and translate them to anchors.

Fixes: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5a2a7151d505398e8a366f15109818e3772b79ac">5a2a7151</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T10:39:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add integration tests for idviews

Add several tests to verify new anchor override and general idview
override functionality.

Fixes: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f52e0e31f7c76a3cd6b9b51aeba120c4ba3f38c9">f52e0e31</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T10:39:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Run idviews integration tests in nightly

See: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/03edd82d1ae8bb8c33eae3c18133e612432b9b67">03edd82d</a></strong>
<div>
<span>by Diogo Nunes</span>
<i>at 2018-12-07T11:44:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PR-CI: Add gating tests to nightly_[master, f28, rawhide]

The objective of this change is to address the problem mentioned in this
thread: https://lists.fedorahosted.org/archives/list/freeipa-devel@lists.fedorahosted.org/message/FIOWT53LJMAZQYHOTT4BEAJX5Q6422LB/

Since the concept of nightly is being a superset of gating, the gating
tests are incorporated in nightly in this commit.

Fixes: https://pagure.io/freeipa/issue/7788

Signed-off-by: Diogo Nunes <dnunes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a0e09526b3851602ff9e9bc6c12e34d5f77db125">a0e09526</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-07T13:06:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check pager's executable before subprocess.Popen

Get the value of `PAGER` environment variable in case it's defined, check the executable, if it exists - use a pager, otherwise - print function.

Fixes: https://pagure.io/freeipa/issue/7746
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5e6cb0ca034c711fe81fcfe7c651c5af3c65aa40">5e6cb0ca</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T15:06:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Resolve user/group names in idoverride*-find

ipa idoverrideuser-find and ...group-find have an --anchor argument. The
anchor argument used to support only anchor UUIDs like
':IPA:domain:UUID' or ':SID:S-sid'. The find commands now detect regular
user or group names and translate them to anchors.

Fixes: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/11b06d24a94c5e92a0275df759bc81f0fc81d802">11b06d24</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T15:06:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add integration tests for idviews

Add several tests to verify new anchor override and general idview
override functionality.

Fixes: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e86498ea2f8259118025e622cc5f1cf2c26f2757">e86498ea</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-07T15:06:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Run idviews integration tests in nightly

See: https://pagure.io/freeipa/issue/6594
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/228d1c81c0d141d24407c1bb9a517e3eeb1ec593">228d1c81</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-07T16:29:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests integration/tasks.py: Honor clean for firewall in uninstall_master

This fix will make sure that the firewall services are only cleaned up if
the clean flag is True for example for backup and restore tests where the
clean flag is set to False for the server uninstall.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8e25ee64c8f6921c4e6d519e3e6677de2d873382">8e25ee64</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-07T16:29:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_backup_and_restore.py: No clean master uninstall

test_replica_install_after_restore is calling tasks.uninstall_master which
is disabling the firewall services for freeipa. The following ipa-restore
call is not reapplying the firewall settings. Calling tasks.uninstall_master
with clean=False will disable the firewall cleanup.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f86b410ff52ae3cf3273f79051e013cbb2b87343">f86b410f</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-07T16:29:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_replica_promotion.py: Fix firewall config

The firewall needs to be configured before installing replicas.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a6862bd7af6eb768f150f2dc0372193ec826efa6">a6862bd7</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2018-12-07T16:29:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests/test_integration/test_server_del.py: Enable dns in fw for dnssec

test_install_dns_on_replica1_and_dnssec_on_master now also enables the
dns servive in the firewall of the master.

See: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cdfbcd409ff052042494e252969237cb2756bef0">cdfbcd40</a></strong>
<div>
<span>by Diogo Nunes</span>
<i>at 2018-12-07T16:44:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix f52e0e31f7c76a3cd6b9b51aeba120c4ba3f38c9 typo in tests label definition.

Signed-off-by: Diogo Nunes <dnunes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e0315a601feaee2e4aeb7db33bcf87de8ac4a4f7">e0315a60</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-10T13:44:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check pager's executable before subprocess.Popen

Get the value of `PAGER` environment variable in case it's defined, check the executable, if it exists - use a pager, otherwise - print function.

Fixes: https://pagure.io/freeipa/issue/7746
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c646f8adc32b16a0f7066d217a41a1930c9fd5ac">c646f8ad</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-10T13:44:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix python2 compatibility

`which` function is ported to python2 and used in `ipalib.util.get_pager`, fixed import in `ipatests.test_ipalib.test_util` - `mock` will be imported from `python2-mock` package in case of python2

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a81ea9af19c284280f5edcc0f9c75af8f6a7fa95">a81ea9af</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-10T16:04:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix test_full_backup_and_restore

The test is failing when calling (on the replica)
    ipa-replica-manage re-initialize --from <master>
because the tool needs to resolve master.
The test does not set /etc/resolv.conf on the replica, as a
consequence it relies on whatever DNS server is configured in
your test environment prior to launching the test, and makes
the test unreliable.
In PR-CI env, /etc/resolv.conf points to the machine hosting
the replica vm, which is unable to resolve master.ipa.test.

The fix is modifying the replica's /etc/resolv.conf to use the
master as DNS.

Fixes https://pagure.io/freeipa/issue/7778

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b3d5ae58e8fc153c7cb104b883bf990b9431f223">b3d5ae58</a></strong>
<div>
<span>by Diogo Nunes</span>
<i>at 2018-12-11T08:53:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix f52e0e31f7c76a3cd6b9b51aeba120c4ba3f38c9 typo in tests label definition.

Signed-off-by: Diogo Nunes <dnunes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/33d95d6516340a21c131069ac61a671b14b25f01">33d95d65</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-11T08:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix test_full_backup_and_restore

The test is failing when calling (on the replica)
    ipa-replica-manage re-initialize --from <master>
because the tool needs to resolve master.
The test does not set /etc/resolv.conf on the replica, as a
consequence it relies on whatever DNS server is configured in
your test environment prior to launching the test, and makes
the test unreliable.
In PR-CI env, /etc/resolv.conf points to the machine hosting
the replica vm, which is unable to resolve master.ipa.test.

The fix is modifying the replica's /etc/resolv.conf to use the
master as DNS.

Fixes https://pagure.io/freeipa/issue/7778
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c09927d16a507456802db95560b5422b921bfb4f">c09927d1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T11:14:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Handle service_del with bad service name

The command 'ipa service-del badservice' used to fail with an internal
server error, because check_required_principal() could not handle a
principal that is not a service principal. All del commands have less
strict error checking of primary keys so they can reference any stored
key, even illegal ones.

check_required_principal() skips required principal check if the
principal is not a service principal. A non-service principal can never
be a required principal.

Fixes: https://pagure.io/freeipa/issue/7793
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/39eaf2fab5e27bd12edfb2a24c439a8ea5fb26f0">39eaf2fa</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T11:16:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add index and container for RFC 2307 IP services

IPA doesn't officially support RFC 2307 IP services. However SSSD has a
nsswitch plugin to provide service lookups. The subtree search for
(&(ipserviceport=$PORT)(ipserviceprotocol=$SRV)(objectclass=ipservice)) in
cn=accounts,$SUFFIX has caused performance issues on large
installations.

This patch introduced a dedicated container
cn=ipservices,cn=accounts,$SUFFIX for IP services for future use or 3rd
party extensions. SSSD will be change its search base in an upcoming
release, too.

A new ipServicePort index is added to optimize searches for an IP
service by port. There is no index on ipServiceProtocol because the index
would have poor selectivity. An ipService entry has either 'tcp' or 'udp'
as protocol.

Fixes: https://pagure.io/freeipa/issue/7797
See: https://pagure.io/freeipa/issue/7786
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d6fd2ad4f2f0a95740bf73819260f49b216e6b78">d6fd2ad4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove dead code

set_sssd_domain_option() is no longer used. Changes are handled by
sssd_update().

See: https://pagure.io/freeipa/issue/7751
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/917d81b83259ef8f4f21fda7dfeb4d32eac61f5f">917d81b8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow HTTPd user to access SSSD IFP

For smart card and certificate authentication, Apache's
mod_lookup_identity module must be able to acess SSSD IFP. The module
accesses IFP as Apache user, not as ipaapi user.

Apache is not allowed to use IFP by default. The update code uses the
service's ok-to-auth-as-delegate flag to detect smart card / cert auth.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0a2222ea26386edd7c4472d4da073fcec0375203">0a2222ea</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Smart card auth advise: Allow Apache user

Modify the smard card auth advise script to use sssd_enable_ifp() in
order to allow Apache to access SSSD IFP.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a86abd37e96d56e9be8d551042b449a8ba058da8">a86abd37</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Log stderr in run_command

pytest_multihost's run_command() does not log stderr when a command
fails. Wrap the function call to log stderr so it's easier to debug
failing tests.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f0e11dac2d0164d6fdd6947deb6d45a09b03b10d">f0e11dac</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test smart card advise scripts

Create and execute the server and client smart card advise scripts.

See: See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f330c59dd8946b649c0d44c17d86bce2b836e993">f330c59d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-11T12:46:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add install/remove package helpers to advise

The smart card advise scripts assume that yum is installed. However
Fedora has dnf and the yum wrapper is not installed by default.
Installation and removal of packages is now provided by two helper
methods that detect the package manager.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a9f34c76058bfd28c267f0ba351591318fa0fd3b">a9f34c76</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T13:53:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable nss-p11-kit crypto policy for tests

NSS 3.40 and 3.41 enable p11-kit proxy. The PKCS#11 proxy loads all
PKCS#11 providers including the default SoftHSM2 token. On Fedora 28
OpenLDAP is patched to use Mozilla NSS. Because the SoftHSM2 token is
protected, the OpenLDAP function tlsmc_extract_cacerts() blocks because
it is waiting for PIN.

Delete the p11-kit policy and regenerate crypto policy.

OpenLDAP debug output:

ldap_url_parse_ext(ldap://master.ipa.test:389/)
TLSMC: MozNSS compatibility interception begins.
tlsmc_intercept_initialization: INFO: entry options follow:
tlsmc_intercept_initialization: INFO: cacertdir = `/etc/dirsrv/slapd-IPA-TEST'
tlsmc_intercept_initialization: INFO: certfile = `(null)'
tlsmc_intercept_initialization: INFO: keyfile = `(null)'
tlsmc_convert: INFO: trying to open NSS DB with CACertDir = `/etc/dirsrv/slapd-IPA-TEST'.
tlsmc_open_nssdb: INFO: trying to initialize moznss using security dir `/etc/dirsrv/slapd-IPA-TEST` prefix ``.
tlsmc_open_nssdb: INFO: initialized MozNSS context.
tlsmc_convert: INFO: trying with PEM dir = `/tmp/openldap-tlsmc-slapd-IPA-TEST--CFD75CD2496FD947611EE486C199DB7DE06AF86D5CD28715BAD24414827D1987'.
tlsmc_convert: WARN: will try to create PEM dir.
tlsmc_prepare_dir: INFO: preparing PEM directory `/tmp/openldap-tlsmc-slapd-IPA-TEST--CFD75CD2496FD947611EE486C199DB7DE06AF86D5CD28715BAD24414827D1987'.
tlsmc_prepare_dir: INFO: creating a subdirectory `cacerts'.
tlsmc_prepare_dir: INFO: successfully created PEM directory structure.
   ***NSS 3.40 BLOCKS HERE***
tlsmc_extract_cacerts: INFO: found cert nick=`Server-Cert', _not_ a trusted CA, skipping.
tlsmc_extract_cacerts: INFO: found cert nick=`Self-Signed-CA', a trusted CA.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/18f610caeadf6fd80c31f951cb7971cec82e4fa1">18f610ca</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T15:55:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Always collect test logs

mh.install() is the default multi host installer. Most integration test
classes use it to install master, replicas, and clients. In case of a
failed installation, the test collector step is skipped.

Guard log collection with a try/finally block so logs are always
collected.

Also collect journald output for mh.install() steps. The journal output
was missing from installation logs and were only available in each test
step.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0fb87bfe827b10af25fcd35c327b33977053e0e3">0fb87bfe</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T16:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">LDAPUpdate: Batch index tasks

The LDAPUpdate framework now keeps record of all changed/added indices
and batches all changed attribute in a single index task. It makes
updates much faster when multiple indices are added or modified.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ed436e4b62c9d3ec02111d486ba77bd09e9838fc">ed436e4b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T16:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add more LDAP indices

An index is used to optimize an LDAP operation. Without an index, 389-DS
has to perform a partial or even full table scan. A full database scan can
easily take 10 seconds or more in a large installation.

* automountMapKey: eq, pres (was: eq)
* autoMountMapName: eq
* ipaConfigString: eq
* ipaEnabledFlag: eq
* ipaKrbAuthzData: eq, sub
* accessRuleType: eq
* hostCategory: eq

automountMapKey and autoMountMapName filters are used for automount.

Installation and service discovery (CA, KRA) use ipaConfigString to find
active services and CA renewal master.

SSSD filters with ipaEnabledFlag, accessRuleType, and hostCategory to
find and cache HBAC rules for each host.

ipaKrbAuthzData is used by ipa host-del. The framework performs a
'*arg*' query, therefore a sub index is required, too.

Partly fixes: https://pagure.io/freeipa/issue/7786
Fixes: https://pagure.io/freeipa/issue/7787
Fixes: https://pagure.io/freeipa/issue/7790
Fixes: https://pagure.io/freeipa/issue/7792
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a34d92d25c97feb778d4c222704d8ac32e146768">a34d92d2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T16:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Create reindex task for ipaca DB

pkispawn sometimes does not run its indextasks. This leads to slow
unindexed filters on attributes such as description, which is used
to log in with a certificate. Explicitly reindex attribute that
should have been reindexed by CA's indextasks.ldif.

See: https://pagure.io/dogtagpki/issue/3083
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ee4c0f0ecb2f616f9dfc63b25aa49096ff0e0638">ee4c0f0e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-13T17:14:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable nss-p11-kit crypto policy for tests

NSS 3.40 and 3.41 enable p11-kit proxy. The PKCS#11 proxy loads all
PKCS#11 providers including the default SoftHSM2 token. On Fedora 28
OpenLDAP is patched to use Mozilla NSS. Because the SoftHSM2 token is
protected, the OpenLDAP function tlsmc_extract_cacerts() blocks because
it is waiting for PIN.

Delete the p11-kit policy and regenerate crypto policy.

OpenLDAP debug output:

ldap_url_parse_ext(ldap://master.ipa.test:389/)
TLSMC: MozNSS compatibility interception begins.
tlsmc_intercept_initialization: INFO: entry options follow:
tlsmc_intercept_initialization: INFO: cacertdir = `/etc/dirsrv/slapd-IPA-TEST'
tlsmc_intercept_initialization: INFO: certfile = `(null)'
tlsmc_intercept_initialization: INFO: keyfile = `(null)'
tlsmc_convert: INFO: trying to open NSS DB with CACertDir = `/etc/dirsrv/slapd-IPA-TEST'.
tlsmc_open_nssdb: INFO: trying to initialize moznss using security dir `/etc/dirsrv/slapd-IPA-TEST` prefix ``.
tlsmc_open_nssdb: INFO: initialized MozNSS context.
tlsmc_convert: INFO: trying with PEM dir = `/tmp/openldap-tlsmc-slapd-IPA-TEST--CFD75CD2496FD947611EE486C199DB7DE06AF86D5CD28715BAD24414827D1987'.
tlsmc_convert: WARN: will try to create PEM dir.
tlsmc_prepare_dir: INFO: preparing PEM directory `/tmp/openldap-tlsmc-slapd-IPA-TEST--CFD75CD2496FD947611EE486C199DB7DE06AF86D5CD28715BAD24414827D1987'.
tlsmc_prepare_dir: INFO: creating a subdirectory `cacerts'.
tlsmc_prepare_dir: INFO: successfully created PEM directory structure.
   ***NSS 3.40 BLOCKS HERE***
tlsmc_extract_cacerts: INFO: found cert nick=`Server-Cert', _not_ a trusted CA, skipping.
tlsmc_extract_cacerts: INFO: found cert nick=`Self-Signed-CA', a trusted CA.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/faa122a8b8fc9a6850811ed1466166a7bff13be3">faa122a8</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-13T19:29:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replication: check remote ds version before editing attributes

When the remote server has an old DS version, update of the
replication attributes nsds5ReplicaReleaseTimeout nsds5ReplicaBackoffMax
and nsDS5ReplicaBindDnGroupCheckInterval fails even if the remote
schema has been updated.

Check first the remote server version and update the attributes only if
the version is high enough.
A previous fix was already performing this check (commit 02f4a7a),
but not in all the cases. This fix also handles when the remote server
already has a cn=replica entry (for instance because it has already
established replication with another host).

Fixes https://pagure.io/freeipa/issue/7796

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/18cac460928bac6bc21de1faa2dbb088ae414086">18cac460</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-12-13T20:14:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI: Temporary fix for UnexpectedAlertPresentException

It is regression in Firefox 55
Fixed in Firefox 65:
https://bugzilla.mozilla.org/show_bug.cgi?id=1503015

https://pagure.io/freeipa/issue/7809

Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f28a8177a92938ecbbc5d8fa8f21ed995f00788f">f28a8177</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-14T08:15:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace nss.conf with zero-length file instead of removing

Empty nss.conf avoids recreation of nss.conf in case `mod_nss` package is reinstalled. It is needed because by default (e.g. recreated) nss.conf has `Listen 8443` while this port is used by dogtag.

Fixes: https://pagure.io/freeipa/issue/7745
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eb0136ea3438b6fb1145456478f401b9b7467cba">eb0136ea</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove dead code

set_sssd_domain_option() is no longer used. Changes are handled by
sssd_update().

See: https://pagure.io/freeipa/issue/7751
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/415295a6f68f4c797529e19a3f0cf956619d4bed">415295a6</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow HTTPd user to access SSSD IFP

For smart card and certificate authentication, Apache's
mod_lookup_identity module must be able to acess SSSD IFP. The module
accesses IFP as Apache user, not as ipaapi user.

Apache is not allowed to use IFP by default. The update code uses the
service's ok-to-auth-as-delegate flag to detect smart card / cert auth.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d7d17ece57ae1322c8368b7853f24d56b1d6a150">d7d17ece</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Smart card auth advise: Allow Apache user

Modify the smard card auth advise script to use sssd_enable_ifp() in
order to allow Apache to access SSSD IFP.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b56db8daa704782c44683412b85a454654eabc19">b56db8da</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Log stderr in run_command

pytest_multihost's run_command() does not log stderr when a command
fails. Wrap the function call to log stderr so it's easier to debug
failing tests.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/97776d2c4eed5de73780476bb11a635a2e47ebc5">97776d2c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test smart card advise scripts

Create and execute the server and client smart card advise scripts.

See: See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6ed90a2ac08c070e8e5c47a1eb3c52d7d30cabb8">6ed90a2a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add install/remove package helpers to advise

The smart card advise scripts assume that yum is installed. However
Fedora has dnf and the yum wrapper is not installed by default.
Installation and removal of packages is now provided by two helper
methods that detect the package manager.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e05ce4a20d2395179580db7e3db75c601c8f364c">e05ce4a2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:53:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Python 2 compatibility

Make new test helpers and test code compatible with Python 2.7.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/76052d5ac5b1c53d2586d3c48e2faacc6963004e">76052d5a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:54:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add index and container for RFC 2307 IP services

IPA doesn't officially support RFC 2307 IP services. However SSSD has a
nsswitch plugin to provide service lookups. The subtree search for
(&(ipserviceport=$PORT)(ipserviceprotocol=$SRV)(objectclass=ipservice)) in
cn=accounts,$SUFFIX has caused performance issues on large
installations.

This patch introduced a dedicated container
cn=ipservices,cn=accounts,$SUFFIX for IP services for future use or 3rd
party extensions. SSSD will be change its search base in an upcoming
release, too.

A new ipServicePort index is added to optimize searches for an IP
service by port. There is no index on ipServiceProtocol because the index
would have poor selectivity. An ipService entry has either 'tcp' or 'udp'
as protocol.

Fixes: https://pagure.io/freeipa/issue/7797
See: https://pagure.io/freeipa/issue/7786
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fc6b9498682e457c153c254f2d6ed7bfd41a6fb5">fc6b9498</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T08:56:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Handle service_del with bad service name

The command 'ipa service-del badservice' used to fail with an internal
server error, because check_required_principal() could not handle a
principal that is not a service principal. All del commands have less
strict error checking of primary keys so they can reference any stored
key, even illegal ones.

check_required_principal() skips required principal check if the
principal is not a service principal. A non-service principal can never
be a required principal.

Fixes: https://pagure.io/freeipa/issue/7793
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/97f87513ef345908c74f27c71e7765c16d3abe8c">97f87513</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T09:15:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix NFS unit names

NFS unit names were renamed.
Compatibility was maintained with older unit names
through symlinks. When these symlinks are removed
only new unit names work, so changing to using non-
symlink unit names is required.

Fixes: https://pagure.io/freeipa/issue/7783
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6a56aa6d4987bc4856997351a413c014e14abdd6">6a56aa6d</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T09:15:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: use nfs-utils unit

- remove nfs-idmapd from units we enable & start as:
  - it is not used on NFS clients anymore
  - it is a static unit
- remove rpc-gssd as well as it is a static unit
- restart nfs-utils and rpc-gssd
- manage systemctl-related exceptions during uninstall

Fixes: https://pagure.io/freeipa/issue/7780
Fixes: https://pagure.io/freeipa/issue/7781
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7c0b0f34716cabbdc48edf959935b37a21883238">7c0b0f34</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T09:15:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add a test for ipa-client-automount

Add an automount location then configure a client
to use it. Only runs nightly.

Related-to: https://pagure.io/freeipa/issue/7780
Related-to: https://pagure.io/freeipa/issue/7781
Related to: https://pagure.io/freeipa/issue/7783
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/93cbab63e0fd19783f31886bad76f9ecdd599f40">93cbab63</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T09:50:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Always collect test logs

mh.install() is the default multi host installer. Most integration test
classes use it to install master, replicas, and clients. In case of a
failed installation, the test collector step is skipped.

Guard log collection with a try/finally block so logs are always
collected.

Also collect journald output for mh.install() steps. The journal output
was missing from installation logs and were only available in each test
step.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc067c89ea5585511b631fbeaef55cd1d50c5f38">dc067c89</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2018-12-14T09:51:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI: Temporary fix for UnexpectedAlertPresentException

It is regression in Firefox 55
Fixed in Firefox 65:
https://bugzilla.mozilla.org/show_bug.cgi?id=1503015

https://pagure.io/freeipa/issue/7809

Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/65f6c8dc2585144b17ff89e63e4ba300971996dd">65f6c8dc</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T10:58:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix NFS unit names

NFS unit names were renamed.
Compatibility was maintained with older unit names
through symlinks. When these symlinks are removed
only new unit names work, so changing to using non-
symlink unit names is required.

Fixes: https://pagure.io/freeipa/issue/7783
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0687e4869995842a90d5d656749de42daceb2ad4">0687e486</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T10:58:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: use nfs-utils unit

- remove nfs-idmapd from units we enable & start as:
  - it is not used on NFS clients anymore
  - it is a static unit
- remove rpc-gssd as well as it is a static unit
- restart nfs-utils and rpc-gssd
- manage systemctl-related exceptions during uninstall

Fixes: https://pagure.io/freeipa/issue/7780
Fixes: https://pagure.io/freeipa/issue/7781
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dfd741d3cd9c9d695e7ad6f88dcd4432fb73c126">dfd741d3</a></strong>
<div>
<span>by François Cami</span>
<i>at 2018-12-14T10:58:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add a test for ipa-client-automount

Add an automount location then configure a client
to use it. Only runs nightly.

Related-to: https://pagure.io/freeipa/issue/7780
Related-to: https://pagure.io/freeipa/issue/7781
Related to: https://pagure.io/freeipa/issue/7783
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/690a8103e0ea6ed5f3f33c47a18910ad468b0291">690a8103</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-14T11:05:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replication: check remote ds version before editing attributes

When the remote server has an old DS version, update of the
replication attributes nsds5ReplicaReleaseTimeout nsds5ReplicaBackoffMax
and nsDS5ReplicaBindDnGroupCheckInterval fails even if the remote
schema has been updated.

Check first the remote server version and update the attributes only if
the version is high enough.
A previous fix was already performing this check (commit 02f4a7a),
but not in all the cases. This fix also handles when the remote server
already has a cn=replica entry (for instance because it has already
established replication with another host).

Fixes https://pagure.io/freeipa/issue/7796

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ad37e0c2b76afda289b7795f518ae9a1e0703151">ad37e0c2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T11:51:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">LDAPUpdate: Batch index tasks

The LDAPUpdate framework now keeps record of all changed/added indices
and batches all changed attribute in a single index task. It makes
updates much faster when multiple indices are added or modified.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/903cfe390311b8e21273ceeb2a889974aabc1708">903cfe39</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T11:51:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add more LDAP indices

An index is used to optimize an LDAP operation. Without an index, 389-DS
has to perform a partial or even full table scan. A full database scan can
easily take 10 seconds or more in a large installation.

* automountMapKey: eq, pres (was: eq)
* autoMountMapName: eq
* ipaConfigString: eq
* ipaEnabledFlag: eq
* ipaKrbAuthzData: eq, sub
* accessRuleType: eq
* hostCategory: eq

automountMapKey and autoMountMapName filters are used for automount.

Installation and service discovery (CA, KRA) use ipaConfigString to find
active services and CA renewal master.

SSSD filters with ipaEnabledFlag, accessRuleType, and hostCategory to
find and cache HBAC rules for each host.

ipaKrbAuthzData is used by ipa host-del. The framework performs a
'*arg*' query, therefore a sub index is required, too.

Partly fixes: https://pagure.io/freeipa/issue/7786
Fixes: https://pagure.io/freeipa/issue/7787
Fixes: https://pagure.io/freeipa/issue/7790
Fixes: https://pagure.io/freeipa/issue/7792
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e484c4ba0a54813b84fffab5944d5ccec7a2c3b8">e484c4ba</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T11:51:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Create reindex task for ipaca DB

pkispawn sometimes does not run its indextasks. This leads to slow
unindexed filters on attributes such as description, which is used
to log in with a certificate. Explicitly reindex attribute that
should have been reindexed by CA's indextasks.ldif.

See: https://pagure.io/dogtagpki/issue/3083
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8fde7b81999780940bdb536671549158dba53c00">8fde7b81</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-14T11:57:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Replace nss.conf with zero-length file instead of removing

Empty nss.conf avoids recreation of nss.conf in case `mod_nss` package is reinstalled. It is needed because by default (e.g. recreated) nss.conf has `Listen 8443` while this port is used by dogtag.

Fixes: https://pagure.io/freeipa/issue/7745
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/caffe2e8dd14a9fa8887db72bfbfbab11f5e5c0e">caffe2e8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-14T12:44:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_advise in nightly runs

test_advise now needs one client, too.

See: https://pagure.io/freeipa/issue/7751
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e62eb0007b86e839aba08af5cb673707100be5de">e62eb000</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-14T13:04:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-sidgen: make internal fetch_attr helper really internal

With 389-ds landing a change for
https://pagure.io/389-ds-base/issue/49950, fetch_attr() helper function
is exposed in slapi-plugin.h. However, in order to be able to build
FreeIPA plugins against older 389-ds versions, prefer using a local
variant of it.

Rename fetch_attr() to ipa_sidgen_fetch_attr() so that it doesn't
conflict at all.

Fixes: https://pagure.io/freeipa/issue/7811
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b30b637561eb56a1fb73164322c9a74c8365c0b">2b30b637</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2018-12-14T14:03:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-sidgen: make internal fetch_attr helper really internal

With 389-ds landing a change for
https://pagure.io/389-ds-base/issue/49950, fetch_attr() helper function
is exposed in slapi-plugin.h. However, in order to be able to build
FreeIPA plugins against older 389-ds versions, prefer using a local
variant of it.

Rename fetch_attr() to ipa_sidgen_fetch_attr() so that it doesn't
conflict at all.

Fixes: https://pagure.io/freeipa/issue/7811
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d710734247e9f36c39389cf24d39fce5410fd8df">d7107342</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-17T12:35:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require 3.41.0-3 on Fedora 28

nss-3.41.0-3.fc28 fixes an issue with p11-kit crypto policy that caused
OpenLDAP to fail when SoftHSM2 is installed. The build is available in
Fedora updates-testing and @freeipa/freeipa-master COPR.

nss-3.41.0-1.fc29 is available in F29 stable.

See: https://pagure.io/freeipa/issue/7810
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/224e2c459df7941bf1aef209dcc7d7e587e5fe1a">224e2c45</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2018-12-18T09:07:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require 3.41.0-3 on Fedora 28

nss-3.41.0-3.fc28 fixes an issue with p11-kit crypto policy that caused
OpenLDAP to fail when SoftHSM2 is installed. The build is available in
Fedora updates-testing and @freeipa/freeipa-master COPR.

nss-3.41.0-1.fc29 is available in F29 stable.

See: https://pagure.io/freeipa/issue/7810
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c0fd5e39c726ef4dc12e87a2f9c08ebb32ed27fe">c0fd5e39</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2018-12-19T13:19:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replica install: set the same master as preferred source for domain and CA

During ipa-replica-install, the installer creates a ReplicaConfig
object that contains a config.ca_host_name attribute, built from
api.env.ca_host.
This attribute is used as preferred source when asking the DNS for a CA
master from which to initialize the CA instance
(see commit 8decef33 for master selection and preferred host).

In most of the cases, /etc/ipa/default.conf does not contain any
definition for ca_host. In this case, api.env.ca_host is set to
the local hostname.
As a consequence, replica install is trying to use the local host
as preferred source (which does not have any CA yet), and the method
to find the CA source randomly picks the CA in the DNS.

With the fix, the master picked for domain replication is also used as
preferred source for CA/KRA.

Fixes: https://pagure.io/freeipa/issue/7744
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0e5a8fbb9bb9713d1466563f82803f410143ed20">0e5a8fbb</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-21T14:54:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove stale kdc requests info files when upgrading IPA server

Added removing of stale /var/lib/sss/pubconf/kdcinfo.* and /var/lib/sss/pubconf/kpasswdinfo.* files generated by SSSD during IPA server upgrade.

Fixes: https://pagure.io/freeipa/issue/7578
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f2eb92a7c01e16936a68ff7c91de67e83424f8be">f2eb92a7</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2018-12-23T09:37:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove stale kdc requests info files when upgrading IPA server

Added removing of stale /var/lib/sss/pubconf/kdcinfo.* and /var/lib/sss/pubconf/kpasswdinfo.* files generated by SSSD during IPA server upgrade.

Fixes: https://pagure.io/freeipa/issue/7578
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7688808d1f1574f1f77fae90d95cee60ca0badf2">7688808d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-03T11:44:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add index on idnsName

The data structures for the internal DNS server use the attribute idnsName
instead of cn in the DN. It's also used to search for entries when entries
are added, modified, or removed.

The new index speeds up dnsrecord and dnszone related commands as well
as commands like host-add and host-del --updatedns.

Fixes: https://pagure.io/freeipa/issue/7803
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/98460bbefa547331d0a8216bf16624edc4d22a85">98460bbe</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-03T13:08:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add index on idnsName

The data structures for the internal DNS server use the attribute idnsName
instead of cn in the DN. It's also used to search for entries when entries
are added, modified, or removed.

The new index speeds up dnsrecord and dnszone related commands as well
as commands like host-add and host-del --updatedns.

Fixes: https://pagure.io/freeipa/issue/7803
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/670bcc0113b14b46fd72c30c475b5466c7d15a6f">670bcc01</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-08T16:25:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require 389-DS = 1.4.0.16

CI is failing with 389-DS 1.4.0.20-1. Pin dependency to 1.4.0.16 for
now.

Note: RPM/DNF don't like a pin with dash. Therefore I had to change
ds_version from 1.4.0.16-1 to 1.4.0.16.

Fixes: https://github.com/freeipa/freeipa/pull/2731
See: https://pagure.io/389-ds-base/pull-request/50121
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e5be409245644c0a151de21906e4fbdc606a47b3">e5be4092</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-08T16:25:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make conftest compatible with pytest 4.x

pytest 3.6 has deprecated get_marker in 3.6. The method was removed in 4.x
and replaced with get_closest_marker.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/778521053336a4ba09923b4b1f9cac0dff72f634">77852105</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-09T08:51:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pkinit enable: use local dogtag only if host has CA

ipa-pkinit-manage enable is failing if called on a master
that does not have a CA instance, because it is trying to
contact dogtag on the localhost.
The command should rather use certmonger in this case, and
let certmonger contact the right master to request the KDC
certificate.

Fixes: https://pagure.io/freeipa/issue/7795
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/64be3141da07f459fafa93aec53bbd31683de551">64be3141</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-09T08:51:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add integration test for pkinit enable on replica

ipa-pkinit-manage enable was failing when run on a replica
without a CA instance.
Add a test with the following scenario:
- install a replica with --no-pkinit
- check that the KDC cert is self signed
- call ipa-pkinit-manage enable
- check that the KDC cert is signed by IPA CA

Related to https://pagure.io/freeipa/issue/7795

Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/80e6b684b65b032b2ba47c18a98b05072db4abff">80e6b684</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-09T09:39:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make conftest compatible with pytest 4.x

pytest 3.6 has deprecated get_marker in 3.6. The method was removed in 4.x
and replaced with get_closest_marker.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3bed3d4ddb3ff6b757bc9f5a22bd538fe72da608">3bed3d4d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-09T10:15:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use debug logger in ntpd_cleanup()

ipa-server-update shows spurious warnings when updating a server, e.g.

  No such file name in the index

  Warning: NTP service entry was not found in LDAP.

Lower all log levels in ntpd_cleanup() to debug to not confuse the user.

Fixes: https://pagure.io/freeipa/issue/7829
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/20b0a7a96e13bbfa46efcd5b770a92390b3a5b50">20b0a7a9</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-09T18:17:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pkinit enable: use local dogtag only if host has CA

ipa-pkinit-manage enable is failing if called on a master
that does not have a CA instance, because it is trying to
contact dogtag on the localhost.
The command should rather use certmonger in this case, and
let certmonger contact the right master to request the KDC
certificate.

Fixes: https://pagure.io/freeipa/issue/7795
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/36364600ef5ad75cc8d15315b521d2367ebc1adf">36364600</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-09T18:17:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add integration test for pkinit enable on replica

ipa-pkinit-manage enable was failing when run on a replica
without a CA instance.
Add a test with the following scenario:
- install a replica with --no-pkinit
- check that the KDC cert is self signed
- call ipa-pkinit-manage enable
- check that the KDC cert is signed by IPA CA

Related to https://pagure.io/freeipa/issue/7795

Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fe4707d0832bbaad73654f448e94d63f4f39b841">fe4707d0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-10T09:43:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use debug logger in ntpd_cleanup()

ipa-server-update shows spurious warnings when updating a server, e.g.

  No such file name in the index

  Warning: NTP service entry was not found in LDAP.

Lower all log levels in ntpd_cleanup() to debug to not confuse the user.

Fixes: https://pagure.io/freeipa/issue/7829
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3c38aea6fc71fe55b73869f9692d590b9d528935">3c38aea6</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-01-10T10:24:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/dcerpc: fix exclusion entry with a forest trust domain info returned

When looking through the topology of a trusted forest, we should support
all types of forest trust records. Since Samba Python bindings parse the
data into a typed structure, a type of the record has to be taken into
account or there will be type mismatch when accessing elements of the
union:

        typedef [switch_type(lsa_ForestTrustRecordType)] union {
                [case(LSA_FOREST_TRUST_TOP_LEVEL_NAME)] lsa_StringLarge top_level_name;
                [case(LSA_FOREST_TRUST_TOP_LEVEL_NAME_EX)] lsa_StringLarge top_level_name_ex;
                [case(LSA_FOREST_TRUST_DOMAIN_INFO)] lsa_ForestTrustDomainInfo domain_info;
                [default] lsa_ForestTrustBinaryData data;
        } lsa_ForestTrustData;

        typedef struct {
                lsa_ForestTrustRecordFlags flags;
                lsa_ForestTrustRecordType type;
                NTTIME_hyper time;
                [switch_is(type)] lsa_ForestTrustData forest_trust_data;
        } lsa_ForestTrustRecord;

        typedef [public] struct {
                [range(0,4000)] uint32 count;
                [size_is(count)] lsa_ForestTrustRecord **entries;
        } lsa_ForestTrustInformation;

Each entry in the lsa_ForestTrustInformation has forest_trust_data
member but its content depends on the value of a type member
(forest_trust_data is a union of all possible structures).

Previously we assumed only TLN or TLN exclusion record which were
of the same type (lsa_StringLarge). Access to forest_trust_data.string
fails when forest_trust_data's type is lsa_ForestTrustDomainInfo as it
has no string member.

Fix the code by properly accessing the dns_domain_name from the
lsa_ForestTrustDomainInfo structure.

Fixes: https://pagure.io/freeipa/issue/7828
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2aa24eedf2443367272fe2e41bb9dcf508533a18">2aa24eed</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-01-10T10:24:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">make sure IPA_CONFDIR is used to check that client is configured

Fixes a test ipatests/test_cmdline/test_cli.py:test_cli_fs_encoding()
which sets IPA_CONFDIR and attempts to interpret the resulting error
message. However, if the test is run on an enrolled machine (a
developer's laptop, for example), check_client_configuration() will
succeed because it ignores IPA_CONFDIR and, as result, api.finalize()
will fail later with a stacktrace.

Pass an environment object and test an overridden config file existence
in this case to fail with a proper and expected message.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8276caf865fa3f8900a08b42a56bba0cf3972184">8276caf8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-10T11:57:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't use Python dependency generator yet

Fedora 30 started to have python_enable_dependency_generator by default.
Some packages like python3-dbus don't have the new dist names yet. This
fix enables testing on rawhide.

https://docs.fedoraproject.org/en-US/packaging-guidelines/Python/

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/39c7057821475c596263d3a9f4406d75f4575ed5">39c70578</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-11T07:25:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't use Python dependency generator yet

Fedora 30 started to have python_enable_dependency_generator by default.
Some packages like python3-dbus don't have the new dist names yet. This
fix enables testing on rawhide.

https://docs.fedoraproject.org/en-US/packaging-guidelines/Python/

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c26cb5afdefbe393e2bac1e7ba72f0088d1ce877">c26cb5af</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-11T11:00:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require krb5 with fix for CVE-2018-20217

A Reachable Assertion issue was discovered in the KDC in MIT Kerberos 5
(aka krb5) before 1.17. If an attacker can obtain a krbtgt ticket using
an older encryption type (single-DES, triple-DES, or RC4), the attacker
can crash the KDC by making an S4U2Self request.

1.16.1-24 comes without Fix-bugs-with-concurrent-use-of-MEMORY-ccaches,
which caused a regression with IPA.

See: https://nvd.nist.gov/vuln/detail/CVE-2018-20217
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ed912266dd21b5cce36880bccbadadb1b9a7014f">ed912266</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-11T14:18:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require krb5 with fix for CVE-2018-20217

A Reachable Assertion issue was discovered in the KDC in MIT Kerberos 5
(aka krb5) before 1.17. If an attacker can obtain a krbtgt ticket using
an older encryption type (single-DES, triple-DES, or RC4), the attacker
can crash the KDC by making an S4U2Self request.

1.16.1-24 comes without Fix-bugs-with-concurrent-use-of-MEMORY-ccaches,
which caused a regression with IPA.

See: https://nvd.nist.gov/vuln/detail/CVE-2018-20217
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2ef6e14c5a87724a3b37dd5f0817af48c4411e03">2ef6e14c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-11T15:45:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Create systemd-user HBAC service and rule

authselect changed pam_systemd session from optional to required. When
the HBAC rule allow_all is disabled and replaced with more fine grained
rules, loginsi now to fail, because systemd's user@.service is able to
create a systemd session.

Add systemd-user HBAC service and a HBAC rule that allows systemd-user
to run on all hosts for all users by default. ipa-server-upgrade creates
the service and rule, too. In case the service already exists, no
attempt is made to create the rule. This allows admins to delete the
rule permanently.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1643928
Fixes: https://pagure.io/freeipa/issue/7831
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e5471e66c6a718ffa28433813b8a8d7896b16d9e">e5471e66</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-01-11T15:55:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/dcerpc: fix exclusion entry with a forest trust domain info returned

When looking through the topology of a trusted forest, we should support
all types of forest trust records. Since Samba Python bindings parse the
data into a typed structure, a type of the record has to be taken into
account or there will be type mismatch when accessing elements of the
union:

        typedef [switch_type(lsa_ForestTrustRecordType)] union {
                [case(LSA_FOREST_TRUST_TOP_LEVEL_NAME)] lsa_StringLarge top_level_name;
                [case(LSA_FOREST_TRUST_TOP_LEVEL_NAME_EX)] lsa_StringLarge top_level_name_ex;
                [case(LSA_FOREST_TRUST_DOMAIN_INFO)] lsa_ForestTrustDomainInfo domain_info;
                [default] lsa_ForestTrustBinaryData data;
        } lsa_ForestTrustData;

        typedef struct {
                lsa_ForestTrustRecordFlags flags;
                lsa_ForestTrustRecordType type;
                NTTIME_hyper time;
                [switch_is(type)] lsa_ForestTrustData forest_trust_data;
        } lsa_ForestTrustRecord;

        typedef [public] struct {
                [range(0,4000)] uint32 count;
                [size_is(count)] lsa_ForestTrustRecord **entries;
        } lsa_ForestTrustInformation;

Each entry in the lsa_ForestTrustInformation has forest_trust_data
member but its content depends on the value of a type member
(forest_trust_data is a union of all possible structures).

Previously we assumed only TLN or TLN exclusion record which were
of the same type (lsa_StringLarge). Access to forest_trust_data.string
fails when forest_trust_data's type is lsa_ForestTrustDomainInfo as it
has no string member.

Fix the code by properly accessing the dns_domain_name from the
lsa_ForestTrustDomainInfo structure.

Fixes: https://pagure.io/freeipa/issue/7828
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/736d2e00d2751e6851e5613dabe8b3f96fb74c92">736d2e00</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-01-11T15:55:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">make sure IPA_CONFDIR is used to check that client is configured

Fixes a test ipatests/test_cmdline/test_cli.py:test_cli_fs_encoding()
which sets IPA_CONFDIR and attempts to interpret the resulting error
message. However, if the test is run on an enrolled machine (a
developer's laptop, for example), check_client_configuration() will
succeed because it ignores IPA_CONFDIR and, as result, api.finalize()
will fail later with a stacktrace.

Pass an environment object and test an overridden config file existence
in this case to fail with a proper and expected message.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/aaf938307acbe987f5e1effc2392894c22235013">aaf93830</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-11T17:32:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Create systemd-user HBAC service and rule

authselect changed pam_systemd session from optional to required. When
the HBAC rule allow_all is disabled and replaced with more fine grained
rules, loginsi now to fail, because systemd's user@.service is able to
create a systemd session.

Add systemd-user HBAC service and a HBAC rule that allows systemd-user
to run on all hosts for all users by default. ipa-server-upgrade creates
the service and rule, too. In case the service already exists, no
attempt is made to create the rule. This allows admins to delete the
rule permanently.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1643928
Fixes: https://pagure.io/freeipa/issue/7831
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5ee687408bd4a0688fc31d28babbd6ad58081f8f">5ee68740</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2019-01-11T19:01:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enable firewall in the tests for PR CI

The firewall has not been enabled in the tests for PR CI so far. With these
steps this is done now:

install_packages: Install firewalld, enable and start firewalld service.

install_server: Enable firewalld services freeipa-ldap freeipa-ldaps and
dns after server installation.

run_tests: Disable firewalld services freeipa-ldap freeipa-ldaps and dns
after server uninstallation.

Related-to: https://pagure.io/freeipa/issue/7755
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ef7a9037619ae27372df34f98204fe751f04ffcf">ef7a9037</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-01-14T09:16:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix "Configured size limit exceeded" warning on Web UI

Suppress size limit warning in 'refresh' command.

Ticket: https://pagure.io/freeipa/issue/7603
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9a48069e3a0cb8e53146a0e47bd7a453934d4d27">9a48069e</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-01-14T14:17:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix "Configured size limit exceeded" warning on Web UI

Suppress size limit warning in 'refresh' command.

Ticket: https://pagure.io/freeipa/issue/7603
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9b90ebf4c33e5c4ff4068d557521f8718ec62a36">9b90ebf4</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-01-15T08:41:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove 389-ds templates now that lib389 is used for installs

The templates created the inf files for calling the 389-ds
installer setup-ds.pl. Now that lib389 is being used for installation
these are no longer necessary.

Related: https://pagure.io/freeipa/issue/4491

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/965181362a901bb49ee2cfda8aa261a3717213cb">96518136</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-15T19:29:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix systemd-user HBAC rule

2ef6e14c5a87724a3b37dd5f0817af48c4411e03 added an invalid HBAC rule that
encoded the service wrongly.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1643928
Fixes: https://pagure.io/freeipa/issue/7831
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e3f37960a00b3f1fb70cd7bdde4daf1a266edc1e">e3f37960</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-01-16T07:57:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't use cross-origin request

'Origin' for IPA login page is 'httpS://xxx'. But 'configured' link
has URL like 'http://xxx/ssbrowser.html'.

Since IPA web server doesn't use any kind of Access-Control-Allow-Origin
rules Mozilla Firefox blocks Cross-Origin request due to the Same Origin
policy violation.

So, just follow the Same Origin policy.

Fixes: https://pagure.io/freeipa/issue/7832
Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/456abbc0f91a8575564f54d9ba330a6acfe49d8c">456abbc0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-16T08:56:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix systemd-user HBAC rule

2ef6e14c5a87724a3b37dd5f0817af48c4411e03 added an invalid HBAC rule that
encoded the service wrongly.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1643928
Fixes: https://pagure.io/freeipa/issue/7831
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/256f2982acb331e5066b512df466167b8ea2bdb2">256f2982</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-17T13:29:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Mark failing NTP test as expected failure

See: https://pagure.io/freeipa/issue/7719
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/49cc72d5c91ef281bf6556a8d685bccd8ef1761b">49cc72d5</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-17T13:36:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove unused tests

Two tests in test_intgration/test_authselect.py were marked as
skipped in c5cdd5a5f0 due to removing of --no-sssd and --no-ac options.
Tests are not needed any more.

Fixes: https://pagure.io/freeipa/issue/7841
Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ad37b483d2cd8c6b66769b2fca2237a3f2873409">ad37b483</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-17T16:23:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove unused tests

Two tests in test_intgration/test_authselect.py were marked as
skipped in c5cdd5a5f0 due to removing of --no-sssd and --no-ac options.
Tests are not needed any more.

Fixes: https://pagure.io/freeipa/issue/7841
Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/165a941109a9a5f7ac8f85bdda93b4132875a7b1">165a9411</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-18T10:33:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't configure KEYRING ccache in containers

Kernel keyrings are not namespaced yet. Keyrings can leak into other
containers. Therefore keyrings should not be used in containerized
environment.

Don't configure Kerberos to use KEYRING ccache backen when a container
environment is detected by systemd-detect-virt --container.

Fixes: https://pagure.io/freeipa/issue/7807
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b149fff80675b07d280bd0ca8e11a69dc25d0e34">b149fff8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-21T12:56:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't configure KEYRING ccache in containers

Kernel keyrings are not namespaced yet. Keyrings can leak into other
containers. Therefore keyrings should not be used in containerized
environment.

Don't configure Kerberos to use KEYRING ccache backen when a container
environment is detected by systemd-detect-virt --container.

Fixes: https://pagure.io/freeipa/issue/7807
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/63fa87a36e3026868c49d603762a730948db9643">63fa87a3</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-22T15:38:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replica installation: add master record only if in managed zone

Scenario: install a replica with DNS, whose IP address is part of a
forward zone.
Currently, the replica installation fails because the installer is
trying to add a A/AAAA record for the replica in the zone
when setting up the bind instance, and addition of records in a
forward zone is forbidden.

The bind installer should check if the IP address is in a master zone
(i.e. a DNS zone managed by IdM, not a forward zone), and avoid
creating the record if it's not the case.

During uninstallation, perform the same check before removing the
DNS record (if in a forward zone, no need to call dnsrecord-del).
Fixes: https://pagure.io/freeipa/issue/7369
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a91e645a147191e48ef939196019c7f4c798eb24">a91e645a</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-22T15:38:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for replica in forward zone

Scenario:
install a replica with DNS, with the replica part of a forward zone.
The replica installation should proceed successfully and avoid
trying to add a DNS record for the replica in the forward zone,
as the forward zone is not managed by IPA DNS.

Test added to nightly definitions.

Related to https://pagure.io/freeipa/issue/7369

Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/60f4a25951bc7bf5df5d271060f16886f3c2aca3">60f4a259</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-25T08:02:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix CA less expectations

The test TestServerInstall::test_ca_2_certs has a
wrong expectation. Scenario:
install a CA-less master with
ipa-server-install --ca-cert-file root.pem
where root.pem contains the CA that signed the http and ldap
certificates + an additional (unneeded) CA cert.

The test was expecting a failure, but this scenario is not
problematic as long as the unneeded CA cert is not added.

Related to https://pagure.io/freeipa/issue/6289 which has been
closed as won't fix

Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Serhii Tsymbaliuk <stsymbal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6b18e8a4232718ec72779d0a59fc243238d75d5c">6b18e8a4</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-28T11:04:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replica installation: add master record only if in managed zone

Scenario: install a replica with DNS, whose IP address is part of a
forward zone.
Currently, the replica installation fails because the installer is
trying to add a A/AAAA record for the replica in the zone
when setting up the bind instance, and addition of records in a
forward zone is forbidden.

The bind installer should check if the IP address is in a master zone
(i.e. a DNS zone managed by IdM, not a forward zone), and avoid
creating the record if it's not the case.

During uninstallation, perform the same check before removing the
DNS record (if in a forward zone, no need to call dnsrecord-del).
Fixes: https://pagure.io/freeipa/issue/7369
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/493cdc4fb8d9a0d1e20b77660e2be9464746e708">493cdc4f</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-01-28T11:04:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for replica in forward zone

Scenario:
install a replica with DNS, with the replica part of a forward zone.
The replica installation should proceed successfully and avoid
trying to add a DNS record for the replica in the forward zone,
as the forward zone is not managed by IPA DNS.

Test added to nightly definitions.

Related to https://pagure.io/freeipa/issue/7369

Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/19b1eb1f5a727640b2e6ee2732bc78c0bd5812da">19b1eb1f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-29T11:44:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use expanduser instead of HOME env var

The HOME directory may not be available in containers. It's also the
wrong variable on some platforms. Use os.path.expanduser() instead of
HOME.

Fixes: https://pagure.io/freeipa/issue/7837
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2ba969da07f1120bc392603ec7bf4bd2a9f967a4">2ba969da</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-29T11:44:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add workaround for lib389 HOME bug

lib389 <= 1.4.0.20 needs HOME env var. Temporary set env var until
lib389 is fixed.

See: https://pagure.io/389-ds-base/issue/50152
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ae74d348c3da580264c56441c136af3fc6ae58df">ae74d348</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-29T11:47:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add workaround for slow host/service del

host-del and service-del are slow because cert revokation is implemented
inefficiently. The internal cert_find() call retrieves all certificates
from Dogtag.

The workaround special cases service and host find without additional RA
search options. A search for service and host certs limits the scope to
certificate with matching subject common name.

See: https://pagure.io/freeipa/issue/7835
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6cd37542e6c563ddd8595d488712935a4d6b17bf">6cd37542</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-29T11:47:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Optimize cert remove case

The cert_remove and mod subcommands for service and host now pass in the
name to cert_find() to benefit from special cases.

See: https://pagure.io/freeipa/issue/7835
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/76437dc86c1f797ff3ee51250d0ab843f791074b">76437dc8</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-01-29T15:19:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Split test_webui_hosts PRCI tests

Web UI test_host is too heavy and causes timeout errors during night runs,
so it is moved to separate configuration.

Reviewed-By: Francisco Trivino <ftrivino@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b8522da3606c70230fd0156a357c991820fcede8">b8522da3</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-29T19:36:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use expanduser instead of HOME env var

The HOME directory may not be available in containers. It's also the
wrong variable on some platforms. Use os.path.expanduser() instead of
HOME.

Fixes: https://pagure.io/freeipa/issue/7837
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/13f20854b4fe89d52bad37bd41bab6b84fb7476b">13f20854</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-29T19:42:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove obsolete tests from test_caless.py

Related issue #4270 is closed as "won't fix" after 4 years.
The tests are obsolete now.

See: https://pagure.io/freeipa/issue/4271
See: https://pagure.io/freeipa/issue/4270

Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/53e0b2255d92c9c21c19306cf37cc8de0476dc9c">53e0b225</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-30T07:06:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-getkeytab: resolve symlink

Resolve one level of symbolic links to support a dangling symlink as
keytab target. To prevent symlink attacks, only resolve symlink when the
symlink is owned by the current effective user and group, or by root.

Fixes: https://pagure.io/freeipa/issue/4607
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a243bd56a65e47b03ee3ba772413b580aeb35ba9">a243bd56</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-30T07:08:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add workaround for slow host/service del

host-del and service-del are slow because cert revokation is implemented
inefficiently. The internal cert_find() call retrieves all certificates
from Dogtag.

The workaround special cases service and host find without additional RA
search options. A search for service and host certs limits the scope to
certificate with matching subject common name.

See: https://pagure.io/freeipa/issue/7835
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2ccd4da44b5d66298bf1d4938fa3dc6ce2dbfa84">2ccd4da4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-30T07:08:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Optimize cert remove case

The cert_remove and mod subcommands for service and host now pass in the
name to cert_find() to benefit from special cases.

See: https://pagure.io/freeipa/issue/7835
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/20d8286b60b6f3f597912d16afd04ef29ad248c8">20d8286b</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-30T07:16:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix ldap server url

master.external_hostname was used to construct ldap url
which caused ldappasswd utility to exit with error due to host name
mismatch in client certificate. master.hostname should be used instead
as this name is used to generate certificate.

Fixes https://pagure.io/freeipa/issue/7844

Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/089eb1ad4d738c93703226d4bc8270240be194dc">089eb1ad</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-30T12:38:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix ldap server url

master.external_hostname was used to construct ldap url
which caused ldappasswd utility to exit with error due to host name
mismatch in client certificate. master.hostname should be used instead
as this name is used to generate certificate.

Fixes https://pagure.io/freeipa/issue/7844

Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f65f725960ad87b0447cb69a344976af9a83055a">f65f7259</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-01-30T13:23:12Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-getkeytab: resolve symlink

Resolve one level of symbolic links to support a dangling symlink as
keytab target. To prevent symlink attacks, only resolve symlink when the
symlink is owned by the current effective user and group, or by root.

Fixes: https://pagure.io/freeipa/issue/4607
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0439537f26164f9a540083582a4f96a701ffae92">0439537f</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-01-31T17:00:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove obsolete tests from test_caless.py

Related issue #4270 is closed as "won't fix" after 4 years.
The tests are obsolete now.

See: https://pagure.io/freeipa/issue/4271
See: https://pagure.io/freeipa/issue/4270

Signed-off-by: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/146168d43de1ceebf4ddafa5f02edb8de41c99c0">146168d4</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2019-02-01T12:27:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check if issuer DN is updated after external-ca > self-signed

This test checks if issuer DN is updated properly after CA is
renewed back from external-ca to self-signed

related ticket : https://pagure.io/freeipa/issue/7762

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fde6ef5bbf579d605fddc0c2e33e2629a202eb8b">fde6ef5b</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2019-02-01T18:51:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check if issuer DN is updated after external-ca > self-signed

This test checks if issuer DN is updated properly after CA is
renewed back from external-ca to self-signed

related ticket : https://pagure.io/freeipa/issue/7762

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fd4b84d6d23227a30a83086b6ad0b6966fcba9f3">fd4b84d6</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-02-01T18:54:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: Don't provide explicit hostname to ldapmodify

Manual revert of bbac233b5ee487ab0e035cf0b861144769a0b738

The assumption was that ldap.conf was hosed and it couldn't
tell what hostname to use so one was hardcoded. This code
doesn't explicitly test that ldap.conf is sane but it is
a nice side-effect I suppose.

https://pagure.io/freeipa/issue/5880
Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ed74b89878ccf62d22b9188c6f57adab65b66c2b">ed74b898</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-02-04T08:12:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update mod_nss cipher list so there is overlap with a 4.x master

dogtag updated its cipher list, disabling a lot of ciphers, which
causes an overlap problem with a RHEL 6.x IPA master.

This update script adds the two available ciphers to the nss.conf
so that creating a CA replica is possible.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/88795fb9a930e205ee5ae183e68f4229af0a5a97">88795fb9</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-04T13:14:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix certificate revocation tests for Web UI

- correct revocation date before search
- increase timeouts

https://pagure.io/freeipa/issue/7834

Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0b17ae905ac4d3243c373290582ebc3a424b0d77">0b17ae90</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-04T19:24:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require 389-ds 1.4.0.21

1.4.0.21 fixes a problem with create_suffix_entry and uses
os.path.expanduser() instead of getenv('HOME').

See: https://pagure.io/389-ds-base/pull-request/50121
See: https://pagure.io/389-ds-base/issue/49984
See: https://pagure.io/389-ds-base/issue/50152
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc33be73f85807ebf2aa59479d05a0fbf2a232cf">dc33be73</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-04T19:24:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Mark two failing automember tests as xfail

Two automember tests of the XML-RPC test suite have started to fail with
389-DS 1.4.0.21 update. The test failure seems to be related to a change of
389-DS' automember plugin,
https://www.port389.org/docs/389ds/design/automember-postop-modify-design.html.

See: https://pagure.io/freeipa/issue/7855
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5845fed727a28dfa76e552fbd22ab3bdcab21cc3">5845fed7</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T10:06:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Mark two failing automember tests as xfail

Two automember tests of the XML-RPC test suite have started to fail with
389-DS 1.4.0.21 update. The test failure seems to be related to a change of
389-DS' automember plugin,
https://www.port389.org/docs/389ds/design/automember-postop-modify-design.html.

See: https://pagure.io/freeipa/issue/7855
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/77737829e5ad2eb027d3f3b9f267c0100ec350f0">77737829</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T10:06:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require 389-ds 1.4.0.21

1.4.0.21 fixes a problem with create_suffix_entry and uses
os.path.expanduser() instead of getenv('HOME').

See: https://pagure.io/389-ds-base/pull-request/50121
See: https://pagure.io/389-ds-base/issue/49984
See: https://pagure.io/389-ds-base/issue/50152
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bcfd61e8eeed98864ef4033e3e9c2a4ae9054c2e">bcfd61e8</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-02-05T13:25:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update mod_nss cipher list so there is overlap with a 4.x master

dogtag updated its cipher list, disabling a lot of ciphers, which
causes an overlap problem with a RHEL 6.x IPA master.

This update script adds the two available ciphers to the nss.conf
so that creating a CA replica is possible.

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/034d2010330671d29610019c9db991c0f7a41e0b">034d2010</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-02-05T13:30:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: Don't provide explicit hostname to ldapmodify

Manual revert of bbac233b5ee487ab0e035cf0b861144769a0b738

The assumption was that ldap.conf was hosed and it couldn't
tell what hostname to use so one was hardcoded. This code
doesn't explicitly test that ldap.conf is sane but it is
a nice side-effect I suppose.

https://pagure.io/freeipa/issue/5880
Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/24b97b31532549222716a5e0d367a1591a89730f">24b97b31</a></strong>
<div>
<span>by Pavel Picka</span>
<i>at 2019-02-05T13:35:14Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">PRCI failures fix

test_installation.py
- ticket 7008 closed so removing xfail
  - TestInstallWithCA1
  - TestInstallWithCA
  - TestInstallWithCA_DNS1
  - TestInstallWithCA_DNS2

nightly_master
- test_backup_and_restore_TestUser[r>R]ootFilesOwnership[Permission]

Signed-off-by: Pavel Picka <ppicka@redhat.com>
Reviewed-By: Michal Reznik <mreznik@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d5d9233b7c94eb33d6c7341899543224c14d2287">d5d9233b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move realm_to_serverid/ldap_uri to ipaldap

The helper function realm_to_serverid() and realm_to_ldap_uri() are
useful outside the server installation framework. They are now in
ipapython.ipaldap along other helpers for LDAP handling in FreeIPA.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5be9341fbabaf7bcb396a2ce40f17e1ccfa54b77">5be9341f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add constructors to ldap client

Add LDAPClient.from_realm(), LDAPClient.from_hostname_secure(), and
LDAPClient.from_hostname_plain() constructors.

The simple_bind() method now also refuses to transmit a password over a
plain, unencrypted line.

LDAPClient.from_hostname_secure() uses start_tls and FreeIPA's CA cert
by default. The constructor also automatically disables start_tls for
ldaps and ldapi connections.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a3934a211d5fb601d2ac501fcecf05039ef4c10b">a3934a21</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use new LDAPClient constructors

Replace get_ldap_uri() + LDAPClient() with new LDAPClient constructors
like LDAPClient.from_realm().

Some places now use LDAPI with external bind instead of LDAP with simple
bind. Although the FQDN *should* resolve to 127.0.0.1 / [::1], there is
no hard guarantee. The draft
https://tools.ietf.org/html/draft-west-let-localhost-be-localhost-04#section-5.1
specifies that applications must verify that the resulting IP is a
loopback API. LDAPI is always local and a bit more efficient, too.

The simple_bind() method also prevents the caller from sending a
password over an insecure line.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1a2ceb155759e6640ed8e07fdaa0da02ac1b60e9">1a2ceb15</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use secure LDAP connection in tests

Integration tests are now using StartTLS with IPA's CA cert instead of
plain text connections.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e4fff90074797cdc368f3d52169b8f20440ecd57">e4fff900</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use LDAPS when installing CA on replica

On a replica, 389-DS is already configured for secure connections when
the CA is installed.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d87a3b01e0dd370beb502fecacf672c5d3033996">d87a3b01</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Let 389-DS configure LDAPI for us

The new lib389 installer configures LDAPI with correct socket path by
default. Use LDAPI to boot strap the IPA domain and autobind.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/73bc11a20b904a1203201f5525f147fe1737e960">73bc11a2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-05T13:39:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add ldapmodify/search helper functions

Move common LDAP commands to ldapmodify_dm() and ldapsearch_dm() helper
functions.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bf1875a0e7d0d0526cb9211e9e5972147da0722c">bf1875a0</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-06T17:11:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI tests: Get rid of *_cert_path and *_csr_path config variables

Web UI tests now don't require additional configuration to test certificates.
Self-signed certificates and CSR are generated on fly.
Next variables from ~/.ipa/ui_test.conf for now are deprecated:
- arbitrary_cert_path
- service_csr_path
- user_csr_path

Ticket: https://pagure.io/freeipa/issue/7843
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b763bc7952fb00072a1a06602388e0e99d88985d">b763bc79</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-06T17:11:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_arbitrary_certificates for Web UI

- fix selector for "Add" button in the certificate dialog
- specify selector for the certificate dialog

Ticket: https://pagure.io/freeipa/issue/7843
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0376d7043c143fda14244d9d17dad2df043f80c9">0376d704</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-06T18:13:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Tests: fix option name for dsctl

389-ds-base has modified one option name in dsctl, and our test
test_uninstallation.py::TestUninstallBase::()::test_failed_uninstall
is still using the old option (--doit) instead of the new one
(--do-it).

Fixes: https://pagure.io/freeipa/issue/7856
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/93fb037d8409d9d46606c31d8a240e3963b72651">93fb037d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T11:33:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Compile IPA modules with C11 extensions

- define __STDC_WANT_LIB_EXT1__ to get C11 extensions like memset_s() for
  Samba's ZERO_STRUCT() macro, see
  https://en.cppreference.com/w/c/string/byte/memset
- _DEFAULT_SOURCE enables features like htole16() from endian.h, see
  http://man7.org/linux/man-pages/man3/endian.3.html
- _POSIX_C_SOURCE >= 200809 enables features like strndup() from string.h,
  see http://man7.org/linux/man-pages/man3/strndup.3.html
- time_t is no longer implicitly defined, include time.h
- typeof() is only available as GNU extension. Use explicit types
  instead of generic __typeof__().

Fixes: https://pagure.io/freeipa/issue/7858
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d4d0b8a04642fc21167342b6bee998846159e605">d4d0b8a0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T12:21:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update build requirements on twine

On Fedora >= 29 the command 'twine' is provied by the twine package. On
F28 it's in python3-twine. F30 no longer has python3-twine.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/272837f1c07729392cdbc88b99a221390d01e70d">272837f1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T12:38:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove ZERO_STRUCT() call

ipa_sam uses Samba's macro ZERO_STRUCT() to safely zero out a block in
memory. On F30 ZERO_STRUCT() is currently broken, because it uses the
undefined C11 function memset_s().

During investigation of the bug, it turned out that
ZERO_STRUCT(td->security_identifier) is not needed. The whole td struct
is allocated with talloc_zero(), so td->security_identifier is already
zeroed.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1672231
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/06c0b05c9cd8702d5a4e2ee05d3c2f354944a2ba">06c0b05c</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-07T13:32:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI tests: Get rid of *_cert_path and *_csr_path config variables

Web UI tests now don't require additional configuration to test certificates.
Self-signed certificates and CSR are generated on fly.
Next variables from ~/.ipa/ui_test.conf for now are deprecated:
- arbitrary_cert_path
- service_csr_path
- user_csr_path

Ticket: https://pagure.io/freeipa/issue/7843
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c746ecd1ffd52ede585a28c625389fee3879302f">c746ecd1</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-07T13:32:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_arbitrary_certificates for Web UI

- fix selector for "Add" button in the certificate dialog
- specify selector for the certificate dialog

Ticket: https://pagure.io/freeipa/issue/7843
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/546b6b46abf8399aa9721bb28f4e4f96dc7ded1b">546b6b46</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T14:01:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Compile IPA modules with C11 extensions

- define __STDC_WANT_LIB_EXT1__ to get C11 extensions like memset_s() for
  Samba's ZERO_STRUCT() macro, see
  https://en.cppreference.com/w/c/string/byte/memset
- _DEFAULT_SOURCE enables features like htole16() from endian.h, see
  http://man7.org/linux/man-pages/man3/endian.3.html
- _POSIX_C_SOURCE >= 200809 enables features like strndup() from string.h,
  see http://man7.org/linux/man-pages/man3/strndup.3.html
- time_t is no longer implicitly defined, include time.h
- typeof() is only available as GNU extension. Use explicit types
  instead of generic __typeof__().

Fixes: https://pagure.io/freeipa/issue/7858
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1c009e5599291a52555124a7d6ca15f59e0b1a23">1c009e55</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T14:10:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update build requirements on twine

On Fedora >= 29 the command 'twine' is provied by the twine package. On
F28 it's in python3-twine. F30 no longer has python3-twine.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1355588768c7863234c518196f48527e119740e0">13555887</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-07T14:11:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove ZERO_STRUCT() call

ipa_sam uses Samba's macro ZERO_STRUCT() to safely zero out a block in
memory. On F30 ZERO_STRUCT() is currently broken, because it uses the
undefined C11 function memset_s().

During investigation of the bug, it turned out that
ZERO_STRUCT(td->security_identifier) is not needed. The whole td struct
is allocated with talloc_zero(), so td->security_identifier is already
zeroed.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1672231
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/089f9e7af243f0b9f20c78a2061ee53e354aba0a">089f9e7a</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-07T16:32:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: mark known failures as xfail

Commit 5dbcc1a9d30cdb0bc1c4f8476be37a3ef781f9be marked
the base class method test_replica0_with_ca_kra_dns_install
as known failure, but this does not work with inherited
classes. The child class methods need to be marked
themselves as known failures with @pytest.mark.xfail

Furthermore, TestInstallWithCA_KRA2 and TestInstallWithCA_KRA_DNS2
tests should succeed because the master is installed with KRA
(issue 7651 is related to replica install with --setup-kra
when it is the first KRA instance).

Related to https://pagure.io/freeipa/issue/7651

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/56f84ae0a6576ddb843dd504e9226d25ba22b37e">56f84ae0</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-02-07T16:32:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove tests which install KRA on replica w/o KRA on master

The KRA installation code explicity quits if trying to
install a KRA during a replica installation if there is not
already a KRA in the topology.

A KRA can be added afterward.

https://pagure.io/freeipa/issue/7651

Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fbcdb8c00d26bbdb64f57d31d5de8bf5212761b3">fbcdb8c0</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-08T09:45:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Split Web UI test suite in nightly PR CI configuration (IPA 4.7)

Manually apply changes from PRs:
https://github.com/freeipa/freeipa/pull/2538
https://github.com/freeipa/freeipa/pull/2774

WebUI test suite configuration is split to 11 bunches of tests to avoid unexpected timeouts.
test_webui/test_host.py runs standalone because it is unstable and heaviest one.

Original task: https://pagure.io/freeipa/issue/7756

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5c8c00a4b759b084b0c3bbbea2193af56d8c867a">5c8c00a4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-11T17:06:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test --external-ca-type=ms-cs

Verify that ipa-server-install with external CA and CA type ms-cs adds
the correct extension to the CSR.

Fixes: https://pagure.io/freeipa/issue/7548
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5d9822d0c31d7d3a3844363cd2a0d30e7b7dc1fa">5d9822d0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-11T18:42:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test --external-ca-type=ms-cs

Verify that ipa-server-install with external CA and CA type ms-cs adds
the correct extension to the CSR.

Fixes: https://pagure.io/freeipa/issue/7548
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/425dff1e0d2b360557075ea322309411b485d58f">425dff1e</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-02-12T10:07:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for correct modlist when value encoding differs

See: https://pagure.io/freeipa/issue/7750
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3ec29a7f6a28a98776845d0ec561b633d07896b1">3ec29a7f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-12T10:14:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable dependency on dogtag-pki PyPI package

The dependency on 'dogtag-pki' PyPI package causes problems.

For one it's not the full pki package. It only provides the client part,
but ipaserver also needs the pki.server subpackage with pkispawn command.

The Fedora package dependency generator turns the requirement into a
package requirement, but python3-pki does not provide the package name
python3.7dist(dogtag-pki).

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/144a9c74d6f98fcb0f3d82395fe0c9207201b1e9">144a9c74</a></strong>
<div>
<span>by Mohammad Rizwan Yusuf</span>
<i>at 2019-02-12T11:00:29Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: check if username are not optimized out in semanage context

ipa users having default semanage context were optimized out.
This test checks if those users are listed.

related ticket : https://pagure.io/SSSD/sssd/issue/3819

Signed-off-by: Mohammad Rizwan Yusuf <myusuf@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1dc2287a8e76a11968a0e9e4ef2f984157bc9c19">1dc2287a</a></strong>
<div>
<span>by Francisco Trivino</span>
<i>at 2019-02-12T11:03:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">prci_definitions: Add nightly flow for pki dep testing

This commit adds PKI nightly flow definition. It executes relevant
freeipa tests in order to catch PKI regressions.

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/06ca78ebeb54aa096cf98b6d18c9cef84190fce1">06ca78eb</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-02-12T14:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">rules: Build the server for experimental.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/67aa99998018a0eb7131c28e793fbe12b18c483c">67aa9999</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-02-12T14:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">releasing package freeipa version 4.7.2-1+exp1
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8c0f5f9a73ac7fc16c6fac34d2e2161ebab0a37f">8c0f5f9a</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-02-12T14:05:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">upload rebase
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7a8b875c2500e00dd7eca9e5425d4569906ee1ef">7a8b875c</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-02-12T15:36:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add test for correct modlist when value encoding differs

See: https://pagure.io/freeipa/issue/7750
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e63c6b202a7aa7b2df40cbffe40e673e7d08f3ed">e63c6b20</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-15T17:21:47Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: mark xfail for test_selinux_user_optimized on fed<=28

The test TestUserPermissions::test_selinux_user_optimized is
testing the fix for SSSD issue 3819, but the fix is not
available in fedora 28. Hence mark the test as xfail when
executed on fedora <=28 (our nightly tests also run on fed 28).

For full ref: fixed in sssd 1.16.4, Fedora 28 provides
1.16.3-2.fc28 only, while Fedora 29 provides 2.0.0-3.fc29.

related ticket : https://pagure.io/SSSD/sssd/issue/3819

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1fced5c433d6e45c6f738fa80e7f0dc941b56a2b">1fced5c4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-02-15T17:29:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable dependency on dogtag-pki PyPI package

The dependency on 'dogtag-pki' PyPI package causes problems.

For one it's not the full pki package. It only provides the client part,
but ipaserver also needs the pki.server subpackage with pkispawn command.

The Fedora package dependency generator turns the requirement into a
package requirement, but python3-pki does not provide the package name
python3.7dist(dogtag-pki).

Signed-off-by: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5e7f82db3c102ab90c24f19786e4254c09d89a1c">5e7f82db</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-18T13:53:06Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI: Increase timeouts for UI tests in Nightly PR configuration

Some test suites for WebUI in Nightly PR configuration have timeouts without any reserve.
So these tests fails randomly.

Timeout values for these test was increased to {real duration} + ~30%

https://pagure.io/freeipa/issue/7864

Reviewed-By: Petr Vobornik <pvoborni@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5525322817c736d8851661a5bfedfdd5c794e5c8">55253228</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-19T00:16:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-install: fix ca setup when fs.protected_regular=1

/tmp is a sticky directory. When the OS is configured with
fs.protected_regular=1, this means that O_CREATE open is forbidden
for files in /tmp if the calling user is not owner of the file,
except if the file is owned by the owner of the directory.

The installer (executed as root) currently creates a file in /tmp,
then modifies its owner to pkiuser and finally writes the pki config
in the file. With fs.protected_regular=1, the write is denied because
root is not owner of the file at this point.
The fix performs the ownership change after the file has been written.

Fedora bug: https://bugzilla.redhat.com/show_bug.cgi?id=1677027

Fixes: https://pagure.io/freeipa/issue/7866
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/87496d647706462fa8a10bbea5637104153146b2">87496d64</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-19T06:03:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-install: fix ca setup when fs.protected_regular=1

/tmp is a sticky directory. When the OS is configured with
fs.protected_regular=1, this means that O_CREATE open is forbidden
for files in /tmp if the calling user is not owner of the file,
except if the file is owned by the owner of the directory.

The installer (executed as root) currently creates a file in /tmp,
then modifies its owner to pkiuser and finally writes the pki config
in the file. With fs.protected_regular=1, the write is denied because
root is not owner of the file at this point.
The fix performs the ownership change after the file has been written.

Fedora bug: https://bugzilla.redhat.com/show_bug.cgi?id=1677027

Fixes: https://pagure.io/freeipa/issue/7866
Signed-off-by: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cb14883acc94c20c6330f34890998535ce29934a">cb14883a</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-19T13:51:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: fix failure in test_topology_TestTopologyOptions:test_add_remove_segment

The test is performing topology changes on the master, then
waits for replication to replicate the changes and checks
the expected outcome on replica1.

The issue is that wait_for_replication was called on replica1,
but should be called on the master. This method is reliable only
if it is executed on the host where the modification was done.

Fixes https://pagure.io/freeipa/issue/7865

Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d1f5ed64e16d65b9df45cc0eac7d2724dcae7b67">d1f5ed64</a></strong>
<div>
<span>by Sumit Bose</span>
<i>at 2019-02-19T14:36:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa_sam: remove dependency to talloc_strackframe.h

Recent Samba versions removed some header files which did include
non-public APIs. As a result talloc_strackframe.h and memory.h (for
SAFE_FREE) are not available anymore. This patch replaces the use of the
non-public APIs with public ones.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0cc732eb72c7e66eecde0e2c15291887b95f00b2">0cc732eb</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-19T17:11:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">tests: fix failure in test_topology_TestTopologyOptions:test_add_remove_segment

The test is performing topology changes on the master, then
waits for replication to replicate the changes and checks
the expected outcome on replica1.

The issue is that wait_for_replication was called on replica1,
but should be called on the master. This method is reliable only
if it is executed on the host where the modification was done.

Fixes https://pagure.io/freeipa/issue/7865

Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/658983794ccfd56afeb376a2f2d7d9a382d25a0c">65898379</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-20T08:18:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pkinit setup: fix regression on master install

The commit 7785210 intended to fix ipa-pkinit-manage enable
on a replica without any CA but introduced a regression:
ipa-server-install fails to configure pkinit with the fix.

This commit provides a proper fix without the regression:
pkinit needs to contact Dogtag directly only in case there is
no CA instance yet (for ex. because we are installing the
first master).

Fixes: https://pagure.io/freeipa/issue/7795
Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a25de958e4819d344d15964c7344b2a9ba15c204">a25de958</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-20T08:18:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">test: add non-reg test checking pkinit after server install

Add a test with the following scenario:
ipa-server-install (with ca and pkinit enabled)
check that pkinit is properly enabled:
ipa-pkinit-manage status must return "enabled"
the KDC cert must be signed by IPA CA

Related to: https://pagure.io/freeipa/issue/7795

Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fcf3fd708be47d34a5266d88b82b0e71086b815f">fcf3fd70</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-20T10:43:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">test: add non-reg test checking pkinit after server install

Add a test with the following scenario:
ipa-server-install (with ca and pkinit enabled)
check that pkinit is properly enabled:
ipa-pkinit-manage status must return "enabled"
the KDC cert must be signed by IPA CA

Related to: https://pagure.io/freeipa/issue/7795

Reviewed-By: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/acc38494ca267aad401523e71869fb38d302a0e5">acc38494</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-02-20T10:43:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pkinit setup: fix regression on master install

The commit 7785210 intended to fix ipa-pkinit-manage enable
on a replica without any CA but introduced a regression:
ipa-server-install fails to configure pkinit with the fix.

This commit provides a proper fix without the regression:
pkinit needs to contact Dogtag directly only in case there is
no CA instance yet (for ex. because we are installing the
first master).

Fixes: https://pagure.io/freeipa/issue/7795
Reviewed-By: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c32bdcb11847d0556a40b57ad5e9b0f0eb0035cb">c32bdcb1</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-02-20T13:46:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI: Increase timeouts for UI tests in Nightly PR configuration

Some test suites for WebUI in Nightly PR configuration have timeouts without any reserve.
So these tests fails randomly.

Timeout values for these test was increased to {real duration} + ~30%

https://pagure.io/freeipa/issue/7864

Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c69875c8afdd877baf7139c0cd5241f70105cbd4">c69875c8</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-27T20:42:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: handle NFS configuration file changes

nfs-utils in Fedora 30 and later switched its configuration
file from /etc/sysconfig/nfs to /etc/nfs.conf, providing a
conversion service (nfs-convert.service) for upgrades.
However, for new installs the original configuration file
is missing. This change:
* adds a tuple-based osinfo.version_number method to handle
  more kinds of OS versioning schemes
* detects RHEL and Fedora versions with the the new nfs-utils
  behavior
* avoids backing up the new NFS configuration file as we do
  not have to modify it.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1676981

Fixes: https://pagure.io/freeipa/issue/7868
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2ee160d189042a356c1ba9bb91214f2a495cc10d">2ee160d1</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-27T22:32:48Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: handle NFS configuration file changes

nfs-utils in Fedora 30 and later switched its configuration
file from /etc/sysconfig/nfs to /etc/nfs.conf, providing a
conversion service (nfs-convert.service) for upgrades.
However, for new installs the original configuration file
is missing. This change:
* adds a tuple-based osinfo.version_number method to handle
  more kinds of OS versioning schemes
* detects RHEL and Fedora versions with the the new nfs-utils
  behavior
* avoids backing up the new NFS configuration file as we do
  not have to modify it.

See: https://bugzilla.redhat.com/show_bug.cgi?id=1676981

Fixes: https://pagure.io/freeipa/issue/7868
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4fd4cf6831af57df5690112dae532fc52876e41d">4fd4cf68</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-28T17:27:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylintrc: ignore R1720 no-else-raise errors

Newer pylint trips on unnecessary else/elif after raise.
Ignore that error for now as it breaks our build.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/052a3d202f17e51688620e57f75ac06a17bde518">052a3d20</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-02-28T19:37:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">pylintrc: ignore R1720 no-else-raise errors

Newer pylint trips on unnecessary else/elif after raise.
Ignore that error for now as it breaks our build.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/40dd0979a4b99b493f637a7fe2c15c89ca6534be">40dd0979</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-01T07:38:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: remove all occurrences of osinfo.version_id

The fix for https://pagure.io/freeipa/issue/7868 introduced
a tuple-based OS version management method (osinfo.version_number)
by Christian Heimes.
Convert all occurrences of osinfo.version_id in ipatests to
osinfo.version_number then remove osinfo.version_id.

Related to: https://pagure.io/freeipa/issue/7873
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e6d560af66d5b68fcbf73faeea243093e5a06f3c">e6d560af</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-01T10:44:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make IPADiscovery available in PyPI packages

The ipaclient PyPI package does not ship the ipaclient.install
subpackage. The ipaclient.install.ipadiscovery module with IPADiscovery
is now available as ipaclient.discovery, so it can be used by consumers
of PyPI packages.

The module ipaclient.install.ipadiscovery provides a backwards
compatibility shim with deprecation warning.

Fixes: https://pagure.io/freeipa/issue/7861
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b5f1d33fb39b6259ab0f35b93c494b9e127cc9a6">b5f1d33f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-01T10:44:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reformat and PEP8 ipaclient.discovery

Since the moved code is detected as new/modified code, make fastlint is
complaining about PEP 8 violations.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fe4054da7cfd34ac5a44e37f1d1b40322b971cb0">fe4054da</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-04T10:17:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: remove all occurrences of osinfo.version_id

The fix for https://pagure.io/freeipa/issue/7868 introduced
a tuple-based OS version management method (osinfo.version_number)
by Christian Heimes.
Convert all occurrences of osinfo.version_id in ipatests to
osinfo.version_number then remove osinfo.version_id.

Related to: https://pagure.io/freeipa/issue/7873
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dccb2e0eb8953e449dadc344aaa7cd0d173b9717">dccb2e0e</a></strong>
<div>
<span>by Ian Pilcher</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow issuing certificates with IP addresses in subjectAltName

Allow issuing certificates with IP addresses in the subject
alternative name (SAN), if all of the following are true.

* One of the DNS names in the SAN resolves to the IP address
  (possibly through a CNAME).
* All of the DNS entries in the resolution chain are managed by
  this IPA instance.
* The IP address has a (correct) reverse DNS entry that is managed
  by this IPA instance

https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8ec4868a64a193917ee2c424ba5fdbf17f14b4ad">8ec4868a</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: restrict IPAddress SAN to host/service principals

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eb70e64c0b0cd867dc0d771a3a145e5549012f92">eb70e64c</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: collect only qualified DNS names for IPAddress validation

Collect only qualified DNS names for IPAddress validation.  This is
necessary because it is undecidable whether the name 'ninja' refers
to 'ninja.my.domain.' or 'ninja.' (assuming both exist).  Remember
that even a TLD can have A records.

Now that we are only checking qualified names for the purpose of
IPAddressName validation, remove the name length hack from
_san_dnsname_ips().

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9c750f0738ccc81004ced8cd1c816e48be539f8b">9c750f07</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: generalise _san_dnsname_ips for arbitrary cname depth

Generalise _san_dnsname_ips to allow arbitrary cname depths.  This
also clarifies the code and avoids boolean blindness.  Update the
call site to maintain the existing behvaiour (one cname allowed).

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e37c025dac7c89aa59de98d66a443d49f6009de5">e37c025d</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: report all unmatched SAN IP addresses

During SAN validation, it is possible that more than one
iPAddressName does not match a known IP address for the DNS names in
the SAN.  But only one unmatched IP address is reported.  Update the
error message to mention all unmatched iPAddressName values.

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/474a2e6952e15fe3bf1bbf16853ecdc157355b0b">474a2e69</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tests for cert-request IP address SAN support

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a65c12d042e480ac5ff1c327feb94221c4b76782">a65c12d0</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-04T18:35:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: more specific errors in IP address validation

Update the IP address validation to raise different error messages
for:

- inability to reach IP address from a DNS name
- missing PTR records for IP address
- asymmetric PTR / forward records

If multiple scenarios apply, indicate the first error (from list
above).

The code should now be a bit easier to follow.  We first build dicts
of forward and reverse DNS relationships, keyed by IP address.  Then
we check that entries for each iPAddressName are present in both
dicts.  Finally we check for PTR-A/AAAA symmetry.

Update the tests to check that raised ValidationErrors indicate the
expected error.

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/24c77bc4f778f3caa6272de8659da04abe06b67e">24c77bc4</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-03-05T08:25:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix host name for ssh connection from controller to master

Use master.external_hostname instead of master.hostname for ssh connection
from controller machine to master. If hostname and external_hostname in
test_config.yml do no match then trying to establish ssh connection
was failing with "[Errno -2] Name or service not known".

Fixes https://pagure.io/freeipa/issue/7874

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f8d91b992b0c494cce30f3ada2ecd2eeebce24e7">f8d91b99</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-03-05T12:57:07Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix host name for ssh connection from controller to master

Use master.external_hostname instead of master.hostname for ssh connection
from controller machine to master. If hostname and external_hostname in
test_config.yml do no match then trying to establish ssh connection
was failing with "[Errno -2] Name or service not known".

Fixes https://pagure.io/freeipa/issue/7874
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f6489117f393b8dd2c518740f5fd5b007b09120b">f6489117</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-07T14:19:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: fix PEP8 issues

Commit 6a56aa6d4987bc4856997351a413c014e14abdd6 introduced
C0303, W1201 and R1710 errors in ipa-client-automount.in.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/faa3016db744337c541cb084733dec99e9b51212">faa3016d</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-07T17:18:18Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-automount: fix PEP8 issues

Commit 6a56aa6d4987bc4856997351a413c014e14abdd6 introduced
C0303, W1201 and R1710 errors in ipa-client-automount.in.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8327e11b6be6c675a2eb7b453a5e7fb68d0c12c2">8327e11b</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-08T07:17:36Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: handle missing zone

SAN IP address validation, while determining the zone for a DNS name
or IP address, does not handle missing zones.  The resulting
dns.resolver.NoNameservers exception is not caught.  As a result,
InternalError is returned to client.

Update cert-request IP address name validation to handle this case.

Part of: https://pagure.io/freeipa/issue/7451
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/142b0dde8df64790562c38cb5ef4171f24a07529">142b0dde</a></strong>
<div>
<span>by Ian Pilcher</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Allow issuing certificates with IP addresses in subjectAltName

Allow issuing certificates with IP addresses in the subject
alternative name (SAN), if all of the following are true.

* One of the DNS names in the SAN resolves to the IP address
  (possibly through a CNAME).
* All of the DNS entries in the resolution chain are managed by
  this IPA instance.
* The IP address has a (correct) reverse DNS entry that is managed
  by this IPA instance

https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f34f099f6ccf835d39e83062f732cf914565bac9">f34f099f</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: restrict IPAddress SAN to host/service principals

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/7107eb1c4fd3eb46f6f6082ee4bd493fc103853c">7107eb1c</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: collect only qualified DNS names for IPAddress validation

Collect only qualified DNS names for IPAddress validation.  This is
necessary because it is undecidable whether the name 'ninja' refers
to 'ninja.my.domain.' or 'ninja.' (assuming both exist).  Remember
that even a TLD can have A records.

Now that we are only checking qualified names for the purpose of
IPAddressName validation, remove the name length hack from
_san_dnsname_ips().

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8dc25eb2483bb87cc309a9157aebbb7db6c823f5">8dc25eb2</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: generalise _san_dnsname_ips for arbitrary cname depth

Generalise _san_dnsname_ips to allow arbitrary cname depths.  This
also clarifies the code and avoids boolean blindness.  Update the
call site to maintain the existing behvaiour (one cname allowed).

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ba93f55b678b872df31fbe2ef81901e6698443ad">ba93f55b</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: report all unmatched SAN IP addresses

During SAN validation, it is possible that more than one
iPAddressName does not match a known IP address for the DNS names in
the SAN.  But only one unmatched IP address is reported.  Update the
error message to mention all unmatched iPAddressName values.

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b5324b5db925f93b7b14fcffead895d013e5278f">b5324b5d</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tests for cert-request IP address SAN support

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d0b915cb46e06513af2a1abba395d7255e3bcb6f">d0b915cb</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: more specific errors in IP address validation

Update the IP address validation to raise different error messages
for:

- inability to reach IP address from a DNS name
- missing PTR records for IP address
- asymmetric PTR / forward records

If multiple scenarios apply, indicate the first error (from list
above).

The code should now be a bit easier to follow.  We first build dicts
of forward and reverse DNS relationships, keyed by IP address.  Then
we check that entries for each iPAddressName are present in both
dicts.  Finally we check for PTR-A/AAAA symmetry.

Update the tests to check that raised ValidationErrors indicate the
expected error.

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d07ca488c4af12bba56f04e70007205cd53b66f5">d07ca488</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-11T00:34:03Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">cert-request: handle missing zone

SAN IP address validation, while determining the zone for a DNS name
or IP address, does not handle missing zones.  The resulting
dns.resolver.NoNameservers exception is not caught.  As a result,
InternalError is returned to client.

Update cert-request IP address name validation to handle this case.

Part of: https://pagure.io/freeipa/issue/7451

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a638dcd48d37bbf15c46cb2051bcc185eb40e8a">2a638dcd</a></strong>
<div>
<span>by Armando Neto</span>
<i>at 2019-03-12T12:56:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing nightly test definitions from master

Copy current test definitions from `master` branch to `ipa-4-7`.

Test case `fedora-29/test_ntp_options` was not copied because its
associated test suite is not available in the `ipa-4-7` branch.

Signed-off-by: Armando Neto <abiagion@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f2e7c3f68b691f180acd201a81fe10c7c1491071">f2e7c3f6</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-13T15:09:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add too-restritive mask tests

If the mask used during the installation is "too restrictive", ie.0027,
installing FreeIPA results in a broken server or replica.
Add two tests that expect an error message at install time to catch
too restrictive masks.

Related to: https://pagure.io/freeipa/issue/7193
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f90a4b9554656c984c8ac47e3503d83fb52d0b1f">f90a4b95</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-13T15:09:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-{server,replica}-install: add too-restritive mask detection

If the mask used during the installation is "too restrictive", ie.0027,
installing FreeIPA results in a broken server or replica.
Check for too-restrictive mask at install time and error out.

Fixes: https://pagure.io/freeipa/issue/7193
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0d23fa92788b1258005e46920505d9b768d30799">0d23fa92</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-14T08:39:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">CRL generation master: new utility to enable|disable

Implement a new command ipa-clrgen-manage to enable, disable, or check
the status of CRL generation on the localhost.
The command automates the manual steps described in the wiki
https://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master

Fixes: https://pagure.io/freeipa/issue/5803
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4e3a64f70316c98a18e403486f6f8afcec5e24e4">4e3a64f7</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-14T08:39:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test: add new tests for ipa-crlgen-manage

Add new integration tests for the new command ipa-crlgen-manage,
and test_cmdline tests.

Related to: https://pagure.io/freeipa/issue/5803

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2e73c964e5896eb18006e1ae8b70f2faef484ab3">2e73c964</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-14T08:39:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa server: prevent uninstallation if the server is CRL master

If ipa-server-install --uninstall is called on a server that
is CRL generation master, refuse uninstallation unless
--ignore-last-of-role is specified or (in interactive mode)
the admin is OK to force uninstallation.

Related to https://pagure.io/freeipa/issue/5803

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/33af8c75b334b847c59ee67f33f9777f58eba41f">33af8c75</a></strong>
<div>
<span>by Sumit Bose</span>
<i>at 2019-03-14T13:42:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-extdom-exop: add instance counter and limit

The user and group lookups done by the extdom plugin might need some
time depending on the state of the service (typically SSSD) handling the
requests.

To avoid that all worker threads are busy waiting on a connect or a
reply from SSSD and no other request can be handled this patch adds an
instance counter and an instance limit for the extdom plugin.

By default the limit will be around 80% of the number of worker threads.
It can be tuned further with the plugin option ipaExtdomMaxInstances
which must in set in ipaextdommaxinstances and should have an integer
value larger than 0 and lesser than the number of worker threads.

If the instance limit is reached the extdom plugin will return LDAP_BUSY
for every new request until the number of instance is again below the
limit.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/270ccca746c4818d4f324f0c166ed53012f87e83">270ccca7</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-14T13:59:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add too-restritive mask tests

If the mask used during the installation is "too restrictive", ie.0027,
installing FreeIPA results in a broken server or replica.
Add two tests that expect an error message at install time to catch
too restrictive masks.

Related to: https://pagure.io/freeipa/issue/7193
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d82388bc6e211b7cb98d629c925e84f06cfb4e71">d82388bc</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-14T13:59:02Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-{server,replica}-install: add too-restritive mask detection

If the mask used during the installation is "too restrictive", ie.0027,
installing FreeIPA results in a broken server or replica.
Check for too-restrictive mask at install time and error out.

Fixes: https://pagure.io/freeipa/issue/7193
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0ae19c5c24a3ba51661d3136806d17b8f0f31cef">0ae19c5c</a></strong>
<div>
<span>by Sumit Bose</span>
<i>at 2019-03-15T15:41:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-extdom-exop: add instance counter and limit

The user and group lookups done by the extdom plugin might need some
time depending on the state of the service (typically SSSD) handling the
requests.

To avoid that all worker threads are busy waiting on a connect or a
reply from SSSD and no other request can be handled this patch adds an
instance counter and an instance limit for the extdom plugin.

By default the limit will be around 80% of the number of worker threads.
It can be tuned further with the plugin option ipaExtdomMaxInstances
which must in set in ipaextdommaxinstances and should have an integer
value larger than 0 and lesser than the number of worker threads.

If the instance limit is reached the extdom plugin will return LDAP_BUSY
for every new request until the number of instance is again below the
limit.

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/52770aa5f9223eb26f42b301e54b228708ba83cc">52770aa5</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-15T15:44:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">CRL generation master: new utility to enable|disable

Implement a new command ipa-clrgen-manage to enable, disable, or check
the status of CRL generation on the localhost.
The command automates the manual steps described in the wiki
https://www.freeipa.org/page/Howto/Promote_CA_to_Renewal_and_CRL_Master

Fixes: https://pagure.io/freeipa/issue/5803
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/67533b3a1d037f314ad013572e0892ec85ffc288">67533b3a</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-15T15:44:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test: add new tests for ipa-crlgen-manage

Add new integration tests for the new command ipa-crlgen-manage,
and test_cmdline tests.

Related to: https://pagure.io/freeipa/issue/5803

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e654a1b9189e38aafa5faa72cb9587262e13cec2">e654a1b9</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-15T15:44:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa server: prevent uninstallation if the server is CRL master

If ipa-server-install --uninstall is called on a server that
is CRL generation master, refuse uninstallation unless
--ignore-last-of-role is specified or (in interactive mode)
the admin is OK to force uninstallation.

Related to https://pagure.io/freeipa/issue/5803

Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6defe320551d745b4feebda79bc9b6e5a17f5350">6defe320</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-03-19T15:00:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Send only the path and not the full URI to httplib.request

Sending the full uri was causing httplib to send requests as:

POST http://ipa.example.com/ca/admin/ca/getStatus HTTP/1.1

>From what I can tell tomcat changed its URL handling due to a CVE
(BZ 1552375). This has been wrong in freeipa since the CA status
checking was added, d6fbbd5 , but tomcat handled it fine so we
didn't notice.

https://pagure.io/freeipa/issue/7883

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d9a64ee7ab33b8be234486747293474af999b2c0">d9a64ee7</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-03-19T19:01:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Send only the path and not the full URI to httplib.request

Sending the full uri was causing httplib to send requests as:

POST http://ipa.example.com/ca/admin/ca/getStatus HTTP/1.1

>From what I can tell tomcat changed its URL handling due to a CVE
(BZ 1552375). This has been wrong in freeipa since the CA status
checking was added, d6fbbd5 , but tomcat handled it fine so we
didn't notice.

https://pagure.io/freeipa/issue/7883

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e12e3e84a9ca746c90be34e25cf374648f30c2b5">e12e3e84</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-03-20T10:33:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI test: Fix automember tests according to new behavior

After deleting user/host from group "rebuild" task is triggered,
so the entity returns to the group. And we check if it exists.

Also the order of cleaning test resources are changed:
groups are being deleted only after corresponding rules.

New automembership design description:
https://www.port389.org/docs/389ds/design/automember-postop-modify-design.html

Ticket: https://pagure.io/freeipa/issue/7881
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/55004225cc063c18479c0c3243255e5291d7cc50">55004225</a></strong>
<div>
<span>by Peter Keresztes Schmidt</span>
<i>at 2019-03-20T16:32:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">README: Update link to freeipa-devel archive

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/333784034ecee29e2d141b2dad65f31b15266144">33378403</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-20T16:45:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">XML RPC test: fix test_automember_plugin

With 389-DS 1.4.0.21, automember plugin also gets triggered on modify ops
by default. This means that a member manually removed gets automatically
re-added by the plugin.
This behavior can be disabled by setting autoMemberProcessModifyOps=off in
the entry cn=Auto Membership Plugin,cn=plugins,cn=config.

Before 389-DS 1.4.0.21, it was possible to remove a member and the member
did not get re-added (unless automember-rebuild was called). This former
behavior can be forced by setting autoMemberProcessModifyOps=off.

This commit fixes the test and checks the behavior when
autoMemberProcessModifyOps=off and when autoMemberProcessModifyOps=on.

Fixes: https://pagure.io/freeipa/issue/7855
Reviewed-By: Michal Polovka <mpolovka@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1b8ba573d2644fb4c58bdbd42793afd01df6a44b">1b8ba573</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-21T08:25:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">XML RPC test: fix test_automember_plugin

With 389-DS 1.4.0.21, automember plugin also gets triggered on modify ops
by default. This means that a member manually removed gets automatically
re-added by the plugin.
This behavior can be disabled by setting autoMemberProcessModifyOps=off in
the entry cn=Auto Membership Plugin,cn=plugins,cn=config.

Before 389-DS 1.4.0.21, it was possible to remove a member and the member
did not get re-added (unless automember-rebuild was called). This former
behavior can be forced by setting autoMemberProcessModifyOps=off.

This commit fixes the test and checks the behavior when
autoMemberProcessModifyOps=off and when autoMemberProcessModifyOps=on.

Fixes: https://pagure.io/freeipa/issue/7855
Reviewed-By: Michal Polovka <mpolovka@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3ae38973c5961c17bd95b6831ab7a8469a4bfc5c">3ae38973</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-21T14:18:56Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Coverity: fix issue in ipa_extdom_extop.c

Coverity found the following issue:
Error: BAD_COMPARE (CWE-697): [#def1]
freeipa-4.6.5/daemons/ipa-slapi-plugins/ipa-extdom-extop/ipa_extdom_extop.c:121: null_misuse: Comparing pointer "threadnumber" against "NULL" using anything besides "==" or "!=" is likely to be incorrect.

The comparison is using the pointer while it should use the pointed value.

Fixes: https://pagure.io/freeipa/issue/7884
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/133b199f61a6756723a9a5869f7ff7e415bea455">133b199f</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-03-21T15:01:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI (topology graph): Show FQDN for nodes if they have no common DNS zone

It allows to avoid confusion with identical short hostnames.

There are two cases implemented:
- no common DNS zone: graph shows FQDN for all nodes
- all nodes have one common DNS zone: graph shows DN relatively to the common zone

https://pagure.io/freeipa/issue/7206

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c2043506bd29c476990c7a4b1b8dbc09366f5cce">c2043506</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-03-22T07:45:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">WebUI test: Fix automember tests according to new behavior

After deleting user/host from group "rebuild" task is triggered,
so the entity returns to the group. And we check if it exists.

Also the order of cleaning test resources are changed:
groups are being deleted only after corresponding rules.

New automembership design description:
https://www.port389.org/docs/389ds/design/automember-postop-modify-design.html

Ticket: https://pagure.io/freeipa/issue/7881
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/da31c6393d00df448c639696fdadc35d966cfaed">da31c639</a></strong>
<div>
<span>by Serhii Tsymbaliuk</span>
<i>at 2019-03-22T08:03:39Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Web UI (topology graph): Show FQDN for nodes if they have no common DNS zone

It allows to avoid confusion with identical short hostnames.

There are two cases implemented:
- no common DNS zone: graph shows FQDN for all nodes
- all nodes have one common DNS zone: graph shows DN relatively to the common zone

https://pagure.io/freeipa/issue/7206

Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/20a8dd8bbdf72a847c911b889a049c9a66086f12">20a8dd8b</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-22T12:15:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Coverity: fix issue in ipa_extdom_extop.c

Coverity found the following issue:
Error: BAD_COMPARE (CWE-697): [#def1]
freeipa-4.6.5/daemons/ipa-slapi-plugins/ipa-extdom-extop/ipa_extdom_extop.c:121: null_misuse: Comparing pointer "threadnumber" against "NULL" using anything besides "==" or "!=" is likely to be incorrect.

The comparison is using the pointer while it should use the pointed value.

Fixes: https://pagure.io/freeipa/issue/7884
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0a7c272618a66129eefe3af0cc604a6851be2c00">0a7c2726</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-22T14:50:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">GIT: ignore ipa-crlgen-manage

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/19068f9ea102f3d6d9b25a2b5828ea0ccf21d47a">19068f9e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-25T07:37:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">GIT: ignore ipa-crlgen-manage

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <flo@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6e8d38caa8926deedc8cfc5dc113444431d94051">6e8d38ca</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-25T08:46:36Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-manage: fix force-sync

ipa-replica-manage force-sync --from <server> is performing a wrong check
that may result in the tool looping on "No status yet".

force-sync is adding a nsds5replicaupdateschedule attribute to the
replication agreement in order to force replication to wake up. Note that
this is not a re-initialization (re init drops the current db and reloads
the entire db).

In a second step, force-sync is checking the replication agreement by reading
nsds5BeginReplicaRefresh, nsds5ReplicaLastInitStatus,
nsds5ReplicaLastInitStart and nsds5ReplicaLastInitEnd. This is a wrong
test as force-sync is not an init operation and does not touch these
attributes.

The tool should call wait_for_repl_update rather than wait_for_repl_init.
This way, the check is done on the replication agreement attributes
nsds5replicaUpdateInProgress, nsds5ReplicaLastUpdateStatus,
nsds5ReplicaLastUpdateStart and nsds5ReplicaLastUpdateEnd.

Fixes: https://pagure.io/freeipa/issue/7886
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b9dc975777f9f84dff20c5a79915d380e6aaaf0f">b9dc9757</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-25T08:48:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">domainlevel-get: fix various issues when running as non-admin

Use proper filter that is caught up by the ACI for 'permission:System:
Read Domain Level' to allow any authenticated user to see the domain
level.

If the server doesn't have domain level set, callers in replica
installer expect errors.NotFound but never get it.

Return the right exception here and change the other caller to follow
the same convention.

Inability to retrieve ipaDomainLevel attribute due to a filter mismatch
casues ipa-replica-install to fail if run as a replica host principal.

Use DOMAIN_LEVEL_0 constant instead of 0 as used by the rest of the code.

Fixes: https://pagure.io/freeipa/issue/7876
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e5244fbeda60e2e324d2c3bad669f48980635e38">e5244fbe</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-03-25T08:49:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Completely drop /var/cache/ipa/sessions

This directory has been already dropped in @6d66e826c,
but not entirely.

Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6856b17fe9358a98f1bce8591d024847e4a97f21">6856b17f</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-03-25T12:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-replica-manage: fix force-sync

ipa-replica-manage force-sync --from <server> is performing a wrong check
that may result in the tool looping on "No status yet".

force-sync is adding a nsds5replicaupdateschedule attribute to the
replication agreement in order to force replication to wake up. Note that
this is not a re-initialization (re init drops the current db and reloads
the entire db).

In a second step, force-sync is checking the replication agreement by reading
nsds5BeginReplicaRefresh, nsds5ReplicaLastInitStatus,
nsds5ReplicaLastInitStart and nsds5ReplicaLastInitEnd. This is a wrong
test as force-sync is not an init operation and does not touch these
attributes.

The tool should call wait_for_repl_update rather than wait_for_repl_init.
This way, the check is done on the replication agreement attributes
nsds5replicaUpdateInProgress, nsds5ReplicaLastUpdateStatus,
nsds5ReplicaLastUpdateStart and nsds5ReplicaLastUpdateEnd.

Fixes: https://pagure.io/freeipa/issue/7886
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/556bf2f9789d8b9cf2ba378f1efe4d161ba80c3c">556bf2f9</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-25T12:59:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">domainlevel-get: fix various issues when running as non-admin

Use proper filter that is caught up by the ACI for 'permission:System:
Read Domain Level' to allow any authenticated user to see the domain
level.

If the server doesn't have domain level set, callers in replica
installer expect errors.NotFound but never get it.

Return the right exception here and change the other caller to follow
the same convention.

Inability to retrieve ipaDomainLevel attribute due to a filter mismatch
casues ipa-replica-install to fail if run as a replica host principal.

Use DOMAIN_LEVEL_0 constant instead of 0 as used by the rest of the code.

Fixes: https://pagure.io/freeipa/issue/7876
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/885af7fe92a3e480bc4850492ec6fc44c61c8f7c">885af7fe</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-25T13:30:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix assign instead of compare

Commit 53e0b2255d92c9c21c19306cf37cc8de0476dc9c introduced a minor bug.
Instead of comparing errno to ENOENT, the check assigned ENOENT to
errno.

Coverity: CID 337082
See: https://pagure.io/freeipa/issue/4607
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/77d0996c7c18888cbf5c874882612ed8a018511c">77d0996c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-25T15:39:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix assign instead of compare

Commit 53e0b2255d92c9c21c19306cf37cc8de0476dc9c introduced a minor bug.
Instead of comparing errno to ENOENT, the check assigned ENOENT to
errno.

Coverity: CID 337082
See: https://pagure.io/freeipa/issue/4607
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/52e5ef81a523f95fce9bd4c7ca87c0ca6b8ba8bf">52e5ef81</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-27T14:09:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replica install: acknowledge ca_host override

Fixup for commit c0fd5e39c726ef4dc12e87a2f9c08ebb32ed27fe. Only set
ca_host to source master hostname if ca_host points to the local host.
This permits users to override ca_host in /etc/ipa/default.conf when
installing a replica.

Related: https://pagure.io/freeipa/issue/7744
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/745321469f00729231f5b8bf20958c0913eee5be">74532146</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-27T18:14:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">replica install: acknowledge ca_host override

Fixup for commit c0fd5e39c726ef4dc12e87a2f9c08ebb32ed27fe. Only set
ca_host to source master hostname if ca_host points to the local host.
This permits users to override ca_host in /etc/ipa/default.conf when
installing a replica.

Related: https://pagure.io/freeipa/issue/7744
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d76dccc0b620c06d2d0ac1ff74b7af8040c89ded">d76dccc0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-27T23:21:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use api.env.container_masters

Replace occurences of ('cn', 'masters'), ('cn', 'ipa'), ('cn', 'etc')
with api.env.container_masters.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e9fd8adf5945d30305e6ade0db9a52cffc43bc28">e9fd8adf</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-27T23:21:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Consolidate container_masters queries

Replace manual queries of container_masters with new APIs get_masters()
and is_service_enabled().

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b4bade06830765828bc954b304bb9937b1750d06">b4bade06</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T13:07:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Unify and simplify LDAP service discovery

Move LDAP service discovery and service definitions from
ipaserver.install to ipaserver. Simplify and unify different
implementations in favor of a single implementation.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/885cb17f143f6c1d0dafde48524de25a663c803a">885cb17f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T13:07:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use api.env.container_masters

Replace occurences of ('cn', 'masters'), ('cn', 'ipa'), ('cn', 'etc')
with api.env.container_masters.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/99eb7e09851ec73c93f341b6d16ff7c4c6ba9fd4">99eb7e09</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T13:07:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Consolidate container_masters queries

Replace manual queries of container_masters with new APIs get_masters()
and is_service_enabled().

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a8176ee03318f208a86d25bd9320f885b16d112">2a8176ee</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:08:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add design page for one-way trust to AD with shared secret

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/120bab0d9c9970979d109583329a13fc3e4949f3">120bab0d</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:08:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">trust: allow trust agents to read POSIX identities of trust

SSSD and Samba on IPA masters need to be able to look up POSIX
attributes of trusted domain objects in order to allow Active Directory
domain controllers from trusted forests to connect to LSA and NETLOGON
pipes.

We only have access to read POSIX attributes in cn=accounts,$SUFFIX
subtree rather than whole $SUFFIX. Thus, add an ACI to trusts subtree.

Fixes: https://pagure.io/freeipa/issue/6077
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc8f074cc7ba647644b96785590f1645e5661a93">dc8f074c</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:08:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">trusts: add support for one-way shared secret trust

Refactor ipa-sam code to generate principals with additional POSIX
information so that FreeIPA is capable to establish trust when using a
shared secret from Active Directory domain controller side.

Trust verification process from Samba AD DC or Microsoft Windows AD DC
side requires us to have a working local TDO object with POSIX
attributes so that smbd would be able to map incoming authenticated
Kerberos principal for the TDO to a local POSIX account.

Note that FreeIPA stores TDO objects in a subtree of cn=trusts,$SUFFIX
and thus SSSD is not able to see these POSIX accounts unless
specifically instructed to do so via multiple search bases. The support
for automatically enabling cn=trusts,$SUFFIX search base in IPA server
mode was added to SSSD 1.16.3 and 2.1.0 with the commit
https://pagure.io/SSSD/sssd/c/14faec9cd9437ef116ae054412d25ec2e820e409

Fixes: https://pagure.io/freeipa/issue/6077
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/18cb30d4638c0fecf5f02735f2b4794be5d97b67">18cb30d4</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:08:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">upgrade: upgrade existing trust agreements to new layout

Existing trust agreements will lack required Kerberos principals and
POSIX attributes expected to allow Active Directory domain controllers
to query IPA master over LSA and NETLOGON RPC pipes.

Upgrade code is split into two parts:
 - upgrade trusted domain object to have proper POSIX attributes
 - generate required Kerberos principals for AD DC communication

Fixes: https://pagure.io/freeipa/issue/6077
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dca901c05ef6dde69145963d3ea51b994b568740">dca901c0</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:08:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">upgrade: add trust upgrade to actual upgrade code

Fixes: https://pagure.io/freeipa/issue/6077
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/50c0d6dc7b93abe2448ecc499e32e11bf5e3e7f5">50c0d6dc</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add design page for one-way trust to AD with shared secret

(cherry picked from commit b3911ade55eec139e07f8b4ea83612f1b2794857)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f6183c80826c90a8b0c051284d66cb0a2378cdc1">f6183c80</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">trust: allow trust agents to read POSIX identities of trust

SSSD and Samba on IPA masters need to be able to look up POSIX
attributes of trusted domain objects in order to allow Active Directory
domain controllers from trusted forests to connect to LSA and NETLOGON
pipes.

We only have access to read POSIX attributes in cn=accounts,$SUFFIX
subtree rather than whole $SUFFIX. Thus, add an ACI to trusts subtree.

Fixes: https://pagure.io/freeipa/issue/6077
(cherry picked from commit 8908b5085179d07cff45ebb11d498b872d28eee7)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0b5ae1bd00c336c1963efdb28891780fb61af17e">0b5ae1bd</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">trusts: add support for one-way shared secret trust

Refactor ipa-sam code to generate principals with additional POSIX
information so that FreeIPA is capable to establish trust when using a
shared secret from Active Directory domain controller side.

Trust verification process from Samba AD DC or Microsoft Windows AD DC
side requires us to have a working local TDO object with POSIX
attributes so that smbd would be able to map incoming authenticated
Kerberos principal for the TDO to a local POSIX account.

Note that FreeIPA stores TDO objects in a subtree of cn=trusts,$SUFFIX
and thus SSSD is not able to see these POSIX accounts unless
specifically instructed to do so via multiple search bases. The support
for automatically enabling cn=trusts,$SUFFIX search base in IPA server
mode was added to SSSD 1.16.3 and 2.1.0 with the commit
https://pagure.io/SSSD/sssd/c/14faec9cd9437ef116ae054412d25ec2e820e409

Fixes: https://pagure.io/freeipa/issue/6077
(cherry picked from commit f30f7e380ef9d327ced3e1b0e5c800a8b1069097)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a7731c5ae8d3f7fad9ee20584e271100d090557">2a7731c5</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">upgrade: upgrade existing trust agreements to new layout

Existing trust agreements will lack required Kerberos principals and
POSIX attributes expected to allow Active Directory domain controllers
to query IPA master over LSA and NETLOGON RPC pipes.

Upgrade code is split into two parts:
 - upgrade trusted domain object to have proper POSIX attributes
 - generate required Kerberos principals for AD DC communication

Fixes: https://pagure.io/freeipa/issue/6077
(cherry picked from commit 090e09df130f27fb30a986529ef0944383e668e1)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/595f42af25f882fe5d45b0e08bdd5300d7267fdb">595f42af</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-03-28T13:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">upgrade: add trust upgrade to actual upgrade code

Fixes: https://pagure.io/freeipa/issue/6077
(cherry picked from commit f51f90e4b4bac032e076ab0f6cb3dfecb5ae12ce)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/025facb85c9be9606430498629ff723a8c24ab0f">025facb8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add hidden replica feature

A hidden replica is a replica that does not advertise its services via
DNS SRV records, ipa-ca DNS entry, or LDAP. Clients do not auto-select a
hidden replica, but are still free to explicitly connect to it.

Fixes: https://pagure.io/freeipa/issue/7892
Co-authored-by: Francois Cami <fcami@redhat.com>:
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0770d8a004db41d24f1c3f41e108a2bfd580a822">0770d8a0</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: Exercise hidden replica feature

A hidden replica is a replica that does not advertise its services via
DNS SRV records, ipa-ca DNS entry, or LDAP. Clients do not auto-select a
hidden replica, but are still free to explicitly connect to it.

Fixes: https://pagure.io/freeipa/issue/7892
Co-authored-by: Francois Cami <fcami@redhat.com>
Signed-off-by: Francois Cami <fcami@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/99133eb12bf6a403a10fafd5e8fd227f90d4515d">99133eb1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplify and improve tests

Move tests for DNS and roles into helper methods to make them reusable.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/94b86354b5bec565d65f2995758e560d805c09c7">94b86354</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Implement server-state --state=enabled/hidden

server-state modified the hidden / enabled flags of all configured
services of a server. Since the command does not directly modify the
server LDAP entry, the command has to be implemented as a dedicated plugin.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d810e1ff2f1fcee41131e359235540e8cada7d47">d810e1ff</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Consider hidden servers as role provider

Hidden services are now considered as associated role providers, too. This
fixes the issue of:

    invalid 'PKINIT enabled server': all masters must have IPA
    master role enabled

and similar issues with CA and DNS.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/56d97f942b02de1b6f1755c898ce0aab8c30494a">56d97f94</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Improve config-show to show hidden servers

config-show only used to show enabled servers. Now also show hidden
servers on separate lines. Additionally include information about
KRA and DNS servers.

The augmented config-show output makes it easier to diagnose a cluster
and simplifies sanity checks.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f839d3c916a50442e0926e73b27504ad66283492">f839d3c9</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">More test fixes

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e7e0f190bb459e9b80f3a000fd686cd2367f6c62">e7e0f190</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't allow to hide last server for a role

DNSSec key master and CA renewal master can't be hidden. There must be
at least one enabled server available for each role, too.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8b1bb211c48f22bf920504d06289a9c232777f6f">8b1bb211</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Synchronize hidden state from IPA master role

ipa-{adtrust|ca|dns|kra}-install on a hidden replica also installs the
new service as hidden service.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e04dc9a8e168c762fe8ad34d0c19992f4357fd14">e04dc9a8</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test replica installation from hidden replica

Exercise ipa-replica-install with a hidden replica as source server and
creation of replication agreements between a hidden and an enabled
replica.

Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d727321ce30ae78c3b159211c3996d0c5cb96070">d727321c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add design draft

The design draft explains implementation details, limitations, and API
changes for the new feature.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/713c9b0ce89ce9835b78c25d3c7b46bb0d71bd83">713c9b0c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-28T16:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't fail if config-show does not return servers

When uninstalling a cluster and only hidden servers are left,
config-show can return a result set without ipa_master_server entry.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ddf8e16a6b506d0081b1ec9a5b2cf1cb77f9217e">ddf8e16a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add hidden replica feature

A hidden replica is a replica that does not advertise its services via
DNS SRV records, ipa-ca DNS entry, or LDAP. Clients do not auto-select a
hidden replica, but are still free to explicitly connect to it.

Fixes: https://pagure.io/freeipa/issue/7892
Co-authored-by: Francois Cami <fcami@redhat.com>:
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f96f4a19d87d23e3b1dcd596cdf5f64535ac5694">f96f4a19</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: Exercise hidden replica feature

A hidden replica is a replica that does not advertise its services via
DNS SRV records, ipa-ca DNS entry, or LDAP. Clients do not auto-select a
hidden replica, but are still free to explicitly connect to it.

Fixes: https://pagure.io/freeipa/issue/7892
Co-authored-by: Francois Cami <fcami@redhat.com>
Signed-off-by: Francois Cami <fcami@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/585bc52b4444df9dda985bd17558e549864a7849">585bc52b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplify and improve tests

Move tests for DNS and roles into helper methods to make them reusable.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f3daa45cbdae7f5737e18edf10bb79916ddb5b12">f3daa45c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Implement server-state --state=enabled/hidden

server-state modified the hidden / enabled flags of all configured
services of a server. Since the command does not directly modify the
server LDAP entry, the command has to be implemented as a dedicated plugin.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0bf26c59c3a68858af57f2b7246a552650c2ed28">0bf26c59</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Consider hidden servers as role provider

Hidden services are now considered as associated role providers, too. This
fixes the issue of:

    invalid 'PKINIT enabled server': all masters must have IPA
    master role enabled

and similar issues with CA and DNS.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/de1a075b775fedc9f5e54f3e56634159de1e9ed8">de1a075b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Improve config-show to show hidden servers

config-show only used to show enabled servers. Now also show hidden
servers on separate lines. Additionally include information about
KRA and DNS servers.

The augmented config-show output makes it easier to diagnose a cluster
and simplifies sanity checks.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3e2fb2156feee334f828436219d1e3de2ee3e3d1">3e2fb215</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">More test fixes

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dc2a5ece21920ed2f6234bf6e635dbb6758a73d5">dc2a5ece</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't allow to hide last server for a role

DNSSec key master and CA renewal master can't be hidden. There must be
at least one enabled server available for each role, too.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/87f9119a501f9396ab79d53e738856a4ff3ba7a3">87f9119a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Synchronize hidden state from IPA master role

ipa-{adtrust|ca|dns|kra}-install on a hidden replica also installs the
new service as hidden service.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/467ceaffa25409adfd26a5fe2668a760f544403c">467ceaff</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Test replica installation from hidden replica

Exercise ipa-replica-install with a hidden replica as source server and
creation of replication agreements between a hidden and an enabled
replica.

Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/66c961da269a1a5fceb0805fe329acd07c83d390">66c961da</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add design draft

The design draft explains implementation details, limitations, and API
changes for the new feature.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c76620efa598f78bc8f591846fbe364bacc13f0f">c76620ef</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T08:55:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Don't fail if config-show does not return servers

When uninstalling a cluster and only hidden servers are left,
config-show can return a result set without ipa_master_server entry.

Fixes: https://pagure.io/freeipa/issue/7892
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Francois Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/19db292e6d97dfa2e55a71829172e0900da2a514">19db292e</a></strong>
<div>
<span>by Thomas Woerner</span>
<i>at 2019-03-29T08:59:55Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Extend test for orphan automember rules (issue/6476)

The test was not executing ipa automember-rebuild --type hostgroup.

The test has been extended to execute it twice: Once when it needs to fail
because there is an orphan automember rule. Also after this orphan
automember rule has been removed. Here the test needs to succeed.

Fixes: https://pagure.io/freeipa/issue/7891
Signed-off-by: Thomas Woerner <twoerner@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/98b7fbec5fa56e6904c40cc22e484cc1f47891b2">98b7fbec</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-29T09:23:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix installation when CA subject DN has escapes

There were several bugs across several projects preventing
installation when the CA subject DN contains characters that need
escaping in the string representation, e.g.

  CN=Certificate Authority,O=Acme\, Inc.,ST=Massachusetts,C=US

The package versions containing relevant fixes are:

- 389-ds-base 1.4.0.20 (we already require >= 1.4.0.21)
- pki-core 10.5.5 (we already require >= 10.6.8)
- certmonger 0.79.7 (this commit bumps the dependency)

With this change, installation will now work.  Integration tests are
left for a subsequent commit.

Fixes: https://pagure.io/freeipa/issue/7347
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a376b6136c1180e19fca76a3753c40cdba18993f">a376b613</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T10:35:26Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add test case for configure_openldap_conf

IPAChangeConf doesn't handle lines with mixed assignment values
correctly.

See: https://pagure.io/freeipa/issue/7838
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5b337a54ee1b28e42d6f7a39dac64fba3a3de4b0">5b337a54</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2019-03-29T13:04:04Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Show a notification that sssd needs restarting after idrange-mod

If the `ipa idrange-mod` command has been used show a notification that sssd.service needs restarting. It's needed for applying changes. E.g. after setup AD trust with a domain with more than 200000 objects (the highest RID > idm's default value, 200000) users with RIDs > 200000 are not able to login, the size needs to be increased via idrange-mod, but it makes an effect only after sssd restarting.

Implementation:
Notification was implemented via passing `ipalib.messages.ServiceRestartRequired` to `add_message` method in `ipaserver.plugins.idrange.idrange_mod.post_callback`.

Tests:
Added `messages` with sssd restart required (`ipalib.messages.ServiceRestartRequired`) to cases with idrange_mod where output is expected in `ipatests.test_xmlrpc.test_range_plugin.test_range'.

Fixes: https://pagure.io/freeipa/issue/7708
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/487ab52e2f56723326c767da07b50ed0f5d7e3eb">487ab52e</a></strong>
<div>
<span>by Fraser Tweedale</span>
<i>at 2019-03-29T15:10:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix installation when CA subject DN has escapes

There were several bugs across several projects preventing
installation when the CA subject DN contains characters that need
escaping in the string representation, e.g.

  CN=Certificate Authority,O=Acme\, Inc.,ST=Massachusetts,C=US

The package versions containing relevant fixes are:

- 389-ds-base 1.4.0.20 (we already require >= 1.4.0.21)
- pki-core 10.5.5 (we already require >= 10.6.8)
- certmonger 0.79.7 (this commit bumps the dependency)

With this change, installation will now work.  Integration tests are
left for a subsequent commit.

Fixes: https://pagure.io/freeipa/issue/7347
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/692cbc5d3f15720e59030c4a24912519bf6ce2bf">692cbc5d</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2019-03-29T17:56:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_ntp_options to use tasks' methods

Use methods:
- tasks.replica_install()
- tasks.client_install()
instead of custom methods.
Move ntp_pool/server to class scope.
Using teardown_method for cleanup.
Edit tasks.client_install to return result of installation.
Refactor install_replica task:
Add promote parameter to install_replica task.
Add ntp_args to install_client call and remove from
replica installation from tasks.install_replica while promoting.
Use case while not promoting has to have user allowed to enroll
a replica and server to contact in case autodiscovery does not work.

Related: https://pagure.io/freeipa/issue/7719
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5cacd1357875606537c8f88242afded4949e6486">5cacd135</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2019-03-29T17:58:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add tests for NTP options usage on server, replica, and client

The following tests are added in test_ntp_options.py :: TestNTPoptions
  - test_server_and_client_install_without_option_n
  - test_server_and_client_install_with_option_n
  - test_server_and_client_install_with_multiple_ntp_server
  - test_server_replica_and_client_install_with_ntp_pool_and_ntp_server
  - test_server_and_client_install_with_mixed_options
  - test_two_step_replica_install_using_ntp_options
  - test_two_step_replica_install_without_ntp_options

Details in the ticket: https://pagure.io/freeipa/issue/7719
and https://pagure.io/freeipa/issue/7723

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4714c543dab4230f5b0d68ac6a04ad7c0b3f8f2b">4714c543</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2019-03-29T17:58:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">nightly_master.yaml Added test_integration/test_ntp_options.py

Signed-off-by: Varun Mylaraiah <mavrun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d02e0c367850bac308afb16afa748689732b269c">d02e0c36</a></strong>
<div>
<span>by Varun Mylaraiah</span>
<i>at 2019-03-29T17:58:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">nightly_rawhide.yaml Added test_integration/test_ntp_options.py

Signed-off-by: Varun Mylaraiah <mvarun@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/657fc760dab834f352a552cba486e69e80c676c0">657fc760</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2019-03-29T17:58:49Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix test_ntp_options to use tasks' methods

Use methods:
- tasks.replica_install()
- tasks.client_install()
instead of custom methods.
Move ntp_pool/server to class scope.
Using teardown_method for cleanup.
Edit tasks.client_install to return result of installation.
Refactor install_replica task:
Add promote parameter to install_replica task.
Add ntp_args to install_client call and remove from
replica installation from tasks.install_replica while promoting.
Use case while not promoting has to have user allowed to enroll
a replica and server to contact in case autodiscovery does not work.

Related: https://pagure.io/freeipa/issue/7719
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
Reviewed-By: Sergey Orlov <sorlov@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Armando Neto <abiagion@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ca42f2f535f4f8c7d3fb400a8f7dfda11d250b75">ca42f2f5</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2019-03-29T18:31:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Show a notification that sssd needs restarting after idrange-mod

If the `ipa idrange-mod` command has been used show a notification that sssd.service needs restarting. It's needed for applying changes. E.g. after setup AD trust with a domain with more than 200000 objects (the highest RID > idm's default value, 200000) users with RIDs > 200000 are not able to login, the size needs to be increased via idrange-mod, but it makes an effect only after sssd restarting.

Implementation:
Notification was implemented via passing `ipalib.messages.ServiceRestartRequired` to `add_message` method in `ipaserver.plugins.idrange.idrange_mod.post_callback`.

Tests:
Added `messages` with sssd restart required (`ipalib.messages.ServiceRestartRequired`) to cases with idrange_mod where output is expected in `ipatests.test_xmlrpc.test_range_plugin.test_range'.

Fixes: https://pagure.io/freeipa/issue/7708
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/52394ebcaf261f73ad1d7f50da8ccd0533437a78">52394ebc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-03-29T19:04:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add test case for configure_openldap_conf

IPAChangeConf doesn't handle lines with mixed assignment values
correctly.

See: https://pagure.io/freeipa/issue/7838
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ffcbb835089c8fb71eadd48230e3c034d7ecda96">ffcbb835</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-01T10:08:12Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipasam: use SID formatting calls to libsss_idmap

Samba 4.10 moved away to private libraries two functions we used to
convert a binary SID structre to strings:
 - sid_talloc_string()
 - sid_string_dbg()

We already used libsss_idmap to convert textual representation of SIDs
to a binary one, use the reverse function too.

libsss_idmap code operates on talloc structures, so we need to adopt a
bit a place where sid_string_dbg() was used because it assumed a static
buffer was provided by sid_string_dbg().

Finally, sid_talloc_string()'s replacement moves allocated memory to the
right context so that a memory will be freed earlier. Our SSSD idmap
context is a long-living one while in all cases where we were using
sid_talloc_string() we free the context much earlier.

Resolves: https://pagure.io/freeipa/issue/7893
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d60122f9fba9fd9f74721763c4d5cf9f9f93986c">d60122f9</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-01T10:35:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-upgrade: fix add_systemd_user_hbac

During upgrade, the method add_systemd_user_hbac is creating
a hbacsvc and a hbacrule, but fails in python2 because of
unicode conversion errors.
The arguments should be defined as u'value'.

Fixes: https://pagure.io/freeipa/issue/7896
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/23ae171d97198de0c959201871eb81ad8b83405b">23ae171d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-01T10:55:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-setup-kra: fix python2 parameter

ipa-setup-kra is failing in python2 with
invalid 'role_servrole': must be Unicode text
because of a unicode conversion error.

The method api.Command.server_role_find is called with the parameter
role_servrole='IPA master' but it should rather be
role_servrole=u'IPA master'

Fixes: https://pagure.io/freeipa/issue/7897
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/de4a9875d410c68ae4f9602b70c753a11034b31b">de4a9875</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-01T11:27:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">oddjob: allow to pass options to trust-fetch-domains

Refactor com.redhat.idm.trust-fetch.domains oddjob helper to allow
passing administrative credentials and a domain controller to talk to.

This approach allows to avoid rediscovering a domain controller in case
a user actually specified the domain controller when establishing trust.

It also allows to pass through admin credentials if user decides to do
so. The latter will be used later to allow updating trust topology in a
similar oddjob helper.

Resolves: https://pagure.io/freeipa/issue/7895
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/137af1d2c38925404dc92f70321ac0f5fb1cf5eb">137af1d2</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-01T11:29:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipasam: use SID formatting calls to libsss_idmap

Samba 4.10 moved away to private libraries two functions we used to
convert a binary SID structre to strings:
 - sid_talloc_string()
 - sid_string_dbg()

We already used libsss_idmap to convert textual representation of SIDs
to a binary one, use the reverse function too.

libsss_idmap code operates on talloc structures, so we need to adopt a
bit a place where sid_string_dbg() was used because it assumed a static
buffer was provided by sid_string_dbg().

Finally, sid_talloc_string()'s replacement moves allocated memory to the
right context so that a memory will be freed earlier. Our SSSD idmap
context is a long-living one while in all cases where we were using
sid_talloc_string() we free the context much earlier.

Resolves: https://pagure.io/freeipa/issue/7893
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/84197a03c764bfd66c91deb42f843662ec02582b">84197a03</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-01T12:20:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-server-upgrade: fix add_systemd_user_hbac

During upgrade, the method add_systemd_user_hbac is creating
a hbacsvc and a hbacrule, but fails in python2 because of
unicode conversion errors.
The arguments should be defined as u'value'.

Fixes: https://pagure.io/freeipa/issue/7896
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/53594b9d9f733c5ffc7e22e34eb07092cd8d7557">53594b9d</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-01T12:39:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-setup-kra: fix python2 parameter

ipa-setup-kra is failing in python2 with
invalid 'role_servrole': must be Unicode text
because of a unicode conversion error.

The method api.Command.server_role_find is called with the parameter
role_servrole='IPA master' but it should rather be
role_servrole=u'IPA master'

Fixes: https://pagure.io/freeipa/issue/7897
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/12bc3fd16370788edbf1b66e9aa08fd307cf9e7f">12bc3fd1</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-01T13:53:33Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">oddjob: allow to pass options to trust-fetch-domains

Refactor com.redhat.idm.trust-fetch.domains oddjob helper to allow
passing administrative credentials and a domain controller to talk to.

This approach allows to avoid rediscovering a domain controller in case
a user actually specified the domain controller when establishing trust.

It also allows to pass through admin credentials if user decides to do
so. The latter will be used later to allow updating trust topology in a
similar oddjob helper.

Resolves: https://pagure.io/freeipa/issue/7895
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c3fc551c2ab844c02f8fcb3eeb1905129f2ae274">c3fc551c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-01T14:10:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Disable flaky hidden replica backup test

The test case for hidden replica restore is flaky and sometimes fails.
The general issues is covered by upstream bug 7894.

See: https://pagure.io/freeipa/issue/7894
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cc1fb2fac565827291feda986c663c1b06e7b16e">cc1fb2fa</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Revert "Tests: Remove DNS configuration from trust tests"

This reverts commit 1d9e1521c59a5b43c2322892ce5cbe8cceff2790.
The reverted commit message states:
"Since DNS configuration is no longer needed for running trust tests,
this method's contents are removed."
In fact tests can run without DNS configuration only in case if test setup
has a DNS server with DNSSEC support and there are A records for Windows
machines and SRV records  Windows AD services and this DNS server is used
as forwarder by bind. If one of these in not true
then tests fail when trying to establish trust (ipa trust-add) as --server
option is not used and ipa can not find the AD machine. If we specify
--server option and add Windows hosts to /etc/hosts, then trust will be
established, but then sssd will fail to find the host to talk for getting users
from AD. So for general case we should setup DNS forwarders prior to
establishing trust, as stated in
https://www.freeipa.org/page/Active_Directory_trust_setup

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3e01d2619e87141b6d6078d818c7394aa6b63281">3e01d261</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: in test_trust.py fix prameters in invocation of tasks.configure_dns_for_trust

It was changed in f487233df002bf73dd48d5c87a146b90542bd034
for unknown reason. It did not influence test runs as
configure_dns_for_trust was made no-op in previous commit
1d9e1521c59a5b43c2322892ce5cbe8cceff2790. As now this commit is reverted,
configure_dns_for_trust is restored, invocation parameters also need to
be changed to initial values.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/14f27d299e4ef3a9fc0deb642e6cd4e48796364d">14f27d29</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: disable bind dns validation when preparing to establish AD trust

Before establishing trust with AD it is recommended in documentation
(and for many setups necessary) to create add DNS forwarder for AD domain.
Bind config supplied by ipa server has dnssec validation enabled.
If Windows server DNS does not have DNSSEC enabled with valid certificate,
then bind will not be able to use it as forwarder and trust will not be
established.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1d0a612a0fd9d5682bb7e0793d4c1c56d3365517">1d0a612a</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: in test_trust.py fix parent class

TestExternalTrustWithRootDomain was inherited from ADTrustSubdomainBase
This caused that external trust was checked two times with subdomain
and was not checked with root domain.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e8955cc7966b767415e2c9da6169f109c9c2119c">e8955cc7</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix expectations of `ipa trust-find` output for trust with root domain

Test was expecting that when trust is established with forest root, than all
three AD domains should be found when quering trust-find for that domain.
Actually only root domain and its subdomain should be returned, without
the tree domain.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/03e2693a7dc6cae292b80f83fe6a295b66f3e3df">03e2693a</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: relax requirements for time server quality

When synchronizing time with windows server using chronyd I often see
error "No suitable source for synchronisation". This happens because chronyd
with default options refuses to use time servers with big jitter and delay.
For some reasons Windows time server does have big jitter. In some test setups
delay also can be rathe big.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/35a4642ad0defb5564009c0a09185a9a96d88919">35a4642a</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: allow AD hosts to be placed in separate domain config objects

Tests for AD trust can use three types (roles) of AD machines:
forest root, subdomain and tree domain.
All those machines were placed in one domain object of multihost configuration,
though they all have different domain names.
This is bad as we can not use domain attributes provided by multihost plugin
like host.domain.name and host.domain.basedn and others and need to reimplement
them, evaluating domain name from host.hostname.
And if we accidently used those properties it would lead to difficult to locate
errors (we would use same domain name for all AD hosts).
I modified multihost fixture function mh() to allow creating several AD domains.
As multihost plugin does not support requesting multiple domains with the same type,
I had to introduce new domain types: AD_SUBDOMAIN and AD_TREEDOMAIN.
Also there was a error in mh() which forced user to provide all three AD
machines when only one was needed (value from test class property num_ad_domains
was applied to subdomains and treedomains requirement).
I changed this behavior and now additional AD machines are specified with
properties num_ad_subdomains and num_ad_treedomains.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/94a6cb11eaffaff2790d7d56f092ed20111bc604">94a6cb11</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: adapt test_trust.py for changes in multihost fixture

AD hosts can now be extracted from list in respective class attributes and host
domain names -- from properties provided by multihost plugin (host.domain.name).
Also removed conditional skips of tests when test configuration contains only
part of required AD machines as this feature never worked:
multihost plugin removes all machines from config which are not explicitly
requested.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c81971652144e6c17503bdc38ff62c7fd5aa2d7d">c8197165</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-01T14:24:46Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: refactor test_trust.py

Tests in test_trust.py were organized in ten classes, one for each trust type,
requiring ten cycles of ipaserver installation/uninstallation and the full test
run lasted for about 5500 seconds.
There is no need in reinstallation of ipaserver between establishing different
types of trust.
I moved all tests to sinle class, preserving test logic.

Additional changes:
 * TestEnforcedPosixADTrust was totally removed as it was duplicate of
   TestPosixADTrust
 * code of repeated checks was moved to methods
 * A task was cretated for cleaning up DNS configuration changes made for
   establishing trust

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9a1b75472f3de14ff70f95d0924f63da207e4e7f">9a1b7547</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Revert "Tests: Remove DNS configuration from trust tests"

This reverts commit 1d9e1521c59a5b43c2322892ce5cbe8cceff2790.
The reverted commit message states:
"Since DNS configuration is no longer needed for running trust tests,
this method's contents are removed."
In fact tests can run without DNS configuration only in case if test setup
has a DNS server with DNSSEC support and there are A records for Windows
machines and SRV records  Windows AD services and this DNS server is used
as forwarder by bind. If one of these in not true
then tests fail when trying to establish trust (ipa trust-add) as --server
option is not used and ipa can not find the AD machine. If we specify
--server option and add Windows hosts to /etc/hosts, then trust will be
established, but then sssd will fail to find the host to talk for getting users
from AD. So for general case we should setup DNS forwarders prior to
establishing trust, as stated in
https://www.freeipa.org/page/Active_Directory_trust_setup

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d3b6f2aef8e28b7ff389f8d86c84aafc75d7bc74">d3b6f2ae</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: in test_trust.py fix prameters in invocation of tasks.configure_dns_for_trust

It was changed in f487233df002bf73dd48d5c87a146b90542bd034
for unknown reason. It did not influence test runs as
configure_dns_for_trust was made no-op in previous commit
1d9e1521c59a5b43c2322892ce5cbe8cceff2790. As now this commit is reverted,
configure_dns_for_trust is restored, invocation parameters also need to
be changed to initial values.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2c3d4254ccfef9cd310276ced40313616371dd11">2c3d4254</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: disable bind dns validation when preparing to establish AD trust

Before establishing trust with AD it is recommended in documentation
(and for many setups necessary) to create add DNS forwarder for AD domain.
Bind config supplied by ipa server has dnssec validation enabled.
If Windows server DNS does not have DNSSEC enabled with valid certificate,
then bind will not be able to use it as forwarder and trust will not be
established.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/81f8fbd7fd5d5bdd5dab4fe9954c6a7d68e04514">81f8fbd7</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: in test_trust.py fix parent class

TestExternalTrustWithRootDomain was inherited from ADTrustSubdomainBase
This caused that external trust was checked two times with subdomain
and was not checked with root domain.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1547f9de82dde479a88acb76e793c470a9f54bea">1547f9de</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: fix expectations of `ipa trust-find` output for trust with root domain

Test was expecting that when trust is established with forest root, than all
three AD domains should be found when quering trust-find for that domain.
Actually only root domain and its subdomain should be returned, without
the tree domain.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4d51875663d05c9c432c88060575836442a3cd89">4d518756</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: relax requirements for time server quality

When synchronizing time with windows server using chronyd I often see
error "No suitable source for synchronisation". This happens because chronyd
with default options refuses to use time servers with big jitter and delay.
For some reasons Windows time server does have big jitter. In some test setups
delay also can be rathe big.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cfa2e3916dd8b205b0e6c9c86eba8858b32c6a9f">cfa2e391</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: allow AD hosts to be placed in separate domain config objects

Tests for AD trust can use three types (roles) of AD machines:
forest root, subdomain and tree domain.
All those machines were placed in one domain object of multihost configuration,
though they all have different domain names.
This is bad as we can not use domain attributes provided by multihost plugin
like host.domain.name and host.domain.basedn and others and need to reimplement
them, evaluating domain name from host.hostname.
And if we accidently used those properties it would lead to difficult to locate
errors (we would use same domain name for all AD hosts).
I modified multihost fixture function mh() to allow creating several AD domains.
As multihost plugin does not support requesting multiple domains with the same type,
I had to introduce new domain types: AD_SUBDOMAIN and AD_TREEDOMAIN.
Also there was a error in mh() which forced user to provide all three AD
machines when only one was needed (value from test class property num_ad_domains
was applied to subdomains and treedomains requirement).
I changed this behavior and now additional AD machines are specified with
properties num_ad_subdomains and num_ad_treedomains.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/37ef3bdfe2da9739a8715730ed64386ea1f30fb0">37ef3bdf</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: adapt test_trust.py for changes in multihost fixture

AD hosts can now be extracted from list in respective class attributes and host
domain names -- from properties provided by multihost plugin (host.domain.name).
Also removed conditional skips of tests when test configuration contains only
part of required AD machines as this feature never worked:
multihost plugin removes all machines from config which are not explicitly
requested.

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3f4fc3d9806adc092d9c8aaf1832a265fa3a61f3">3f4fc3d9</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-02T13:53:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: refactor test_trust.py

Tests in test_trust.py were organized in ten classes, one for each trust type,
requiring ten cycles of ipaserver installation/uninstallation and the full test
run lasted for about 5500 seconds.
There is no need in reinstallation of ipaserver between establishing different
types of trust.
I moved all tests to sinle class, preserving test logic.

Additional changes:
 * TestEnforcedPosixADTrust was totally removed as it was duplicate of
   TestPosixADTrust
 * code of repeated checks was moved to methods
 * A task was cretated for cleaning up DNS configuration changes made for
   establishing trust

Related to https://pagure.io/freeipa/issue/7889

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3cb1ccb3b0a4f361d4d3ef667c60d5b6f4a23333">3cb1ccb3</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-02T17:35:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add option to remove lines from a file

config_replace_variables() can now also remove lines from a file.

Related: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e4621f1204c8ffc3e1279cea2a897292d560a48c">e4621f12</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-02T17:35:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tasks.systemd_daemon_reload()

systemd daemon must be reloaded after a config file is added, changed,
or removed. Provide a common API endpoint in ipaplatform.tasks.

Related: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1dfac4f5b7e9986e1217d6979b854b94de094aae">1dfac4f5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-02T17:35:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move DS's Kerberos env vars to unit file

The IPA specific env vars KRB5_KTNAME and KRB5CCNAME are now defined in
a instance specific ipa-env.conf unit file.

Fixes: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f9f01f524311d334c32fb7e404526723decd22a7">f9f01f52</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-03T08:54:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add option to remove lines from a file

config_replace_variables() can now also remove lines from a file.

Related: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f9b3fc1fc21ee7ec7333e147f5861e63feb87e35">f9b3fc1f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-03T08:54:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add tasks.systemd_daemon_reload()

systemd daemon must be reloaded after a config file is added, changed,
or removed. Provide a common API endpoint in ipaplatform.tasks.

Related: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b6c810e921a42003083aa251eab01c055c1e6f78">b6c810e9</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-03T08:54:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move DS's Kerberos env vars to unit file

The IPA specific env vars KRB5_KTNAME and KRB5CCNAME are now defined in
a instance specific ipa-env.conf unit file.

Fixes: https://pagure.io/freeipa/issue/7860
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/350954589774499d99bf87cb5631c664bb0707c4">35095458</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-03T13:16:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Require a minimum SASL security factor of 56

SSF_MINX 56 level ensures data integrity and confidentiality for SASL
GSSAPI and SASL GSS SPNEGO connections.

Although at least AES128 is enforced pretty much everywhere, 56 is required
for backwards compatibility with systems that announce wrong SSF.

Related: https://pagure.io/freeipa/issue/7140
Related: https://pagure.io/freeipa/issue/4580
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Tibor Dudlak <tdudlak@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3c354e74f389da6bfd8f444a58cf3900fdf97434">3c354e74</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-04T08:05:10Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Verify external CA's basic constraint pathlen

IPA no verifies that intermediate certs of external CAs have a basic
constraint path len of at least 1 and increasing.

Fixes: https://pagure.io/freeipa/issue/7877
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/18623d490fbca86f4b35f5cfa49740f2a2b42f9a">18623d49</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-04T10:33:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Verify external CA's basic constraint pathlen

IPA no verifies that intermediate certs of external CAs have a basic
constraint path len of at least 1 and increasing.

Fixes: https://pagure.io/freeipa/issue/7877
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0c50cc3956cafaece7f00279ddd91d2f9f145827">0c50cc39</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-07T10:26:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DsInstance.request_service_keytab as it is not needed anymore

DsInstance.request_service_keytab() used to configure
/etc/sysconfig/dirsrv which is not needed anymore with 389-ds-base
1.4.1.2. Thus, the method became indistinguishable from the parent and
can be removed completely.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/64ce8f0c2844f3b287e5da9b4c8231266606c31b">64ce8f0c</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-08T05:35:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove DsInstance.request_service_keytab as it is not needed anymore

DsInstance.request_service_keytab() used to configure
/etc/sysconfig/dirsrv which is not needed anymore with 389-ds-base
1.4.1.2. Thus, the method became indistinguishable from the parent and
can be removed completely.

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a241a81ba4fa489be4503828787e69adbf624fc0">a241a81b</a></strong>
<div>
<span>by Rob Crittenden</span>
<i>at 2019-04-08T08:22:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add interactive prompt for the LDAP bind password to ipa-getkeytab

This provides a mechanism to bind over LDAP without exposing
the password on the command-line.

https://pagure.io/freeipa/issue/631

Signed-off-by: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Robbie Harwood <rharwood@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3fdbf48f3df52fb503ae91321520c83ac4b55f0d">3fdbf48f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-08T12:53:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Skip orphan automember rule test

389-DS 1.4.0.22 was pushed to Fedora over the weekend. The new versin
breaks test_find_orphan_automember_rules. Skip the test case for now
until we have more time to investigate the issue.

Related: https://pagure.io/freeipa/issue/7902
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/10b99ac743606a4e0d5a4004f21ecf2cf64fa447">10b99ac7</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-08T15:31:50Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Skip orphan automember rule test

389-DS 1.4.0.22 was pushed to Fedora over the weekend. The new versin
breaks test_find_orphan_automember_rules. Skip the test case for now
until we have more time to investigate the issue.

Related: https://pagure.io/freeipa/issue/7902
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cb0f24bfe251c4d659354da520be65e999f2245b">cb0f24bf</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-08T15:51:38Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bypass D-BUS interface definition deficiences for trust-fetch-domains

In oddjobd it is possible to pass arguments as command line or on the
stdin. We use command line to pass them but the way oddjobd registers
the D-BUS method signatures is by specifying all arguments as mandatory.

Internally, oddjobd simply ignores if you passed less arguments than
specified in the D-BUS defition. Unfortunately, it is not possible to
specify less than maximum due to D-BUS seeing all arguments in the
list (30 is defined for the trust-fetch-domains).

To pass options, have to pad a list of arguments to maximum with empty
strings and then filter out unneeded ones in the script. Option parser
already removes all options from the list of arguments so all we need to
do is to take our actual arguments. In case of trust-fetch-domains, it
is the name of the domain so we can only care about args[0].

Fixes: https://pagure.io/freeipa/issue/7903
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b903df96fc5c6352da62bba3b08ce57268977478">b903df96</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-08T17:10:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Bypass D-BUS interface definition deficiences for trust-fetch-domains

In oddjobd it is possible to pass arguments as command line or on the
stdin. We use command line to pass them but the way oddjobd registers
the D-BUS method signatures is by specifying all arguments as mandatory.

Internally, oddjobd simply ignores if you passed less arguments than
specified in the D-BUS defition. Unfortunately, it is not possible to
specify less than maximum due to D-BUS seeing all arguments in the
list (30 is defined for the trust-fetch-domains).

To pass options, have to pad a list of arguments to maximum with empty
strings and then filter out unneeded ones in the script. Option parser
already removes all options from the list of arguments so all we need to
do is to take our actual arguments. In case of trust-fetch-domains, it
is the name of the domain so we can only care about args[0].

Fixes: https://pagure.io/freeipa/issue/7903
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8a5dc1b375db94c4e722fa725f48eb16d032f1aa">8a5dc1b3</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T07:13:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Adapt cert-find performance workaround for users

ipa cert-find --users=NAME was slow on system with lots of certificates.
User certificates have CN=$username, therefore the performance tweak
from ticket 7835 also works for user certificates.

Related: https://pagure.io/freeipa/issue/7835
Fixes: https://pagure.io/freeipa/issue/7901
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a5213140c3abf67a341b04d6edaeea6e0e1de62e">a5213140</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T09:28:37Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make netifaces optional

netifaces is a binary Python extension. Outside of the installer, it's
only used by CheckedIPAddress.get_matching_interface, which is only
called from installer code.

Make the import of netifaces optional to reduce the amount of
dependencies for PyPI package use case. Binary extensions are especially
annoying, because they depend on shared libraries, compiler, and header
files to be present.

Related: https://pagure.io/freeipa/issue/6468
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6fed17003d7824dda27253b461616529de07c333">6fed1700</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T09:48:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">automount: rmtree temp directory

ipa-client-automount uses the host keytab to acquire a TGT. The script
sets up a temporary directory for its ccache. At the end of the script
it removes the ccache and temp directory again.

In case of a failed kinit, the ccache is not created and the removal of
the ccache causes an exception. The automount installer now uses
shutil.rmtree() to remove the temporary directory and all its content.

Fixes: https://pagure.io/freeipa/issue/7862
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/12bfb86f0dd260f8f0df1a596bddf781e8e72465">12bfb86f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T10:32:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make netifaces optional

netifaces is a binary Python extension. Outside of the installer, it's
only used by CheckedIPAddress.get_matching_interface, which is only
called from installer code.

Make the import of netifaces optional to reduce the amount of
dependencies for PyPI package use case. Binary extensions are especially
annoying, because they depend on shared libraries, compiler, and header
files to be present.

Related: https://pagure.io/freeipa/issue/6468
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/11907edc71f352f5b6960ed8c175099aac792e4c">11907edc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T10:33:21Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Adapt cert-find performance workaround for users

ipa cert-find --users=NAME was slow on system with lots of certificates.
User certificates have CN=$username, therefore the performance tweak
from ticket 7835 also works for user certificates.

Related: https://pagure.io/freeipa/issue/7835
Fixes: https://pagure.io/freeipa/issue/7901
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eccdcf61e259cece5ccc16486005407f6e66098d">eccdcf61</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T11:17:42Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">automount: rmtree temp directory

ipa-client-automount uses the host keytab to acquire a TGT. The script
sets up a temporary directory for its ccache. At the end of the script
it removes the ccache and temp directory again.

In case of a failed kinit, the ccache is not created and the removal of
the ccache causes an exception. The automount installer now uses
shutil.rmtree() to remove the temporary directory and all its content.

Fixes: https://pagure.io/freeipa/issue/7862
Signed-off-by: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fdc3554d681b9600560a099680129cc4849e55d7">fdc3554d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T11:38:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Gating: remove vault and kdcproxy tests

Vault and KDC proxy are neither critical subsystems nor are they likely to
fail. They have been pretty stable and don't see any major development.
It's sufficient to run them in nightly tests only.

The removal speed up gating a bit. Especially vault tests are slow and
usually take more than 30 minutes to complete

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/39b3b0164bc9978bbcab3c4d6ba870fe689ddb30">39b3b016</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-09T12:37:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Gating: remove vault and kdcproxy tests

Vault and KDC proxy are neither critical subsystems nor are they likely to
fail. They have been pretty stable and don't see any major development.
It's sufficient to run them in nightly tests only.

The removal speed up gating a bit. Especially vault tests are slow and
usually take more than 30 minutes to complete

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/66873e2b880961e3920c0a28a39a671476b544d0">66873e2b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T09:21:25Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Improve error handling in DNSSEC helpers

* ipa-dnskeysyncd now handles CONNECT_ERROR during bind
* ipa-dnskeysyncd no longer logs full traceback on connection error.
* ipa-dnskeysync-replica now handles SERVER_DOWN/CONNECT_ERROR
  exceptions and turns them into pretty error messages.

Fixes: https://pagure.io/freeipa/issue/7905
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Oleg Kozlov <okozlov@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/06426d0d78cf102ba60835d2e0af9ce60e34415e">06426d0d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T10:44:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Improve error handling in DNSSEC helpers

* ipa-dnskeysyncd now handles CONNECT_ERROR during bind
* ipa-dnskeysyncd no longer logs full traceback on connection error.
* ipa-dnskeysync-replica now handles SERVER_DOWN/CONNECT_ERROR
  exceptions and turns them into pretty error messages.

Fixes: https://pagure.io/freeipa/issue/7905
Signed-off-by: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8c4d75fd2e2972495a0693f1f86a64f09fc929f2">8c4d75fd</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add current default.cfg from Dogtag

base/server/etc/default.cfg from commit
https://github.com/dogtagpki/pki/commit/b93183406c0be6ce233eb4ed4c116aa858635cdf

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0a2b02fc620ef16af87be5ec2ba47cd6831059f5">0a2b02fc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplify and slim down ipaca_default.ini

* Remove internal stuff from DEFAULT section
* Remove all non-user modifiable paths
* Remove OCSP, RA, TKS, TPS sections
* Remove deprecated options and replace them with current options

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/70beccada2e439b9d8d32dbeab369cdb7f0a8383">70beccad</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add IPA specific vars to ipaca_default.ini

Common settings like "pki_*_signing_key_algorithm" now use an IPA
specific template variable. The approach makes it easier to change all
signing parameters to use a different algorithm.

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f847d7756f8d15e47930a709374cf3d95e4b4d8a">f847d775</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use new pki_ipaca.ini to spawn instances

Note: Some configuration stanzas are deprecated and have been replaced
with new stanzas, e.g. pki_cert_chain_path instead of
pki_external_ca_cert_chain_path.

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dd47cfc75a69618f486abefb70f2649ebf8264e7">dd47cfc7</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add pki.ini override option

Allow to specify a pki.ini overlay file on the command line. The override
file can be used to override pkispawn settings.

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/94937424b12da3e7294ebbcb256b9423ee2d150e">94937424</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Simplify and consolidate ipaca.ini

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dba89712c6a67390c616d5950efab39a73dd8c16">dba89712</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Verify pki ini override early

ipa-server-install now verifies the pki ini override file earlier

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/42efdc7bb1c208ac02d45865d68df959f87d5148">42efdc7b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add test case for pki config override

Install CA with 4096bit RSA key and SHA-384 signature.

Fixes: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2b2c5d6c931660e73cc1c9e75aa3055ab20f386b">2b2c5d6c</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-10T11:43:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add --pki-config-override to man pages

Mention the new option in the man pages for CA, KRA, replica, and server
installation. The documentation must be improved once we have figured
out which options are going to be supported.

Fixes: pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Fraser Tweedale <ftweedal@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f2826da24bb4ddcc55a3c8d6739e918b0089b246">f2826da2</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-10T18:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-install: autodiscovery must refuse single-label domains

Since commit 905ab93, ipa-server-install refuses single-label domains,
but older IPA server versions could be installed with a single-label
domain/realm.
ipa-client-install is already refusing single-label domain/realm when
provided to the CLI with --domain / --realm but does not perform the same
check when the domain is discovered.
This commit adds a check to domain names automatically discovered and skips
single-label domains. Same check for realm names.

Fixes: https://pagure.io/freeipa/issue/7598
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/cf42dc1f2930cba3fca144ad4b7c1c01e9ed9163">cf42dc1f</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-11T08:04:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/install/krainstance.py: chown after write

When fs.protected_regular=1 root cannot open temp files that
are owned by other users read-write.
So move os.chown after write.

Refactoring suggested by Christian Heimes.

Fixes: https://pagure.io/freeipa/issue/7906
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/536e7da6d2f5617a5fa9adb2d359c8af1737604c">536e7da6</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2019-04-11T08:19:32Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support interactive prompt for ntp options

As the FreeIPA server is no longer a NTP service
providing instance its clients and replicas
configuration of time service can not be handled
as it was before change to chrony. Configuration
using master FQDN or autodiscovery for DNS record
would make no difference because every FreeIPA
instance is only chrony client now and does not
update DNS _ntp._udp record.

FreeIPA now asks user for NTP source server
or pool address in interactive mode if there is
no server nor pool specified and autodiscovery
has not found any NTP source in DNS records.

Resolves: https://pagure.io/freeipa/issue/7747
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3567367b22bb4c92b815772fdd0b44c6d8e032c2">3567367b</a></strong>
<div>
<span>by Tibor Dudlák</span>
<i>at 2019-04-11T10:04:36Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Support interactive prompt for ntp options

As the FreeIPA server is no longer a NTP service
providing instance its clients and replicas
configuration of time service can not be handled
as it was before change to chrony. Configuration
using master FQDN or autodiscovery for DNS record
would make no difference because every FreeIPA
instance is only chrony client now and does not
update DNS _ntp._udp record.

FreeIPA now asks user for NTP source server
or pool address in interactive mode if there is
no server nor pool specified and autodiscovery
has not found any NTP source in DNS records.

Resolves: https://pagure.io/freeipa/issue/7747
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4bc8bc284cfa2cdca44c8d53e74edb2f6be761ea">4bc8bc28</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-11T11:42:27Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa-client-install: autodiscovery must refuse single-label domains

Since commit 905ab93, ipa-server-install refuses single-label domains,
but older IPA server versions could be installed with a single-label
domain/realm.
ipa-client-install is already refusing single-label domain/realm when
provided to the CLI with --domain / --realm but does not perform the same
check when the domain is discovered.
This commit adds a check to domain names automatically discovered and skips
single-label domains. Same check for realm names.

Fixes: https://pagure.io/freeipa/issue/7598
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d68fe6b981ba1698aee35518b844eb5584a0f302">d68fe6b9</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-11T11:56:15Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/install/cainstance.py: unlink before creating new file in /tmp

When fs.protected_regular=1 root cannot open temp files that
are owned by other users read-write.
So unlink temporary file before shutil.copy to it.

Fixes: https://pagure.io/freeipa/issue/7907
Signed-off-by: François Cami fcami@redhat.com
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a0973db29e0074d0c0732973fe73418430fec9fc">a0973db2</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-11T19:38:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/install/krainstance.py: chown after write

When fs.protected_regular=1 root cannot open temp files that
are owned by other users read-write.
So move os.chown after write.

Refactoring suggested by Christian Heimes.

Fixes: https://pagure.io/freeipa/issue/7906
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Florence Blanc-Renaud <frenaud@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/eeeed847b7bbd28b5883b6a3f9cd6827bdc242a4">eeeed847</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-11T19:40:01Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaserver/install/cainstance.py: unlink before creating new file in /tmp

When fs.protected_regular=1 root cannot open temp files that
are owned by other users read-write.
So unlink temporary file before shutil.copy to it.

Fixes: https://pagure.io/freeipa/issue/7907
Signed-off-by: François Cami fcami@redhat.com
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b79ea6a6e92d224859c2d4533b99b3c15d3711ca">b79ea6a6</a></strong>
<div>
<span>by Florence Blanc-Renaud</span>
<i>at 2019-04-15T10:05:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix wrong evaluation of attributes in check_repl_update

The method check_repl_update in ipaserver/install/replication.py badly
handles the attributes nsds5ReplicaLastUpdateStart and
nsds5ReplicaLastUpdateEnd as it expects them to contain an int.
These attributes are defined as GeneralizedTime
(OID 1.3.6.1.4.1.1466.115.121.1.24, for instance
nsds5ReplicaLastUpdateEnd='20190412122523Z') but older versions of 389-ds can
also return the value 0 for uninitialized values (see 389-ds ticket 47836).
The code must be able to handle the generalized time format or the 0 value.

The fix removes the 'Z' from the GeneralizedTime and converts to an int,
or assigns 0.

Fixes: https://pagure.io/freeipa/issue/7909
Reviewed-By: François Cami <fcami@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/80928ba6f5872aab47a3dd5eb361336568dfcc60">80928ba6</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-16T08:45:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use Network Manager to configure resolv.conf

IPA used to write a custom /etc/resolv.conf. On Fedora and RHEL,
NetworkManager is typically maintaining resolv.conf. On reboot or
restart of the service, NM overwrites the custom settings.

On systems with NM enabled, the DNS server installer now drops a config
file into NM's global config directory and delegates resolv.conf to NM.

On systems without NM, fall back to create /etc/resolv.conf directly.

Fixes: https://pagure.io/freeipa/issue/7900
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/45b8cc1d83cde31af53d2cffd3913becc591ad34">45b8cc1d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-16T14:51:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Increase default key size for CA to 3072 bits

The signing key for IPA's CA certificate now uses a 3072 bit RSA key by
default.

According to https://www.keylength.com/, NIST 800-57 Part 1 Rev. 4
recommends 3072 bit RSA keys for keys that are used beyond 2030 for 128 bit
strength.

Fixes: https://pagure.io/freeipa/issue/6790
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/00a7868fa4011a0639bf96d23225c4203980bfb3">00a7868f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-16T14:51:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reuse key type and size in certmonger resubmit

Certmonger has hard-coded defaults for key size and key type. In case a
request does not contain these values, certmonger uses 2048 RSA keys.
Since the CA now has 3072, it will also rekey the CA to 2048 instead of
resubmitting with the existing 2048 bit key.

Use key-size and key-type from the existing request when resubmitting.

Related: https://pagure.io/freeipa/issue/6790
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2bad9fd0df540dd93c7802cc06fbcf1f72f83965">2bad9fd0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-16T14:51:40Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Explain why tests still use 2048bit external CA

The test case verifies that IPA supports external CAs with weaker keys.

Related: Related: https://pagure.io/freeipa/issue/6790
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/adc79cebae15fb6c7652572dd1bf854fa807752d">adc79ceb</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-16T14:56:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Use Network Manager to configure resolv.conf

IPA used to write a custom /etc/resolv.conf. On Fedora and RHEL,
NetworkManager is typically maintaining resolv.conf. On reboot or
restart of the service, NM overwrites the custom settings.

On systems with NM enabled, the DNS server installer now drops a config
file into NM's global config directory and delegates resolv.conf to NM.

On systems without NM, fall back to create /etc/resolv.conf directly.

Fixes: https://pagure.io/freeipa/issue/7900
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0ba25c7e68ae1a3a816070688eae460c6160acee">0ba25c7e</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-16T14:58:54Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add nfs tests

With the latest NFS changes:
* systemd NFS-related unit files
* configuration from /etc/sysconfig/nfs to /etc/nfs.conf
testing NFS client {manual, ipa-client-automount} configuration
has become paramount.

This extends the existing automount location test and must be
run nightly.

Fixes: https://pagure.io/freeipa/issue/7805
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Peter Cech <pcech@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5ecede781b4eba11a537afd104fc9df9518958c4">5ecede78</a></strong>
<div>
<span>by Robbie Harwood</span>
<i>at 2019-04-17T11:56:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix unnecessary usrmerge assumptions

On non-usrmerge systems (e.g., Debian), bash, mv, cp, cat, tail,
keyctl, and gzip live in /bin, not /usr/bin.

On usrmerge systems, /bin is a symlink to /usr/bin (or vice versa), so
this has no effect.

Signed-off-by: Robbie Harwood <rharwood@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/931608a91e4c027a11b02ee4fa5db8833cd6ab48">931608a9</a></strong>
<div>
<span>by Robbie Harwood</span>
<i>at 2019-04-17T15:35:59Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix unnecessary usrmerge assumptions

On non-usrmerge systems (e.g., Debian), bash, mv, cp, cat, tail,
keyctl, and gzip live in /bin, not /usr/bin.

On usrmerge systems, /bin is a symlink to /usr/bin (or vice versa), so
this has no effect.

Signed-off-by: Robbie Harwood <rharwood@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/044a94c7ff50eab331d55fa288ee67dab1ffb2ba">044a94c7</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-18T15:13:13Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: add nfs tests

With the latest NFS changes:
* systemd NFS-related unit files
* configuration from /etc/sysconfig/nfs to /etc/nfs.conf
testing NFS client {manual, ipa-client-automount} configuration
has become paramount.

This extends the existing automount location test and must be
run nightly.

Fixes: https://pagure.io/freeipa/issue/7805
Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Peter Cech <pcech@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Peter Cech <pcech@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/36c65c4aaa0dd73969c2e99a91da8ccf7d73e737">36c65c4a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-23T10:55:35Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Remove deprecated object logger

The object logger methods been deprecated for about two years since release
4.6.0. The log manager used to moneky-patch additional log methods like
info(), warning(), and error() into API plugin objects. The methods have
been replaced by calls to module logger objects in 4.6.0.

Remove monkey-patch logger methods, log manager, and its root logger from
ipapython.ipa_log_manager.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Thomas Woerner <twoerner@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/921d803d155915a63c1b45f0e504fb57b95ad781">921d803d</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-04-24T06:10:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing deps for `make pylint`

The make target `pylint` hasn't a full list of its dependencies.
This leads to problems like:
- different build results
- PR tests just do not run pylint over some Python scripts.

The new build target (`python_scripts`) was implemented.
It's intended for building all Python scripts (files, containing
@PYTHONSHEBANG@ as a shebang placeholder).

The make `pylint` should require it.

Fixes: https://pagure.io/freeipa/issue/7921
Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/edd53d8c50b2c26178634dea07241706220e0325">edd53d8c</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-04-24T06:10:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix `inconsistent-return-statements` in ipa-dnskeysync-replica

This problem was discovered by pylint.

Fixes: https://pagure.io/freeipa/issue/7921
Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3f9e23f12573b1b5dbd5284620e86393018aa548">3f9e23f1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T07:09:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add ExecStartPost hook to wait for Dogtag PKI

Dogtag PKI typically takes around 10 seconds to start and respond to
requests. Dogtag uses a simple systemd service, which means systemd is
unable to detect when Dogtag is ready. Commands like ``systemctl start``
and ``systemctl restart`` don't block and wait until the CA is up. There
have been various workarounds in Dogtag and IPA.

Systemd has an ExecStartPost hook to run programs after the main service
is started. The post hook blocks systemctl start and restart until all
post hooks report ready, too. The new ipa-pki-wait-running script polls
on port 8080 and waits until the CA subsystem returns ``running``.

Related: https://pagure.io/freeipa/issue/7916
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5452eb6e77543ccfbb681d907bf94663c47c1d0c">5452eb6e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T07:09:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reduce startup_timeout to 120sec as documented

man(5) default.conf says that startup_timeout has a default value of 120
seconds. Even 120 seconds are not effective unless systemd is also
reconfigured to have a larger DefaultTimeoutStartSec.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a631997a3524dbec81987ffa5a2b0f80a5f0d9f5">a631997a</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-04-24T07:37:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add missing deps for `make pylint`

The make target `pylint` hasn't a full list of its dependencies.
This leads to problems like:
- different build results
- PR tests just do not run pylint over some Python scripts.

The new build target (`python_scripts`) was implemented.
It's intended for building all Python scripts (files, containing
@PYTHONSHEBANG@ as a shebang placeholder).

The make `pylint` should require it.

Fixes: https://pagure.io/freeipa/issue/7921
Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/aecf8418d71b943df8f096ea4dfc9a523f75fe56">aecf8418</a></strong>
<div>
<span>by Stanislav Levin</span>
<i>at 2019-04-24T07:37:57Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix `inconsistent-return-statements` in ipa-dnskeysync-replica

This problem was discovered by pylint.

Fixes: https://pagure.io/freeipa/issue/7921
Signed-off-by: Stanislav Levin <slev@altlinux.org>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6c361d74c5344d34b4924434eb13a202f1a5fed8">6c361d74</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T07:47:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update translations from Zanata

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e05008d10484858b4c482953e30df5194aeee7ed">e05008d1</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T07:47:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update mailmap

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/993fd4d7fc6206a5412e7fd1a22897a1244fb44d">993fd4d7</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T07:47:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update list of contributors and sort them alphabetically

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d5c400a9fb852ae6707d4e6b55d55565deec9add">d5c400a9</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T11:32:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add ExecStartPost hook to wait for Dogtag PKI

Dogtag PKI typically takes around 10 seconds to start and respond to
requests. Dogtag uses a simple systemd service, which means systemd is
unable to detect when Dogtag is ready. Commands like ``systemctl start``
and ``systemctl restart`` don't block and wait until the CA is up. There
have been various workarounds in Dogtag and IPA.

Systemd has an ExecStartPost hook to run programs after the main service
is started. The post hook blocks systemctl start and restart until all
post hooks report ready, too. The new ipa-pki-wait-running script polls
on port 8080 and waits until the CA subsystem returns ``running``.

Related: https://pagure.io/freeipa/issue/7916
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/9c3071080c178e03a7dd66ae42b3814ae0288ffc">9c307108</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T11:32:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Reduce startup_timeout to 120sec as documented

man(5) default.conf says that startup_timeout has a default value of 120
seconds. Even 120 seconds are not effective unless systemd is also
reconfigured to have a larger DefaultTimeoutStartSec.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a9808ff27eb7447e2a29909f224f2e528e2cda06">a9808ff2</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T11:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update mailmap

Reviewed-By: Christian Heimes <cheimes@redhat.com>
(cherry picked from commit e05008d10484858b4c482953e30df5194aeee7ed)

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/1df0ec1eca3dbf93705127ba35048189b7e7f7fd">1df0ec1e</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T11:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update translations in ipa-4-7

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5c4c255f5b191f8acbc3c0bf90bf00c804a2d3f8">5c4c255f</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T11:54:43Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Update list of contributors and sort it alphabetically

Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d796c37f17c67cf91693b8f8f96f0f2681a4989a">d796c37f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: use -m lesscpy instead of hard-coded name

python3 -m lesscpy now works correctly. The make-css.sh script is
replaced with a simpler make call and ipa.css now depends on all less
files.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ff41a09e363c90e510697c6c7ae8d853d6a98b21">ff41a09e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian doesn't have authselect

Skip authselect configuration and migration on Debian/Ubuntu.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/da2cf1c513ea42dbb38952273421fefdd92d4d0b">da2cf1c5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Add paths for open-sans and font-awesome

Debian has different paths and path suffix for font-awesome. Let's have
explicit paths for all our fonts.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/750e658dba1244ad6a386ab70fe309fd910ab419">750e658d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Add fixes for OpenDNSSEC 2.0

Debian/Ubuntu use OpenDNSSEC 2.0, which has different commands to manage
zones and keys.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8592603ea36375cc0670df1e0b1efb486bafcc82">8592603e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Use different paths for KDC cert and key

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/edaea8865f42f8b6e786f6648ac4cb5c4ddd4f35">edaea886</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add ODS manager abstraction to ipaplatform

OpenDNSSEC 1.4 and 2.x use different commands to initialize kasp.db and
manage zones. ipaplatform.tasks abstracts the commands.

Note: I added the logic to the base task instead of having different
implementations for Red Hat and Debian platforms. Eventually Fedora is
going to move to OpenDNSSEC 2.x, too. The design will make it easier to
support OpenDNSSEC 2.x on Fedora.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d703f3dbcb992b0f29c5c71c35ec112eadccf2ed">d703f3db</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Fix replicatio of light weight sub CAs

The path to ipa-pki-retrieve-key was hard-coded, which broke replication
of light weight sub CA keys.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/81d0108afc8f08b0e424d8d1fdf83f1e0ccc7765">81d0108a</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: auto-generate config files for oddjobd

The oddjobd config files are now auto-generated with automake to have
correct path to libexec on all platforms.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0fa692a5265f4764e3e43fda65eced50e7f42448">0fa692a5</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T12:08:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Use RedHatCAService for pki-tomcatd

The RedHatCAService service class contains extra logic to wait for CA
service to be up and running. Debian now correctly waits for Dogtag before
proceeding with the installation process.

Fixes: https://pagure.io/freeipa/issue/7916
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/411e6c37fbcb6ddc4c60b240ecaaa418401ac359">411e6c37</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T14:23:17Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Deprecate ipa-client-install --request-cert

Mark the --request-cert option for ipa-client-install as deprecated.
Users are encouraged to request a PEM certificate with certmonger
instead. The option and /etc/ipa/nssdb will be removed in a future
version.

Related: https://pagure.io/freeipa/issue/7492
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dd58a705e5c92934604f8a0324125f2a77a50c54">dd58a705</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:08:24Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix and extend pki config override test

* override ipa_ca_key_size
* test with SHA512withRSA

Related: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ab71555f23021c64b79f80fe8d891888ccf8260e">ab71555f</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: use -m lesscpy instead of hard-coded name

python3 -m lesscpy now works correctly. The make-css.sh script is
replaced with a simpler make call and ipa.css now depends on all less
files.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/336d77bc9431602f05978360e48bb27e6ed4ca89">336d77bc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian doesn't have authselect

Skip authselect configuration and migration on Debian/Ubuntu.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/beb12cad278200cb0ceb00def85f445f7a1910ea">beb12cad</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Add paths for open-sans and font-awesome

Debian has different paths and path suffix for font-awesome. Let's have
explicit paths for all our fonts.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/e7227fdc283f585e20c51192007167764de04563">e7227fdc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Add fixes for OpenDNSSEC 2.0

Debian/Ubuntu use OpenDNSSEC 2.0, which has different commands to manage
zones and keys.

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/0a942d190d9a5315f5e5b0e558f387112b51b34e">0a942d19</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Use different paths for KDC cert and key

Co-authored-by: Timo Aaltonen <tjaalton@debian.org>
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/55ae022e60525e8ddc1b8cab37b3aa59637ff147">55ae022e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add ODS manager abstraction to ipaplatform

OpenDNSSEC 1.4 and 2.x use different commands to initialize kasp.db and
manage zones. ipaplatform.tasks abstracts the commands.

Note: I added the logic to the base task instead of having different
implementations for Red Hat and Debian platforms. Eventually Fedora is
going to move to OpenDNSSEC 2.x, too. The design will make it easier to
support OpenDNSSEC 2.x on Fedora.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/44a03eab928af0583a8449cee33bf90f96d354cc">44a03eab</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Fix replicatio of light weight sub CAs

The path to ipa-pki-retrieve-key was hard-coded, which broke replication
of light weight sub CA keys.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/17ee04a002e59443036ffd1fbb87231bd68fe1cd">17ee04a0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: auto-generate config files for oddjobd

The oddjobd config files are now auto-generated with automake to have
correct path to libexec on all platforms.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c9033d74d055106e20e2f56acb75c65eac302d46">c9033d74</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Debian: Use RedHatCAService for pki-tomcatd

The RedHatCAService service class contains extra logic to wait for CA
service to be up and running. Debian now correctly waits for Dogtag before
proceeding with the installation process.

Fixes: https://pagure.io/freeipa/issue/7916
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c860a4f129cdbfceb6fa107f49eba78b0f6ca68f">c860a4f1</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-24T15:11:28Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Fix pylint error with absolute_import

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4ba888694bc31972740d52322a6b11006adaddc1">4ba88869</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T19:47:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Set idmap config for Samba to follow IPA ranges and use SSSD

Implicit idmap configuration in Samba was changed in Samba 4.7 to always
require range definition. A default ('*') idmap configuration lacks any
range and thus is marked by testparm utility as invalid one.

Since we do not expect Samba allocating any IDs, idmap configuration
needs to be set in a such way that it is correct from Samba side and is
effectively disabling any allocation on those domains that we don't need
to handle.

Note that 'idmap config <domain> : range' parameter accepts range in a
special format with spaces 'begin - end', so we have to keep the
formatting of the range exact.

Related: https://pagure.io/freeipa/issue/6951
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b2c5691e73b7f6f38abed727a23b904290fc64cc">b2c5691e</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-24T19:47:19Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enforce SMBLoris attack protection in default Samba configuration

See https://access.redhat.com/security/vulnerabilities/smbloris for
details.

There is no recommended value but for IPA DC we can limit with 1000
concurrent connections from unrelated clients.

Related: https://pagure.io/freeipa/issue/6951
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/fad7cad4d2a478c2519e78f8208ed464d336d620">fad7cad4</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-25T06:47:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Set idmap config for Samba to follow IPA ranges and use SSSD

Implicit idmap configuration in Samba was changed in Samba 4.7 to always
require range definition. A default ('*') idmap configuration lacks any
range and thus is marked by testparm utility as invalid one.

Since we do not expect Samba allocating any IDs, idmap configuration
needs to be set in a such way that it is correct from Samba side and is
effectively disabling any allocation on those domains that we don't need
to handle.

Note that 'idmap config <domain> : range' parameter accepts range in a
special format with spaces 'begin - end', so we have to keep the
formatting of the range exact.

Related: https://pagure.io/freeipa/issue/6951
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b530dad445237bed83b9d5e317fddb7841825f24">b530dad4</a></strong>
<div>
<span>by Alexander Bokovoy</span>
<i>at 2019-04-25T06:47:34Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Enforce SMBLoris attack protection in default Samba configuration

See https://access.redhat.com/security/vulnerabilities/smbloris for
details.

There is no recommended value but for IPA DC we can limit with 1000
concurrent connections from unrelated clients.

Related: https://pagure.io/freeipa/issue/6951
Signed-off-by: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/444f05c460a6f1a63c9b780b73ff355ed00f9045">444f05c4</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-25T06:49:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Deprecate ipa-client-install --request-cert

Mark the --request-cert option for ipa-client-install as deprecated.
Users are encouraged to request a PEM certificate with certmonger
instead. The option and /etc/ipa/nssdb will be removed in a future
version.

Related: https://pagure.io/freeipa/issue/7492
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/8686cd3b4b69f725aee05c9cdd3034d7436055d3">8686cd3b</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-25T06:57:58Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Pass token_name to certmonger

For HSM support, IPA has to pass the token name for CA and subsystem
certificates to certmonger. For now, only the default 'internal' token is
supported.

Related: https://pagure.io/freeipa/issue/5608
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/74e09087ed0ebf75936d5045eaaad69d71c678d6">74e09087</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-25T10:53:08Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Globally disable softhsm2 in p11-kit-proxy

The p11-kit configuration injects p11-kit-proxy into all NSS databases.
Amongst other p11-kit loads SoftHSM2 PKCS#11 provider. This interferes
with 389-DS, certmonger, Dogtag and other services. For example certmonger
tries to open OpenDNSSEC's SoftHSM2 token, although it doesn't use it at
all. It also breaks Dogtag HSM support testing with SoftHSM2.

IPA server does neither need nor use SoftHSM2 proxied by p11-kit.

Related: https://pagure.io/freeipa/issue/7810
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/f5912d0099ebb9a7cfcb4197367593717b9e8efe">f5912d00</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-25T12:46:11Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipatests: new tests for ipa-winsync-migrate utility

Fixes https://pagure.io/freeipa/issue/7857

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/23d5c05232bcedda31ed520a487db0f6317ed92e">23d5c052</a></strong>
<div>
<span>by Oleg Kozlov</span>
<i>at 2019-04-25T12:47:09Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check have packages for extra features been installed before restoring backup

`iparestore --full` should check that packages for extra features such as dns and adtrust are installed in the system before restoring a backup in case the backup includes content for these features. If the packages are not installed full backup should be refused and an error message with suggestions should be showed.

If corresponding packages for these features are not installed before the backup restoring, it may cause a situation when the packages are going to be installed after the restoring. In that case configuration files restored by `ipa-restore` will be replaced by default configuration files if the files are tracked by `rpm`. E.g. if `freeipa-server-trust-ad` is not installed before `ipa-restore --full` running, when the package will be installed it also will bring `samba` package according to the dependencies. At `samba` installation step exist correct `/etc/samba/smb.conf` is going to be replaced by the default one from the `samba` package.

Fixes: https://pagure.io/freeipa/issue/7630
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/ae5831b07e05bb58f1e02944cfb89d9e1a452dbc">ae5831b0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-25T12:50:45Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Globally disable softhsm2 in p11-kit-proxy

The p11-kit configuration injects p11-kit-proxy into all NSS databases.
Amongst other p11-kit loads SoftHSM2 PKCS#11 provider. This interferes
with 389-DS, certmonger, Dogtag and other services. For example certmonger
tries to open OpenDNSSEC's SoftHSM2 token, although it doesn't use it at
all. It also breaks Dogtag HSM support testing with SoftHSM2.

IPA server does neither need nor use SoftHSM2 proxied by p11-kit.

Related: https://pagure.io/freeipa/issue/7810
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/60b61d9000f968f01dab13d29ff7d5f7464d635d">60b61d90</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-04-25T21:12:12Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Merge branch 'upstream' into master-next
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d229804903ba6421db12a8865ee9875b2c46af98">d2298049</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-04-25T21:13:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">bump the version
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a9a54b787a5c4ad4f301758e4a6f5f5233243082">a9a54b78</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-04-25T21:31:53Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Drop upstreamed patches.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/38c3150339c3a5ebaf8a6a003c1c9bed777d58b0">38c31503</a></strong>
<div>
<span>by Timo Aaltonen</span>
<i>at 2019-04-25T22:02:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">install: Updated.
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/75ebfa1c004adf9247a849f8cff85cbaa389b08a">75ebfa1c</a></strong>
<div>
<span>by Sumit Bose</span>
<i>at 2019-04-26T06:15:05Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa_sam: remove dependency to talloc_strackframe.h

Recent Samba versions removed some header files which did include
non-public APIs. As a result talloc_strackframe.h and memory.h (for
SAFE_FREE) are not available anymore. This patch replaces the use of the
non-public APIs with public ones.

Resolves: rhbz#1678670

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: François Cami <fcami@redhat.com>
(cherry picked from commit d1f5ed64e16d65b9df45cc0eac7d2724dcae7b67)

Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/dcd488b3d94b1c48d90b7947249d0f4ce4da9cdf">dcd488b3</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T07:50:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactor tasks to include is_selinux_enabled()

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d7e17655c71147bd037a25e1745f950952f6d27e">d7e17655</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T07:50:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check for SELinux AVCs after installation

Look for SELinux violation after installing a master with CA, KRA, and
DNS with DNSSEC. The test does not fail yet, because there are known
SELinux violations.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/a22b4a35f21faca64a372f18f8ae04dbbc67d74b">a22b4a35</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T07:56:44Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">chmod SYSTEMD_PKI_TOMCAT_IPA_CONF

Change the permission of the new config file
/etc/systemd/system/pki-tomcatd@pki-tomcat.service.d/ipa.conf to 644.
This fixes the systemd warning

Configuration file /etc/systemd/system/pki-tomcatd@pki-tomcat.service.d/ipa.conf is marked world-inaccessible. This has no effect as configuration data is accessible via APIs without restrictions. Proceeding anyway.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d2c5ce1a8243f7e41ea3160d37d272cf7bcb120f">d2c5ce1a</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-26T08:25:00Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaplatform: add more services

Healthcheck needs to check more services than currently defined
in ipaplatform. Add these services.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/beffa7bcdaea8404472dfd7b0c5f7224fbeb49fa">beffa7bc</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:09:22Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Move Custodia secrets handler to scripts

Implement the import and export handlers for Custodia keys as external
scripts. It's a prerequisite to drop DAC override permission and proper
SELinux rules for ipa-custodia.

Except for DMLDAP,  handlers no longer run as root but as handler
specific users with reduced privileges. The Dogtag-related handlers run
as pkiuser, which also help with HSM support.

The export and import handles are designed to be executed by sudo, too.
In the future, ipa-custodia could be executed as an unprivileged process
that runs the minimal helper scripts with higher privileges.

Fixes: https://pagure.io/freeipa/issue/6888
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/4f3c4f87a181b693182ad396c9cf21a16b05616e">4f3c4f87</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:47:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Guard dbus.start() with dbus.is_running()

Some platforms like Debian protect the dbus.service with
RefuseManualStart=True. "systemctl start dbus" fails with operation
refused (it is configured to refuse manual start/stop). On Fedora
"systemctl start dbus" is a no-op when dbus is already running.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/5d4a8017f4871e33873734240cb2357b057e1b94">5d4a8017</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:47:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add helper to look for missing binaries

Fedora has merged /usr/bin and /bin while Debian uses distinct
directories for /usr/bin and /bin. Debian also uses different directory
for libexec files.

A new paths.check_paths() helper makes it easier to detect missing or
wrong paths.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/c3144111306a2886893b598db695026fc05c8a1f">c3144111</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:47:51Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Correct path to systemd-detect-virt

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/923156110828cb6e534353bc51965692aafc41aa">92315611</a></strong>
<div>
<span>by François Cami</span>
<i>at 2019-04-26T10:51:30Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipaplatform: add more services

Healthcheck needs to check more services than currently defined
in ipaplatform. Add these services.

Signed-off-by: François Cami <fcami@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/6d75967dc1adea5aeb56cdb1a96d9c06f0e4374f">6d75967d</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:52:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Refactor tasks to include is_selinux_enabled()

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/b72f54d2b361ad3d9f0a392724de57ac4e832617">b72f54d2</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:52:20Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Check for SELinux AVCs after installation

Look for SELinux violation after installing a master with CA, KRA, and
DNS with DNSSEC. The test does not fail yet, because there are known
SELinux violations.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2a459ce0f2c5e2af2dbe028afcf1d4e83875ce60">2a459ce0</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:53:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make python-ldap optional for PyPI packages

python-ldap is a Python package with heavy C extensions. In order to
build python-ldap, not only OpenLDAP development headers are necessary,
but also OpenSSL, Cyrus SASL, and MIT KRB5 development headers.

A fully functional ipaclient doesn't need an LDAP driver. It talks JSON
RPC over HTTPS to a server. python-ldap is only used by ipapython.dn.DN
to convert a string to a DN with ldap_str2dn(). The function is simple
and can be wrapped with ctypes in a bunch of lines.

Related: https://pagure.io/freeipa/issue/6468
Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/d59f155e521c2e382f1745ebccc6abdbbbccc2e2">d59f155e</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:53:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make IPADiscovery work without ldap

ipaclient.discover.IPADiscovery skips LDAP discovery when python-ldap is
not present.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/bdce9164a1e822663cfce345976f66436068acd4">bdce9164</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T10:53:23Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Make ipaclient.discovery usable from command line

For debugging and testing make it possible to run a simple domain
discovery from the command line

```
$ python3 -m ipaclient.discovery demo1.freeipa.org
realm    DEMO1.FREEIPA.ORG                      (Discovered from LDAP DNS records in ipa.demo1.freeipa.org)
domain   demo1.freeipa.org                      (Discovered LDAP SRV records from demo1.freeipa.org)
basedn   dc=demo1,dc=freeipa,dc=org             (From IPA server ldap://ipa.demo1.freeipa.org:389)
server   ipa.demo1.freeipa.org                  (Discovered from LDAP DNS records in ipa.demo1.freeipa.org)
servers  ['ipa.demo1.freeipa.org']
Success
$ python3 -m ipaclient.discovery freeipa.org
realm    None
domain   None
basedn   None
server   None
servers  []
NO_LDAP_SERVER
```

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/818f94d8d9ab08e72bac9ba61b6fd2a733df5ebf">818f94d8</a></strong>
<div>
<span>by Sergey Orlov</span>
<i>at 2019-04-26T12:28:31Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">ipa console: catch proper exception when history file can not be open

When history file could not be open we were catching OSError. This worked
for python3, as it raises FileNotFoundError, which is a subclass of
OSError. But in python2 IOError is raised when file does not exist and
as this exception was not catched, "ipa conosle" command was crashing.
As far as in pyton3 IOError and OSError have been merged
(OSError is IOError) we can safely catch only IOError.

Fixes: https://pagure.io/freeipa/issue/7922
Reviewed-By: Rob Crittenden <rcritten@redhat.com>
Reviewed-By: Christian Heimes <cheimes@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/3df837decb880e6b04847f13eac3a40e81e97858">3df837de</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T12:34:52Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">chmod SYSTEMD_PKI_TOMCAT_IPA_CONF

Change the permission of the new config file
/etc/systemd/system/pki-tomcatd@pki-tomcat.service.d/ipa.conf to 644.
This fixes the systemd warning

Configuration file /etc/systemd/system/pki-tomcatd@pki-tomcat.service.d/ipa.conf is marked world-inaccessible. This has no effect as configuration data is accessible via APIs without restrictions. Proceeding anyway.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/382280555bd94f642fb70ed69f5b5f096829b431">38228055</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T13:07:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Guard dbus.start() with dbus.is_running()

Some platforms like Debian protect the dbus.service with
RefuseManualStart=True. "systemctl start dbus" fails with operation
refused (it is configured to refuse manual start/stop). On Fedora
"systemctl start dbus" is a no-op when dbus is already running.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/45316e47f14f0db0f94799f707bfcf73a857b23a">45316e47</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T13:07:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Add helper to look for missing binaries

Fedora has merged /usr/bin and /bin while Debian uses distinct
directories for /usr/bin and /bin. Debian also uses different directory
for libexec files.

A new paths.check_paths() helper makes it easier to detect missing or
wrong paths.

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/2c8b7d2224e88c114f2f485f4de51b60e2b9c58a">2c8b7d22</a></strong>
<div>
<span>by Christian Heimes</span>
<i>at 2019-04-26T13:07:41Z</i>
</div>
<pre class="commit-message" style="white-space: pre-wrap; margin: 0;">Correct path to systemd-detect-virt

Signed-off-by: Christian Heimes <cheimes@redhat.com>
Reviewed-By: Alexander Bokovoy <abokovoy@redhat.com>
</pre>
</li>
<li>
<strong><a href="https://salsa.debian.org/freeipa-team/freeipa/commit/161008d5caea953973b3f70e1f9fc502bc211c68">161008d5</a></strong>
<