<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Feb 13, 2013 at 10:09 PM, Nathanael Burton <span dir="ltr"><<a href="mailto:nathanael.i.burton@gmail.com" target="_blank">nathanael.i.burton@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><p dir="ltr"><br>
On Feb 13, 2013 8:07 PM, "Rick Richardson" <<a href="mailto:rick.richardson@gmail.com" target="_blank">rick.richardson@gmail.com</a>> wrote:<br>
><br>
> The docs on keystone mention that Keystone can support 2-way SSL.  Does this mean between keystone and a service? or Keystone and a user?  If it is to a user, what is the criteria by which it validates the user's cert?  </p>


</div><p dir="ltr">The docs here describe setting up external auth to use client cert information for the authentication:</p>
<p dir="ltr"><a href="http://docs.openstack.org/developer/keystone/external-auth.html" target="_blank">http://docs.openstack.org/developer/keystone/external-auth.html</a></p>
<p dir="ltr"></p><div class="im">><br>
> Also, would something like this be compatible with LDAP to indicate role/tenancy membership? <br>
><br>
> Speaking of LDAP, the docs seem rather light, has anyone successfully used it in production?  I saw Adam Young's post from a year ago which seems promising.  Is it going to be supported going forward? <br>
><br></div></blockquote><div><br></div><div style>Yes, CERN uses it against an existing AD infrastructure, for example. The best documentation AFAIK is probably keystone.conf.sample, which has some reasonable defaults for LDAP to get you going.</div>
<div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"></div>
> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
<p></p>
<br>_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div></div>