Yes, that's the preferred approach in Havana: Users and G<span></span>roups via LDAP, and everything else via SQL.<br><br>On Wednesday, November 13, 2013, Avi L  wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div dir="ltr">Hi,<div><br></div><div>I understand that the LDAP provider in keystone can be used for authenticating a user (i.e validate username and password) , and it also authorize it against roles and tenant. However this requires AD schema modification. Is it possible to use AD only for authentication and then use keystone's native database for roles and tenant lookup? The advantage is that then we don't need to touch the enterprise AD installation.</div>

<div><br></div><div>Thanks</div><div>Al</div></div>
</blockquote><br><br>-- <br><div><br></div>-Dolph<br>