<p dir="ltr">Hi Soren,</p>
<p dir="ltr">On 10 February 2014 08:27, Soren Hansen <<a href="mailto:soren@linux2go.dk">soren@linux2go.dk</a>> wrote:<br>
> I've just taken a look at the feedback in the whiteboard. If it's ok,<br>
> I'd like to take this discussion back to the mailing list. I find the<br>
> whiteboards somewhat clumsy for discussions.<br>
><br>
> Akihiro Motoki points out that all services should work without the<br>
> dashboard. Keystone already exposes an API to create new users, so<br>
> that requirement is already fulfilled, whether there's an intermediate<br>
> service or not, so I don't really understand this objection.<br>
><br>
> Kieran Spear argues in favour of a separate registration service that<br>
> Horizon talks to over some sort of RPC interface. He argues that<br>
> putting Keystone admin credentials on public facing webserver is a<br>
> security risk.<br>
><br>
> I agree that putting admin credentials on a public web server is a<br>
> security risk, but I'm not sure why a set of restricted admin<br>
> credentials that only allow you to create users and tenants is a<br>
> bigger problem than the credentials for separate registration service<br>
> that performs the exact same operations?</p>
<p dir="ltr">The third (and most dangerous) operation here is the role grant. I don't think any Keystone policy could be specific enough to prevent arbitrary member role assignment in this case.</p>
<p dir="ltr">How do you express the following as a set of policies in Keystone?</p>
<p dir="ltr">"Allow a user to create a new user and a new project and grant the member role for only that user on only that project."</p>
<p dir="ltr">There may be other ways around this particular case, but in these situations I accept that mistakes are inevitable, and another layer of isolation helps to reduce the impact when things go wrong.</p>
<p dir="ltr">Cheers, <br>
Kieran</p>
<p dir="ltr">><br>
> Soren Hansen | <a href="http://linux2go.dk/">http://linux2go.dk/</a><br>
> Ubuntu Developer | <a href="http://www.ubuntu.com/">http://www.ubuntu.com/</a><br>
> OpenStack Developer | <a href="http://www.openstack.org/">http://www.openstack.org/</a><br>
><br>
><br>
> 2014-02-01 18:24 GMT+01:00 Saju M <<a href="mailto:sajuptpm@gmail.com">sajuptpm@gmail.com</a>>:<br>
>> Hi folks,<br>
>><br>
>> Could you please spend 5 minutes on the blueprint<br>
>> <a href="https://blueprints.launchpad.net/horizon/+spec/user-registration">https://blueprints.launchpad.net/horizon/+spec/user-registration</a> and add<br>
>> your suggestions in the white board.<br>
>><br>
>><br>
>> Thanks,<br>
>><br>
>> _______________________________________________<br>
>> OpenStack-dev mailing list<br>
>> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
>> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
>><br>
><br>
> _______________________________________________<br>
> OpenStack-dev mailing list<br>
> <a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a></p>