<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

<meta name="Generator" content="Microsoft Word 14 (filtered medium)">

<style><!--

/* Font Definitions */

@font-face

        {font-family:Calibri;

        panose-1:2 15 5 2 2 2 4 3 2 4;}

@font-face

        {font-family:Tahoma;

        panose-1:2 11 6 4 3 5 4 4 2 4;}

/* Style Definitions */

p.MsoNormal, li.MsoNormal, div.MsoNormal

        {margin:0in;

        margin-bottom:.0001pt;

        font-size:12.0pt;

        font-family:"Times New Roman","serif";}

a:link, span.MsoHyperlink

        {mso-style-priority:99;

        color:blue;

        text-decoration:underline;}

a:visited, span.MsoHyperlinkFollowed

        {mso-style-priority:99;

        color:purple;

        text-decoration:underline;}

span.EmailStyle17

        {mso-style-type:personal-reply;

        font-family:"Calibri","sans-serif";

        color:#1F497D;}

.MsoChpDefault

        {mso-style-type:export-only;

        font-family:"Calibri","sans-serif";}

@page WordSection1

        {size:8.5in 11.0in;

        margin:1.0in 1.0in 1.0in 1.0in;}

div.WordSection1

        {page:WordSection1;}

--></style><!--[if gte mso 9]><xml>

<o:shapedefaults v:ext="edit" spidmax="1026" />

</xml><![endif]--><!--[if gte mso 9]><xml>

<o:shapelayout v:ext="edit">

<o:idmap v:ext="edit" data="1" />

</o:shapelayout></xml><![endif]-->

</head>

<body lang="EN-US" link="blue" vlink="purple">

<div class="WordSection1">

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D">I agree about not needing extra identity information outside of the user’s UUID, but what about the role/project/domain information stored in the PKI token?

 Does it remain or go away?<o:p></o:p></span></p>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

<div style="border:none;border-left:solid blue 1.5pt;padding:0in 0in 0in 4.0pt">

<div>

<div style="border:none;border-top:solid #B5C4DF 1.0pt;padding:3.0pt 0in 0in 0in">

<p class="MsoNormal"><b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif"">From:</span></b><span style="font-size:10.0pt;font-family:"Tahoma","sans-serif""> Morgan Fainberg [mailto:m@metacloud.com]

<br>

<b>Sent:</b> Thursday, February 27, 2014 12:11 PM<br>

<b>To:</b> OpenStack Development Mailing List (not for usage questions)<br>

<b>Subject:</b> Re: [openstack-dev] [all][keystone] Increase of USER_ID length maximum from 64 to 255<o:p></o:p></span></p>

</div>

</div>

<p class="MsoNormal"><o:p> </o:p></p>

<p class="MsoNormal"><br>

<br>

On Thursday, February 27, 2014, Dolph Mathews <<a href="mailto:dolph.mathews@gmail.com">dolph.mathews@gmail.com</a>> wrote:<o:p></o:p></p>

<div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

<div>

<p class="MsoNormal">On Thu, Feb 27, 2014 at 11:52 AM, Jay Pipes <<a href="javascript:_e(%7B%7D,'cvml','jaypipes@gmail.com');" target="_blank">jaypipes@gmail.com</a>> wrote:<o:p></o:p></p>

<div>

<p class="MsoNormal" style="margin-bottom:12.0pt">On Thu, 2014-02-27 at 16:13 +0000, Henry Nash wrote:<br>

> So a couple of things about this:<br>

><br>

><br>

> 1) Today (and also true for Grizzly and Havana), the user can chose<br>

> what LDAP attribute should be returned as the user or group ID.  So it<br>

> is NOT a safe assumption today (ignoring any support for<br>

> domain-specific LDAP support) that the format of a user or group ID is<br>

> a 32 char UUID.  Quite often, I would think, that email address would<br>

> be chosen by a cloud provider as the LDAP id field, by default we use<br>

> the CN.  Since we really don't want to ever change the user or group<br>

> ID we have given out from keystone for a particular entity, this means<br>

> we need to update nova (or anything else) that has made a 32 char<br>

> assumption.<o:p></o:p></p>

</div>

<p class="MsoNormal">I don't believe this is correct. Keystone is the service that deals with<br>

authentication. As such, Keystone should be the one and only one service<br>

that should have any need whatsoever to need to understand a non-UUID<br>

value for a user ID. The only value that should ever be communicated<br>

*from* Keystone should be the UUID value of the user.<o:p></o:p></p>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">+++<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0in 0in 0in 6.0pt;margin-left:4.8pt;margin-right:0in">

<p class="MsoNormal"><br>

If the Keystone service uses LDAP or federation for alternative<br>

authentication schemes, then Keystone should have a mapping table that<br>

translates those elongated and non-UUID identifiers values (email<br>

addresses, LDAP CNs, etc) into the UUID value that is then communicated<br>

to all other OpenStack services.<o:p></o:p></p>

</blockquote>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I'd take it one step further and say that at some point, keystone should stop leaking identity details such as user name / ID into OpenStack (they shouldn't appear in tokens, and shouldn't be expected output of auth_token). The use cases

 that "require" them are weak and would be better served by pure multitenant RBAC, ABAC, etc. There are a lot of blockers to making this happen (including a few in keystone's own API), but still food for thought.<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"> <o:p></o:p></p>

</div>

</div>

</div>

</div>

<div>

<p class="MsoNormal">++ this would be a great change!  <o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">I am on the same page as Dolph when it comes to approving of the UUID being the only value communicated outside of keystone. There is just no good reason to send out extra identity information (it isn't needed and can help to reduce token

 bloat etc). <span style="color:#1F497D"><o:p></o:p></span></p>

</div>

<div>

<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri","sans-serif";color:#1F497D"><o:p> </o:p></span></p>

</div>

<div>

<p class="MsoNormal">--Morgan<o:p></o:p></p>

</div>

<div>

<p class="MsoNormal"><o:p> </o:p></p>

</div>

<div>

<p class="MsoNormal">Sent via mobile<o:p></o:p></p>

</div>

</div>

</div>

</body>

</html>