<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Feb 28, 2014 at 8:13 AM,  <span dir="ltr"><<a href="mailto:jang@ioctl.org" target="_blank">jang@ioctl.org</a>></span> wrote:<br><div> </div>
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
The second would be to have a way for the nova process to extend proxy<br>
credentials until such point as they are required by the post- stages.<br>
I'll elide the potential security concerns over putting such an API call<br>
into keystone, but it should probably be considered.<br>
<br></blockquote><div><br>This facility is already implemented in Keystone, it's called trusts[1].<br><br>[1] <a href="https://github.com/openstack/identity-api/blob/master/openstack-identity-api/v3/src/markdown/identity-api-v3-os-trust-ext.md">https://github.com/openstack/identity-api/blob/master/openstack-identity-api/v3/src/markdown/identity-api-v3-os-trust-ext.md</a> <br>
<br></div><div>- Brant<br><br></div></div></div></div>