<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Oct 16, 2014 at 2:54 PM, Dave Walker <span dir="ltr"><<a href="mailto:email@daviey.com" target="_blank">email@daviey.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Steve,<br>
<br>
Thanks for your response.  I am talking generally about the external<br>
auth support.  One use case is Kerberos, but for the sake of argument<br>
this could quite easily be Apache Basic auth.  The point is, we have<br>
current support for entrusting AuthN outside of Keystone.<br>
<br>
What I was trying to outline is that it seems that the current design<br>
of external auth is that keystone is not in the auth pipeline as we<br>
trust auth at the edge.  However, we then do additional auth within<br>
keystone.<br>
<br>
With external auth and SQL, we drop the user provided username and<br>
password on the floor and use what was provided in REMOTE_USER (set by<br>
the webserver).<br>
<br>
Therefore the check as it currently stands in SQL is basically 'is<br>
this username in the database'.  The LDAP plugin does Authentication<br>
via username and password, which is clearly not sufficient for<br>
external auth.  The LDAP plugin could be made to check in a similar<br>
manner to SQL 'is this a valid user' - but this would seem to be a<br>
duplicate check, as we already did this at the edge.<br>
<br>
If the webserver granted access to keystone, the user has already been<br>
checked to see if they are a valid user.  However, your response seems<br>
to suggest that current external auth should be formally deprecated?</blockquote><div><br></div><div>I may be missing something, but can you use the external auth method with the LDAP backend? </div></div><div><br></div>-- <br>David<br>blog: <a href="http://www.traceback.org" target="_blank">http://www.traceback.org</a><br>twitter: <a href="http://twitter.com/dstanek" target="_blank">http://twitter.com/dstanek</a><div>www: <a href="http://dstanek.com" target="_blank">http://dstanek.com</a></div>
</div></div>