<div dir="ltr"><div>Thanks Adam, Thierry!<br><br></div><div>Dani<br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jan 27, 2015 at 1:43 PM, Adam Young <span dir="ltr"><<a href="mailto:ayoung@redhat.com" target="_blank">ayoung@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Short term answers:<br>
<br>
The amount of infrastructure we would have to build to replicate CRON is not worth it.<br>
<br>
Figuring out a CRON strategy for nontrivial deployment is part of a larger data management scheme.<br>
<br>
<br>
Long term answers:<br>
<br>
Tokens should not be persisted.  We have been working toward ephemeral tokens for a long time, but the vision of how to get there is not uniformly shared among the team.  We spent a lot of time arguing about AE tokens, which looked promising, but do not support federation.<br>
<br>
Where we are headed is a split of the data in the token into an ephemeral portion and a persisted portion.  The persisted portion would be reused, and would represent the delegation of authority. The epehmeral portion will represent the time aspects of the token: when issued, when expired, etc.  The ephemeral portion would refer to the persisted portion.<br>
<br>
The revocation events code  is necessary for PKI tokens, and might be required depending on how we do the ephemeral/persisted split. With AE tokens it would have been necessary, but with a unified delegation mechanism, it would be less so.<br>
<br>
If anyone feels the need for ephemeral tokens strongly enough to contribute, please let me know.  We've put a lot of design into where we are today, and I would encourage you to learn the issues before jumping in to the solutions.  I'm more than willing to guide any new development along these lines.<div class="HOEnZb"><div class="h5"><br>
<br>
______________________________<u></u>______________________________<u></u>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</div></div></blockquote></div><br></div>