<div dir="ltr"><div>We should assume that the admin credentials are already invalid. We have some possible options that I can think of<div><br></div><div>Create an additional user. The risk here is that it will be deleted, disabled or re-keyed as the same with admin.</div><div>Use the existing service accounts (nova, neutron, keystone, cinder) (this is the plan for removing deps on ~/openrc)</div></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div>The questions are:</div><div><ol><li>Is anybody have feature, which also requires additional OpenStack user?</li></ol></div></blockquote><div>moving from admin / openrc back to service accounts </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><ol><li>We need only readonly access for fetching workloads. But if anybody want to use this user for other tasks, we can grant required rights to the user. Should we create user with full access or restrict them to readonly access?</li></ol></div></blockquote><div>read only would be preferred, we should have the least amount of access possible to complete the snooping. It reduces attack surfaces </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><ol><li>Is the credentials of user should be the same for all environments?</li></ol></div></blockquote><div>I would attempt to keep them unique per env </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><ol><li>Where the best place for storing credentials of the user? DB or yaml?</li></ol></div></blockquote><div>It will have to be sent to the yaml in order to get the deployment task to create it, but you will also want to store it in the db. </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><ol><li>Should we have UI for changing credentials?</li></ol></div></blockquote><div>Yes, we should probably be able to change the credential, however I could see it being postponed untill 7.0</div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><ol><li>May be we should use 'admin' user credentials and just notify in the UI if credentials are not valid and we can't collect workloads?</li></ol></div></blockquote><div>We can and should consider the admin credentials invalid and should not use them</div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div>Please, share your thoughts.</div></div></blockquote><div><br></div><br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Feb 10, 2015 at 3:02 AM, Alexander Kislitsky <span dir="ltr"><<a href="mailto:akislitsky@mirantis.com" target="_blank">akislitsky@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Folks,<div><br></div><div>We are collecting OpenStack workloads stats. For authentication in the keystone we are using admin user credentials from Nailgun. Credentials can be changed directly in the OpenStack and we will loose possibility of fetching information.</div><div><br></div><div>This issue can be fixed by creation additional user account:</div><div><ol><li>I propose to generate additional user credentials after master node is installed and store it into master_node_settings table in the Nailgun.<br></li><li>Add abstraction layer into <a href="https://github.com/stackforge/fuel-web/blob/master/nailgun/nailgun/statistics/utils.py#L47" target="_blank">https://github.com/stackforge/fuel-web/blob/master/nailgun/nailgun/statistics/utils.py#L47</a> for creating additional user in the OpenStack if it isn't exists.</li></ol><div>But this additional user can be useful for other purposes and may be we should save credentials in other place (settings.yaml for example). And may be creation of the additional user should be implemented outside of stats collecting feature and may be outside of Nailgun.</div></div><div><br></div><div>Please share your thoughts on this.</div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature">Andrew<br>Mirantis<br>Fuel community ambassador <br>Ceph community</div>
</div>