<div dir="ltr">Things in Neutron are restricted at the tenant level. Nothing pays attention to the user ID (other than maybe a custom policy.json entry). If you have two users that aren't trusted together, they shouldn't be in the same tenant.<div><div><div><br></div><div>If we want to change that model, it will definitely require a blueprint because it would need to be changed for everything rather than just ports.</div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Mar 13, 2015 at 11:48 AM, Paul Ward <span dir="ltr"><<a href="mailto:wpward@linux.vnet.ibm.com" target="_blank">wpward@linux.vnet.ibm.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">From what I can tell, neutron ports do not have the concept of an "owner" that is a user.  They have "device_owner", which seems to be more for things like assigning to a router.<br>
<br>
The reason I bring this up is because there seems to be no way to restrict the update/delete of a port to only the owner of the nova server it's attached to.  You can set the policy file to enforce tenant_id, but that would still allow any user in a tenant to delete any OTHER user's neutron port in that same tenant.<br>
<br>
This actually seems like a security problem to me.  But given it deals with a core neutron object, maybe the best way to approach it is with a blueprint in Liberty rather than a bug...<br>
<br>
Thoughts?<br>
<br>
<br>
______________________________<u></u>______________________________<u></u>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.<u></u>openstack.org?subject:<u></u>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/<u></u>cgi-bin/mailman/listinfo/<u></u>openstack-dev</a><br>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature"><div>Kevin Benton</div></div>
</div>