<div dir="ltr">I assume that by "v3 policy file" you're specifically referring to:<div><br></div><div>  <a href="https://github.com/openstack/keystone/blob/f6c01dd1673b290578e9fff063e27104412ffeda/etc/policy.v3cloudsample.json">https://github.com/openstack/keystone/blob/f6c01dd1673b290578e9fff063e27104412ffeda/etc/policy.v3cloudsample.json</a></div><div><br></div><div>Which essentially illustrates enforcement of a much more powerful authorization model than most deployers are familiar with today. You'll need to create and consume a domain-based role assignment, for example (do you have a role assigned to your user on the "default" domain? Are you accessing "openstack domain list" with a domain-scoped token?).</div><div><br></div><div>Unless you're ready to experiment with that new policy model, the default policy file is also designed for v3 and it's behavior is probably what you're expecting:</div><div><br></div><div>  <a href="https://github.com/openstack/keystone/blob/f6c01dd1673b290578e9fff063e27104412ffeda/etc/policy.json">https://github.com/openstack/keystone/blob/f6c01dd1673b290578e9fff063e27104412ffeda/etc/policy.json</a><br><div class="gmail_extra"><br></div><div class="gmail_extra">Perhaps "policy.v3cloudsample.json" is poorly named if it implies that it's somehow a pre-requisite to getting started with the v3 API?</div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 3, 2015 at 11:29 AM, Amy Zhang <span dir="ltr"><<a href="mailto:amy.u.zhang@gmail.com" target="_blank">amy.u.zhang@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Hi guys,<div><br></div><div>I have installed Kilo and try to use identity v3. I am using v3 policy file. I changed the domain_id for cloud admin as "default". As cloud admin, I tried "openstack domain list" and got the error message saying that I was not authorized.</div><div><br></div><div>The part I changed in policy.json:</div><div>







<p>"cloud_admin"<span>: </span>"rule:admin_required and domain_id:default"<span>,</span></p><p><span><br></span></p><p><span>The error I got from "openstack domain list":</span></p><p><span>







</span></p><p>ERROR: openstack You are not authorized to perform the requested action: identity:create_domain (Disable debug mode to suppress these details.) (HTTP 403) (Request-ID: req-2f42b1da-9933-4494-9b39-c1664d154377)</p><div><br></div><div>Has anyone tried identity v3 in Kilo? Did you have this problem? Any suggestions?</div><div><br></div><div>Thanks</div><span class=""><font color="#888888"><div>Amy </div>-- <br><div>Best regards,<br>Amy (Yun Zhang)<br></div>
</font></span></div></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div></div></div>