<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Jun 3, 2015 at 6:49 AM, David Stanek <span dir="ltr"><<a href="mailto:dstanek@dstanek.com" target="_blank">dstanek@dstanek.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_quote"><span class=""><div dir="ltr">On Wed, Jun 3, 2015 at 6:04 AM liusheng <<a href="mailto:liusheng1175@126.com" target="_blank">liusheng1175@126.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
  
    
  
  <div bgcolor="#FFFFFF" text="#000000">
    Thanks for this topic, also, I think it is similar situation when
    talking about keystone users, not only the instances's password.</div><div bgcolor="#FFFFFF" text="#000000"><br></div></blockquote><div><br></div></span><div>In the past we've talked about having more advanced password management features in Keystone (complexity checks, rotation, etc). The end result is that we are not adding them because we would like to get away from managing users in Keystone that way. Instead we are pushing for users to integrate Keystone with more fully featured identity products.</div><div><div class="h5"><div> </div></div></div></div></div></blockquote><div><br></div><div>We typically reject it for our SQL backend implementation since there are other ways to configure the Keystone that support the functionality already. You can configure keystone to use an LDAP backend or you can use federation. So there's no reason for us to re-implement and support all this functionality.<br><br></div><div>That said, if there was a python library that did password complexity validation that nova was using and it only required a couple of lines of code in keystone to support it I wouldn't be against it.<br><br></div><div>- Brant<br><br></div></div></div></div>