<div dir="ltr">Hi, creating rbac entries by non-admins will be controlled by policy.json. So you can enable it or disable it there.<div><br></div><div><span style="font-size:12.8000001907349px">> Also is the action access_as_external available now ?</span><br></div><div><span style="font-size:12.8000001907349px"><br></span></div><div><span style="font-size:12.8000001907349px">Not yet. The code is still under review.</span></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Jun 25, 2015 at 10:15 AM, Assaf Muller <span dir="ltr"><<a href="mailto:amuller@redhat.com" target="_blank">amuller@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'll defer to Kevin, the spec author, but you should know that the<br>
implementation is not merged yet.<br>
<br>
----- Original Message -----<br>
> Hi Assaf,<br>
><br>
> Now reading the rbac network specs carefully, I believe it does allow private<br>
> networks to be shared to other tenants by non-admin users.<br>
><br>
> So the command " neutron rbac create < net - uuid | net - name > -- type<br>
> network -- tenant - id < tenant - uuid > -- action access_a<br>
> s_shared " - can this be only used by an admin ? From the specs, it did not<br>
> seem so.<br>
><br>
> Also is the action access_as_external available now ?<br>
<div class="HOEnZb"><div class="h5">><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
><br>
> On Tue, Jun 2, 2015 at 9:14 PM, Assaf Muller < <a href="mailto:amuller@redhat.com">amuller@redhat.com</a> > wrote:<br>
><br>
><br>
> Check out:<br>
> <a href="http://specs.openstack.org/openstack/neutron-specs/specs/liberty/rbac-networks.html" rel="noreferrer" target="_blank">http://specs.openstack.org/openstack/neutron-specs/specs/liberty/rbac-networks.html</a><br>
> If I understand correctly, what Anik is probably asking for is way to connect<br>
> two OpenStack projects together from a network point of view, where a<br>
> private network in Project1 can be connected to a Router in Project2. AFAIK,<br>
> I don't think we are planning to expose such model in RBAC where a tenant<br>
> (non-admin) has a way control who can see/connect-to his/her resources.<br>
><br>
> @Anik, please correct me if I am wrong.<br>
><br>
><br>
><br>
><br>
> Kevin is trying to solve exactly this problem. We're really hoping to land it<br>
> in<br>
> time for Liberty.<br>
><br>
> ----- Original Message -----<br>
> > Hi,<br>
> ><br>
> > Trying to understand if somebody has come across the following scenario:<br>
> ><br>
> > I have a two projects: Project 1 and Project 2<br>
> ><br>
> > I have a neutron private network in Project 1, that I want to connect that<br>
> > private network to a neutron port in Project 2.<br>
> ><br>
> > This does not seem to be possible without using admin credentials. I am not<br>
> > talking about a shared provider network here.<br>
> ><br>
> > It seems that the problem lies in the fact that there is no data model<br>
> > today<br>
> > that lets one Project have knowledge about any other Project inside the<br>
> > same<br>
> > OpenStack region.<br>
> ><br>
> > Any pointers there will be helpful.<br>
> > Regards,<br>
> > Anik<br>
><br>
> ><br>
</div></div><div class="HOEnZb"><div class="h5">> > __________________________________________________________________________<br>
> > OpenStack Development Mailing List (not for usage questions)<br>
> > Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> > <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
><br>
><br>
> ><br>
><br>
> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
><br>
><br>
><br>
><br>
> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
><br>
><br>
><br>
><br>
> __________________________________________________________________________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
><br>
</div></div></blockquote></div><br></div>