<div dir="ltr">Guys, I object of merging Fernet tokens. I set -2 for any Fernet related activities. Firstly, there are some ongoing discussions how we should distribute, revoke, rotate SSL keys for Fernet. Secondly, there some discussion in community about potential security concerns where user may renew token instantly. Additionally, we've already introduced apache wsgi which may have own implication on keystone itself. It's a bit late for 7.0. Let's focus on stability and quality. <br><br><br></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr">--<br>
Best regards,<br>
Sergii Golovatiuk,<br>
Skype #golserge<br>
IRC #holser<br></div></div></div>
<br><div class="gmail_quote">On Mon, Jul 27, 2015 at 1:52 PM, Alexander Makarov <span dir="ltr"><<a href="mailto:amakarov@mirantis.com" target="_blank">amakarov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I've filed a ticket to test Fernet token on the scale lab: <a href="https://mirantis.jira.com/browse/MOSS-235" target="_blank">https://mirantis.jira.com/browse/MOSS-235</a><div><br></div><div>If this feature is not granted FFE we still can configure it manually by changing keystone config.</div><div>So I think internal how-to document backed-up with scale and bvt testing will allow our deployers to deliver Fernet to our customers.</div><div>1 more thing: in the Community this feature is considered experimantal, so maybe setting it as a default is a bit premature? </div></div><div class="HOEnZb"><div class="h5"><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jul 27, 2015 at 2:34 PM, Vladimir Kuklin <span dir="ltr"><<a href="mailto:vkuklin@mirantis.com" target="_blank">vkuklin@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Folks<div><br></div><div>We saw several High issues with how keystone manages regular memcached tokens. I know, this is not the perfect time as you already decided to push it from 7.0, but I would reconsider declaring it as FFE as it affects HA and UX poorly. If we can enable tokens simply by altering configuration, let's do it. I see commit for this feature is pretty trivial.</div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Fri, Jul 24, 2015 at 9:27 AM, Mike Scherbakov <span dir="ltr"><<a href="mailto:mscherbakov@mirantis.com" target="_blank">mscherbakov@mirantis.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Fuel Library team, I expect your immediate reply here. <div><br></div><div>I'd like upgrades team to take a look at this one, as well as at the one which moves Keystone under Apache, in order to check that there are no issues here.</div><div><br></div><div>-1 from me for this time in the cycle. I'm concerned about:</div><div><ol><li>I don't see any reference to blueprint or bug which explains (with measurements) why we need this change in reference architecture, and what are the thoughts about it in puppet-openstack, and OpenStack Keystone. We need to get datapoints, and point to them. Just knowing that Keystone team implemented support for it doesn't yet mean that we need to rush in enabling this.</li><li>It is quite noticeable change, not a simple enhancement. I reviewed the patch, there are questions raised.</li><li>It doesn't pass CI, and I don't have information on risks associated, and additional effort required to get this done (how long would it take to get it done)</li><li>This feature increases complexity of reference architecture. Now I'd like every complexity increase to be optional. I have feedback from the field, that our prescriptive architecture just doesn't fit users' needs, and it is so painful to decouple then what is needed vs what is not. Let's start extending stuff with an easy switch, being propagated from Fuel Settings. Is it possible to do? How complex would it be?</li></ol></div><div>If we get answers for all of this, and decide that we still want the feature, then it would be great to have it. I just don't feel that it's right timing anymore - we entered FF.</div><div><br></div><div>Thanks,<br><br><div class="gmail_quote"><div><div><div dir="ltr">On Thu, Jul 23, 2015 at 11:53 AM Alexander Makarov <<a href="mailto:amakarov@mirantis.com" target="_blank">amakarov@mirantis.com</a>> wrote:<br></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div><div dir="ltr"><span style="font-size:13px">Colleagues,</span><div style="font-size:13px"><br></div><div style="font-size:13px">I would like to request an exception from the Feature Freeze for Fernet tokens support added to the fuel-library in the following CR:</div><div style="font-size:13px"><a href="https://review.openstack.org/#/c/201029/" target="_blank">https://review.openstack.org/#/c/201029/</a><br></div><div style="font-size:13px"><br></div><div style="font-size:13px">Keystone part of the feature is implemented in the upstream and the change impacts setup configuration only.</div><div style="font-size:13px"><br></div><div style="font-size:13px"><div>Please, respond if you have any questions or concerns related to this request.</div><div><br></div><div>Thanks in advance.</div></div><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Kind Regards,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Alexander Makarov,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Senior Software Developer,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Mirantis, Inc.</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">35b/3, Vorontsovskaya St., 109147, Moscow, Russia</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Tel.: <a href="tel:%2B7%20%28495%29%20640-49-04" value="+74956404904" target="_blank">+7 (495) 640-49-04</a></font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Tel.: <a href="tel:%2B7%20%28926%29%20204-50-60" value="+79262045060" target="_blank">+7 (926) 204-50-60</a></font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Skype: MAKAPOB.AJIEKCAHDP</font><br></div></div></div></div>
</div></div></div>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><span><font color="#888888"><br>
</font></span></blockquote></div></div></div><span><font color="#888888"><div dir="ltr">-- <br></div><div dir="ltr">Mike Scherbakov<br>#mihgen</div>
</font></span><br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br></div></div><div><div dir="ltr"><div><div dir="ltr">Yours Faithfully,<br>Vladimir Kuklin,<br>Fuel Library Tech Lead,<br>Mirantis, Inc.<br><a href="tel:%2B7%20%28495%29%20640-49-04" value="+74956404904" target="_blank">+7 (495) 640-49-04</a><br><a href="tel:%2B7%20%28926%29%20702-39-68" value="+79267023968" target="_blank">+7 (926) 702-39-68</a><br>Skype kuklinvv<br>35bk3, Vorontsovskaya Str.<br>Moscow, Russia,<br><a href="http://www.mirantis.ru/" target="_blank">www.mirantis.com</a><br><a href="http://www.mirantis.ru/" target="_blank">www.mirantis.ru</a><br><a href="mailto:vkuklin@mirantis.com" target="_blank">vkuklin@mirantis.com</a></div></div></div></div>
</div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div><div dir="ltr"><div><div dir="ltr"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Kind Regards,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Alexander Makarov,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Senior Software Developer,</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Mirantis, Inc.</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">35b/3, Vorontsovskaya St., 109147, Moscow, Russia</font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Tel.: <a href="tel:%2B7%20%28495%29%20640-49-04" value="+74956404904" target="_blank">+7 (495) 640-49-04</a></font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Tel.: <a href="tel:%2B7%20%28926%29%20204-50-60" value="+79262045060" target="_blank">+7 (926) 204-50-60</a></font><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><br style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px"><font style="color:rgb(0,0,0);font-family:Cantarell;font-size:15px" color="#000000">Skype: MAKAPOB.AJIEKCAHDP</font><br></div></div></div></div>
</div>
</div></div><br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>