<div dir="ltr">Hi yuanying,<div><br></div><div>How can user know about other user's trust_id? If the user can know the trust_id in other user's instance(maybe login to the instance), then other secrets can be known, too.</div><div>In this case, creating a different user for each bay also has a security risk. So I think the security is based on the security of instance.</div><div><br></div><div>Regards,</div><div>Wanghua</div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Dec 24, 2015 at 4:20 PM, 大塚元央 <span dir="ltr"><<a href="mailto:yuanying@oeilvert.org" target="_blank">yuanying@oeilvert.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi, Hua.<div><br></div><div>I agree with you if trust_id is secret.</div><div>But I think trust_id is not a secret.</div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap">User can know trustee_user_name and trustee_password from k8s/swarm instances.</span></div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap">If user knows about other user's trust_id, user can use a other user's swift resources.</span></div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap">This wii be a security risk.</span><br></div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap"><br></span></div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap">Thanks</span></div><div><span style="color:rgb(0,0,0);font-family:sans-serif;font-size:small;white-space:pre-wrap">-yuanying</span></div></div><br><div class="gmail_quote"><div dir="ltr">2015年12月24日(木) 16:49 王华 <<a href="mailto:wanghua.humble@gmail.com" target="_blank">wanghua.humble@gmail.com</a>>:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi all,<div><br></div><div>I want to create a trustee user for each bay [1]. The discussion for trust is in [2].</div><div><br></div><div>Here is my solution:</div><div>I don't create a user for each bay. All the bays no matter who creates it use the same user.</div><div>But we create different trust for the user for different bay. The user can not access any service without the trust id. So there is no need to create a user for each bay. </div><div><br></div><div><br></div><div>[1]<a href="https://blueprints.launchpad.net/magnum/+spec/create-trustee-user-for-each-bay" target="_blank">https://blueprints.launchpad.net/magnum/+spec/create-trustee-user-for-each-bay</a></div><div>[2]<a href="https://review.openstack.org/#/c/254705/" target="_blank">https://review.openstack.org/#/c/254705/</a></div><div><br></div><div>Regards,</div><div>Wanghua</div></div></div></div>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>