<html><head></head><body><div style="color:#000; background-color:#fff; font-family:Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif;font-size:13px"><div dir="ltr" id="yui_3_16_0_1_1454620984159_79984"><span style="font-family: 'Helvetica Neue', 'Segoe UI', Helvetica, Arial, 'Lucida Grande', sans-serif;" id="yui_3_16_0_1_1454620984159_79864" class="">Wanghua,</span><span></span></div><div id="yui_3_16_0_1_1454620984159_79910"><span><br></span></div><div id="yui_3_16_0_1_1454620984159_79867"><span id="yui_3_16_0_1_1454620984159_79866">Could you elaborate why using token is problem? Provision cluster takes deterministic time and expiration time shouldn't be a problem (e.g. we can always assume that provision shouldn't take more than hour for example). Also we can generate new token every time when we update stack, can't we?  </span></div><div></div><div id="yui_3_16_0_1_1454620984159_79865"> </div><div class="signature" id="yui_3_16_0_1_1454620984159_79840">--- </div><div class="signature" id="yui_3_16_0_1_1454620984159_79840"> Egor</div><div class="qtdSeparateBR" id="yui_3_16_0_1_1454620984159_79825"><br></div><div class="yahoo_quoted" id="yui_3_16_0_1_1454620984159_79808" style="display: block;">  <div style="font-family: Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif; font-size: 13px;" id="yui_3_16_0_1_1454620984159_79807"> <div style="font-family: HelveticaNeue, Helvetica Neue, Helvetica, Arial, Lucida Grande, sans-serif; font-size: 16px;" id="yui_3_16_0_1_1454620984159_79806"> <div dir="ltr" id="yui_3_16_0_1_1454620984159_79805"> <font size="2" face="Arial" id="yui_3_16_0_1_1454620984159_79862"> <hr size="1" id="yui_3_16_0_1_1454620984159_79968"> <b><span style="font-weight:bold;">From:</span></b> Corey O'Brien <coreypobrien@gmail.com><br> <b><span style="font-weight: bold;">To:</span></b> OpenStack Development Mailing List (not for usage questions) <openstack-dev@lists.openstack.org> <br> <b><span style="font-weight: bold;">Sent:</span></b> Thursday, February 4, 2016 8:24 PM<br> <b><span style="font-weight: bold;">Subject:</span></b> Re: [openstack-dev] [openstack][Magnum] ways to get CA certificate in make-cert.sh from Magnum<br> </font> </div> <div class="y_msg_container" id="yui_3_16_0_1_1454620984159_79944"><br><div id="yiv0954287278"><div id="yui_3_16_0_1_1454620984159_79943"><div dir="ltr" id="yui_3_16_0_1_1454620984159_79965">There currently isn't a way to distinguish between user who creates the bay and the nodes in the bay because the user is root on those nodes. Any credential that the node uses to communicate with Magnum is going to be accessible to the user.<div id="yui_3_16_0_1_1454620984159_79967"><br clear="none"></div><div id="yui_3_16_0_1_1454620984159_79964">Since we already have the trust, that seems like the best way to proceed for now just to get something working.<br clear="none"><div id="yui_3_16_0_1_1454620984159_79963"><div id="yui_3_16_0_1_1454620984159_79962"><div id="yui_3_16_0_1_1454620984159_79966"><br clear="none"></div><div id="yui_3_16_0_1_1454620984159_79961">Corey</div></div></div></div></div><br clear="none"><div class="yiv0954287278gmail_quote" id="yui_3_16_0_1_1454620984159_79942"><div class="yiv0954287278yqt6478678460" id="yiv0954287278yqt64132"><div dir="ltr" id="yui_3_16_0_1_1454620984159_79945">On Thu, Feb 4, 2016 at 10:53 PM 王华 <<a rel="nofollow" shape="rect" ymailto="mailto:wanghua.humble@gmail.com" target="_blank" href="mailto:wanghua.humble@gmail.com" id="yui_3_16_0_1_1454620984159_81498">wanghua.humble@gmail.com</a>> wrote:<br clear="none"></div><blockquote class="yiv0954287278gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;" id="yui_3_16_0_1_1454620984159_79941"><div dir="ltr" id="yui_3_16_0_1_1454620984159_79940">Hi all,<div id="yui_3_16_0_1_1454620984159_81497"><br clear="none"></div><div>Magnum now use a token to get CA certificate in make-cert.sh. Token has a expiration time. So we should change this method. Here are two proposals.</div><div id="yui_3_16_0_1_1454620984159_80015"><br clear="none"></div><div>1. Use trust which I have introduced in [1]. The way has a disadvantage. We can't limit the access to some APIs. For example, if we want to add a limitation that some APIs can only be accessed from Bay and can't be accessed by users outside. We need a way to distinguish these users, from</div><div id="yui_3_16_0_1_1454620984159_80022">Bay or from outside.</div><div><br clear="none"></div><div>2. We create a user with the role to access Magnum. The way is used in Heat. Heat creates a user for each stack to communicate with Heat. We can add a role to the user which is already introduced in [1]. The user can directly access Magnum for some limited APIs. With trust id, the user can access other services.</div><div><br clear="none"></div><div>[1] <a rel="nofollow" shape="rect" target="_blank" href="https://review.openstack.org/#/c/268852/">https://review.openstack.org/#/c/268852/</a></div><div><br clear="none"></div><div>Regards,</div><div>Wanghua</div></div>
__________________________________________________________________________<br clear="none">
OpenStack Development Mailing List (not for usage questions)<br clear="none">
Unsubscribe: <a rel="nofollow" shape="rect" target="_blank" href="http://OpenStack-dev-request@lists.openstack.org/?subject:unsubscribe">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br clear="none">
<a rel="nofollow" shape="rect" target="_blank" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br clear="none">
</blockquote></div></div></div></div><br><div class="yqt6478678460" id="yqt25347">__________________________________________________________________________<br clear="none">OpenStack Development Mailing List (not for usage questions)<br clear="none">Unsubscribe: <a shape="rect" ymailto="mailto:OpenStack-dev-request@lists.openstack.org" href="mailto:OpenStack-dev-request@lists.openstack.org">OpenStack-dev-request@lists.openstack.org</a>?subject:unsubscribe<br clear="none"><a shape="rect" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br clear="none"></div><br><br></div> </div> </div>  </div></div></body></html>