<div dir="ltr"><div>Hi stackers, </div><div><br></div><div>I would like to suggest very simple idea of splitting out of Keystone authentication</div><div>part in the separated project. </div><div><br></div><div>Such change has 2 positive outcomes: </div><div>1) It will be quite simple to create scalable service with high performance for authentication based on very mature projects like: Kerberos[1] and OpenLDAP[2].</div><div><br></div><div>2) This will reduce scope of Keystone, which means 2 things</div><div>2.1) Smaller code base that has less issues and is simpler for testing</div><div>2.2) Keystone team would be able to concentrate more on fixing perf/scalability issues of authorization, which is crucial at the moment for large clouds.</div><div><br></div><div>Thoughts?  </div><div><br></div><div>[1] <a href="http://web.mit.edu/kerberos/">http://web.mit.edu/kerberos/</a></div><div>[2] <a href="http://ldapcon.org/2011/downloads/hummel-slides.pdf">http://ldapcon.org/2011/downloads/hummel-slides.pdf</a></div><div><br></div><div>Best regards,</div><div>Boris Pavlovic </div></div>