
<div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 12, 2016 at 3:27 PM, Lance Bragstad <span dir="ltr"><<a href="mailto:lbragstad@gmail.com" target="_blank">lbragstad@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div dir="ltr">Keystone's credential API pre-dates barbican. We started talking about having the credential API back to barbican after it was a thing. I'm not sure if any work has been done to move the credential API in this direction. From a security perspective, I think it would make sense for keystone to back to barbican.</div></blockquote><div><br></div><div>+1</div><div><br></div><div>And regarding the "inappropriate use of keystone," I'd agree... without this spec, keystone is entirely useless as any sort of alternative to Barbican:</div><div><br></div><div>  <a href="https://review.openstack.org/#/c/284950/">https://review.openstack.org/#/c/284950/</a></div><div><br></div><div>I suspect Barbican will forever be a much more mature choice for Magnum.</div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Tue, Apr 12, 2016 at 2:43 PM, Hongbin Lu <span dir="ltr"><<a href="mailto:hongbin.lu@huawei.com" target="_blank">hongbin.lu@huawei.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left-width:1px;border-left-color:rgb(204,204,204);border-left-style:solid;padding-left:1ex"><div><div class="h5">


<div lang="EN-CA" link="blue" vlink="purple">

<div>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Hi all,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">In short, some Magnum team members proposed to store TLS certificates in Keystone credential store. As Magnum PTL, I want to get agreements (or non-disagreement) from OpenStack community in general, Keystone

 community in particular, before approving the direction.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">In details, Magnum leverages TLS to secure the API endpoint of kubernetes/docker swarm. The usage of TLS requires a secure store for storing TLS certificates. Currently, we leverage Barbican for this purpose,

 but we constantly received requests to decouple Magnum from Barbican (because users normally don’t have Barbican installed in their clouds). Some Magnum team members proposed to leverage Keystone credential store as a Barbican alternative [1]. Therefore, I

 want to confirm what is Keystone team position for this proposal (I remembered someone from Keystone mentioned this is an inappropriate use of Keystone. Would I ask for further clarification?). Thanks in advance.<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">[1] <a href="https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-store" target="_blank">

https://blueprints.launchpad.net/magnum/+spec/barbican-alternative-store</a> <u></u>

<u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)"><u></u> <u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Best regards,<u></u><u></u></span></p>

<p class="MsoNormal"><span style="color:rgb(31,73,125)">Hongbin<u></u><u></u></span></p>

</div>

</div>


<br></div></div>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div>

<br>__________________________________________________________________________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

<br></blockquote></div><br></div></div>