<div dir="ltr">Depending on which release of keystone you're running, try enabling either insecure_debug (more recent releases) or debug (older releases) to true in keystone.conf to get more detailed error messages from keystone.<div><br></div><div><a href="https://github.com/openstack/keystone/blob/3c4fe622ac5da00b04ccc8bc4e207a2e9ab0f863/etc/keystone.conf.sample#L87-L91">https://github.com/openstack/keystone/blob/3c4fe622ac5da00b04ccc8bc4e207a2e9ab0f863/etc/keystone.conf.sample#L87-L91</a><br></div><div><br></div><div>That said, your configuration looks entirely correct to me, so I'm curious what the outcome is here. The only other red flag I see is that you mentioned a "2 node OpenStack cluster", and I'm not sure what that means in this context, exactly. How are the 2 nodes utilized?</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 27, 2016 at 5:43 AM, Dhvanan Shah <span dir="ltr"><<a href="mailto:dhvanan@gmail.com" target="_blank">dhvanan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>keystone --debug user-list gives this:</div><span class=""><div><br></div><div>/usr/lib/python2.7/site-packages/keystoneclient/shell.py:65: DeprecationWarning: The keystone CLI is deprecated in favor of python-openstackclient. For a Python library, continue using python-keystoneclient.</div><div>  'python-keystoneclient.', DeprecationWarning)</div></span><div>DEBUG:keystoneclient.auth.identity.v2:Making authentication request to <a href="http://10.16.37.221:5000/v2.0/tokens" target="_blank">http://10.16.37.221:5000/v2.0/tokens</a></div><div>INFO:requests.packages.urllib3.connectionpool:Starting new HTTP connection (1): <a href="http://proxy.serc.iisc.ernet.in" target="_blank">proxy.serc.iisc.ernet.in</a></div><div>DEBUG:requests.packages.urllib3.connectionpool:"POST <a href="http://10.16.37.221:5000/v2.0/tokens" target="_blank">http://10.16.37.221:5000/v2.0/tokens</a> HTTP/1.1" 403 3370</div><div>DEBUG:keystoneclient.session:Request returned failure status: 403</div><span class=""><div>Authorization Failed: Forbidden (HTTP 403)</div><div><br></div></span><div>nova --debug user list gives this:</div><div><br></div><div><div>DEBUG (session:195) REQ: curl -g -i -X GET <a href="http://10.16.37.221:5000/v2.0" target="_blank">http://10.16.37.221:5000/v2.0</a> -H "Accept: application/json" -H "User-Agent: python-keystoneclient"</div><div>INFO (connectionpool:203) Starting new HTTP connection (1): <a href="http://proxy.serc.iisc.ernet.in" target="_blank">proxy.serc.iisc.ernet.in</a></div><div>DEBUG (connectionpool:383) "GET <a href="http://10.16.37.221:5000/v2.0" target="_blank">http://10.16.37.221:5000/v2.0</a> HTTP/1.1" 403 3275</div><div>DEBUG (session:224) RESP:</div><div>DEBUG (session:396) Request returned failure status: 403</div><div>WARNING (base:133) Discovering versions from the identity service failed when creating the password plugin. Attempting to determine version from URL.</div><div>DEBUG (v2:76) Making authentication request to <a href="http://10.16.37.221:5000/v2.0/tokens" target="_blank">http://10.16.37.221:5000/v2.0/tokens</a></div><div>DEBUG (connectionpool:383) "POST <a href="http://10.16.37.221:5000/v2.0/tokens" target="_blank">http://10.16.37.221:5000/v2.0/tokens</a> HTTP/1.1" 403 3370</div><div>DEBUG (session:396) Request returned failure status: 403</div><div>DEBUG (shell:914) Forbidden (HTTP 403)</div></div><div><div>Forbidden: Forbidden (HTTP 403)</div><span class=""><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></span></div><div><br></div><div><br></div></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Wed, Apr 27, 2016 at 3:12 PM, Dhvanan Shah <span dir="ltr"><<a href="mailto:dhvanan@gmail.com" target="_blank">dhvanan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">On running openstack-status this is what I get (all the services are running, so not included that here)<div><br></div><div><div>== Keystone users ==</div><div>/usr/lib/python2.7/site-packages/keystoneclient/shell.py:65: DeprecationWarning: The keystone CLI is deprecated in favor of python-openstackclient. For a Python library, continue using python-keystoneclient.</div><div>  'python-keystoneclient.', DeprecationWarning)</div><span><div>Authorization Failed: Forbidden (HTTP 403)</div></span><div>== Glance images ==</div><div>Forbidden (HTTP 403)</div><div>== Nova managed services ==</div><span><div>No handlers could be found for logger "keystoneclient.auth.identity.generic.base"</div><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></span><div>== Nova networks ==</div><span><div>No handlers could be found for logger "keystoneclient.auth.identity.generic.base"</div><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></span><div>== Nova instance flavors ==</div><span><div>No handlers could be found for logger "keystoneclient.auth.identity.generic.base"</div><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></span><div>== Nova instances ==</div><span><div>No handlers could be found for logger "keystoneclient.auth.identity.generic.base"</div><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></span></div><div><br></div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Wed, Apr 27, 2016 at 3:09 PM, Dhvanan Shah <span dir="ltr"><<a href="mailto:dhvanan@gmail.com" target="_blank">dhvanan@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi Jens,<div><br></div><div>The password is correct when I echo $OS_PASSWORD.</div><div>I downloaded the admin-openrc.sh file from the dashboard and sourced. I ran a nova list after that:</div><span><div><div>No handlers could be found for logger "keystoneclient.auth.identity.generic.base"</div><div>ERROR (Forbidden): Forbidden (HTTP 403)</div></div><div><br></div></span><div>It still gives the error of forbidden access.</div><div>I think the password is not the issue. Forbidden access might be something else. Do you want me to share anything else?</div></div><div class="gmail_extra"><div><div><br><div class="gmail_quote">On Wed, Apr 27, 2016 at 2:56 PM, Jens Rosenboom <span dir="ltr"><<a href="mailto:j.rosenboom@x-ion.de" target="_blank">j.rosenboom@x-ion.de</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>2016-04-27 10:30 GMT+02:00 Dhvanan Shah <<a href="mailto:dhvanan@gmail.com" target="_blank">dhvanan@gmail.com</a>>:<br>
> UPDATE:<br>
> I am able to log into Horizon and perform all actions without any issue but<br>
> on my terminal, I am not able to do the same. The password that I thought<br>
> was wrong is not the issue as I logged in with the same password.<br>
> My keystone_adminrc file looks like this:<br>
><br>
> unset OS_SERVICE_TOKEN OS_SERVICE_ENDPOINT<br>
> export OS_USERNAME=admin<br>
> export OS_PASSWORD=****************<br>
> export OS_AUTH_URL=<a href="http://10.16.37.221:35357/v2.0" rel="noreferrer" target="_blank">http://10.16.37.221:35357/v2.0</a><br>
> export PS1='[\u@\h \W(keystone_admin)]\$ '<br>
><br>
> export OS_TENANT_NAME=admin<br>
> export OS_REGION_NAME=RegionOne<br>
><br>
><br>
> Please suggest what I could do!<br>
<br>
</span>Does your password contain special characters that might get mangled<br>
by the shell? You could compare the output of "echo $OS_PASSWORD" to<br>
verify.<br>
<br>
Otherwise, if the dashboard is working for you, you can go to<br>
Project/Compute/Access&Security/API Access and use the "Download<br>
OpenStack RC File" link there.<br>
<br>
__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr">Dhvanan Shah</div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span><font color="#888888">-- <br><div><div dir="ltr">Dhvanan Shah</div></div>
</font></span></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span class="HOEnZb"><font color="#888888">-- <br><div><div dir="ltr">Dhvanan Shah</div></div>
</font></span></div>
<br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>