<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div dir="ltr"><div>I was wondering if the user/group should be (only) set in a common config, like neutron.conf, if it should be duplicated in dhcp and metadata config files, or if the metadata ini should be added to the list of ini files, when starting up the DHCP agent.</div></div></blockquote><div><br>Previously, metadata_proxy_user/group were documented in neutron.conf (when a neutron.conf sample was in github repo) in order to deduce metadata_proxy_socket_mode correctly.<br>You can also define them in both 
l3/dhcp.ini and metadata-agent.ini config files or set explicitly metadata_proxy_socket_mode in metadata-agent.ini.<br><br></div><div>But it's unrelated as your trouble seems to be linked to a metadata_proxy_watch_log misconfiguration and metadata_proxy_user/group/watch_log are all used by dhcp/l3-agents.<br></div><div><br></div><blockquote style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex" class="gmail_quote"><div dir="ltr"><div>With the wrong config, I hit the access denied issue and had no info indicating that is what has happened. Was wondering if there was any protection against that misconfiguration case, or way to get an indication of it.</div></div></blockquote><div><br><br></div><div>Before dropping privileges, we cannot detect such access deny to log file (because of features like GRsec,PaX, RBAC).<br></div>After dropping privileges, we can only log to syslog or stdout if we catch an access deny to log file.<br></div><div class="gmail_quote"><div> <br></div><div>Cedric/ZZelle@IRC<br></div></div><br></div></div>