<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 14, 2016 at 2:23 PM, Rodrigo Duarte <span dir="ltr"><<a href="mailto:rodrigodsousa@gmail.com" target="_blank">rodrigodsousa@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote"><span class="">On Fri, Oct 14, 2016 at 1:10 PM, Clark Boylan <span dir="ltr"><<a href="mailto:cboylan@sapwetik.org" target="_blank">cboylan@sapwetik.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>On Fri, Oct 14, 2016, at 08:21 AM, Rodrigo Duarte wrote:<br>
> Hi all,<br>
><br>
> Recently in keystone we got merged the PCI-DSS feature [1]. Basically, we<br>
> have new settings that enforce password security practices. For example,<br>
> if<br>
> we set the password history setting to 2, a user won't be able to update<br>
> its password to one of the last 2 that have been set in the past.<br>
><br>
> The issue is that, this settings, can break a couple of tests in Tempest.<br>
> Assuming the non-admin users in this tests don't affect any other test,<br>
> I've inserted a "security_compliance" feature flag and skipped the<br>
> portion<br>
> of the tests that can break when the PCI-DSS settings are enabled [2].<br>
><br>
> With that, I've pushed another patch that sets these settings upon<br>
> DevStack<br>
> deployment [3] and added the actual tests for the feature at [4]. So we<br>
> have a "tempest -> devstack -> tempest" chain of patches dependencies.<br>
<br>
</span>Curious why the tests for this wouldn't go into the keystone functional<br>
job [5] which appear to run as a tempest plugin? Testing of these<br>
features shouldn't require any other service, just keystone right<br>
(though this job does start and run other services)? One big reason I<br>
ask is it could help constrain the testing of non default behaviors of<br>
keystone to a single job rather than needing to edit a bunch of other<br>
jobs or create new jobs just to toggle the non default behavior.<br></blockquote><div><br></div></span><div>That was the plan initially, but we considered two things:</div><div><br></div><div>1 - The users API is a pretty widely used API, so having it running in Tempest makes sense</div><div>2 - We need to add new settings in Tempest's config - I know that we can "inherit" the Tempest config's in the plugin, but looks strange having some stuff not actually used in Tempest but set there.</div><div><br></div><div>But... If the both things above are acceptable, or even preferable, we can change the approach.</div></div></div></div></blockquote><div><br></div><div>Turns out there were smarter ways to restore the user credentials after the tests run, we won't need the first tempest patch after all.</div><div><br></div><div>Submitted the new changes at [4].</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span><br>
><br>
> I want your feedback regarding this, if this approach is acceptable and,<br>
> if<br>
> not, what are the options.<br>
<br>
</span>I don't really know which approach is more preferable but I think that<br>
functional testing is an option too.</blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<span><br>
><br>
> Thanks!<br>
><br>
> [1] <a href="https://blueprints.launchpad.net/keystone/+spec/pci-dss" rel="noreferrer" target="_blank">https://blueprints.launchpad.n<wbr>et/keystone/+spec/pci-dss</a><br>
> [2] <a href="https://review.openstack.org/#/c/382018/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/382018/</a><br>
> [3] <a href="https://review.openstack.org/#/c/377004/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/377004/</a><br>
> [4] <a href="https://review.openstack.org/#/c/378624/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/378624/</a><br>
><br>
<br>
</span>[5]<br>
<a href="http://logs.openstack.org/56/371856/5/gate/gate-keystone-dsvm-functional-ubuntu-xenial/c9f937c/" rel="noreferrer" target="_blank">http://logs.openstack.org/56/3<wbr>71856/5/gate/gate-keystone-dsv<wbr>m-functional-ubuntu-xenial/c9f<wbr>937c/</a><br>
<br>
Clark<br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.op<wbr>enstack.org?subject:unsubscrib<wbr>e</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-dev</a><br>
</blockquote></span></div><br><br clear="all"><span class=""><div><br></div>-- <br><div class="m_-5611378179329412669gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font color="#666666">Rodrigo Duarte Sousa<br></font></div><div><font color="#666666">Senior Quality Engineer @ Red Hat<br></font></div><div dir="ltr"><div><div><span style="color:rgb(102,102,102)">MSc</span><span style="color:rgb(102,102,102)"></span><span style="color:rgb(102,102,102)"> in Computer Science</span><br><font color="#3333ff"><a href="http://rodrigods.com" target="_blank">http://<font color="#3333ff">rodrigods.com</font></a></font></div></div></div></div></div></div></div></div></div></div></div></div>
</span></div></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font color="#666666">Rodrigo Duarte Sousa<br></font></div><div><font color="#666666">Senior Quality Engineer @ Red Hat<br></font></div><div dir="ltr"><div><div><span style="color:rgb(102,102,102)">MSc</span><span style="color:rgb(102,102,102)"></span><span style="color:rgb(102,102,102)"> in Computer Science</span><br><font color="#3333ff"><a href="http://rodrigods.com" target="_blank">http://<font color="#3333ff">rodrigods.com</font></a></font></div></div></div></div></div></div></div></div></div></div></div></div>
</div></div>