<div dir="ltr">Thanks Alex and Emilien for the quick answer. This was brought up at the summit by Adam, but I don't think we have to prevent keystone from changing the default. TripleO and Puppet can still specify UUID as their desired token format; it is not deprecated or slated for removal. Agreed?</div><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Nov 3, 2016 at 10:23 AM, Alex Schultz <span dir="ltr"><<a href="mailto:aschultz@redhat.com" target="_blank">aschultz@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hey Steve,<br>
<div><div class="h5"><br>
On Thu, Nov 3, 2016 at 8:11 AM, Steve Martinelli <<a href="mailto:s.martinelli@gmail.com">s.martinelli@gmail.com</a>> wrote:<br>
> As a heads up to some of keystone's consuming projects, we will be changing<br>
> the default token format from UUID to Fernet. Many patches have merged to<br>
> make this possible [1]. The last 2 that you probably want to look at are [2]<br>
> and [3]. The first flips a switch in devstack to make fernet the selected<br>
> token format, the second makes it default in Keystone itself.<br>
><br>
> [1] <a href="https://review.openstack.org/#/q/topic:make-fernet-default" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/q/topic:make-fernet-default</a><br>
> [2] DevStack patch: <a href="https://review.openstack.org/#/c/367052/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/367052/</a><br>
> [3] Keystone patch: <a href="https://review.openstack.org/#/c/345688/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/345688/</a><br>
><br>
<br>
</div></div>Thanks for the heads up. In puppet openstack we had already<br>
anticipated this and attempted to do the same for the<br>
puppet-keystone[0] module as well.  Unfortunately after merging it, we<br>
found that tripleo wasn't yet prepared to handle the HA implementation<br>
of fernet tokens so we had to revert it[1].  This shouldn't impact<br>
anyone currently consuming puppet-keystone as we define uuid as the<br>
default for now. Our goal is to do something similar this cycle but<br>
there needs to be some further work in the downstream consumers to<br>
either define their expected default (of uuid) or support fernet key<br>
generation correctly.<br>
<br>
Thanks,<br>
-Alex<br>
<br>
[0] <a href="https://review.openstack.org/#/c/389322/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/389322/</a><br>
[1] <a href="https://review.openstack.org/#/c/392332/" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/392332/</a><br>
<div class="HOEnZb"><div class="h5"><br>
> ______________________________<wbr>______________________________<wbr>______________<br>
> OpenStack Development Mailing List (not for usage questions)<br>
> Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
> <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
><br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
</div></div></blockquote></div><br></div>