<html><head><style>blockquote.cite
{margin-left: 5px; margin-right: 0px; padding-left: 10px; padding-right: 0px; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204);}
blockquote.cite2
{margin-left: 5px; margin-right: 0px; padding-left: 10px; padding-right: 0px; border-left-width: 1px; border-left-style: solid; border-left-color: rgb(204, 204, 204); margin-top: 3px; padding-top: 0px;}
a img
{border: 0px;}
body
{font-family: Tahoma; font-size: 12pt;}
</style></head><body background=""><div>Will sure give it a try ! And from a kolla perspective, it means that this file should go in /etc/kolla/config/domains/keystone.$DOMAIN.conf in order to be pushed to the relevant containers ?</div><div id="signature_old"><div style="font-family: Tahoma; font-size: 12 pt;"><hr>

<p><strong>Christian Tardif<br></strong><a href="mailto:christian.tardif@servinfo.ca">christian.tardif@servinfo.ca</a></p>
<p><span>SVP, pensez à l’environnement avant d’imprimer ce message.<br></span></p></div></div><div><br></div><div><br></div><div><br></div>
<div>------ Message d'origine ------</div>
<div>De: "Dave Walker" <<a href="mailto:email@daviey.com">email@daviey.com</a>></div>
<div>À: "OpenStack Development Mailing List (not for usage questions)" <<a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a>></div>
<div>Envoyé : 2017-02-01 11:39:15</div>
<div>Objet : Re: [openstack-dev] [kolla] Domains support</div><div><br></div>
<div id="x3b01ebe316aa49b"><blockquote cite="CACyjiAjHQEsJKLXkSWVkVCuYrwHJQYb=YHwzBVF9oJKM8=Ny1w@mail.gmail.com" type="cite" class="cite2">
<div dir="ltr"><div><div><div>Hi Christian,</div><div><br></div><div>I added the domain support, but I didn't document it as well as I should have. Apologies!</div><div><br></div><div>This is the config I am using to talk to a windows AD server.  Hope this helps.</div><div><br></div><div>create a domain specific file:</div><div>etc/keystone/domains/keystone.$DOMAIN.conf:</div><div><br></div><div>[ldap]</div><div>use_pool = true</div><div>pool_size = 10</div><div>pool_retry_max = 3</div><div>pool_retry_delay = 0.1</div><div>pool_connection_timeout = -1</div><div>pool_connection_lifetime = 600</div><div>use_auth_pool = false</div><div>auth_pool_size = 100</div><div>auth_pool_connection_lifetime = 60</div><div>url = ldap://server1:389,ldap://server2:389</div><div>user = CN=Linux SSSD Kerberos Service Account,CN=Users,DC=example,DC=com</div><div>password                 = password</div><div>suffix                   = dc=example,dc=com</div><div>user_tree_dn             = OU=Personnel,OU=Users,OU=example,DC=example,DC=com</div><div>user_objectclass         = person</div><div>user_filter              = (memberOf=CN=mail,OU=GPO Security,OU=Groups,OU=COMPANY,DC=example,DC=com)</div><div>user_id_attribute        = sAMAccountName</div><div>user_name_attribute      = sAMAccountName</div><div>user_description_attribute = displayName</div><div>user_mail_attribute      = mail</div><div>user_pass_attribute      =</div><div>user_enabled_attribute   = userAccountControl</div><div>user_enabled_mask        = 2</div><div>user_enabled_default     = 512</div><div>user_attribute_ignore    = password,tenant_id,tenants</div><div>group_tree_dn            = OU=GPO Security,OU=Groups,OU=COMPANY,DC=example,DC=com</div><div>group_name_attribute     = name</div><div>group_id_attribute       = cn</div><div>group_objectclass        = group</div><div>group_member_attribute   = member</div></div><div><br></div><div>[identity]</div><div>driver = keystone.identity.backends.ldap.Identity</div><div><br></div><div>[assignment]</div><div>driver = keystone.assignment.backends.sql.Assignment</div></div><div><br></div><div>--</div><div>Kind Regards,</div><div>Dave Walker</div></div><div class="gmail_extra"><br><div class="gmail_quote">On 1 February 2017 at 05:03, Christian Tardif <span dir="ltr"><<a href="mailto:christian.tardif@servinfo.ca">christian.tardif@servinfo.ca</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">



<div><div>Hi,</div><div><br></div><div>I'm looking for domains support in Kolla. I've searched, but didn't find anything relevant. Could someone point me how to achieve this?</div><div><br></div><div>What I'm really looking for, in fact, is a decent way or setting auth through LDAP backend while keeping service users (neutron, for example) in the SQL backend. I know that this can be achieved with domains support (leaving default domain on SQL, and another domain for LDAP users. Or maybe there's another of doing this?</div><div><br></div><div>Thanks,</div><div id="m_-6313889407692594368signature_old"><div style="font-family:Tahoma;font-size:12 pt"><hr><span class="HOEnZb"><font color="#888888">

<p><strong>Christian Tardif<br></strong><a href="mailto:christian.tardif@servinfo.ca">christian.tardif@servinfo.ca</a></p></font></span></div></div>
</div><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br></div>
</blockquote></div>
</body></html>