
<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 16, 2017 at 3:42 PM, Lance Bragstad <span dir="ltr"><<a href="mailto:lbragstad@gmail.com" target="_blank">lbragstad@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Thu, Mar 16, 2017 at 12:46 PM, Morgan Fainberg <span dir="ltr"><<a href="mailto:morgan.fainberg@gmail.com" target="_blank">morgan.fainberg@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="auto"><div><div class="m_6102857978449596625gmail-h5"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Mar 16, 2017 07:28, "Jeremy Stanley" <<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>> wrote:<br type="attribution"><blockquote class="m_6102857978449596625gmail-m_3588129572895333746quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2017-03-16 08:34:58 -0500 (-0500), Lance Bragstad wrote:<br>

[...]<br>

<div class="m_6102857978449596625gmail-m_3588129572895333746quoted-text">> These security-related corner cases have always come up in the past when<br>

> we've talked about implementing reseller. Another good example that I<br>

> struggle with is what happens when you flip the reseller bit for a project<br>

> admin who goes off and creates their own entities but then wants support?<br>

> What does the support model look like for the project admin that needs help<br>

> in a way that maintains data integrity?<br>

<br>

</div>It's still entirely unclear to me how giving someone the ability to<br>

hide resources you've delegated them access to create in any way<br>

enables "reseller" use cases. I can understand the global admins<br>

wanting to have optional views where they don't see all the resold<br>

hierarchy (for the sake of their own sanity), but why would a<br>

down-tree admin have any expectation they could reasonably hide<br>

resources they create from those who maintain the overall system?<br>

<br>

In other multi-tenant software I've used where reseller<br>

functionality is present, top-level admins have some means of<br>

examining delegated resources and usually even of impersonating<br>

their down-tree owners for improved supportability.<br>

<div class="m_6102857978449596625gmail-m_3588129572895333746elided-text">--<br>

Jeremy Stanley<br>

<br>

______________________________<wbr>______________________________<wbr>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.op<wbr>enstack.org?subject:unsubscrib<wbr>e</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-dev</a><br>

</div></blockquote></div><br></div></div></div></div><div class="gmail_extra" dir="auto">Hiding projects is a lot like implementing Mandatory Access Control within OpenStack. I would like to go on record and say we should squash the hidden projects concept (within a single hierarchy). If we want to implement MAC (SELinux equivalent) in OpenStack, we have a much, much, bigger scope to cover than just in Keystone, and this feels outside the scope of any heirarchical multi-tenancy work that has been done/will be done.</div><div class="gmail_extra" dir="auto"><br></div><div class="gmail_extra" dir="auto">TL DR: let's not try and hide projects from users with rights in the same (peer, or above) hierarchy.</div></div></blockquote><div><br></div></div></div><div>If that's the direction - we need to realign our documentation [0].</div><div><br></div><div><br></div><div>[0] <a href="http://specs.openstack.org/openstack/keystone-specs/specs/keystone/mitaka/reseller.html#problem-description" target="_blank">http://specs.openstack.<wbr>org/openstack/keystone-specs/<wbr>specs/keystone/mitaka/<wbr>reseller.html#problem-<wbr>description</a></div></div></div></div></blockquote><div><br></div><div>I guess we need a new spec to discuss improvements in the "regular" HMT implementation. Once we cover just the "project hierarchy" we can think in improvements for the reseller use case as well.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote"><span class=""><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">

<br>______________________________<wbr>______________________________<wbr>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.op<wbr>enstack.org?subject:unsubscrib<wbr>e</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-dev</a><br>

<br></blockquote></span></div><br></div></div>

<br>______________________________<wbr>______________________________<wbr>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>

<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font color="#666666">Rodrigo Duarte Sousa<br></font></div><div><font color="#666666">Senior Quality Engineer @ Red Hat<br></font></div><div dir="ltr"><div><div><span style="color:rgb(102,102,102)">MSc</span><span style="color:rgb(102,102,102)"></span><span style="color:rgb(102,102,102)"> in Computer Science</span><br><font color="#3333ff"><a href="http://rodrigods.com" target="_blank">http://<font color="#3333ff">rodrigods.com</font></a></font></div></div></div></div></div></div></div></div></div></div></div></div>

</div></div>