<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Thu, Mar 16, 2017 at 2:46 PM, Morgan Fainberg <span dir="ltr"><<a href="mailto:morgan.fainberg@gmail.com" target="_blank">morgan.fainberg@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div><div class="h5"><div><br><div class="gmail_extra"><br><div class="gmail_quote">On Mar 16, 2017 07:28, "Jeremy Stanley" <<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>> wrote:<br type="attribution"><blockquote class="m_-5573974282638139230quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-03-16 08:34:58 -0500 (-0500), Lance Bragstad wrote:<br>
[...]<br>
<div class="m_-5573974282638139230quoted-text">> These security-related corner cases have always come up in the past when<br>
> we've talked about implementing reseller. Another good example that I<br>
> struggle with is what happens when you flip the reseller bit for a project<br>
> admin who goes off and creates their own entities but then wants support?<br>
> What does the support model look like for the project admin that needs help<br>
> in a way that maintains data integrity?<br>
<br>
</div>It's still entirely unclear to me how giving someone the ability to<br>
hide resources you've delegated them access to create in any way<br>
enables "reseller" use cases. I can understand the global admins<br>
wanting to have optional views where they don't see all the resold<br>
hierarchy (for the sake of their own sanity), but why would a<br>
down-tree admin have any expectation they could reasonably hide<br>
resources they create from those who maintain the overall system?<br>
<br>
In other multi-tenant software I've used where reseller<br>
functionality is present, top-level admins have some means of<br>
examining delegated resources and usually even of impersonating<br>
their down-tree owners for improved supportability.<br>
<div class="m_-5573974282638139230elided-text">--<br>
Jeremy Stanley<br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.op<wbr>enstack.org?subject:unsubscrib<wbr>e</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi<wbr>-bin/mailman/listinfo/openstac<wbr>k-dev</a><br>
</div></blockquote></div><br></div></div></div></div><div class="gmail_extra" dir="auto">Hiding projects is a lot like implementing Mandatory Access Control within OpenStack. I would like to go on record and say we should squash the hidden projects concept (within a single hierarchy). If we want to implement MAC (SELinux equivalent) in OpenStack, we have a much, much, bigger scope to cover than just in Keystone, and this feels outside the scope of any heirarchical multi-tenancy work that has been done/will be done.</div><div class="gmail_extra" dir="auto"><br></div></div></blockquote><div><br></div><div>Liked the comparison here, with this in mind, we can try to improve the design of the current solution.</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="auto"><div class="gmail_extra" dir="auto"></div><div class="gmail_extra" dir="auto">TL DR: let's not try and hide projects from users with rights in the same (peer, or above) hierarchy.</div></div></blockquote><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><font color="#666666">Rodrigo Duarte Sousa<br></font></div><div><font color="#666666">Senior Quality Engineer @ Red Hat<br></font></div><div dir="ltr"><div><div><span style="color:rgb(102,102,102)">MSc</span><span style="color:rgb(102,102,102)"></span><span style="color:rgb(102,102,102)"> in Computer Science</span><br><font color="#3333ff"><a href="http://rodrigods.com" target="_blank">http://<font color="#3333ff">rodrigods.com</font></a></font></div></div></div></div></div></div></div></div></div></div></div></div>
</div></div>