
<html>


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


</head>


<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">


<div class="">Gord,</div>


<div class=""><br class="">


</div>


<div class=""><span class="Apple-tab-span" style="white-space:pre"></span>Thanks for the reply.</div>


<br class="">


<div>


<blockquote type="cite" class="">


<div class="">On Sep 7, 2017, at 4:15 PM, gordon chung <<a href="mailto:gord@live.ca" class="">gord@live.ca</a>> wrote:</div>


<br class="Apple-interchange-newline">


<div class="">


<div class=""><br class="">


<br class="">


On 2017-09-07 02:15 PM, Innus, Martins wrote:<br class="">


<blockquote type="cite" class="">The fix seems to be something like the attached patch and setting the appropriate configs in keystone.conf.<br class="">


<br class="">


<br class="">


One curious thing is that with the default keystone config, requests from all projects have "X-Is-Admin-Project: True”<br class="">


<br class="">


If I set admin_project_domain_name and admin_project_name , only then do the non admin projects have the header set to False.<br class="">


</blockquote>


<br class="">


apologies, do you have more details on what 'X-Is-Admin-Project' is? i'm <br class="">


not familiar with this header.<br class="">


<br class="">


</div>


</div>


</blockquote>


<div><br class="">


</div>


<div>As far as I can tell its meant for designating an overall cloud admin account. Reference to creation of the keystone config options:</div>


<div><br class="">


</div>


<div><a href="https://review.openstack.org/#/c/240719/" class="">https://review.openstack.org/#/c/240719/</a></div>


<div><br class="">


</div>


<div>Where the HEAT team seems to have used it for the same purpose, but by making changes in the policy.json:</div>


<div><br class="">


</div>


<div><a href="https://review.openstack.org/#/c/316627/" class="">https://review.openstack.org/#/c/316627/</a></div>


<div><br class="">


</div>


<div>But in my limited understating of how Panko works, using the header seems to be the easiest way to get this functionality:</div>


<div><br class="">


</div>


<div><a href="https://github.com/openstack/keystonemiddleware/commit/0562670d4e56c257aec8db5a2bb651b5e59fddb2" class="">https://github.com/openstack/keystonemiddleware/commit/0562670d4e56c257aec8db5a2bb651b5e59fddb2</a></div>


<div><br class="">


</div>


<br class="">


<blockquote type="cite" class="">


<div class="">


<div class="">currently, the behaviour is that:<br class="">


- a member of a project can only see its own events<br class="">


- an admin of a project can see all the events of a project (and any <br class="">


events without any project associated with it)<br class="">


<br class="">


if this is the way of denoting a user is a 'super-admin' that has access <br class="">


to all events, i'm ok with it.<br class="">


<br class="">


</div>


</div>


</blockquote>


<br class="">


</div>


<div>Yeah, thats what I’m going for, but as I said, I’ve barely stared to scratch the surface of OpenStack, so there way be a better way of doing this.</div>


<div><br class="">


</div>


<div>Thanks</div>


<div><br class="">


</div>


<div>Martins</div>


<br class="">


</body>


</html>