<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
</head>
<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">
<div class="">Gord,</div>
<div class=""><br class="">
</div>
<div class=""><span class="Apple-tab-span" style="white-space:pre"></span>Thanks for the reply.</div>
<br class="">
<div>
<blockquote type="cite" class="">
<div class="">On Sep 7, 2017, at 4:15 PM, gordon chung <<a href="mailto:gord@live.ca" class="">gord@live.ca</a>> wrote:</div>
<br class="Apple-interchange-newline">
<div class="">
<div class=""><br class="">
<br class="">
On 2017-09-07 02:15 PM, Innus, Martins wrote:<br class="">
<blockquote type="cite" class="">The fix seems to be something like the attached patch and setting the appropriate configs in keystone.conf.<br class="">
<br class="">
<br class="">
One curious thing is that with the default keystone config, requests from all projects have "X-Is-Admin-Project: True”<br class="">
<br class="">
If I set admin_project_domain_name and admin_project_name , only then do the non admin projects have the header set to False.<br class="">
</blockquote>
<br class="">
apologies, do you have more details on what 'X-Is-Admin-Project' is? i'm <br class="">
not familiar with this header.<br class="">
<br class="">
</div>
</div>
</blockquote>
<div><br class="">
</div>
<div>As far as I can tell its meant for designating an overall cloud admin account. Reference to creation of the keystone config options:</div>
<div><br class="">
</div>
<div><a href="https://review.openstack.org/#/c/240719/" class="">https://review.openstack.org/#/c/240719/</a></div>
<div><br class="">
</div>
<div>Where the HEAT team seems to have used it for the same purpose, but by making changes in the policy.json:</div>
<div><br class="">
</div>
<div><a href="https://review.openstack.org/#/c/316627/" class="">https://review.openstack.org/#/c/316627/</a></div>
<div><br class="">
</div>
<div>But in my limited understating of how Panko works, using the header seems to be the easiest way to get this functionality:</div>
<div><br class="">
</div>
<div><a href="https://github.com/openstack/keystonemiddleware/commit/0562670d4e56c257aec8db5a2bb651b5e59fddb2" class="">https://github.com/openstack/keystonemiddleware/commit/0562670d4e56c257aec8db5a2bb651b5e59fddb2</a></div>
<div><br class="">
</div>
<br class="">
<blockquote type="cite" class="">
<div class="">
<div class="">currently, the behaviour is that:<br class="">
- a member of a project can only see its own events<br class="">
- an admin of a project can see all the events of a project (and any <br class="">
events without any project associated with it)<br class="">
<br class="">
if this is the way of denoting a user is a 'super-admin' that has access <br class="">
to all events, i'm ok with it.<br class="">
<br class="">
</div>
</div>
</blockquote>
<br class="">
</div>
<div>Yeah, thats what I’m going for, but as I said, I’ve barely stared to scratch the surface of OpenStack, so there way be a better way of doing this.</div>
<div><br class="">
</div>
<div>Thanks</div>
<div><br class="">
</div>
<div>Martins</div>
<br class="">
</body>
</html>