<div dir="ltr">I was thinking about this the other day... How do you de-register instances from freeipa when the instance is deleted? Is there a missing feature in vendordata there that you need?<div><br></div><div>Michael</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Nov 11, 2016 at 2:01 AM, Rob Crittenden <span dir="ltr"><<a href="mailto:rcritten@redhat.com" target="_blank">rcritten@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Wanted to let you know I'm working on a nova metadata vendordata plugin<br>
that will help automate instance enrollment into a freeIPA server.<br>
<br>
This will do a number of things for a user:<br>
- provide centralized user identity, sudo and host-based access control<br>
for the instances<br>
- provide the instance an identity it can use for itself<br>
- using this identity a host can obtain SSL certificates for itself from<br>
your freeIPA CA<br>
<br>
If ipa_enroll is set to True in the instance metadata (or in the image<br>
metadata) when a nova instance is spawned then a one-time password will<br>
be created and IPA enrollment will occur during the cloud-init stage.<br>
<br>
Code is currently at <a href="https://github.com/rcritten/novajoin" rel="noreferrer" target="_blank">https://github.com/rcritten/<wbr>novajoin</a><br>
<br>
rob<br>
<br>
______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
</blockquote></div><br></div>