
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        font-size:11.0pt;


        font-family:"Calibri",sans-serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:#0563C1;


        text-decoration:underline;}


span.EmailStyle22


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:windowtext;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-size:10.0pt;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="FR" link="#0563C1" vlink="purple" style="word-wrap:break-word">


<div class="WordSection1">


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Hi Dmitriy,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">In other words, is S3 auth V4 signature handled by default when Rados GW is deployed with OSA or is there a role variable that needs to be set?<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Kind regards,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Jean-Francois<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Taltavull Jean-François


<br>


<b>Sent:</b> jeudi, 16 juin 2022 17:46<br>


<b>To:</b> 'Jonathan Rosser' <jonathan.rosser@rd.bbc.co.uk>; 'Dmitriy Rabotyagov' <noonedeadpunk@ya.ru>; 'openstack-discuss@lists.openstack.org' <openstack-discuss@lists.openstack.org><br>


<b>Subject:</b> RE: [Ceph Rados Gateway] 403 when using S3 client<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Hi Dmitriy, hi Jonathan,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">I finally managed to interact with RGW S3 API with “s3cmd” client, but only if I add the option “--signature-v2” to the command line.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">If I don’t, I get the message “ERROR: S3 error: 403 (AccessDenied)”.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">The RGW is configured to use keystone as the users authority and it looks like the S3 auth requests including a version 4 signature were not supported.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Is there a RGW or a Keystone configuration variable to enable S3 V4 signature ?<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal" style="margin-bottom:12.0pt"><span lang="EN-US">Deployment characteristics:<br>


- OSA 23.2.0<br>


- OpenStack Wallaby<br>


- Ceph and RGW Octopus</span><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Kind regards,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Jean-Francois</span><span lang="FR-CH" style="mso-fareast-language:EN-US"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="FR-CH" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Taltavull Jean-François


<br>


<b>Sent:</b> mercredi, 30 mars 2022 11:01<br>


<b>To:</b> 'Jonathan Rosser' <<a href="mailto:jonathan.rosser@rd.bbc.co.uk">jonathan.rosser@rd.bbc.co.uk</a>>;


<a href="mailto:openstack-discuss@lists.openstack.org">openstack-discuss@lists.openstack.org</a><br>


<b>Subject:</b> RE: [Ceph Rados Gateway] 403 when using S3 client<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="FR-CH"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="FR-CH" style="mso-fareast-language:EN-US">Hi Jonathan,<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="FR-CH" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">The keystone URL is correct. HAProxy has been configured to handle this kind or URL.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">And everything works fine with the openstack client.<o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Jonathan Rosser <<a href="mailto:jonathan.rosser@rd.bbc.co.uk">jonathan.rosser@rd.bbc.co.uk</a>>


<br>


<b>Sent:</b> mercredi, 30 mars 2022 10:44<br>


<b>To:</b> <a href="mailto:openstack-discuss@lists.openstack.org">openstack-discuss@lists.openstack.org</a><br>


<b>Subject:</b> Re: [Ceph Rados Gateway] 403 when using S3 client<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="FR-CH"><o:p> </o:p></span></p>


<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;border-collapse:collapse">


<tbody>


<tr>


<td width="7" style="width:5.25pt;background:red;padding:.75pt .75pt .75pt .75pt">


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:7.5pt"><span style="font-size:10.0pt;color:red"> </span><o:p></o:p></p>


</td>


<td style="background:#FFEB9C;padding:3.75pt 11.25pt 3.75pt 11.25pt">


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:7.5pt"><strong><i><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:red">EXTERNAL MESSAGE


</span></i></strong><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">- This email comes from


<strong><span style="font-family:"Arial",sans-serif">outside ELCA companies</span></strong>.</span><o:p></o:p></p>


</td>


</tr>


</tbody>


</table>


<p><span lang="FR-CH" style="font-size:10.0pt;color:black">Hi Jean-Francois.</span><span lang="FR-CH"><o:p></o:p></span></p>


<p><span lang="FR-CH">I have the following difference to your config:<o:p></o:p></span></p>


<p><span lang="FR-CH">rgw keystone url = <a href="http://xx.xx.xx.xx:5000">http://xx.xx.xx.xx:5000</a><o:p></o:p></span></p>


<p><span lang="FR-CH">The normal OSA loadbalancer setup would have the keystone service on port 5000.<o:p></o:p></span></p>


<p><span lang="FR-CH">Jonathan.<o:p></o:p></span></p>


<div>


<p class="MsoNormal"><span lang="FR-CH">On 30/03/2022 09:24, Taltavull Jean-François wrote:<o:p></o:p></span></p>


</div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p class="MsoNormal"><span lang="FR-CH" style="mso-fareast-language:EN-US">Hi Dmitriy,</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="FR-CH" style="mso-fareast-language:EN-US"> </span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">I just tried with s3cmd but I still get a 403.</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"> </span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">Here is the rgw section of ceph.conf:</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"> </span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_url =


<a href="http://xxxxx.xxxx.xxx/identity">http://xxxxx.xxxx.xxx/identity</a></span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_api_version = 3</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_admin_user = radosgw</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_admin_password = xxxxxxxxxxxxxxxxxxxxxxxxx</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_admin_project = service</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_admin_domain = default</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_accepted_roles = member, _member_, admin, swiftoperator</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_accepted_admin_roles = ResellerAdmin</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_keystone_implicit_tenants = true</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_swift_account_in_url = true</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_swift_versioning_enabled = true</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_enable_apis = swift,s3</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US">rgw_s3_auth_use_keystone = true</span><span lang="FR-CH"><o:p></o:p></span></p>


<p class="MsoNormal"><span lang="EN-US" style="mso-fareast-language:EN-US"> </span><span lang="FR-CH"><o:p></o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US">From:</span></b><span lang="EN-US"> Dmitriy Rabotyagov


<a href="mailto:noonedeadpunk@ya.ru"><noonedeadpunk@ya.ru></a> <br>


<b>Sent:</b> mardi, 29 mars 2022 18:49<br>


<b>To:</b> openstack-discuss <a href="mailto:openstack-discuss@lists.openstack.org">


<openstack-discuss@lists.openstack.org></a><br>


<b>Subject:</b> Re: [Ceph Rados Gateway] 403 when using S3 client</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><span lang="FR-CH"> <o:p></o:p></span></p>


<table class="MsoNormalTable" border="0" cellspacing="0" cellpadding="0" width="100%" style="width:100.0%;border-collapse:collapse">


<tbody>


<tr>


<td width="7" style="width:5.25pt;background:red;padding:.75pt .75pt .75pt .75pt">


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:7.5pt"><span style="font-size:10.0pt;color:red"> </span><o:p></o:p></p>


</td>


<td style="background:#FFEB9C;padding:3.75pt 11.25pt 3.75pt 11.25pt">


<p class="MsoNormal" style="mso-margin-top-alt:auto;margin-bottom:7.5pt"><strong><i><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:red">EXTERNAL MESSAGE


</span></i></strong><span style="font-size:10.0pt;font-family:"Arial",sans-serif;color:black">- This email comes from


<strong><span style="font-family:"Arial",sans-serif">outside ELCA companies</span></strong>.</span><o:p></o:p></p>


</td>


</tr>


</tbody>


</table>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt;color:black">- все</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">Hi Jean-Francois.</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">It's quite hard to understand what exactly could went wrong based on the information you've provided.</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">Highly likely it's related to the RGW configuration itself and it's integration with keystone to be specific.</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">Would be helpful if you could provide your ceph.conf regarding rgw configuration.</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">I'm also not 100% sure if awscli does work with RGW... At least I always used s3cmd or rclone to interact with RGW S3 API.</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">29.03.2022, 16:36, "Taltavull Jean-François" <<a href="mailto:jean-francois.taltavull@elca.ch">jean-francois.taltavull@elca.ch</a>>:</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<blockquote style="margin-top:5.0pt;margin-bottom:5.0pt">


<p><span lang="FR-CH">Hi All,<br>


<br>


I get an http 403 error code when I try to get the bucket list with Ubuntu (Focal) S3 client (awscli).<br>


<br>


S3 api has been activated in radosgw config file and EC2 credentials have been created and put in S3 client config file.<br>


<br>


Otherwise, everything is working fine with OpenStack client.<br>


<br>


My deployment:<br>


- OSA 23.2.0<br>


- OpenStack Wallaby<br>


- Ceph and Rados GW Octopus<br>


<br>


Has any of you already experienced this kind of behaviour ?<br>


<br>


Many thanks,<br>


Jean-Francois<o:p></o:p></span></p>


</blockquote>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">-- <br>


Kind Regards,</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt">Dmitriy Rabotyagov</span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


</div>


<div>


<p class="MsoNormal"><span lang="FR-CH" style="font-size:10.0pt"> </span><span lang="FR-CH"><o:p></o:p></span></p>


</div>


</div>


</blockquote>


</div>


</div>


</div>


</div>


</body>


</html>