<div dir="ltr">Mathieu,<div><br></div><div>We LDAP (AD) with a fallback to MySQL. This allows us to store service accounts (like nova) and "team accounts" for use in Jenkins/scripts etc in MySQL. We only do Identity via LDAP and we have a forked copy of this driver (<a href="https://github.com/SUSE-Cloud/keystone-hybrid-backend">https://github.com/SUSE-Cloud/keystone-hybrid-backend</a>) to do this. We don't have any permissions to write into LDAP or move people into groups, so we keep a copy of users locally for purposes of user-list operations. The only interaction between OpenStack and LDAP for us is when that driver tries a bind.</div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Mar 31, 2015 at 6:06 PM, Mathieu Gagné <span dir="ltr"><<a href="mailto:mgagne@iweb.com" target="_blank">mgagne@iweb.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
Lets say I wish to use an existing enterprise LDAP service to manage my<br>
OpenStack users so I only have one place to manage users.<br>
<br>
How would you manage authentication and credentials from a security<br>
point of view? Do you tell your users to use their enterprise<br>
credentials or do you use an other method/credentials?<br>
<br>
The reason is that (usually) enterprise credentials also give access to<br>
a whole lot of systems other than OpenStack itself. And it goes without<br>
saying that I'm not fond of the idea of storing my password in plain<br>
text to be used by some scripts I created.<br>
<br>
What's your opinion/suggestion? Do you guys have a second credential<br>
system solely used for OpenStack?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Mathieu<br>
<br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</font></span></blockquote></div><br></div>