<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Sep 28, 2015 at 1:46 PM, Jonathan Proulx <span dir="ltr"><<a href="mailto:jon@csail.mit.edu" target="_blank">jon@csail.mit.edu</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Sep 28, 2015 at 03:31:54PM -0400, Adam Young wrote:<br>
<span class="">:On 09/26/2015 11:19 PM, RunnerCheng wrote:<br>
:>Hi All,<br>
:>I'm a newbie of keystone, and I'm doing some research about it<br>
:>recently. I have a question about how to deploy it. The scenario is<br>
:>on below:<br>
:><br>
:>One comany has one headquarter dc and 5 sub dc locate in different<br>
:>cities. We want to deploy separate OpenStack with "sub" keystone at<br>
:>the sub dc, and want to deploy one "master" keystone at headquarter<br>
:>dc. We want to manage all users, roles and tenants etc on the<br>
:>"master" keystone, however we want the end-user can authenticate<br>
:>with the "sub" keystone where he or she is locate.<br>
:<br>
:<br>
:Use LDAP for the users, don't keep them in Keystone.<br>
:<br>
:Replicate roles, projects etc from master to sub.<br>
:<br>
:Use Fernet tokens.  Replicate revocation events both ways.<br>
<br>
</span>I'm hearing conflicting advice about the suitibility of Fernet tokens<br>
for production use.<br>
<br>
I like the idea. I did get them to work in kilo trivially for CLI, but<br>
Horizon was unhappy for reasons I didn't fully investigate as I heard<br>
they 'weren't quite ready in kilo' so I defered further investigation<br>
to next cycle.<br>
<br>
Though honestly if you're building somthing new right now starting<br>
with Liberty is probably the right thing anyway by the time you're<br>
done PoC it will be released.<br>
<br>
-Jon</blockquote><div><br></div><div>We're using them in prod, generally happy except with Validation performance. For Horizon we run off of master anyway but you have to pull in some code from Liberty or it won't work. </div></div></div></div>