<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 7 December 2015 at 05:38, Clint Byrum <span dir="ltr"><<a href="mailto:clint@fewbar.com" target="_blank">clint@fewbar.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Excerpts from Xav Paice's message of 2015-12-05 13:26:23 -0800:<br>
<div><div class="h5">> ><br><br>
</div></div>I respect that this is what works for you and we shouldn't require you to<br>
change your ways without good reason. However, I just want to point out<br>
that if you don't trust Keystone's own ACL's to prevent administrative<br>
access by users who haven't been granted access, then you also don't<br>
trust Keystone to keep users out of each-others accounts!<br>
<br></blockquote><div><br></div><div>That's an excellent point, and one which scares me quite a lot.  But that's the sad reason we need two lots of API servers - so even if someone were to get hold of an admin userid/password, they still can't go deleting the entire cloud.  It does at least limit the damage.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
That said, if there really is a desire to keep admin functions separate<br>
from user functions, why not formalize that and make it an entirely<br>
separate service in the catalog? So far, Keystone is the only service<br>
to make use of "adminurl". So a valid path forward is to simply make it<br>
a different entry.<br></blockquote><div><br></div><div>Keystone is indeed the only one that does this - I hesitate to say "right" because it might not be.</div><div><br></div><div>I'm not sure I follow when you say separate service - you mean a completely different service, with a full set of endpoints?  Makes sense if the projects that use the catalogue also honour that, but I don't know I see the difference between having a different service for admin requests, and a split admin url and public url.  Maybe I'm just being thick here, but I had thought that was the original intention despite it never being used by anyone other than Keystone.</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</div></div></blockquote></div><br></div></div>