<div dir="ltr">We are still using mysql backend for Keystone.<div><br></div><div>We are using a customization for Horizon that's public <a href="https://github.com/blueboxgroup/horizon-customization">https://github.com/blueboxgroup/horizon-customization</a></div><div><br></div><div>and then we have crafted policy files that are public as well (e.g. <a href="https://github.com/blueboxgroup/ursula/blob/master/roles/nova-common/templates/etc/nova/policy.json">https://github.com/blueboxgroup/ursula/blob/master/roles/nova-common/templates/etc/nova/policy.json</a> )</div><div><br></div><div>Lastly we have middleware for keystone (not public) that does some filtering of what various roles can see, which in effect keeps "admin" role from being able to see "cloud_admin" things.</div></div><div class="gmail_extra"><br clear="all"><div><div class="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br></div><div dir="ltr">- jlk</div></div></div></div></div></div></div>
<br><div class="gmail_quote">On Tue, Dec 29, 2015 at 12:28 AM, Oğuz Yarımtepe <span dir="ltr"><<a href="mailto:oguzyarimtepe@gmail.com" target="_blank">oguzyarimtepe@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Using a middleware is what we are doing also. Can you give more details about your structure? Our middleware is like the Rackspace OpenRepose. What do you use for role definitions? Are you using any backend for Keystone like LDAP? <br><br></div><div>Regards.<br></div><div><br></div><br></div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Thu, Dec 10, 2015 at 9:55 PM, Jesse Keating <span dir="ltr"><<a href="mailto:jlk@bluebox.net" target="_blank">jlk@bluebox.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">We use RBAC, however we've done it based on roles and some middleware. The policy files are essentially static.</div><div class="gmail_extra"><br clear="all"><div><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><br></div><div dir="ltr">- jlk</div></div></div></div></div></div></div>
<br><div class="gmail_quote"><span>On Wed, Dec 9, 2015 at 12:39 AM, Oguz Yarimtepe <span dir="ltr"><<a href="mailto:oguzyarimtepe@gmail.com" target="_blank">oguzyarimtepe@gmail.com</a>></span> wrote:<br></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span>Hi,<br>
<br>
I am wondering whether there are people using RBAC at production. The policy.json file has a structure that requires restart of the service each time you edit the file. Is there and on the fly solution or tips about it?<br>
<br>
<br>
<br></span><span>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org" target="_blank">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><br>
</span></blockquote></div><br></div>
</blockquote></div><br><br clear="all"><br></div></div><span class="HOEnZb"><font color="#888888">-- <br><div>Oğuz Yarımtepe<br><a href="http://about.me/oguzy" target="_blank">http://about.me/oguzy</a></div>
</font></span></div>
</blockquote></div><br></div>