
Commented on the first bug. <br><br><div class="gmail_quote">On Fri, Mar 30, 2012 at 7:41 AM, Julien Danjou <span dir="ltr"><<a href="mailto:julien.danjou@enovance.com">julien.danjou@enovance.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">On Fri, Mar 30 2012, Gabriel Hurley wrote:<br>

<br>

> In practice today, Keystone no longer has global roles, and RBAC<br>

> implementation isn't fully there yet across the ecosystem. So projects have<br>

> adopted inconsistent means of determining when and how to grant<br>

> "admin"-level privileges to that user. This isn't something individual<br>

> projects can decide, though. It has to be agreed upon and consistent.<br>

><br>

> I don't have a great solution for this problem since it's so very late in<br>

> the Essex release cycle. However, I'm hoping we can perhaps do *something*<br>

> other than to simply document that "users with admin-level permissions<br>

> should only ever be granted admin permissions on a single admin tenant, and<br>

> no other users should be granted an admin role anywhere."<br>

><br>

> All that said, I'm deeply concerned about the security implications of<br>

> real deployments being unaware of the unintended consequences of<br>

> granting what appears to be a scoped "admin" role.<br>

<br>

</div>Correct me if I'm wrong, but it seems to me that the problem is simply<br>

that the default policy used in keystone and nova says that "admin is<br>

anybody with role `admin' on any tenant", as you can see in their<br>

respective policy.json files.<br>

<br>

I think that this rule should probably be set to something else by<br>

default, like the user is admin if "it has role admin on a specific<br>

tenant (like a tenant named `admin')". Tthat would allow to emulate the<br>

old "global" admin role, just by using a specific tenant.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Julien Danjou<br>

// eNovance                      <a href="http://enovance.com" target="_blank">http://enovance.com</a><br>

// ✉ <a href="mailto:julien.danjou@enovance.com">julien.danjou@enovance.com</a>  ☎ <a href="tel:%2B33%201%2049%2070%2099%2081" value="+33149709981">+33 1 49 70 99 81</a><br>

</font></span><div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

Mailing list: <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

Post to     : <a href="mailto:openstack@lists.launchpad.net">openstack@lists.launchpad.net</a><br>

Unsubscribe : <a href="https://launchpad.net/~openstack" target="_blank">https://launchpad.net/~openstack</a><br>

More help   : <a href="https://help.launchpad.net/ListHelp" target="_blank">https://help.launchpad.net/ListHelp</a><br>

</div></div></blockquote></div><br>