<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;">Thanks Mark,<div>I am aware of the bug, the info that Rafael was saying is that he has it working and I wonder how. Hopefully he can spark his infrastructure configuration and all of us can take a peak to that. </div><div><br></div><div>Ciao</div><div><br><div><div>On Jan 31, 2014, at 11:24, Miller, Mark M (EB SW Cloud - R&D - Corvallis) <<a href="mailto:mark.m.miller@hp.com">mark.m.miller@hp.com</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite"><div lang="EN-US" link="blue" vlink="purple" style="font-family: Calibri; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><div class="WordSection1" style="page: WordSection1;"><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">Hello,<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">We ran into a problem when using Apache2 and WSGi as the web front end for Keystone. Keystone v2.0 returns the token in the response body but v3 returns the token in the response header. Apache has an internal limit of 8190 bytes for the response header which means that you will get an error when you request a token with includes an endpoint catalog that has more than about 12 endpoints in it. We had to turn the catalog off.<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);">Mark<o:p></o:p></span></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11pt; font-family: Calibri, sans-serif; color: rgb(31, 73, 125);"> </span></div><div style="border-style: none none none solid; border-left-color: blue; border-left-width: 1.5pt; padding: 0in 0in 0in 4pt;"><div><div style="border-style: solid none none; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding: 3pt 0in 0in;"><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"><span class="Apple-converted-space"> </span>Remo Mattei [<a href="mailto:remo@italy1.com" style="color: purple; text-decoration: underline;">mailto:remo@italy1.com</a>]<span class="Apple-converted-space"> </span><br><b>Sent:</b><span class="Apple-converted-space"> </span>Friday, January 31, 2014 5:41 AM<br><b>To:</b><span class="Apple-converted-space"> </span>Ferreira, Rafael<br><b>Cc:</b><span class="Apple-converted-space"> </span><a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a><br><b>Subject:</b><span class="Apple-converted-space"> </span>Re: [Openstack] [Barbican] Keystone PKI token too much long<o:p></o:p></span></div></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><o:p> </o:p></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Hi Rafael<o:p></o:p></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Do you have the info on how that has been implemented. <o:p></o:p></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><o:p> </o:p></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Thanks<o:p></o:p></div></div><div><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Remo<o:p></o:p></p><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Inviato da iPhone ()<o:p></o:p></div></div></div><div><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><br>Il giorno Jan 31, 2014, alle ore 8:27, "Ferreira, Rafael" <<a href="mailto:raf@io.com" style="color: purple; text-decoration: underline;">raf@io.com</a>> ha scritto:<o:p></o:p></p></div><blockquote style="margin-top: 5pt; margin-bottom: 5pt;"><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">By the way, you can achieve the same benefits of uuid tokens (shorter tokens) with PKI by simply using a md5 hash of the PKI token for your X-Auth headers. This is poorly documented but it seems to work just fine. <o:p></o:p></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><o:p> </o:p></div></div><div style="border-style: solid none none; border-top-color: rgb(181, 196, 223); border-top-width: 1pt; padding: 3pt 0in 0in;"><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><b><span style="font-size: 11pt; font-family: Calibri, sans-serif;">From:<span class="Apple-converted-space"> </span></span></b><span style="font-size: 11pt; font-family: Calibri, sans-serif;">Adam Young <<a href="mailto:ayoung@redhat.com" style="color: purple; text-decoration: underline;">ayoung@redhat.com</a>><br><b>Date:<span class="Apple-converted-space"> </span></b>Tuesday, January 28, 2014 at 1:41 PM<br><b>To:<span class="Apple-converted-space"> </span></b>"<a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a>" <<a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a>><br><b>Subject:<span class="Apple-converted-space"> </span></b>Re: [Openstack] [Barbican] Keystone PKI token too much long<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><o:p> </o:p></div></div><div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">On 01/22/2014 12:21 PM, John Wood wrote:<o:p></o:p></div></div><blockquote style="margin-top: 5pt; margin-bottom: 5pt;"><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">(Adding another member of our team Douglas)<o:p></o:p></span></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">Hello Giuseppe,<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">For questions about news or patches for Keystone's PKI vs UUID modes, you might reach out to the<a href="mailto:openstack-dev@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack-dev@lists.openstack.org</a><span class="Apple-converted-space"> </span>mailing list, with the subject line prefixed with [openstack-dev] [keystone] <o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">Our observation has been that the PKI mode can generate large text blocks for tokens (esp. for large service catalogs) that cause http header errors. <o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">Regarding the specific barbican scripts you are running, we haven't run those in a while, so I'll investigate as we might need to update them. Please email back your /etc/barbican/barbican-api-paste.ini paste config file when you have a chance as well.  <o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">Thanks,<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">John<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"> </span></div><div><div class="MsoNormal" align="center" style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif; text-align: center;"><span style=""><hr size="2" width="100%" align="center"></span></div><div id="divRpF494683"><p class="MsoNormal" style="margin: 0in 0in 12pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><b><span style="font-size: 10pt; font-family: Tahoma, sans-serif;">From:</span></b><span style="font-size: 10pt; font-family: Tahoma, sans-serif;"><span class="Apple-converted-space"> </span>Giuseppe Galeota [<a href="mailto:giuseppegaleota@gmail.com" style="color: purple; text-decoration: underline;">giuseppegaleota@gmail.com</a>]<br><b>Sent:</b><span class="Apple-converted-space"> </span>Wednesday, January 22, 2014 7:36 AM<br><b>To:</b><span class="Apple-converted-space"> </span><a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a><br><b>Cc:</b><span class="Apple-converted-space"> </span>John Wood<br><b>Subject:</b><span class="Apple-converted-space"> </span>[Openstack] [Barbican] Keystone PKI token too much long</span><span style=""><o:p></o:p></span></p></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">Dear all,<o:p></o:p></span></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">I have configured Keystone for Barbican using this<span class="Apple-converted-space"> </span><a href="https://github.com/cloudkeep/barbican/wiki/Developer-Guide-for-Keystone" target="_blank" style="color: purple; text-decoration: underline;">guide</a>.<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style=""> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">Is there any news or patch about the need to use a shorter token? I would not use a modified token.<o:p></o:p></span></div></div></div></div></div></blockquote><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">Its a known problem.  You can request a token without the service catalog using an extension.<br><br>One possible future enhancement is to compress the key.<br><br><br><br><o:p></o:p></div><div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style=""> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">Following you can find an extract of the linked guide:<o:p></o:p></span></div></div><div><ul type="disc" style="margin-bottom: 0in;"><li class="MsoNormal" style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="font-size: 11.5pt; font-family: Helvetica, sans-serif; color: rgb(51, 51, 51);">(Optional) Typical keystone setup creates PKI tokens that are long, do not fit easily into curl requests without splitting into components. For testing purposes suggest updating the keystone database with a shorter token-id. (An alternative is to set up keystone to generate uuid tokens.) From the above output grad the token expiry value, referred to as "x-y-z"</span><o:p></o:p></li></ul><div><div style="border: 1pt solid rgb(221, 221, 221); padding: 5pt 8pt; background-color: rgb(248, 248, 248); background-position: initial initial; background-repeat: initial initial;"><pre style="margin: 0in 0in 11.25pt; font-size: 10pt; font-family: 'Courier New', serif; line-height: 14.25pt; background-color: rgb(248, 248, 248); border: none; padding: 0in; word-wrap: normal; overflow: auto; background-position: initial initial; background-repeat: initial initial;"><span style="font-family: Consolas; color: rgb(51, 51, 51);">mysql <b>-</b>u rootuse keystone;update token set id<b>=</b></span><span style="font-family: Consolas; color: rgb(221, 17, 68);">"foo"</span><span style="font-family: Consolas; color: rgb(51, 51, 51);"> where expires<b>=</b></span><span style="font-family: Consolas; color: rgb(221, 17, 68);">"x-y-z"</span><span style="font-family: Consolas; color: rgb(51, 51, 51);"> ;<o:p></o:p></span></pre></div></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style=""> </span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">Thank you,<o:p></o:p></span></div></div><div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><span style="">Giuseppe<o:p></o:p></span></div></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><br><br><br><o:p></o:p></div><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: 'Courier New', serif;">_______________________________________________<o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: 'Courier New', serif;">Mailing list: <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" style="color: purple; text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: 'Courier New', serif;">Post to     : <a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a><o:p></o:p></pre><pre style="margin: 0in 0in 0.0001pt; font-size: 10pt; font-family: 'Courier New', serif;">Unsubscribe : <a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" style="color: purple; text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><o:p></o:p></pre><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;"><o:p> </o:p></div></div><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">The communication contained in this e-mail is confidential and is intended only for the named recipient(s) and may contain information that is privileged, proprietary, attorney work product or exempt from disclosure under applicable law. If you have received this message in error, or are not the named recipient(s), please note that any form of distribution, copying or use of this communication or the information in it is strictly prohibited and may be unlawful. Please immediately notify the sender of the error, and delete this communication including any attached files from your system. Thank you for your cooperation.<o:p></o:p></div></blockquote><blockquote style="margin-top: 5pt; margin-bottom: 5pt;"><div style="margin: 0in 0in 0.0001pt; font-size: 12pt; font-family: 'Times New Roman', serif;">_______________________________________________<br>Mailing list:<span class="Apple-converted-space"> </span><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" style="color: purple; text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br>Post to     :<span class="Apple-converted-space"> </span><a href="mailto:openstack@lists.openstack.org" style="color: purple; text-decoration: underline;">openstack@lists.openstack.org</a><br>Unsubscribe :<span class="Apple-converted-space"> </span><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack" style="color: purple; text-decoration: underline;">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a><br><br><br>!DSPAM:1,52eba57b226891577754402!<o:p></o:p></div></blockquote></div></div>!DSPAM:1,52ebcfed22133708519044!</div></blockquote></div><br></div></body></html>