
<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body bgcolor="#FFFFFF" text="#000000">

    <div class="moz-cite-prefix">On 06/13/2014 11:22 AM, Michael Hearn

      wrote:<br>

    </div>

    <blockquote

cite="mid:CAO1MeZjYk7OKP3r8GBR4PtEyp-V8XhahQgQFSGBB2YygLd-y+w@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>Horizon gurus<br>

          <br>

        </div>

        <div>Release:   icehouse<br>

        </div>

        <div>Token Type :   PKI<br>

        </div>

        <div>Identity Backend:   LDAP<br>

          <br>

          <br>

        </div>

        <div>Monitoring the authentication traffic generated by Horizon

          to LDAP,  I was surprised to see that after the initial logon,

          and under the 'Project' tab, I was still seeing calls out to

          LDAP each time I entered a link related to a service (images,

          volumes, images and snapshots etc...).<br>

          <br>

        </div>

        <div>My assumption was that after the initial logon the token

          would be used to satisfy authentication requirements (until it

          expired).  <br>

          <br>

        </div>

        <div>I ran some debugging and confirmed that the underlying 

          python scripts e.g.

          /usr/share/openstack-dashboard/openstack_dashboard/api/* 

          pickup the same token although curiously at first glance it

          looks like a UUID based token and not a PKI token. <br>

          <br>

        </div>

        <div>So, my questions are:  <br>

        </div>

        <div>i. Should Horizon honour token authentication as I enter

          different services - mitigating the need to authN against ldap

          until token expires?<br>

        </div>

      </div>

    </blockquote>

    the auth is done in Keystone.  Horizon holds on to the token, but

    might, in fact, fetch a new token based on something like changing

    projects.<br>

    <br>

    <blockquote

cite="mid:CAO1MeZjYk7OKP3r8GBR4PtEyp-V8XhahQgQFSGBB2YygLd-y+w@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>ii. Am I seeing a compressed PKI token when pulling data

          from

          /user/share/openstack-dashboard/openstack_dashboard/api/glance.py

          or cinder.py etc....<br>

        </div>

      </div>

    </blockquote>

    <br>

    compressed tokens are not in deployment yet.  If it is 32 chars

    long, you are either seeing the Hash ofr a signed token, or a uuid

    token, depending on how keystone is set up.<br>

    <br>

    <blockquote

cite="mid:CAO1MeZjYk7OKP3r8GBR4PtEyp-V8XhahQgQFSGBB2YygLd-y+w@mail.gmail.com"

      type="cite">

      <div dir="ltr">

        <div>

        </div>

        <div> <br>

        </div>

        <div><br>

        </div>

        <div>Cheers<br>

        </div>

        Mike</div>

      <br>

      <fieldset class="mimeAttachmentHeader"></fieldset>

      <br>

      <pre wrap="">_______________________________________________

Mailing list: <a class="moz-txt-link-freetext" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a>

Post to     : <a class="moz-txt-link-abbreviated" href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a>

Unsubscribe : <a class="moz-txt-link-freetext" href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack</a>

</pre>

    </blockquote>

    <br>

  </body>

</html>