
<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=windows-1251">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; color: rgb(0, 0, 0); font-size: 14px; font-family: Calibri, sans-serif;">

<div>Hi Sergey,</div>

<div><br>

</div>

<div>The policies in github are expected to be this way. For many environments, Domains are used to separate users (including domain admins) from doing bad things to each other. Restricting access to the list of all domains in the cloud is just one aspect of

 this separation, so that a domain admin can't get information about other domains in the cloud. If that's not a concern in your environment, you can certainly modify the policies for your own needs. Modifying the policies for specific situations is very common.</div>

<div><br>

</div>

<div>The Horizon code you reference shouldn't cause problems for a domain admin, as it's intended to check if the user has access to list domains before attempting the list_domains call to keystone. If everything is set up properly, the domain admin should

 see the Domains section in the Horizon left nav and see their single domain on the Domains page.</div>

<div><br>

</div>

<div>If you're seeing issues beyond that, please check out this blog post that walks through the setup to avoid common issues:</div>

<div><a href="http://www.symantec.com/connect/blogs/domain-support-horizon-here">http://www.symantec.com/connect/blogs/domain-support-horizon-here</a></div>

<div><br>

</div>

<div>Thanks,</div>

<div>Brad</div>

<div><br>

</div>

<span id="OLK_SRC_BODY_SECTION">

<div style="font-family:Calibri; font-size:11pt; text-align:left; color:black; BORDER-BOTTOM: medium none; BORDER-LEFT: medium none; PADDING-BOTTOM: 0in; PADDING-LEFT: 0in; PADDING-RIGHT: 0in; BORDER-TOP: #b5c4df 1pt solid; BORDER-RIGHT: medium none; PADDING-TOP: 3pt">

<span style="font-weight:bold">From: </span>Сергей Филатов <<a href="mailto:filatecs@gmail.com">filatecs@gmail.com</a>><br>

<span style="font-weight:bold">Date: </span>Wednesday, September 7, 2016 at 6:15 AM<br>

<span style="font-weight:bold">To: </span>"<a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a>" <<a href="mailto:openstack@lists.openstack.org">openstack@lists.openstack.org</a>><br>

<span style="font-weight:bold">Subject: </span>[Openstack] [Horizon][Keystone] list_domains action logging into dashboard<br>

</div>

<div><br>

</div>

<div>

<div style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div class="">Hi all, 

<div class=""><br class="">

</div>

<div class="">I’ve set up keystone V3 policies and enabled Multidomain attribute in horizon.</div>

<div class=""><br class="">

</div>

<div class="">When I’m logging into horizon as domain admin horizon executes <i class="">domain_lookup </i>function which </div>

<div class="">performs </div>

<div class=""><i class="">policy.check((("identity", "identity:list_domains"),), request)</i></div>

<div class=""><i class=""><br class="">

</i></div>

<div class="">And by default keystone v3 policies enable list_domains only for cloud_admin user.</div>

<div class="">So I assume there’s a bug in either horizon or keystone V3 policies.</div>

<div class="">Or am I missing the point?</div>

</div>

<div class=""><br class="">

</div>

<br class="">

<div class="">

<div class="">..Sergey Filatov</div>

<div class=""><br class="">

</div>

<br class="Apple-interchange-newline">

</div>

<br class="">

</div>

</div>

</span>

</body>

</html>