<div dir="ltr">I have a single machine DevStack (Mitaka) setup. I have enabled multi<br>domain functionality and am able to create multiple domains in my<br>setup through Horizon.<br><br>I created 2 domains, Domain A and Domain B.<br><br>In Domain A, I created two projects PRJ_A1 and PRJ_A2 similarly in<br>Domain B I created PRJ_B1 and PRJ_B2.<br><br><br><br>In each project I created one instance namely INST_A1_1, INST_A2_1,<br>INSTB1_1, INST_B2_1.<br><br><br><br>Following networks were created in projects :<br><br><br>PRJ_A1 has a private network NET_1 (subnet 10.0.0.0)<br><br>PRJ_A2 has a public shared network NET_2 (subnet 120.20.20.0)<br><br>PRJ_A3 has a private shared network NET_3 (subnet 30.0.0.0)<br><br>PRJ_A4 public network NET_4 (subnet 140.40.40.0)<br><br><br><br>NET_2 and NET_3 are shared only with project PRJ_A1 through RBAC<br><br><br><br>Domain A has following users and roles:<br><br><br><br>Bob admin role for PRJ_A1 and PRJ_A2<br><br>Nick member role for PRJ_A1<br><br><br><br>Domain B has following users and roles:<br><br><br><br>Ben admin role for PRJ_A1<br><br>John member role for PRJ_A1<br><br><br><br>Following Security Groups were created and attached to instances :<br><br><br>SG1 for INST_A1_1<br><br>SG2 for INST_A2_1<br><br>SG3 for INST_A3_1<br><br>SG4 for INST_A4_1<br><br><br>I have following questions:<br><br><br>1.     Can I assign a role defined in another domain to particular<br>user belonging to a different project & domain? How to achieve this in<br>Mitaka? For example can Bob be assigned to a member role in PRJ_B1 of<br>Domain B while he originally belongs to PRJ_A1 of Domain A?<br><br>2.     Is there a way to create “Security Group” rules for an instance<br>and define policies associated to user and his role in a project? For<br>example, I want to allow certain users to use ssh and sftp<br>functionalities on an instance but deny these access to other users?<br>If not, is there any alternate to achieve the same.<br><br><br>3.     Can a user with admin role modify a shared network of project<br>defined in another domain? For example can Bob (admin role in PRJ_A1<br>and Domain A) modify/delete ports on network NET_3 which belongs to a<br>PRJ_B1 of domain B?</div>