大家好。 最近刚刚接触使用openstack,在这个过程中发现nova策略部分有些问题,诸如 project_id:%(project_id)s这样的规则并没有生效。分析代码发现,鉴权部分没有对虚机所属的projectid进行校验,只对角色进行了校验。 个人认为这可能是个BUG,但是按照官方文档上讲的,这个地方应该不是BUG。不知道是我的理解有问题,还是使用方式有问题,还是确实是个BUG。 请问各位有谁遇到过类似问题,能否给予指导下,谢谢! TracyBin 地址:济南市高新区
可以很明确回答是有的.policy模块再仔细跟跟代码. 别问我具体在哪, 因为我也忘记了. ------------------ Best Regards, Haifeng Yan ------------------ Original ------------------ From: "yan_5386@163.com"<yan_5386@163.com>; Date: 2016年1月26日(星期二) 中午1:59 To: "openstack-zh@lists.openstack.org"<openstack-zh@lists.openstack.org>; Subject: [Openstack-zh] openstack策略相关问题分析 大家好。 最近刚刚接触使用openstack,在这个过程中发现nova策略部分有些问题,诸如 project_id:%(project_id)s这样的规则并没有生效。分析代码发现,鉴权部分没有对虚机所属的projectid进行校验,只对角色进行了校验。 个人认为这可能是个BUG,但是按照官方文档上讲的,这个地方应该不是BUG。不知道是我的理解有问题,还是使用方式有问题,还是确实是个BUG。 请问各位有谁遇到过类似问题,能否给予指导下,谢谢! TracyBin 地址:济南市高新区
很感谢回复。 应该在某些操作里确实是有的,但是就pause虚机这一个操作来说,确实没有。pause虚机部分在policy做策略校验时,没有传入target,所以默认使用的是context中的projectid和userid,导致虚机所属的projectid和userid没有和当前调用API的参数进行比对校验。 TracyBin 地址:济南市高新区 发件人: yan.haifeng 发送时间: 2016-01-26 20:29 收件人: yan_5386@163.com; openstack-zh@lists.openstack.org 主题: Re:[Openstack-zh] openstack策略相关问题分析 可以很明确回答是有的.policy模块再仔细跟跟代码. 别问我具体在哪, 因为我也忘记了. ------------------ Best Regards, Haifeng Yan ------------------ Original ------------------ From: "yan_5386@163.com"<yan_5386@163.com>; Date: 2016年1月26日(星期二) 中午1:59 To: "openstack-zh@lists.openstack.org"<openstack-zh@lists.openstack.org>; Subject: [Openstack-zh] openstack策略相关问题分析 大家好。 最近刚刚接触使用openstack,在这个过程中发现nova策略部分有些问题,诸如 project_id:%(project_id)s这样的规则并没有生效。分析代码发现,鉴权部分没有对虚机所属的projectid进行校验,只对角色进行了校验。 个人认为这可能是个BUG,但是按照官方文档上讲的,这个地方应该不是BUG。不知道是我的理解有问题,还是使用方式有问题,还是确实是个BUG。 请问各位有谁遇到过类似问题,能否给予指导下,谢谢! TracyBin 地址:济南市高新区
participants (2)
-
yan.haifeng
-
yan_5386@163.com