fc8bf1f1c7197786fee86b367590a4e8c3b4cbee
[genesis.git] / compass / deploy / ansible / roles / keystone / templates / keystone.conf
1 [DEFAULT]
2
3 admin_token={{ ADMIN_TOKEN }}
4
5 public_bind_host= {{ identity_host }}
6
7 admin_bind_host= {{ identity_host }}
8
9 #compute_port=8774
10
11 #admin_port=35357
12
13 #public_port=5000
14
15 # The base public endpoint URL for keystone that are
16 # advertised to clients (NOTE: this does NOT affect how
17 # keystone listens for connections) (string value).
18 # Defaults to the base host URL of the request. Eg a
19 # request to http://server:5000/v2.0/users will
20 # default to http://server:5000. You should only need
21 # to set this value if the base URL contains a path
22 # (eg /prefix/v2.0) or the endpoint should be found on
23 # a different server.
24 #public_endpoint=http://localhost:%(public_port)s/
25
26 # The base admin endpoint URL for keystone that are advertised
27 # to clients (NOTE: this does NOT affect how keystone listens
28 # for connections) (string value).
29 # Defaults to the base host URL of the request. Eg a
30 # request to http://server:35357/v2.0/users will
31 # default to http://server:35357. You should only need
32 # to set this value if the base URL contains a path
33 # (eg /prefix/v2.0) or the endpoint should be found on
34 # a different server.
35 #admin_endpoint=http://localhost:%(admin_port)s/
36
37 # onready allows you to send a notification when the process
38 # is ready to serve For example, to have it notify using
39 # systemd, one could set shell command: "onready = systemd-
40 # notify --ready" or a module with notify() method: "onready =
41 # keystone.common.systemd". (string value)
42 #onready=<None>
43
44 # enforced by optional sizelimit middleware
45 # (keystone.middleware:RequestBodySizeLimiter). (integer
46 # value)
47 #max_request_body_size=114688
48
49 # limit the sizes of user & tenant ID/names. (integer value)
50 #max_param_size=64
51
52 # similar to max_param_size, but provides an exception for
53 # token values. (integer value)
54 #max_token_size=8192
55
56 # During a SQL upgrade member_role_id will be used to create a
57 # new role that will replace records in the
58 # user_tenant_membership table with explicit role grants.
59 # After migration, the member_role_id will be used in the API
60 # add_user_to_project. (string value)
61 #member_role_id=9fe2ff9ee4384b1894a90878d3e92bab
62
63 # During a SQL upgrade member_role_id will be used to create a
64 # new role that will replace records in the
65 # user_tenant_membership table with explicit role grants.
66 # After migration, member_role_name will be ignored. (string
67 # value)
68 #member_role_name=_member_
69
70 # The value passed as the keyword "rounds" to passlib encrypt
71 # method. (integer value)
72 #crypt_strength=40000
73
74 # Set this to True if you want to enable TCP_KEEPALIVE on
75 # server sockets i.e. sockets used by the keystone wsgi server
76 # for client connections. (boolean value)
77 #tcp_keepalive=false
78
79 # Sets the value of TCP_KEEPIDLE in seconds for each server
80 # socket. Only applies if tcp_keepalive is True. Not supported
81 # on OS X. (integer value)
82 #tcp_keepidle=600
83
84 # The maximum number of entities that will be returned in a
85 # collection can be set with list_limit, with no limit set by
86 # default. This global limit may be then overridden for a
87 # specific driver, by specifying a list_limit in the
88 # appropriate section (e.g. [assignment]). (integer value)
89 #list_limit=<None>
90
91 # Set this to false if you want to enable the ability for
92 # user, group and project entities to be moved between domains
93 # by updating their domain_id. Allowing such movement is not
94 # recommended if the scope of a domain admin is being
95 # restricted by use of an appropriate policy file (see
96 # policy.v3cloudsample as an example). (boolean value)
97 #domain_id_immutable=true
98
99
100 #
101 # Options defined in oslo.messaging
102 #
103
104 # Use durable queues in amqp. (boolean value)
105 # Deprecated group/name - [DEFAULT]/rabbit_durable_queues
106 #amqp_durable_queues=false
107
108 # Auto-delete queues in amqp. (boolean value)
109 #amqp_auto_delete=false
110
111 # Size of RPC connection pool. (integer value)
112 #rpc_conn_pool_size=30
113
114 # Modules of exceptions that are permitted to be recreated
115 # upon receiving exception data from an rpc call. (list value)
116 #allowed_rpc_exception_modules=oslo.messaging.exceptions,nova.exception,cinder.exception,exceptions
117 # Qpid broker hostname. (string value)
118 #qpid_hostname=localhost
119
120 # Qpid broker port. (integer value)
121 #qpid_port=5672
122
123 # Qpid HA cluster host:port pairs. (list value)
124 #qpid_hosts=$qpid_hostname:$qpid_port
125
126 # Username for Qpid connection. (string value)
127 #qpid_username=
128
129 # Password for Qpid connection. (string value)
130 #qpid_password=
131
132 # Space separated list of SASL mechanisms to use for auth.
133 # (string value)
134 #qpid_sasl_mechanisms=
135
136 # Seconds between connection keepalive heartbeats. (integer
137 # value)
138 #qpid_heartbeat=60
139
140 # Transport to use, either 'tcp' or 'ssl'. (string value)
141 #qpid_protocol=tcp
142
143 # Whether to disable the Nagle algorithm. (boolean value)
144 #qpid_tcp_nodelay=true
145
146 # The qpid topology version to use.  Version 1 is what was
147 # originally used by impl_qpid.  Version 2 includes some
148 # backwards-incompatible changes that allow broker federation
149 # to work.  Users should update to version 2 when they are
150 # able to take everything down, as it requires a clean break.
151 # (integer value)
152 #qpid_topology_version=1
153
154 # SSL version to use (valid only if SSL enabled). valid values
155 # are TLSv1, SSLv23 and SSLv3. SSLv2 may be available on some
156 # distributions. (string value)
157 #kombu_ssl_version=
158
159 # SSL key file (valid only if SSL enabled). (string value)
160 #kombu_ssl_keyfile=
161
162 # SSL cert file (valid only if SSL enabled). (string value)
163 #kombu_ssl_certfile=
164
165 # SSL certification authority file (valid only if SSL
166 # enabled). (string value)
167 #kombu_ssl_ca_certs=
168
169 # How long to wait before reconnecting in response to an AMQP
170 # consumer cancel notification. (floating point value)
171 #kombu_reconnect_delay=1.0
172
173 # The RabbitMQ broker address where a single node is used.
174 # (string value)
175 #rabbit_host=localhost
176
177 # The RabbitMQ broker port where a single node is used.
178 # (integer value)
179 #rabbit_port=5672
180
181 # RabbitMQ HA cluster host:port pairs. (list value)
182 #rabbit_hosts=$rabbit_host:$rabbit_port
183
184 # Connect over SSL for RabbitMQ. (boolean value)
185 #rabbit_use_ssl=false
186
187 # The RabbitMQ userid. (string value)
188 rabbit_userid={{ RABBIT_USER }}
189
190 # The RabbitMQ password. (string value)
191 rabbit_password={{ RABBIT_PASS }}
192
193 # the RabbitMQ login method (string value)
194 #rabbit_login_method=AMQPLAIN
195
196 # The RabbitMQ virtual host. (string value)
197 #rabbit_virtual_host=/
198
199 # How frequently to retry connecting with RabbitMQ. (integer
200 # value)
201 #rabbit_retry_interval=1
202
203 # How long to backoff for between retries when connecting to
204 # RabbitMQ. (integer value)
205 #rabbit_retry_backoff=2
206
207 # Maximum number of RabbitMQ connection retries. Default is 0
208 # (infinite retry count). (integer value)
209 #rabbit_max_retries=0
210
211 # Use HA queues in RabbitMQ (x-ha-policy: all). If you change
212 # this option, you must wipe the RabbitMQ database. (boolean
213 # value)
214 #rabbit_ha_queues=false
215
216 # If passed, use a fake RabbitMQ provider. (boolean value)
217 #fake_rabbit=false
218
219 # ZeroMQ bind address. Should be a wildcard (*), an ethernet
220 # interface, or IP. The "host" option should point or resolve
221 # to this address. (string value)
222 #rpc_zmq_bind_address=*
223
224 # MatchMaker driver. (string value)
225 #rpc_zmq_matchmaker=oslo.messaging._drivers.matchmaker.MatchMakerLocalhost
226
227 # ZeroMQ receiver listening port. (integer value)
228 #rpc_zmq_port=9501
229
230 # Number of ZeroMQ contexts, defaults to 1. (integer value)
231 #rpc_zmq_contexts=1
232
233 # Maximum number of ingress messages to locally buffer per
234 # topic. Default is unlimited. (integer value)
235 #rpc_zmq_topic_backlog=<None>
236
237 # Directory for holding IPC sockets. (string value)
238 #rpc_zmq_ipc_dir=/var/run/openstack
239
240 # Name of this node. Must be a valid hostname, FQDN, or IP
241 # address. Must match "host" option, if running Nova. (string
242 # value)
243 #rpc_zmq_host=keystone
244
245 # Seconds to wait before a cast expires (TTL). Only supported
246 # by impl_zmq. (integer value)
247 #rpc_cast_timeout=30
248
249 # Heartbeat frequency. (integer value)
250 #matchmaker_heartbeat_freq=300
251
252 # Heartbeat time-to-live. (integer value)
253 #matchmaker_heartbeat_ttl=600
254
255 # Host to locate redis. (string value)
256 #host=127.0.0.1
257
258 # Use this port to connect to redis host. (integer value)
259 #port=6379
260
261 # Password for Redis server (optional). (string value)
262 #password=<None>
263
264 # Size of RPC greenthread pool. (integer value)
265 #rpc_thread_pool_size=64
266
267 # Driver or drivers to handle sending notifications. (multi
268 # valued)
269 #notification_driver=
270
271 # AMQP topic used for OpenStack notifications. (list value)
272 # Deprecated group/name - [rpc_notifier2]/topics
273 #notification_topics=notifications
274
275 # Seconds to wait for a response from a call. (integer value)
276 #rpc_response_timeout=60
277
278 # A URL representing the messaging driver to use and its full
279 # configuration. If not set, we fall back to the rpc_backend
280 # option and driver specific configuration. (string value)
281 #transport_url=<None>
282
283 # The messaging driver to use, defaults to rabbit. Other
284 # drivers include qpid and zmq. (string value)
285 #rpc_backend=rabbit
286
287 # The default exchange under which topics are scoped. May be
288 # overridden by an exchange name specified in the
289 # transport_url option. (string value)
290 #control_exchange=openstack
291
292
293 #
294 # Options defined in keystone.notifications
295 #
296
297 # Default publisher_id for outgoing notifications (string
298 # value)
299 #default_publisher_id=<None>
300
301
302 #
303 # Options defined in keystone.middleware.ec2_token
304 #
305
306 # URL to get token from ec2 request. (string value)
307 #keystone_ec2_url=http://localhost:5000/v2.0/ec2tokens
308
309 # Required if EC2 server requires client certificate. (string
310 # value)
311 #keystone_ec2_keyfile=<None>
312
313 # Client certificate key filename. Required if EC2 server
314 # requires client certificate. (string value)
315 #keystone_ec2_certfile=<None>
316
317 # A PEM encoded certificate authority to use when verifying
318 # HTTPS connections. Defaults to the system CAs. (string
319 # value)
320 #keystone_ec2_cafile=<None>
321
322 # Disable SSL certificate verification. (boolean value)
323 #keystone_ec2_insecure=false
324
325
326 #
327 # Options defined in keystone.openstack.common.eventlet_backdoor
328 #
329
330 # Enable eventlet backdoor.  Acceptable values are 0, <port>,
331 # and <start>:<end>, where 0 results in listening on a random
332 # tcp port number; <port> results in listening on the
333 # specified port number (and not enabling backdoor if that
334 # port is in use); and <start>:<end> results in listening on
335 # the smallest unused port number within the specified range
336 # of port numbers.  The chosen port is displayed in the
337 # service's log file. (string value)
338 #backdoor_port=<None>
339
340
341 #
342 # Options defined in keystone.openstack.common.lockutils
343 #
344
345 # Whether to disable inter-process locks (boolean value)
346 #disable_process_locking=false
347
348 # Directory to use for lock files. (string value)
349 #lock_path=<None>
350
351
352 #
353 # Options defined in keystone.openstack.common.log
354 #
355
356 # Print debugging output (set logging level to DEBUG instead
357 # of default WARNING level). (boolean value)
358 debug={{ DEBUG }}
359
360 # Print more verbose output (set logging level to INFO instead
361 # of default WARNING level). (boolean value)
362 verbose={{ VERBOSE }}
363
364 # Log output to standard error (boolean value)
365 #use_stderr=true
366
367 # Format string to use for log messages with context (string
368 # value)
369 #logging_context_format_string=%(asctime)s.%(msecs)03d %(process)d %(levelname)s %(name)s [%(request_id)s %(user_identity)s] %(instance)s%(message)s
370
371 # Format string to use for log messages without context
372 # (string value)
373 #logging_default_format_string=%(asctime)s.%(msecs)03d %(process)d %(levelname)s %(name)s [-] %(instance)s%(message)s
374
375 # Data to append to log format when level is DEBUG (string
376 # value)
377 #logging_debug_format_suffix=%(funcName)s %(pathname)s:%(lineno)d
378
379 # Prefix each line of exception output with this format
380 # (string value)
381 #logging_exception_prefix=%(asctime)s.%(msecs)03d %(process)d TRACE %(name)s %(instance)s
382
383 # List of logger=LEVEL pairs (list value)
384 #default_log_levels=amqp=WARN,amqplib=WARN,boto=WARN,qpid=WARN,sqlalchemy=WARN,suds=INFO,iso8601=WARN,requests.packages.urllib3.connectionpool=WARN
385
386 # Publish error events (boolean value)
387 #publish_errors=false
388
389 # Make deprecations fatal (boolean value)
390 #fatal_deprecations=false
391
392 # If an instance is passed with the log message, format it
393 # like this (string value)
394 #instance_format="[instance: %(uuid)s] "
395
396 # If an instance UUID is passed with the log message, format
397 # it like this (string value)
398 #instance_uuid_format="[instance: %(uuid)s] "
399
400 # The name of logging configuration file. It does not disable
401 # existing loggers, but just appends specified logging
402 # configuration to any other existing logging options. Please
403 # see the Python logging module documentation for details on
404 # logging configuration files. (string value)
405 # Deprecated group/name - [DEFAULT]/log_config
406 #log_config_append=<None>
407
408 # DEPRECATED. A logging.Formatter log message format string
409 # which may use any of the available logging.LogRecord
410 # attributes. This option is deprecated.  Please use
411 # logging_context_format_string and
412 # logging_default_format_string instead. (string value)
413 #log_format=<None>
414
415 # Format string for %%(asctime)s in log records. Default:
416 # %(default)s (string value)
417 #log_date_format=%Y-%m-%d %H:%M:%S
418
419 # (Optional) Name of log file to output to. If no default is
420 # set, logging will go to stdout. (string value)
421 # Deprecated group/name - [DEFAULT]/logfile
422 #log_file=<None>
423
424 # (Optional) The base directory used for relative --log-file
425 # paths (string value)
426 # Deprecated group/name - [DEFAULT]/logdir
427 log_dir = /var/log/keystone
428
429 # Use syslog for logging. Existing syslog format is DEPRECATED
430 # during I, and then will be changed in J to honor RFC5424
431 # (boolean value)
432 #use_syslog=false
433
434 # (Optional) Use syslog rfc5424 format for logging. If
435 # enabled, will add APP-NAME (RFC5424) before the MSG part of
436 # the syslog message.  The old format without APP-NAME is
437 # deprecated in I, and will be removed in J. (boolean value)
438 #use_syslog_rfc_format=false
439
440 # Syslog facility to receive log lines (string value)
441 #syslog_log_facility=LOG_USER
442
443
444 #
445 # Options defined in keystone.openstack.common.policy
446 #
447
448 # JSON file containing policy (string value)
449 #policy_file=policy.json
450
451 # Rule enforced when requested rule is not found (string
452 # value)
453 #policy_default_rule=default
454
455
456 [assignment]
457
458 #
459 # Options defined in keystone
460 #
461
462 # Keystone Assignment backend driver. (string value)
463 #driver=<None>
464
465 # Toggle for assignment caching. This has no effect unless
466 # global caching is enabled. (boolean value)
467 #caching=true
468
469 # TTL (in seconds) to cache assignment data. This has no
470 # effect unless global caching is enabled. (integer value)
471 #cache_time=<None>
472
473 # Maximum number of entities that will be returned in an
474 # assignment collection. (integer value)
475 #list_limit=<None>
476
477
478 [auth]
479
480 #
481 # Options defined in keystone
482 #
483
484 # Default auth methods. (list value)
485 #methods=external,password,token
486
487 # The password auth plugin module. (string value)
488 #password=keystone.auth.plugins.password.Password
489
490 # The token auth plugin module. (string value)
491 #token=keystone.auth.plugins.token.Token
492
493 # The external (REMOTE_USER) auth plugin module. (string
494 # value)
495 #external=keystone.auth.plugins.external.DefaultDomain
496
497
498 [cache]
499
500 #
501 # Options defined in keystone
502 #
503
504 # Prefix for building the configuration dictionary for the
505 # cache region. This should not need to be changed unless
506 # there is another dogpile.cache region with the same
507 # configuration name. (string value)
508 #config_prefix=cache.keystone
509
510 # Default TTL, in seconds, for any cached item in the
511 # dogpile.cache region. This applies to any cached method that
512 # doesn't have an explicit cache expiration time defined for
513 # it. (integer value)
514 #expiration_time=600
515
516 # Dogpile.cache backend module. It is recommended that
517 # Memcache (dogpile.cache.memcache) or Redis
518 # (dogpile.cache.redis) be used in production deployments.
519 # Small workloads (single process) like devstack can use the
520 # dogpile.cache.memory backend. (string value)
521 #backend=keystone.common.cache.noop
522
523 # Use a key-mangling function (sha1) to ensure fixed length
524 # cache-keys. This is toggle-able for debugging purposes, it
525 # is highly recommended to always leave this set to True.
526 # (boolean value)
527 #use_key_mangler=true
528
529 # Arguments supplied to the backend module. Specify this
530 # option once per argument to be passed to the dogpile.cache
531 # backend. Example format: "<argname>:<value>". (multi valued)
532 #backend_argument=
533
534 # Proxy Classes to import that will affect the way the
535 # dogpile.cache backend functions. See the dogpile.cache
536 # documentation on changing-backend-behavior. Comma delimited
537 # list e.g. my.dogpile.proxy.Class, my.dogpile.proxyClass2.
538 # (list value)
539 #proxies=
540
541 # Global toggle for all caching using the should_cache_fn
542 # mechanism. (boolean value)
543 #enabled=false
544
545 # Extra debugging from the cache backend (cache keys,
546 # get/set/delete/etc calls) This is only really useful if you
547 # need to see the specific cache-backend get/set/delete calls
548 # with the keys/values.  Typically this should be left set to
549 # False. (boolean value)
550 #debug_cache_backend=false
551
552
553 [catalog]
554
555 #
556 # Options defined in keystone
557 #
558
559 # Catalog template file name for use with the template catalog
560 # backend. (string value)
561 #template_file=default_catalog.templates
562
563 # Keystone catalog backend driver. (string value)
564 #driver=keystone.catalog.backends.sql.Catalog
565
566 # Maximum number of entities that will be returned in a
567 # catalog collection. (integer value)
568 #list_limit=<None>
569
570
571 [credential]
572
573 #
574 # Options defined in keystone
575 #
576
577 # Keystone Credential backend driver. (string value)
578 #driver=keystone.credential.backends.sql.Credential
579
580
581 [database]
582
583 #
584 # Options defined in keystone.openstack.common.db.options
585 #
586
587 # The file name to use with SQLite (string value)
588 #sqlite_db=keystone.sqlite
589
590 # If True, SQLite uses synchronous mode (boolean value)
591 #sqlite_synchronous=true
592
593 # The backend to use for db (string value)
594 # Deprecated group/name - [DEFAULT]/db_backend
595 #backend=sqlalchemy
596
597 # The SQLAlchemy connection string used to connect to the
598 # database (string value)
599 # Deprecated group/name - [DEFAULT]/sql_connection
600 # Deprecated group/name - [DATABASE]/sql_connection
601 # Deprecated group/name - [sql]/connection
602 #connection=<None>
603 connection = mysql://keystone:{{ KEYSTONE_DBPASS }}@{{ db_host }}/keystone
604
605 # The SQL mode to be used for MySQL sessions. This option,
606 # including the default, overrides any server-set SQL mode. To
607 # use whatever SQL mode is set by the server configuration,
608 # set this to no value. Example: mysql_sql_mode= (string
609 # value)
610 #mysql_sql_mode=TRADITIONAL
611
612 # Timeout before idle sql connections are reaped (integer
613 # value)
614 # Deprecated group/name - [DEFAULT]/sql_idle_timeout
615 # Deprecated group/name - [DATABASE]/sql_idle_timeout
616 # Deprecated group/name - [sql]/idle_timeout
617 #idle_timeout=3600
618
619 # Minimum number of SQL connections to keep open in a pool
620 # (integer value)
621 # Deprecated group/name - [DEFAULT]/sql_min_pool_size
622 # Deprecated group/name - [DATABASE]/sql_min_pool_size
623 #min_pool_size=1
624
625 # Maximum number of SQL connections to keep open in a pool
626 # (integer value)
627 # Deprecated group/name - [DEFAULT]/sql_max_pool_size
628 # Deprecated group/name - [DATABASE]/sql_max_pool_size
629 #max_pool_size=<None>
630
631 # Maximum db connection retries during startup. (setting -1
632 # implies an infinite retry count) (integer value)
633 # Deprecated group/name - [DEFAULT]/sql_max_retries
634 # Deprecated group/name - [DATABASE]/sql_max_retries
635 #max_retries=10
636
637 # Interval between retries of opening a sql connection
638 # (integer value)
639 # Deprecated group/name - [DEFAULT]/sql_retry_interval
640 # Deprecated group/name - [DATABASE]/reconnect_interval
641 #retry_interval=10
642
643 # If set, use this value for max_overflow with sqlalchemy
644 # (integer value)
645 # Deprecated group/name - [DEFAULT]/sql_max_overflow
646 # Deprecated group/name - [DATABASE]/sqlalchemy_max_overflow
647 #max_overflow=<None>
648
649 # Verbosity of SQL debugging information. 0=None,
650 # 100=Everything (integer value)
651 # Deprecated group/name - [DEFAULT]/sql_connection_debug
652 #connection_debug=0
653
654 # Add python stack traces to SQL as comment strings (boolean
655 # value)
656 # Deprecated group/name - [DEFAULT]/sql_connection_trace
657 #connection_trace=false
658
659 # If set, use this value for pool_timeout with sqlalchemy
660 # (integer value)
661 # Deprecated group/name - [DATABASE]/sqlalchemy_pool_timeout
662 #pool_timeout=<None>
663
664 # Enable the experimental use of database reconnect on
665 # connection lost (boolean value)
666 #use_db_reconnect=false
667
668 # seconds between db connection retries (integer value)
669 #db_retry_interval=1
670
671 # Whether to increase interval between db connection retries,
672 # up to db_max_retry_interval (boolean value)
673 #db_inc_retry_interval=true
674
675 # max seconds between db connection retries, if
676 # db_inc_retry_interval is enabled (integer value)
677 #db_max_retry_interval=10
678
679 # maximum db connection retries before error is raised.
680 # (setting -1 implies an infinite retry count) (integer value)
681 #db_max_retries=20
682
683
684 [ec2]
685
686 #
687 # Options defined in keystone
688 #
689
690 # Keystone EC2Credential backend driver. (string value)
691 #driver=keystone.contrib.ec2.backends.kvs.Ec2
692
693
694 [endpoint_filter]
695
696 #
697 # Options defined in keystone
698 #
699
700 # Keystone Endpoint Filter backend driver (string value)
701 #driver=keystone.contrib.endpoint_filter.backends.sql.EndpointFilter
702
703 # Toggle to return all active endpoints if no filter exists.
704 # (boolean value)
705 #return_all_endpoints_if_no_filter=true
706
707
708 [federation]
709
710 #
711 # Options defined in keystone
712 #
713
714 # Keystone Federation backend driver. (string value)
715 #driver=keystone.contrib.federation.backends.sql.Federation
716
717 # Value to be used when filtering assertion parameters from
718 # the environment. (string value)
719 #assertion_prefix=
720
721
722 [identity]
723
724 #
725 # Options defined in keystone
726 #
727
728 # This references the domain to use for all Identity API v2
729 # requests (which are not aware of domains). A domain with
730 # this ID will be created for you by keystone-manage db_sync
731 # in migration 008.  The domain referenced by this ID cannot
732 # be deleted on the v3 API, to prevent accidentally breaking
733 # the v2 API. There is nothing special about this domain,
734 # other than the fact that it must exist to order to maintain
735 # support for your v2 clients. (string value)
736 #default_domain_id=default
737
738 # A subset (or all) of domains can have their own identity
739 # driver, each with their own partial configuration file in a
740 # domain configuration directory. Only values specific to the
741 # domain need to be placed in the domain specific
742 # configuration file. This feature is disabled by default; set
743 # to True to enable. (boolean value)
744 #domain_specific_drivers_enabled=false
745
746 # Path for Keystone to locate the domain specificidentity
747 # configuration files if domain_specific_drivers_enabled is
748 # set to true. (string value)
749 #domain_config_dir=/etc/keystone/domains
750
751 # Keystone Identity backend driver. (string value)
752 #driver=keystone.identity.backends.sql.Identity
753
754 # Maximum supported length for user passwords; decrease to
755 # improve performance. (integer value)
756 #max_password_length=4096
757
758 # Maximum number of entities that will be returned in an
759 # identity collection. (integer value)
760 #list_limit=<None>
761
762
763 [kvs]
764
765 #
766 # Options defined in keystone
767 #
768
769 # Extra dogpile.cache backend modules to register with the
770 # dogpile.cache library. (list value)
771 #backends=
772
773 # Prefix for building the configuration dictionary for the KVS
774 # region. This should not need to be changed unless there is
775 # another dogpile.cache region with the same configuration
776 # name. (string value)
777 #config_prefix=keystone.kvs
778
779 # Toggle to disable using a key-mangling function to ensure
780 # fixed length keys. This is toggle-able for debugging
781 # purposes, it is highly recommended to always leave this set
782 # to True. (boolean value)
783 #enable_key_mangler=true
784
785 # Default lock timeout for distributed locking. (integer
786 # value)
787 #default_lock_timeout=5
788
789
790 [ldap]
791
792 #
793 # Options defined in keystone
794 #
795
796 # URL for connecting to the LDAP server. (string value)
797 #url=ldap://localhost
798
799 # User BindDN to query the LDAP server. (string value)
800 #user=<None>
801
802 # Password for the BindDN to query the LDAP server. (string
803 # value)
804 #password=<None>
805
806 # LDAP server suffix (string value)
807 #suffix=cn=example,cn=com
808
809 # If true, will add a dummy member to groups. This is required
810 # if the objectclass for groups requires the "member"
811 # attribute. (boolean value)
812 #use_dumb_member=false
813
814 # DN of the "dummy member" to use when "use_dumb_member" is
815 # enabled. (string value)
816 #dumb_member=cn=dumb,dc=nonexistent
817
818 # allow deleting subtrees. (boolean value)
819 #allow_subtree_delete=false
820
821 # The LDAP scope for queries, this can be either "one"
822 # (onelevel/singleLevel) or "sub" (subtree/wholeSubtree).
823 # (string value)
824 #query_scope=one
825
826 # Maximum results per page; a value of zero ("0") disables
827 # paging. (integer value)
828 #page_size=0
829
830 # The LDAP dereferencing option for queries. This can be
831 # either "never", "searching", "always", "finding" or
832 # "default". The "default" option falls back to using default
833 # dereferencing configured by your ldap.conf. (string value)
834 #alias_dereferencing=default
835
836 # Override the system's default referral chasing behavior for
837 # queries. (boolean value)
838 #chase_referrals=<None>
839
840 # Search base for users. (string value)
841 #user_tree_dn=<None>
842
843 # LDAP search filter for users. (string value)
844 #user_filter=<None>
845
846 # LDAP objectClass for users. (string value)
847 #user_objectclass=inetOrgPerson
848
849 # LDAP attribute mapped to user id. (string value)
850 #user_id_attribute=cn
851
852 # LDAP attribute mapped to user name. (string value)
853 #user_name_attribute=sn
854
855 # LDAP attribute mapped to user email. (string value)
856 #user_mail_attribute=email
857
858 # LDAP attribute mapped to password. (string value)
859 #user_pass_attribute=userPassword
860
861 # LDAP attribute mapped to user enabled flag. (string value)
862 #user_enabled_attribute=enabled
863
864 # Bitmask integer to indicate the bit that the enabled value
865 # is stored in if the LDAP server represents "enabled" as a
866 # bit on an integer rather than a boolean. A value of "0"
867 # indicates the mask is not used. If this is not set to "0"
868 # the typical value is "2". This is typically used when
869 # "user_enabled_attribute = userAccountControl". (integer
870 # value)
871 #user_enabled_mask=0
872
873 # Default value to enable users. This should match an
874 # appropriate int value if the LDAP server uses non-boolean
875 # (bitmask) values to indicate if a user is enabled or
876 # disabled. If this is not set to "True"the typical value is
877 # "512". This is typically used when "user_enabled_attribute =
878 # userAccountControl". (string value)
879 #user_enabled_default=True
880
881 # List of attributes stripped off the user on update. (list
882 # value)
883 #user_attribute_ignore=default_project_id,tenants
884
885 # LDAP attribute mapped to default_project_id for users.
886 # (string value)
887 #user_default_project_id_attribute=<None>
888
889 # Allow user creation in LDAP backend. (boolean value)
890 #user_allow_create=true
891
892 # Allow user updates in LDAP backend. (boolean value)
893 #user_allow_update=true
894
895 # Allow user deletion in LDAP backend. (boolean value)
896 #user_allow_delete=true
897
898 # If True, Keystone uses an alternative method to determine if
899 # a user is enabled or not by checking if they are a member of
900 # the "user_enabled_emulation_dn" group. (boolean value)
901 #user_enabled_emulation=false
902
903 # DN of the group entry to hold enabled users when using
904 # enabled emulation. (string value)
905 #user_enabled_emulation_dn=<None>
906
907 # List of additional LDAP attributes used for mapping
908 # Additional attribute mappings for users. Attribute mapping
909 # format is <ldap_attr>:<user_attr>, where ldap_attr is the
910 # attribute in the LDAP entry and user_attr is the Identity
911 # API attribute. (list value)
912 #user_additional_attribute_mapping=
913
914 # Search base for projects (string value)
915 #tenant_tree_dn=<None>
916
917 # LDAP search filter for projects. (string value)
918 #tenant_filter=<None>
919
920 # LDAP objectClass for projects. (string value)
921 #tenant_objectclass=groupOfNames
922
923 # LDAP attribute mapped to project id. (string value)
924 #tenant_id_attribute=cn
925
926 # LDAP attribute mapped to project membership for user.
927 # (string value)
928 #tenant_member_attribute=member
929
930 # LDAP attribute mapped to project name. (string value)
931 #tenant_name_attribute=ou
932
933 # LDAP attribute mapped to project description. (string value)
934 #tenant_desc_attribute=description
935
936 # LDAP attribute mapped to project enabled. (string value)
937 #tenant_enabled_attribute=enabled
938
939 # LDAP attribute mapped to project domain_id. (string value)
940 #tenant_domain_id_attribute=businessCategory
941
942 # List of attributes stripped off the project on update. (list
943 # value)
944 #tenant_attribute_ignore=
945
946 # Allow tenant creation in LDAP backend. (boolean value)
947 #tenant_allow_create=true
948
949 # Allow tenant update in LDAP backend. (boolean value)
950 #tenant_allow_update=true
951
952 # Allow tenant deletion in LDAP backend. (boolean value)
953 #tenant_allow_delete=true
954
955 # If True, Keystone uses an alternative method to determine if
956 # a project is enabled or not by checking if they are a member
957 # of the "tenant_enabled_emulation_dn" group. (boolean value)
958 #tenant_enabled_emulation=false
959
960 # DN of the group entry to hold enabled projects when using
961 # enabled emulation. (string value)
962 #tenant_enabled_emulation_dn=<None>
963
964 # Additional attribute mappings for projects. Attribute
965 # mapping format is <ldap_attr>:<user_attr>, where ldap_attr
966 # is the attribute in the LDAP entry and user_attr is the
967 # Identity API attribute. (list value)
968 #tenant_additional_attribute_mapping=
969
970 # Search base for roles. (string value)
971 #role_tree_dn=<None>
972
973 # LDAP search filter for roles. (string value)
974 #role_filter=<None>
975
976 # LDAP objectClass for roles. (string value)
977 #role_objectclass=organizationalRole
978
979 # LDAP attribute mapped to role id. (string value)
980 #role_id_attribute=cn
981
982 # LDAP attribute mapped to role name. (string value)
983 #role_name_attribute=ou
984
985 # LDAP attribute mapped to role membership. (string value)
986 #role_member_attribute=roleOccupant
987
988 # List of attributes stripped off the role on update. (list
989 # value)
990 #role_attribute_ignore=
991
992 # Allow role creation in LDAP backend. (boolean value)
993 #role_allow_create=true
994
995 # Allow role update in LDAP backend. (boolean value)
996 #role_allow_update=true
997
998 # Allow role deletion in LDAP backend. (boolean value)
999 #role_allow_delete=true
1000
1001 # Additional attribute mappings for roles. Attribute mapping
1002 # format is <ldap_attr>:<user_attr>, where ldap_attr is the
1003 # attribute in the LDAP entry and user_attr is the Identity
1004 # API attribute. (list value)
1005 #role_additional_attribute_mapping=
1006
1007 # Search base for groups. (string value)
1008 #group_tree_dn=<None>
1009
1010 # LDAP search filter for groups. (string value)
1011 #group_filter=<None>
1012
1013 # LDAP objectClass for groups. (string value)
1014 #group_objectclass=groupOfNames
1015
1016 # LDAP attribute mapped to group id. (string value)
1017 #group_id_attribute=cn
1018
1019 # LDAP attribute mapped to group name. (string value)
1020 #group_name_attribute=ou
1021
1022 # LDAP attribute mapped to show group membership. (string
1023 # value)
1024 #group_member_attribute=member
1025
1026 # LDAP attribute mapped to group description. (string value)
1027 #group_desc_attribute=description
1028
1029 # List of attributes stripped off the group on update. (list
1030 # value)
1031 #group_attribute_ignore=
1032
1033 # Allow group creation in LDAP backend. (boolean value)
1034 #group_allow_create=true
1035
1036 # Allow group update in LDAP backend. (boolean value)
1037 #group_allow_update=true
1038
1039 # Allow group deletion in LDAP backend. (boolean value)
1040 #group_allow_delete=true
1041
1042 # Additional attribute mappings for groups. Attribute mapping
1043 # format is <ldap_attr>:<user_attr>, where ldap_attr is the
1044 # attribute in the LDAP entry and user_attr is the Identity
1045 # API attribute. (list value)
1046 #group_additional_attribute_mapping=
1047
1048 # CA certificate file path for communicating with LDAP
1049 # servers. (string value)
1050 #tls_cacertfile=<None>
1051
1052 # CA certificate directory path for communicating with LDAP
1053 # servers. (string value)
1054 #tls_cacertdir=<None>
1055
1056 # Enable TLS for communicating with LDAP servers. (boolean
1057 # value)
1058 #use_tls=false
1059
1060 # valid options for tls_req_cert are demand, never, and allow.
1061 # (string value)
1062 #tls_req_cert=demand
1063
1064
1065 [matchmaker_ring]
1066
1067 #
1068 # Options defined in oslo.messaging
1069 #
1070
1071 # Matchmaker ring file (JSON). (string value)
1072 # Deprecated group/name - [DEFAULT]/matchmaker_ringfile
1073 #ringfile=/etc/oslo/matchmaker_ring.json
1074
1075
1076 [memcache]
1077
1078 #
1079 # Options defined in keystone
1080 #
1081
1082 # Memcache servers in the format of "host:port" (list value)
1083 #servers=localhost:11211
1084
1085 # Number of compare-and-set attempts to make when using
1086 # compare-and-set in the token memcache back end. (integer
1087 # value)
1088 #max_compare_and_set_retry=16
1089
1090
1091 [oauth1]
1092
1093 #
1094 # Options defined in keystone
1095 #
1096
1097 # Keystone Credential backend driver. (string value)
1098 #driver=keystone.contrib.oauth1.backends.sql.OAuth1
1099
1100 # Duration (in seconds) for the OAuth Request Token. (integer
1101 # value)
1102 #request_token_duration=28800
1103
1104 # Duration (in seconds) for the OAuth Access Token. (integer
1105 # value)
1106 #access_token_duration=86400
1107
1108
1109 [os_inherit]
1110
1111 #
1112 # Options defined in keystone
1113 #
1114
1115 # role-assignment inheritance to projects from owning domain
1116 # can be optionally enabled. (boolean value)
1117 #enabled=false
1118
1119
1120 [paste_deploy]
1121
1122 #
1123 # Options defined in keystone
1124 #
1125
1126 # Name of the paste configuration file that defines the
1127 # available pipelines. (string value)
1128 #config_file=keystone-paste.ini
1129
1130
1131 [policy]
1132
1133 #
1134 # Options defined in keystone
1135 #
1136
1137 # Keystone Policy backend driver. (string value)
1138 #driver=keystone.policy.backends.sql.Policy
1139
1140 # Maximum number of entities that will be returned in a policy
1141 # collection. (integer value)
1142 #list_limit=<None>
1143
1144
1145 [revoke]
1146
1147 #
1148 # Options defined in keystone
1149 #
1150
1151 # An implementation of the backend for persisting revocation
1152 # events. (string value)
1153 #driver=keystone.contrib.revoke.backends.kvs.Revoke
1154
1155 # This value (calculated in seconds) is added to token
1156 # expiration before a revocation event may be removed from the
1157 # backend. (integer value)
1158 #expiration_buffer=1800
1159
1160 # Toggle for revocation event cacheing. This has no effect
1161 # unless global caching is enabled. (boolean value)
1162 #caching=true
1163
1164
1165 [signing]
1166
1167 #
1168 # Options defined in keystone
1169 #
1170
1171 # Deprecated in favor of provider in the [token] section.
1172 # (string value)
1173 #token_format=<None>
1174
1175 # Path of the certfile for token signing. (string value)
1176 #certfile=/etc/keystone/ssl/certs/signing_cert.pem
1177
1178 # Path of the keyfile for token signing. (string value)
1179 #keyfile=/etc/keystone/ssl/private/signing_key.pem
1180
1181 # Path of the CA for token signing. (string value)
1182 #ca_certs=/etc/keystone/ssl/certs/ca.pem
1183
1184 # Path of the CA Key for token signing. (string value)
1185 #ca_key=/etc/keystone/ssl/private/cakey.pem
1186
1187 # Key Size (in bits) for token signing cert (auto generated
1188 # certificate). (integer value)
1189 #key_size=2048
1190
1191 # Day the token signing cert is valid for (auto generated
1192 # certificate). (integer value)
1193 #valid_days=3650
1194
1195 # Certificate Subject (auto generated certificate) for token
1196 # signing. (string value)
1197 #cert_subject=/C=US/ST=Unset/L=Unset/O=Unset/CN=www.example.com
1198
1199
1200 [ssl]
1201
1202 #
1203 # Options defined in keystone
1204 #
1205
1206 # Toggle for SSL support on the keystone eventlet servers.
1207 # (boolean value)
1208 #enable=false
1209
1210 # Path of the certfile for SSL. (string value)
1211 #certfile=/etc/keystone/ssl/certs/keystone.pem
1212
1213 # Path of the keyfile for SSL. (string value)
1214 #keyfile=/etc/keystone/ssl/private/keystonekey.pem
1215
1216 # Path of the ca cert file for SSL. (string value)
1217 #ca_certs=/etc/keystone/ssl/certs/ca.pem
1218
1219 # Path of the CA key file for SSL. (string value)
1220 #ca_key=/etc/keystone/ssl/private/cakey.pem
1221
1222 # Require client certificate. (boolean value)
1223 #cert_required=false
1224
1225 # SSL Key Length (in bits) (auto generated certificate).
1226 # (integer value)
1227 #key_size=1024
1228
1229 # Days the certificate is valid for once signed (auto
1230 # generated certificate). (integer value)
1231 #valid_days=3650
1232
1233 # SSL Certificate Subject (auto generated certificate).
1234 # (string value)
1235 #cert_subject=/C=US/ST=Unset/L=Unset/O=Unset/CN=localhost
1236
1237
1238 [stats]
1239
1240 #
1241 # Options defined in keystone
1242 #
1243
1244 # Keystone stats backend driver. (string value)
1245 #driver=keystone.contrib.stats.backends.kvs.Stats
1246
1247
1248 [token]
1249
1250 #
1251 # Options defined in keystone
1252 #
1253
1254 # External auth mechanisms that should add bind information to
1255 # token e.g. kerberos, x509. (list value)
1256 #bind=
1257
1258 # Enforcement policy on tokens presented to keystone with bind
1259 # information. One of disabled, permissive, strict, required
1260 # or a specifically required bind mode e.g. kerberos or x509
1261 # to require binding to that authentication. (string value)
1262 #enforce_token_bind=permissive
1263
1264 # Amount of time a token should remain valid (in seconds).
1265 # (integer value)
1266 #expiration=3600
1267
1268 # Controls the token construction, validation, and revocation
1269 # operations. Core providers are
1270 # "keystone.token.providers.[pki|uuid].Provider". (string
1271 # value)
1272 provider=keystone.token.providers.uuid.Provider
1273
1274 # Keystone Token persistence backend driver. (string value)
1275 driver=keystone.token.persistence.backends.sql.Token
1276
1277 # Toggle for token system cacheing. This has no effect unless
1278 # global caching is enabled. (boolean value)
1279 #caching=true
1280
1281 # Time to cache the revocation list and the revocation events
1282 # if revoke extension is enabled (in seconds). This has no
1283 # effect unless global and token caching are enabled. (integer
1284 # value)
1285 revocation_cache_time=3600
1286
1287 # Time to cache tokens (in seconds). This has no effect unless
1288 # global and token caching are enabled. (integer value)
1289 #cache_time=<None>
1290
1291 # Revoke token by token identifier.  Setting revoke_by_id to
1292 # True enables various forms of enumerating tokens, e.g. `list
1293 # tokens for user`.  These enumerations are processed to
1294 # determine the list of tokens to revoke.   Only disable if
1295 # you are switching to using the Revoke extension with a
1296 # backend other than KVS, which stores events in memory.
1297 # (boolean value)
1298 #revoke_by_id=true
1299
1300
1301 [trust]
1302
1303 #
1304 # Options defined in keystone
1305 #
1306
1307 # delegation and impersonation features can be optionally
1308 # disabled. (boolean value)
1309 #enabled=true
1310
1311 # Keystone Trust backend driver. (string value)
1312 #driver=keystone.trust.backends.sql.Trust
1313
1314
1315 [extra_headers]
1316 Distribution = Ubuntu
1317