<p dir="ltr"><br>
On Oct 5, 2015 21:33, &quot;Stan Silvert&quot; &lt;<a href="mailto:ssilvert@redhat.com">ssilvert@redhat.com</a>&gt; wrote:<br>
&gt;<br>
&gt; On 10/5/2015 2:26 PM, Thomas Raehalme wrote:<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; On Oct 5, 2015 21:24, &quot;Bill Burke&quot; &lt;<a href="mailto:bburke@redhat.com">bburke@redhat.com</a>&gt; wrote:<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; I&#39;m still averse to allowing export from admin console of any<br>
&gt;&gt; &gt; credentials or private keys.<br>
&gt;&gt;<br>
&gt;&gt; Even if they are not directly downloadable but require access to the server just like now?<br>
&gt;<br>
&gt; I think there should be no secrets ever downloadable from admin console.  Admin console is, by definition, remote.<br>
&gt;<br>
&gt; If you have access to the server then you can use what is there now.<br>
&gt;<br>
&gt; It is possible, however, that when we do our CLI implementation we can verify that the user is local and allow full access.  That way, you could do full export on a running server.  WildFly CLI already has logic to verify a user is local.</p>
<p dir="ltr">I guess that would be equal in terms of functionality, you just start the export from the CLI instead of from the admin console.<br><br></p>
<p dir="ltr">&gt;<br>
&gt;<br>
&gt;&gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; On 10/5/2015 2:02 PM, Stan Silvert wrote:<br>
&gt;&gt; &gt; &gt; I&#39;m actually starting on the design and implementation of this right<br>
&gt;&gt; &gt; &gt; now.  It&#39;s import/export from the admin console.  It will also have the<br>
&gt;&gt; &gt; &gt; ability to import/export partial pieces of a realm such as just users.<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; Thanks for the comments so far on this thread.  They have been very helpful.<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; We will keep the idea that no secrets should ever be exported from admin<br>
&gt;&gt; &gt; &gt; console.  I&#39;m not sure that having a flag for it in keycloak-server.json<br>
&gt;&gt; &gt; &gt; helps.  To edit keycloak-server.json, you need access to the server, in<br>
&gt;&gt; &gt; &gt; which case you might as well do the current import/export.<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; So what do you do after you import a user with no credentials? Some ideas:<br>
&gt;&gt; &gt; &gt; * The administrator can reset the password manually.<br>
&gt;&gt; &gt; &gt; * The user can do password recovery (if enabled)<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; An other ideas?<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; Stan<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; On 10/5/2015 12:34 PM, Tim Dudgeon wrote:<br>
&gt;&gt; &gt; &gt;&gt; That&#39;s a good point. Having to stop/start the server to generate an<br>
&gt;&gt; &gt; &gt;&gt; export is not ideal.<br>
&gt;&gt; &gt; &gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt; Tim<br>
&gt;&gt; &gt; &gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt; On 05/10/2015 11:56, Thomas Raehalme wrote:<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt; On Mon, Oct 5, 2015 at 2:47 AM, Bill Burke &lt;<a href="mailto:bburke@redhat.com">bburke@redhat.com</a><br>
&gt;&gt; &gt; &gt;&gt;&gt; &lt;mailto:<a href="mailto:bburke@redhat.com">bburke@redhat.com</a>&gt;&gt; wrote:<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;     On 10/4/2015 5:37 PM, Thomas Raehalme wrote:<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;         On Oct 4, 2015 23:57, &quot;Bill Burke&quot; &lt;<a href="mailto:bburke@redhat.com">bburke@redhat.com</a><br>
&gt;&gt; &gt; &gt;&gt;&gt;         &lt;mailto:<a href="mailto:bburke@redhat.com">bburke@redhat.com</a> &lt;mailto:<a href="mailto:bburke@redhat.com">bburke@redhat.com</a>&gt;&gt;&gt; wrote:<br>
&gt;&gt; &gt; &gt;&gt;&gt;          &gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;          &gt; For security reasons we did not want to have a remote<br>
&gt;&gt; &gt; &gt;&gt;&gt;         option to export.<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt; How about just storing the export as a local file on the server?<br>
&gt;&gt; &gt; &gt;&gt;&gt; You&#39;d need access to the server in order to get the file (making the<br>
&gt;&gt; &gt; &gt;&gt;&gt; system compromised anyways). The change to current behaviour is that<br>
&gt;&gt; &gt; &gt;&gt;&gt; you would be able to trigger the export at will without server restart.<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt; Best regards,<br>
&gt;&gt; &gt; &gt;&gt;&gt; Thomas<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;&gt; _______________________________________________<br>
&gt;&gt; &gt; &gt;&gt;&gt; keycloak-user mailing list<br>
&gt;&gt; &gt; &gt;&gt;&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt;&gt; &gt; &gt;&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;&gt; &gt; &gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt;<br>
&gt;&gt; &gt; &gt;&gt; _______________________________________________<br>
&gt;&gt; &gt; &gt;&gt; keycloak-user mailing list<br>
&gt;&gt; &gt; &gt;&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt;&gt; &gt; &gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt; &gt; _______________________________________________<br>
&gt;&gt; &gt; &gt; keycloak-user mailing list<br>
&gt;&gt; &gt; &gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt;&gt; &gt; &gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;&gt; &gt; &gt;<br>
&gt;&gt; &gt;<br>
&gt;&gt; &gt; --<br>
&gt;&gt; &gt; Bill Burke<br>
&gt;&gt; &gt; JBoss, a division of Red Hat<br>
&gt;&gt; &gt; <a href="http://bill.burkecentral.com">http://bill.burkecentral.com</a><br>
&gt;&gt; &gt; _______________________________________________<br>
&gt;&gt; &gt; keycloak-user mailing list<br>
&gt;&gt; &gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt;&gt; &gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt;<br>
&gt;&gt; _______________________________________________<br>
&gt;&gt; keycloak-user mailing list<br>
&gt;&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt;&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
&gt;<br>
&gt;<br>
&gt;<br>
&gt; _______________________________________________<br>
&gt; keycloak-user mailing list<br>
&gt; <a href="mailto:keycloak-user@lists.jboss.org">keycloak-user@lists.jboss.org</a><br>
&gt; <a href="https://lists.jboss.org/mailman/listinfo/keycloak-user">https://lists.jboss.org/mailman/listinfo/keycloak-user</a><br>
</p>