Choose timezone
Your profile timezone:
Powered by Indico
v3.3.3
Minute Multilaterale 29/9/2022
Attendees
Falabella, Vianello, Sapunenko, Fattibene, Morganti, Fornari, Diotalevi, Agostini, Miccoli, Cappelli, Pascolini, Giacomini, Alkhansa, Costantini, Cesini, Cappelli, Soares
Carmelo
ssh service: Endpoint di trasferimento dati basato su ssh per scp, sftp, rsync. Questi nodi dovranno essere dei nodi nologin.
Vladimir è interessato a validare meglio casi d'suo specifici, in particolare tematiche di sicurezza.
Giacomini ritiene più opportuno la discussione a livello Tier1.
Job che usi token aggiornati: Lato SD il commento è che ancora il flow non è stato ancora definito. La scelta di come gestire questo
dipende dal framework di esperimento. Il modo deve derivare da loro.
Carmelo propone di mettere dei access token in un FS condiviso
Giacomini chiede se è una cosa da proporre in generale o qualcosa che implementiamo al CNAF per risolvere il problema.
Giacomini propone che il client potrebbe firmare un jwt token (evita di mandare client ID e secret)
Questo è disponibile già in IAM 1.8
https://indigo-iam.github.io/v/v1.8.0/docs/tasks/user/jwt-authn/
Documentazione anche nel pre-gdb di Ottobre 2022
https://indico.cern.ch/event/1185598/
Per Giacomini il refresh token non deve lasciare il client quindi lasciarlo in un FS condiviso non è accettabile per lo standard.
Attualemente si può implementare un meccanismo per cui una ui può consegnare un token per creare un access token così il job può usarlo (jwta).
Con IAM 1.7 questo non funziona.
Federica dice che in questo modo l'autorizzazione basata sui gruppi dell'utente allora non possono funzionare.
Flusso autenticazione con client credentials autorizzazione solo con scopes.
Per gestire i gruppi va pensata una soluzione adeguata.
Fornari
Presentazione del lavoro fatto (vedi slides in agenda).
Giacomini: Il claim azp è un client id dell'id token ma non è dentro l'access token. S3fs non fa caching?!
Diego: Cache si usa in scenari dove i dati non sono su FS distribuito come le home
Ahmad presenta la sua parte di presentazione.
Diego: Follow-up Rimini. Spiga ha il compito di fornire una soluzione per l'accesso "tipo home". Riunione 4 Novembre.
Studiare la possibilità di esporre un server SSH su general public Internet per trasferimento dati verso lo storage di esperimento e user home directory. Il server dovrebbe permettere l'uso di scp, sftp e rsync. Le shell di login dovrebbero essere disabilitate. L'autenticazione dovrebbe avvenire con le credenziali bastion.