Name: Multilaterale SD-Storage-User support
Start: 2022-10-27T14:00:00+02:00
End: 2022-10-27T15:30:00+02:00
Location: No location set

- 1
  
  Report su studio MinIO e RadosGW
  
  Minutes
  
  Speaker: Federico Fornari (Istituto Nazionale di Fisica Nucleare)
  
  MinIO-RadosGW.pdf
  
  Minute Multilaterale 29/9/2022
  
  Attendees
  Falabella, Vianello, Sapunenko, Fattibene, Morganti, Fornari, Diotalevi, Agostini, Miccoli, Cappelli, Pascolini, Giacomini, Alkhansa, Costantini, Cesini, Cappelli, Soares
  
  Carmelo
  ssh service: Endpoint di trasferimento dati basato su ssh per scp, sftp, rsync. Questi nodi dovranno essere dei nodi nologin.
  Vladimir è interessato a validare meglio casi d'suo specifici, in particolare tematiche di sicurezza.
  
  Giacomini ritiene più opportuno la discussione a livello Tier1.
  
  Job che usi token aggiornati: Lato SD il commento è che ancora il flow non è stato ancora definito. La scelta di come gestire questo
  dipende dal framework di esperimento. Il modo deve derivare da loro.
  
  Carmelo propone di mettere dei access token in un FS condiviso
  
  Giacomini chiede se è una cosa da proporre in generale o qualcosa che implementiamo al CNAF per risolvere il problema.
  
  Giacomini propone che il client potrebbe firmare un jwt token (evita di mandare client ID e secret)
  Questo è disponibile già in IAM 1.8
  
  https://indigo-iam.github.io/v/v1.8.0/docs/tasks/user/jwt-authn/
  
  Documentazione anche nel pre-gdb di Ottobre 2022
  
  https://indico.cern.ch/event/1185598/
  
  Per Giacomini il refresh token non deve lasciare il client quindi lasciarlo in un FS condiviso non è accettabile per lo standard.
  
  Attualemente si può implementare un meccanismo per cui una ui può consegnare un token per creare un access token così il job può usarlo (jwta).
  Con IAM 1.7 questo non funziona.
  
  Federica dice che in questo modo l'autorizzazione basata sui gruppi dell'utente allora non possono funzionare.
  Flusso autenticazione con client credentials autorizzazione solo con scopes.
  Per gestire i gruppi va pensata una soluzione adeguata.
  
  Fornari
  Presentazione del lavoro fatto (vedi slides in agenda).
  
  Giacomini: Il claim azp è un client id dell'id token ma non è dentro l'access token. S3fs non fa caching?!
  
  Diego: Cache si usa in scenari dove i dati non sono su FS distribuito come le home
  
  Ahmad presenta la sua parte di presentazione.
  
  Diego: Follow-up Rimini. Spiga ha il compito di fornire una soluzione per l'accesso "tipo home". Riunione 4 Novembre.
- 2
  
  ssh service
  
  Studiare la possibilità di esporre un server SSH su general public Internet per trasferimento dati verso lo storage di esperimento e user home directory. Il server dovrebbe permettere l'uso di scp, sftp e rsync. Le shell di login dovrebbero essere disabilitate. L'autenticazione dovrebbe avvenire con le credenziali bastion.
  
  Speaker: Carmelo Pellegrino (Istituto Nazionale di Fisica Nucleare)