Speaker
Description
Il sistema messo a punto ai Laboratori Nazionali di Frascati serve a estendere l'infrastruttura di identità nazionale dell'INFN per soddisfare le esigenze operative del sito. In particolare, si concentra sull'accesso degli utenti esterni autenticati tramite AAI alle interfacce utente delle Bubble HPC gestite con Slurm.
Il progetto nasce dalla necessità di offrire un punto di ingresso controllato e coerente con il modello di sicurezza dell'INFN, senza alterare l'albero di directory nazionale. La soluzione si basa su un server OpenLDAP locale configurato con backend MDB e overlay translucent, che opera come proxy arricchito verso i Directory System Agent (DSA) nazionali dell'INFN.
Il server mantiene due basi dati distinte: una per i gruppi specifici del sito e l'altra per gli attributi POSIX necessari all'ambiente HPC, come uidNumber, gidNumber, loginShell e homeDirectory, che non sono presenti nell'albero centrale. L'overlay translucent fonde dinamicamente questi dati locali con quelli provenienti dall'LDAP nazionale, operando in modalità strict per impedire qualsiasi scrittura verso monte.
L'autenticazione è interamente delegata all'infrastruttura nazionale: tutte le operazioni di bind vengono inoltrate ai server dell'INFN, che le gestiscono tramite Kerberos di sezione o altri meccanismi centrali. Questa scelta evita la proliferazione di domini di autenticazione paralleli e preserva la catena di trust ufficiale dell'ente.
I client Linux, compresi i nodi di accesso alle Bubble HPC, utilizzano SSSD per ottenere una vista unificata e coerente dell'identità. Gli attributi anagrafici e istituzionali provengono dal DSA nazionale, mentre gli attributi POSIX e i gruppi locali sono forniti direttamente dal server translucent. L'autenticazione resta completamente delegata allo stack centrale dell'INFN, senza alcuna gestione locale delle credenziali.
Questo approccio dimostra come sia possibile integrare requisiti POSIX locali in un'infrastruttura di identità federata, senza duplicare le informazioni già presenti né compromettere l'integrità, offrendo un modello di autenticazione trasparente per gli utenti sparsi nelle varie sedi dell'INFN.