<div dir="auto">I realise not helpful with Lustre but we are using NFSv4 with krb5p mounts to encrypt in flight.<div dir="auto"><br></div><div dir="auto">Also AUKS to make the Kerberos tickets available to the compute nodes, an idea from CERN.</div><div dir="auto"><br></div><div dir="auto">All our nodes are AD integrated, so if the user is authenticated by AD they can access the data, and not otherwise.</div><div dir="auto"><br></div><div dir="auto">Authorization is by AD group membership, with RFC2307 attributes in AD so we have username mapping. That is why we use NFSv4.</div><div dir="auto"><br></div><div dir="auto">That suits NGS as most of the software isn't written for MPI or other ways where a real cluster file system is needed. </div><div dir="auto"><br></div><div dir="auto">An advantage is that the users don't really see anything unusual apart from having to login with a password,  as GSSAPI cannot work with this setup. </div><div dir="auto"><br></div><div dir="auto"><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 14 Dec 2021, 20:24 Michał Kadlof, <<a href="mailto:m.kadlof@mini.pw.edu.pl">m.kadlof@mini.pw.edu.pl</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
some of my users work with "sensitive data". Currently we use standard <br>
unix groups with ACLs to limit access but I wonder if there is any way <br>
to keep data encrypted (for example with gpg) and decrypt them "on the <br>
fly" in Slurm job and then encrypt the results again after the job is <br>
finished.<br>
<br>
We store users homes on lustre shared filesystem if it matter...<br>
<br>
Are there any recommendations, guides or "best practices" how to keep <br>
such data safe?<br>
<br>
-- <br>
cheers<br>
Michał Kadlof<br>
<br>
<br>
</blockquote></div>