<div dir="ltr"><div>Hi,</div><div><br></div><div>I think you should look at pam_keyinit and add it to the slurm pam (the one used with the UsePAM configuration).<br></div><div>We currently don't do this, but it's on the todo list to check it out... (so I'm not sure if it will work, or if it's the right way to do this).<br></div><div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 23 Aug 2022 at 16:36, Matthias Leopold <<a href="mailto:matthias.leopold@meduniwien.ac.at">matthias.leopold@meduniwien.ac.at</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hi,<br>
<br>
I want to access the kernel "user" keyrings inside a Slurm job on a <br>
Ubuntu 20.04 node. I'm not an expert on keyrings (yet), I just <br>
discovered that inside a Slurm job a keyring for "user: invocation_id" <br>
is used, which seems to be shared across all users of the executing <br>
Slurm node (other users can access/destroy my keys).<br>
<br>
The structure in a session run from Slurm looks like this (when using <br>
cifscreds):<br>
<br>
Session Keyring<br>
<br>
  989278347 --alswrv      0     0  keyring: _ses<br>
<br>
  446567140 ----s-rv      0     0   \_ user: invocation_id<br>
<br>
  638050420 ----sw-v  35816 10513   \_ logon: cifs:d:itsc-test2<br>
<br>
<br>
The structure in a SSH session looks like this (when using cifscreds):<br>
<br>
Session Keyring<br>
<br>
  932177825 --alswrv   1000  1000  keyring: _ses<br>
<br>
  826996940 --alswrv   1000 65534   \_ keyring: _uid.1000<br>
<br>
1006610690 ----sw-v   1000  1000   \_ logon: cifs:d:itsc-test2<br>
<br>
<br>
I researched about this invocation_id and found a section on <br>
"KeyringMode=" in systemd.exec man page, but that didn't really help me.<br>
<br>
Can you explain to me how it would be possible to get "private" keyrings <br>
inside a Slurm job on the executing node?<br>
<br>
thx<br>
Matthias<br>
<br>
</blockquote></div><br clear="all"><br>-- <br><div dir="ltr" class="gmail_signature"><div dir="ltr">
    <div>
      <pre style="font-family:monospace">  <span style="color:rgb(133,12,27)">/|</span>       |
  <span style="color:rgb(133,12,27)">\/</span>       | <span style="color:rgb(51,88,104);font-weight:bold">Yair Yarom </span><span style="color:rgb(51,88,104)">| System Group (DevOps)</span>
  <span style="color:rgb(92,181,149)">[]</span>       | <span style="color:rgb(51,88,104);font-weight:bold">The Rachel and Selim Benin School</span>
  <span style="color:rgb(92,181,149)">[]</span> <span style="color:rgb(133,12,27)">/\</span>    | <span style="color:rgb(51,88,104);font-weight:bold">of Computer Science and Engineering</span>
  <span style="color:rgb(92,181,149)">[]</span><span style="color:rgb(0,161,146)">//</span><span style="color:rgb(133,12,27)">\</span><span style="color:rgb(133,12,27)">\</span><span style="color:rgb(49,154,184)">/</span>  | <span style="color:rgb(51,88,104)">The Hebrew University of Jerusalem</span>
  <span style="color:rgb(92,181,149)">[</span><span style="color:rgb(1,84,76)">/</span><span style="color:rgb(0,161,146)">/</span>  <span style="color:rgb(41,16,22)">\</span><span style="color:rgb(41,16,22)">\</span>  | <span style="color:rgb(51,88,104)">T +972-2-5494522 | F +972-2-5494522</span>
  <span style="color:rgb(1,84,76)">//</span>    <span style="color:rgb(21,122,134)">\</span>  | <span style="color:rgb(51,88,104)"><a href="mailto:irush@cs.huji.ac.il" target="_blank">irush@cs.huji.ac.il</a></span>
 <span style="color:rgb(127,130,103)">/</span><span style="color:rgb(1,84,76)">/</span>        |
</pre>
    </div>
  

</div></div>