Установите безопасность кластера планировщика задания MATLAB

Установите уровень безопасности

Вы устанавливаете уровень безопасности Планировщика MATLAB® Job с SECURITY_LEVEL параметр в mjs_def файл прежде, чем запустить mjs сервис на ваши кластерные узлы. mjs_def файл указывает на то, какие значения позволены, и кратко описывает каждый уровень безопасности.

Следующая таблица описывает доступные уровни безопасности для доступа к Планировщику Задания MATLAB и его заданиям.

Уровень безопасностиОписаниеТребования пользователя
0

Никакая безопасность.

  • Любой пользователь может получить доступ к любому заданию.

  • Задачи запускаются как пользователь, который запустил mjs процесс на машинах рабочего (обычно корневая или Локальная Система).

  • Это - значение по умолчанию и является поведением во всех релизах до R2010b.

  • Задания сопоставлены с именем пользователя по умолчанию программиста, но никакая защита не обеспечена.

1

Задания идентифицированы с подчиняющимся пользователем.

  • Любой пользователь может получить доступ к любому заданию; диалоговое окно предупреждает, если задание, к которому получают доступ, принадлежит другому пользователю.

  • Задачи запускаются как пользователь, который запустил mjs процесс на машинах рабочего (обычно корневая или Локальная Система).

  • Диалоговое окно требует, чтобы вы установили имя пользователя, когда вы сначала получаете доступ к менеджеру по заданию.

  • Ваше имя пользователя Планировщика Задания MATLAB не должно совпадать с вашим именем системы/пользователя сети.

  • Никакие пароли не используются.

2

Менеджер по заданию защита паролем Планировщика Задания MATLAB на заданиях.

  • Задания и задачи идентифицированы с подчиняющимся пользователем и защищены паролем. Другие неавторизованные пользователи не могут получить доступ к вашим заданиям.

  • Задачи запускаются как пользователь, который запустил mjs процесс на машинах рабочего (обычно корневая или Локальная Система).

  • Когда вы запускаете Планировщик Задания MATLAB, он предлагает вам обеспечивать новый пароль для той учетной записи администратора менеджера по заданию, которая может использоваться для доступа к заданиям и задачам всех пользователей.

  • Диалоговое окно требует, чтобы вы установили имя пользователя и пароль, когда вы сначала получаете доступ к Планировщику Задания MATLAB от клиента MATLAB.

  • Ваше имя пользователя и пароль Планировщика Задания MATLAB не должно совпадать с вашим именем и паролем системы/пользователя сети.

3

В дополнение к безопасности уровня 2, задачи, запущенные как подчиняющийся пользователь на машинах рабочего.

  • Задания и задачи идентифицированы с подчиняющимся пользователем и защищены паролем. Другие неавторизованные пользователи не могут получить доступ к вашим заданиям.

  • Задачи запускаются как пользователь, который представил задание.

  • Планировщик Задания MATLAB должен использовать безопасную связь с рабочими (набор в mjs_def файл).

  • Когда вы запускаете Планировщик Задания MATLAB, он предлагает вам обеспечивать новый пароль для той учетной записи администратора менеджера по заданию, которая может использоваться для доступа к заданиям и задачам всех пользователей.

  • Диалоговое окно требует, чтобы вы установили имя пользователя и пароль, когда вы сначала получаете доступ к Планировщику Задания MATLAB от клиента MATLAB.

  • Ваше имя пользователя и пароль Планировщика Задания менеджера по заданию MATLAB должно совпасть с вашим именем и паролем системы/пользователя сети, потому что рабочий должен регистрировать вас в запустить задачу как вы.

  • Все пользователи, что задачи, запущенные как, потребуйте чтения и полномочий записи к CHECKPOINTBASE папка и все ее подпапки.

  • В системах UNIX mjs процесс на кластерных узлах должен быть запущен полностью пользователь.

  • В системах Windows подчиняющийся пользователь должен иметь, "Позволяют вход в систему локально" разрешение, позволенное на каждой машине рабочего успешно запускать задания в кластере. Если это разрешение будет отключено, все представленные задания перестанут работать, когда запущено с помощью кластера.

    Чтобы включить это разрешение, измените SeInteractiveLogonRight постоянный для пользователя в Пользовательских настройках политики безопасности Присвоения Прав для каждой машины в кластере.

Менеджер по заданию и рабочие должны запуститься на том же уровне безопасности. Рабочий, запускающийся на слишком низком уровне безопасности, не укажет с менеджером по заданию, потому что менеджер по заданию не доверяет ему.

Локальный, планировщик задания MATLAB и сетевые пароли

Для любой безопасности выше уровня 0, когда вы запускаете Планировщик Задания MATLAB (например, с startjobmanager команда), кластерная учетная запись пользователя под названием admin создается для этого кластера, и вам предлагают обеспечить пароль для этой новой учетной записи. Кластерный admin учетная запись имеет все необходимые полномочия для доступа к кластеру и всем его заданиям.

Для любого уровня безопасности Планировщик Задания MATLAB идентифицирует каждое задание с пользователем, который представляет задание. Поэтому каждый раз, когда вы получаете доступ к Планировщику Задания MATLAB или заданию, Планировщик Задания MATLAB должен знать, кто вы.

На уровне безопасности 0, Планировщике Задания MATLAB и объекты задания UserName свойство установлено в имя для входа в систему человека, который создает задание; эти настройки могут быть изменены в любое время. Для всех уровней повышения уровня защиты первый доступ к Планировщику Задания MATLAB заставляет диалоговое окно открываться, который просит ваше имя пользователя; если уровень безопасности равняется 2 или 3, необходимо также обеспечить пароль. Имя пользователя и пароль, вы предусматриваете Планировщик Задания MATLAB, должны совпадать с вашим сетевым именем пользователя и паролем, только если вы используете уровень безопасности 3; в противном случае можно создать новое имя пользователя и пароль, уникальный для Планировщика Задания MATLAB. Для вашего удобства можно выбрать, сколько времени сохранить имя пользователя и пароль на локальном компьютере, так, чтобы вы не должны были вводить их каждый раз, когда вы получаете доступ к своему заданию.

Для получения информации об изменении пароля и выходить из Планировщика Задания MATLAB, смотрите changePassword (Parallel Computing Toolbox) и logout (Parallel Computing Toolbox).

Авторизуйте пользователей для задания и задачи доступ

В этом примере показано, как разрешить пользователей получать доступ к вашему заданию в кластере Планировщика Задания MATLAB с уровнем безопасности 2 или 3. Для уровня безопасности 2 и 3, когда вы создаете и представляете задание кластеру Планировщика Задания MATLAB, задания и задачи идентифицированы с подчиняющимся пользователем. Эти задания и задачи защищены паролем, и поэтому другие неавторизованные пользователи не могут получить доступ к вашим заданиям.

Используйте parcluster создать кластерный объект с помощью кластерного профиля 'MyMJSCluster'. Замените 'MyMJSCluster' с именем вашего кластерного профиля. Затем используйте batch создать и представить задание в кластере.

c = parcluster('MyMJSCluster');
j = batch(c,@rand,1,{2});

Можно использовать AuthorizedUsers из задания, чтобы авторизовать пользовательский доступ к заданию и задание и задачи. Каждый пользователь, которого вы задаете, должно быть, ранее взаимодействовал с кластером Планировщика Задания MATLAB. Авторизовать доступ к заданию для пользователей "user1" и "user2", установите AuthorizedUsers из задания к ["user1","user2"].

j.AuthorizedUsers = ["user1","user2"];

Установите безопасную коммуникацию

Чтобы установить безопасную зашифрованную связь между MATLAB, Джоб Шедулер, клиент и рабочие, установил

  • USE_SECURE_COMMUNICATION = true

  • ALL_SERVER_SOCKETS_IN_CLUSTER = true (значение по умолчанию)

в mjs_def файл. Безопасная зашифрованная коммуникация обеспечивается через SSLSocket, использующий TLSv1.2 только.

Примечание

Если ALL_SERVER_SOCKETS_IN_CLUSTER = false в mjs_def файл, затем безопасная зашифрованная коммуникация устанавливается между Планировщиком Задания MATLAB и рабочими только.

Необходимо также ввести значение для SHARED_SECRET_FILE параметр в mjs_def файл, идентифицируя, где файл может быть найден с точки зрения Планировщика Задания MATLAB. Чтобы создать этот файл, запустите любой скрипт:

  • matlabroot/toolbox/parallel/bin/createSharedSecret Unix

  • matlabroot\toolbox\parallel\bin\createSharedSecret.bat Windows

Секретный файл устанавливает доверие между процессами на различных машинах.

  • В совместно используемой файловой системе все узлы могут указать на тот же секретный файл, и они могут даже все совместно использовать тот же mjs_def файл.

  • В неразделяемой файловой системе создайте секретный файл с предоставленным скриптом, затем скопируйте файл в каждый узел и убедитесь mjs_def каждого узла файл указывает, где его конкретный секретный файл расположен.

Примечание

Безопасная коммуникация требуется при использовании уровня безопасности 3 Планировщика Задания MATLAB.

Для просмотра документации необходимо авторизоваться на сайте