设置 MATLAB 作业调度器集群安全性

配置和管理 MATLAB^® 作业调度器集群的安全级别。

在以下说明中，matlabroot 指的是您安装的 MATLAB Parallel Server™ 软件的位置。如果在随后的说明中看到此术语的使用，请将其替换为您位置的路径。

您可以在 matlabroot/toolbox/parallel/bin 中找到 mjs_def 文件，用于 Linux^® (mjs_def.sh) 和 Windows^® (mjs_def.bat)。要了解 mjs_def 文件中的参数，请参阅定义 MATLAB 作业调度器启动参数。

设置安全级别

在集群节点上启动 SECURITY_LEVEL 服务之前，使用 mjs_def 文件中的 mjs 参数设置 MATLAB 作业调度器安全级别。mjs_def 文件指示您可以设置的值并简要描述每个安全级别。

该表描述了访问 MATLAB 作业调度器及其作业的可用安全级别。

安全级别	描述	用户限制
0	无安全保护。任何用户都可以访问任何作业。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。这是默认级别，也是 R2010b 之前所有版本中的安全级别。作业与默认用户名相关联，但软件不提供任何保护。	无
1	作业与提交用户相关。任何用户都可以访问任何作业。如果访问的作业属于另一个用户，则会显示一个对话框发出警告。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。	第一次访问作业管理器时，会出现一个对话框提示您指定用户名。您的 MATLAB 作业调度器用户名不必与您的系统或网络用户名匹配。您不需要密码。
2	作业有 MATLAB 作业调度器密码保护。作业和任务与提交用户相关联，并且受密码保护。提交用户可以授权其他用户访问他们的作业和任务。在这种情况下，授权用户可以输入自己的密码来访问作业和任务。其他未经授权的用户无法访问您的作业。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。	当您启动 MATLAB 作业调度器时，您必须为作业管理器管理员帐户提供一个新密码。您可以使用此帐户访问所有作业和任务。如果您使用 LDAP 服务器身份验证，则当 MATLAB 作业调度器提示您时，您必须提供管理员帐户的 LDAP 服务器密码。当您首次从 MATLAB 客户端会话访问 MATLAB 作业调度器时，会出现一个对话框提示您指定用户名和密码。您的 MATLAB 作业调度器用户名和密码不必与您的系统或网络用户名和密码相匹配。如果您使用 LDAP 服务器身份验证，您的 MATLAB 作业调度器用户名和密码必须与 LDAP 服务器中的用户名和密码匹配。
3	除了级别 2 的安全性之外，任务还与工作单元计算机上的提交用户相关联。作业和任务与提交用户相关联，并且受密码保护。其他未经授权的用户无法访问您的作业。任务与提交作业的用户相关。	MATLAB 作业调度器必须与工作单元使用加密通信。有关详细信息，请参阅设置加密通信。当您启动 MATLAB 作业调度器时，您必须为作业管理器的管理员帐户提供一个新密码。您可以使用此帐户访问所有作业和任务。如果您使用 LDAP 服务器身份验证，则当 MATLAB 作业调度器提示您时，您必须提供管理员帐户的 LDAP 服务器密码。当您首次从 MATLAB 客户端访问 MATLAB 作业调度器时，会出现一个对话框提示您指定用户名和密码。您的作业管理器 MATLAB 作业调度器用户名和密码必须与您的系统或网络用户名和密码相同，因为并行工作单元必须登录您才能以您的身份运行任务。必须将 `CHECKPOINTBASE` 文件夹及其所有子文件夹的读写权限限制为启动 `mjs` 进程的用户。在 UNIX 系统上，根用户必须在集群节点上启动 `mjs` 进程。在 Windows 系统上，提交用户必须能够本地登录到每台工作单元计算机才能在集群上成功运行作业。您必须授予每个提交用户帐户 `"Allow log on locally"` 的权限。如果您禁用此权限，则当集群启动时，您提交的所有作业都将失败。要启用此权限，请在集群集中每台计算机的用户权限分配安全策略设置中更改用户的 `SeInteractiveLogonRight` 常量。

提示

在相同的安全级别运行作业管理器和工作单元。作业管理器不会注册在较低安全级别运行的工作单元。

本地、MATLAB 作业调度器和网络密码

对于任何高于 0 级的安全级别，当您启动 MATLAB 作业调度器（例如，使用 startjobmanager 命令）时，软件会使用 ADMIN_USER 文件中 mjs_def 参数指定的用户名创建一个集群管理员帐户。如果您未指定用户名，则管理员帐户用户名默认为 admin。该软件提示您提供新管理员帐户的密码。管理员帐户拥有访问集群及其所有作业所需的所有权限。要使用 LDAP 服务器身份验证，ADMIN_USER 中指定的用户名必须在 LDAP 服务器中。

对于任何安全级别，MATLAB 作业调度器都会将每个作业与提交该作业的用户相关联。因此，每当您访问 MATLAB 作业调度器或作业时，MATLAB 作业调度器都必须验证您的身份。

在安全级别 0 时，软件将 Username 属性设置为创建该作业的人员的登录名。您可以随时更改该值。对于所有较高的安全级别，第一次访问 MATLAB 作业调度器时，对话框会提示您输入用户名。如果安全级别为 2 或 3，您还必须提供密码。如果您使用安全级别 3 或 MATLAB 作业调度器集群配置了 LDAP 服务器身份验证，则您为 MATLAB Job 作业调度器提供的用户名和密码必须与您的网络用户名和密码相匹配。否则，您可以为 MATLAB 作业调度器创建新的用户名和密码。为了方便起见，您可以选择将用户名和密码保存在本地计算机上，这样您无需在每次访问作业时都输入它们。

有关更改密码和退出 MATLAB 作业调度器集群的信息，请参阅 changePassword (Parallel Computing Toolbox) 和 logout (Parallel Computing Toolbox)。有关 MATLAB 作业调度器集群的 LDAP 服务器身份验证的更多信息，请参阅为 MATLAB 作业调度器配置 LDAP 服务器身份验证。

授权用户访问作业和任务

此示例使用:

Parallel Computing Toolbox Parallel Computing Toolbox

打开实时脚本

此示例显示如何授权用户在安全级别为 2 或 3 的 MATLAB 作业调度器集群上访问您的作业。当您创建作业并将其提交给 MATLAB 作业调度器集群，作业和任务将与提交用户相关联。这些作业和任务受到密码保护，因此未经授权的用户无法访问您的作业。

使用parcluster (Parallel Computing Toolbox)使用集群配置文件 'MyMJSCluster' 创建集群对象。将 'MyMJSCluster' 替换为您的集群配置文件的名称。然后，使用batch (Parallel Computing Toolbox)在集群上创建并提交作业。

c = parcluster('MyMJSCluster');
j = batch(c,@rand,1,{2});

您可以设置作业的 AuthorizedUsers 属性来授权用户访问该作业及其任务。您指定的每个用户都必须已经使用过 MATLAB 作业调度器集群。授权用户“ user1 ”和“ user2 ”访问某项作业。

j.AuthorizedUsers = ["user1","user2"];

另请参阅

startjobmanager | changePassword (Parallel Computing Toolbox) | logout (Parallel Computing Toolbox) | mjs

安全级别	描述	用户限制
0	无安全保护。任何用户都可以访问任何作业。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。这是默认级别，也是 R2010b 之前所有版本中的安全级别。作业与默认用户名相关联，但软件不提供任何保护。	无
1	作业与提交用户相关。任何用户都可以访问任何作业。如果访问的作业属于另一个用户，则会显示一个对话框发出警告。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。	第一次访问作业管理器时，会出现一个对话框提示您指定用户名。您的 MATLAB 作业调度器用户名不必与您的系统或网络用户名匹配。您不需要密码。
2	作业有 MATLAB 作业调度器密码保护。作业和任务与提交用户相关联，并且受密码保护。提交用户可以授权其他用户访问他们的作业和任务。在这种情况下，授权用户可以输入自己的密码来访问作业和任务。其他未经授权的用户无法访问您的作业。任务与在工作单元计算机上启动 `mjs` 进程的用户（通常是 root 或本地系统）相关联。	当您启动 MATLAB 作业调度器时，您必须为作业管理器管理员帐户提供一个新密码。您可以使用此帐户访问所有作业和任务。如果您使用 LDAP 服务器身份验证，则当 MATLAB 作业调度器提示您时，您必须提供管理员帐户的 LDAP 服务器密码。当您首次从 MATLAB 客户端会话访问 MATLAB 作业调度器时，会出现一个对话框提示您指定用户名和密码。您的 MATLAB 作业调度器用户名和密码不必与您的系统或网络用户名和密码相匹配。如果您使用 LDAP 服务器身份验证，您的 MATLAB 作业调度器用户名和密码必须与 LDAP 服务器中的用户名和密码匹配。
3	除了级别 2 的安全性之外，任务还与工作单元计算机上的提交用户相关联。作业和任务与提交用户相关联，并且受密码保护。其他未经授权的用户无法访问您的作业。任务与提交作业的用户相关。	MATLAB 作业调度器必须与工作单元使用加密通信。有关详细信息，请参阅设置加密通信。当您启动 MATLAB 作业调度器时，您必须为作业管理器的管理员帐户提供一个新密码。您可以使用此帐户访问所有作业和任务。如果您使用 LDAP 服务器身份验证，则当 MATLAB 作业调度器提示您时，您必须提供管理员帐户的 LDAP 服务器密码。当您首次从 MATLAB 客户端访问 MATLAB 作业调度器时，会出现一个对话框提示您指定用户名和密码。您的作业管理器 MATLAB 作业调度器用户名和密码必须与您的系统或网络用户名和密码相同，因为并行工作单元必须登录您才能以您的身份运行任务。必须将 `CHECKPOINTBASE` 文件夹及其所有子文件夹的读写权限限制为启动 `mjs` 进程的用户。在 UNIX 系统上，根用户必须在集群节点上启动 `mjs` 进程。在 Windows 系统上，提交用户必须能够本地登录到每台工作单元计算机才能在集群上成功运行作业。您必须授予每个提交用户帐户 `"Allow log on locally"` 的权限。如果您禁用此权限，则当集群启动时，您提交的所有作业都将失败。要启用此权限，请在集群集中每台计算机的用户权限分配安全策略设置中更改用户的 `SeInteractiveLogonRight` 常量。