MATLAB ジョブスケジューラクラスターのセキュリティの設定

最新のリリースでは、このページがまだ翻訳されていません。このページの最新版は英語でご覧になれます。

セキュリティレベルの設定

クラスターノード上の mjs サービスの開始前に、mjs_def ファイルの SECURITY_LEVEL パラメーターを使用して、MATLAB^® ジョブスケジューラのセキュリティレベルを設定します。mjs_def ファイルは、許可される値を示し、それぞれのセキュリティレベルについて簡単に説明します。

次の表では、MATLAB ジョブスケジューラとそのジョブへのアクセスに使用できるセキュリティレベルについて説明しています。

セキュリティレベル	説明	ユーザー要件
0	セキュリティは設定されません。すべてのユーザーがすべてのジョブにアクセスできます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。これは既定であり、R2010b より前のすべてのリリースでこの動作になります。	ジョブはプログラマの既定のユーザー名と関連付けられていますが、保護は提供されません。
1	ジョブはその投入ユーザーにより識別されます。すべてのユーザーはすべてのジョブにアクセスできますが、アクセスされたジョブが別のユーザーに属する場合は、ダイアログによって警告されます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。	ジョブマネージャーへの初回アクセス時に、ダイアログでユーザー名の設定を求められます。 MATLAB ジョブスケジューラのユーザー名を、システム/ネットワークのユーザー名と一致させる必要はありません。パスワードは使用されません。
2	ジョブマネージャー (MATLAB ジョブスケジューラ) はジョブをパスワードで保護します。ジョブおよびタスクはその投入ユーザーにより識別され、パスワードで保護されます。その他のユーザーはそのジョブにアクセスできません。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。	MATLAB ジョブスケジューラを起動すると、そのジョブマネージャーの管理者アカウントの新しいパスワードを入力するように求められます。この管理者アカウントは、すべてのユーザーのジョブおよびタスクへのアクセスに使用できます。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時にダイアログボックスが表示され、ユーザー名とパスワードの設定を求められます。 MATLAB ジョブスケジューラのユーザー名とパスワードを、システム/ネットワークのユーザー名およびパスワードと一致させる必要はありません。
3	レベル 2 のセキュリティに加えて、タスクがワーカーマシン上の投入ユーザーの権限で実行されます。ジョブおよびタスクはその投入ユーザーにより識別され、パスワードで保護されます。その他のユーザーはそのジョブにアクセスできません。タスクは、ジョブの投入ユーザーの権限で実行されます。	UNIX システムでは、root ユーザーがクラスターノード上の mjs プロセスを開始しなければなりません。 MATLAB ジョブスケジューラはワーカーに対してセキュリティで保護された通信を使用しなければなりません (`mjs_def` ファイルで設定)。 MATLAB ジョブスケジューラを起動すると、そのジョブマネージャーの管理者アカウントの新しいパスワードを入力するように求められます。この管理者アカウントはすべてのユーザーのジョブおよびタスクへのアクセスに使用できます。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時にダイアログボックスが表示され、ユーザー名とパスワードの設定を求められます。ジョブマネージャー (MATLAB ジョブスケジューラ) のユーザー名とパスワードは、システム/ネットワークのユーザー名とパスワードと同じにしなければなりません。これは、ワーカーがタスクを実行するために、そのユーザーとしてログインしなければならないためです。タスクが実行されるすべてのユーザー権限において、`CHECKPOINTBASE` フォルダーとそのすべてのサブフォルダーに対する読み取りおよび書き込み権限が必要です。

ジョブマネージャーとワーカーは、同一のセキュリティレベルで実行しなければなりません。セキュリティレベルが非常に低い状態で実行されているワーカーは、ジョブマネージャーによって信頼されないため、ジョブマネージャーへの登録が失敗します。

ローカル、MATLAB ジョブスケジューラおよびネットワークのパスワード

セキュリティレベルが 0 より大きい場合、MATLAB ジョブスケジューラを起動すると (startjobmanager コマンドなどによる)、このクラスターに対して admin という名前のクラスターユーザーアカウントが作成され、この新しいアカウントのパスワードを入力するように求められます。クラスターの admin アカウントには、クラスターおよびクラスターの全ジョブへのアクセスに必要なすべての権限があります。

いずれのセキュリティレベルでも、MATLAB ジョブスケジューラはそれぞれのジョブを、そのジョブの投入ユーザーにより識別します。そのため、ユーザーが MATLAB ジョブスケジューラまたはジョブにアクセスするときはいつでも、MATLAB ジョブスケジューラはそのユーザーが誰であるかを認識しなければなりません。

セキュリティレベル 0 では、MATLAB ジョブスケジューラおよびジョブオブジェクトの UserName プロパティが、そのジョブを作成したユーザーのログイン名に設定されます。この設定はいつでも変更できます。それより上のすべてのセキュリティレベルでは、MATLAB ジョブスケジューラへの初回アクセス時にユーザー名を求めるダイアログボックスが開きます。セキュリティレベルが 2 または 3 の場合、パスワードも入力しなければなりません。MATLAB ジョブスケジューラに入力するユーザー名とパスワードは、セキュリティレベル 3 を使用している場合に "のみ" ネットワークのユーザー名およびパスワードと一致させる必要があります。それ以外の場合は、MATLAB ジョブスケジューラで一意の新しいユーザー名とパスワードを作成できます。利便性を高めるため、ジョブにアクセスするたびにユーザー名とパスワードを入力する必要がないようにローカルコンピューター上にそれらを保存する期間を選択できます。

パスワードの変更および MATLAB ジョブスケジューラからのログアウトの詳細については、changePassword (Parallel Computing Toolbox) および logout (Parallel Computing Toolbox) を参照してください。

セキュリティで保護された通信の設定

MATLAB ジョブスケジューラ、クライアントおよびワーカーの間にセキュリティで保護された暗号化通信を確立するには、

USE_SECURE_COMMUNICATION = true
ALL_SERVER_SOCKETS_IN_CLUSTER = true (既定)

を mjs_def ファイルに設定します。保護された暗号化通信は SSLSocket (TLSv1.2 のみを使用) によって提供されます。

メモ

mjs_def ファイルで ALL_SERVER_SOCKETS_IN_CLUSTER = false の場合、MATLAB ジョブスケジューラとワーカーの間にのみ、セキュリティで保護された暗号化通信が確立されます。

また、mjs_def ファイルで SHARED_SECRET_FILE パラメーターにも値を指定し、MATLAB ジョブスケジューラからこのファイルの場所が特定されるようにしなければなりません。このファイルを作成するには、次のいずれかのスクリプトを実行します。

matlabroot/toolbox/parallel/bin/createSharedSecret (UNIX)
matlabroot\toolbox\parallel\bin\createSharedSecret.bat (Windows)

シークレットファイルにより、異なるマシン上のプロセス間で信頼が確立されます。

共有ファイルシステムでは、すべてのノードで同じシークレットファイルをポイントでき、さらに同じ mjs_def ファイルを共有することもできます。
非共有ファイルシステムでは、提供されたスクリプトによりシークレットファイルを作成してから、そのファイルを各ノードにコピーして、各ノードの mjs_def ファイルで特定のシークレットファイルのある場所を確実に示します。

メモ:

MATLAB ジョブスケジューラのセキュリティレベル 3 を使用する場合は、セキュリティで保護された通信が必要です。

MATLAB Parallel Server ドキュメンテーション

サポート

MATLAB、Simulink、その他の製品をお試しください

無料評価版のダウンロード

セキュリティレベル	説明	ユーザー要件
0	セキュリティは設定されません。すべてのユーザーがすべてのジョブにアクセスできます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。これは既定であり、R2010b より前のすべてのリリースでこの動作になります。	ジョブはプログラマの既定のユーザー名と関連付けられていますが、保護は提供されません。
1	ジョブはその投入ユーザーにより識別されます。すべてのユーザーはすべてのジョブにアクセスできますが、アクセスされたジョブが別のユーザーに属する場合は、ダイアログによって警告されます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。	ジョブマネージャーへの初回アクセス時に、ダイアログでユーザー名の設定を求められます。 MATLAB ジョブスケジューラのユーザー名を、システム/ネットワークのユーザー名と一致させる必要はありません。パスワードは使用されません。
2	ジョブマネージャー (MATLAB ジョブスケジューラ) はジョブをパスワードで保護します。ジョブおよびタスクはその投入ユーザーにより識別され、パスワードで保護されます。その他のユーザーはそのジョブにアクセスできません。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー権限 (通常は root または Local System) で実行されます。	MATLAB ジョブスケジューラを起動すると、そのジョブマネージャーの管理者アカウントの新しいパスワードを入力するように求められます。この管理者アカウントは、すべてのユーザーのジョブおよびタスクへのアクセスに使用できます。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時にダイアログボックスが表示され、ユーザー名とパスワードの設定を求められます。 MATLAB ジョブスケジューラのユーザー名とパスワードを、システム/ネットワークのユーザー名およびパスワードと一致させる必要はありません。
3	レベル 2 のセキュリティに加えて、タスクがワーカーマシン上の投入ユーザーの権限で実行されます。ジョブおよびタスクはその投入ユーザーにより識別され、パスワードで保護されます。その他のユーザーはそのジョブにアクセスできません。タスクは、ジョブの投入ユーザーの権限で実行されます。	UNIX システムでは、root ユーザーがクラスターノード上の mjs プロセスを開始しなければなりません。 MATLAB ジョブスケジューラはワーカーに対してセキュリティで保護された通信を使用しなければなりません (`mjs_def` ファイルで設定)。 MATLAB ジョブスケジューラを起動すると、そのジョブマネージャーの管理者アカウントの新しいパスワードを入力するように求められます。この管理者アカウントはすべてのユーザーのジョブおよびタスクへのアクセスに使用できます。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時にダイアログボックスが表示され、ユーザー名とパスワードの設定を求められます。ジョブマネージャー (MATLAB ジョブスケジューラ) のユーザー名とパスワードは、システム/ネットワークのユーザー名とパスワードと同じにしなければなりません。これは、ワーカーがタスクを実行するために、そのユーザーとしてログインしなければならないためです。タスクが実行されるすべてのユーザー権限において、`CHECKPOINTBASE` フォルダーとそのすべてのサブフォルダーに対する読み取りおよび書き込み権限が必要です。