MATLAB ジョブスケジューラクラスターのセキュリティの設定

セキュリティレベルの設定

クラスターノード上の mjs サービスの開始前に、mjs_def ファイルの SECURITY_LEVEL パラメーターを使用して、MATLAB^® ジョブスケジューラのセキュリティレベルを設定します。mjs_def ファイルは、設定できる値を示し、それぞれのセキュリティレベルについて簡単に説明します。

この表では、MATLAB ジョブスケジューラとそのジョブへのアクセスに使用できるセキュリティレベルについて説明しています。

セキュリティレベル	説明	ユーザー制限
0	セキュリティは設定されません。すべてのユーザーがすべてのジョブにアクセスできます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー (通常は root または Local System) に関連付けられます。これは既定レベルであり、R2010b より前のすべてのリリースでこのセキュリティレベルになります。ジョブは既定のユーザー名と関連付けられていますが、ソフトウェアで保護は提供されません。	なし
1	ジョブはその投入ユーザーに関連付けられます。すべてのユーザーがすべてのジョブにアクセスできます。アクセスされたジョブが別のユーザーに属する場合は、ダイアログボックスによって警告されます。タスクは、ワーカーマシンで `mjs` プロセスを開始するユーザー (通常は root または Local System) に関連付けられます。	ジョブマネージャーへの初回アクセス時に、ダイアログボックスでユーザー名の指定を求められます。 MATLAB ジョブスケジューラのユーザー名は、システムまたはネットワークのユーザー名と一致させる必要はありません。パスワードは不要です。
2	ジョブには MATLAB ジョブスケジューラのパスワード保護があります。ジョブおよびタスクはその投入ユーザーに関連付けられ、パスワードで保護されます。投入ユーザーは他のユーザーにジョブおよびタスクへのアクセスを承認できます。この場合、承認されたユーザーは自身のパスワードを入力してジョブおよびタスクにアクセスできます。その他の未承認のユーザーはそのジョブにアクセスできません。タスクは、ワーカーマシンで `mjs` プロセスを開始したユーザー (通常は root または Local System) に関連付けられます。	MATLAB ジョブスケジューラの起動時に、ジョブマネージャー管理者アカウントの新規パスワードを指定する必要があります。このアカウントを使用してすべてのジョブおよびタスクにアクセスできます。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラから求められたときに管理者アカウントの LDAP サーバーパスワードを入力する必要があります。 MATLAB クライアントセッションから MATLAB ジョブスケジューラへの初回アクセス時に、ダイアログボックスでユーザー名とパスワードの指定を求められます。 MATLAB ジョブスケジューラのユーザー名およびパスワードは、システムまたはネットワークのユーザー名およびパスワードと一致させる必要はありません。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラのユーザー名およびパスワードは LDAP サーバーのユーザー名およびパスワードと一致する必要があります。
3	レベル 2 のセキュリティに加えて、タスクはワーカーマシン上の投入ユーザーに関連付けられています。ジョブおよびタスクはその投入ユーザーに関連付けられ、パスワードで保護されます。その他の未承認のユーザーはそのジョブにアクセスできません。タスクは、ジョブを投入したユーザーに関連付けられます。	MATLAB ジョブスケジューラはワーカーに対して暗号化通信を使用しなければなりません。詳細については、暗号化通信の設定を参照してください。 MATLAB ジョブスケジューラの起動時に、ジョブマネージャーの管理者アカウントの新規パスワードを指定する必要があります。このアカウントを使用してすべてのジョブおよびタスクにアクセスできます。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラから求められたときに管理者アカウントの LDAP サーバーパスワードを入力する必要があります。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時に、ダイアログボックスでユーザー名とパスワードの指定を求められます。ジョブマネージャー (MATLAB ジョブスケジューラ) のユーザー名とパスワードは、システムまたはネットワークのユーザー名およびパスワードと同じにしなければなりません。これは、並列ワーカーがタスクを実行するために、そのユーザーとしてログインしなければならないためです。 `CHECKPOINTBASE` フォルダーとそのすべてのサブフォルダーに対する読み取りおよび書き込み権限を、`mjs` プロセスを開始するユーザーに制限する必要があります。 UNIX システムでは、root ユーザーがクラスターノード上の `mjs` プロセスを開始しなければなりません。 Windows システムでは、クラスター上でジョブを正常に実行するために、投入ユーザーがすべてのワーカーマシンにローカルログオンできる必要があります。各投入ユーザーアカウントに `"Allow log on locally"` 権限を付与する必要があります。この権限を無効にした場合、投入したジョブはクラスターが開始したときにすべて失敗します。この権限を有効にするには、クラスター内の各マシンの [ユーザー権利の割り当て] セキュリティポリシー設定で、ユーザーの `SeInteractiveLogonRight` 定数を変更します。

ヒント

ジョブマネージャーとワーカーは、同一のセキュリティレベルで実行します。ジョブマネージャーは、低いセキュリティレベルで実行されているワーカーを登録しません。

ローカル、MATLAB ジョブスケジューラおよびネットワークのパスワード

セキュリティレベルが 0 より大きい場合、MATLAB ジョブスケジューラを起動すると (startjobmanager コマンドなどによる)、mjs_def ファイルの ADMIN_USER パラメーターで指定されたユーザー名を使用してクラスター管理者アカウントがソフトウェアで作成されます。ユーザー名を指定しなかった場合、管理者アカウントのユーザー名は既定で admin になります。ソフトウェアから新しい管理者アカウントのパスワードを指定するように求められます。管理者アカウントには、クラスターおよびクラスターの全ジョブへのアクセスに必要なすべての権限があります。LDAP サーバー認証を使用するには、ADMIN_USER で指定したユーザー名が LDAP サーバーに存在している必要があります。

いずれのセキュリティレベルでも、MATLAB ジョブスケジューラはそれぞれのジョブを、そのジョブの投入ユーザーに関連付けます。そのため、ユーザーが MATLAB ジョブスケジューラまたはジョブにアクセスするときはいつでも、MATLAB ジョブスケジューラはそのユーザーの ID を確認する必要があります。

セキュリティレベル 0 では、ソフトウェアは Username プロパティを、ジョブを作成したユーザーのログイン名に設定します。この値はいつでも変更できます。それより上のすべてのセキュリティレベルでは、MATLAB ジョブスケジューラへの初回アクセス時に、ダイアログボックスでユーザー名が求められます。セキュリティレベルが 2 または 3 の場合、パスワードも入力しなければなりません。MATLAB ジョブスケジューラに入力するユーザー名とパスワードは、セキュリティレベル 3 を使用している場合、または MATLAB ジョブスケジューラクラスターで LDAP サーバー認証が構成されている場合は、ネットワークのユーザー名およびパスワードと一致させる必要があります。それ以外の場合は、MATLAB ジョブスケジューラに新しいユーザー名とパスワードを作成できます。利便性を高めるため、ジョブにアクセスするたびにユーザー名とパスワードを入力する必要がないようにローカルコンピューター上にそれらを保存するように選択できます。

パスワードの変更および MATLAB ジョブスケジューラクラスターからのログアウトの詳細については、changePassword (Parallel Computing Toolbox) および logout (Parallel Computing Toolbox) を参照してください。MATLAB ジョブスケジューラクラスターの LDAP サーバー認証の詳細については、MATLAB ジョブスケジューラの LDAP サーバー認証の構成を参照してください。

ジョブおよびタスクへのユーザーアクセスの承認

この例では次を使用します。

Parallel Computing Toolbox Parallel Computing Toolbox

ライブスクリプトを開く

この例では、セキュリティレベル 2 または 3 の MATLAB ジョブスケジューラクラスター上のジョブにアクセスできるようにユーザーを承認する方法を説明します。ジョブを作成して MATLAB ジョブスケジューラクラスターに投入すると、ジョブおよびタスクは投入ユーザーに関連付けられます。これらのジョブおよびタスクはパスワードで保護されるため、未承認のユーザーはそのジョブにアクセスできません。

parcluster (Parallel Computing Toolbox)でクラスタープロファイル 'MyMJSCluster' を使用してクラスターオブジェクトを作成します。'MyMJSCluster' をクラスタープロファイルの名前に置き換えます。次に、batch (Parallel Computing Toolbox)を使用して、ジョブを作成してクラスターに投入します。

c = parcluster('MyMJSCluster');
j = batch(c,@rand,1,{2});

ジョブの AuthorizedUsers プロパティを設定して、そのジョブやそのタスクへのユーザーアクセスを承認できます。指定するユーザーはそれぞれ、MATLAB ジョブスケジューラクラスターを既に使用していなければなりません。ユーザー "user1" および "user2" に対してジョブへのアクセスを承認します。

j.AuthorizedUsers = ["user1","user2"];

共有シークレットファイルの作成

シークレットファイルにより、異なるマシン上のプロセス間で信頼が確立されます。

このファイルを作成するには、次のいずれかのスクリプトを実行します。

matlabroot/toolbox/parallel/bin/createSharedSecret (Linux^® オペレーティングシステム)
matlabroot\toolbox\parallel\bin\createSharedSecret.bat (Windows^® オペレーティングシステム)

mjs_def ファイル内の SHARED_SECRET_FILE パラメーターにシークレットファイルの場所を指定して、MATLAB ジョブスケジューラがその場所を見つけられるようにします。共有シークレットファイルには機密データが含まれ、mjs プロセスを開始するユーザーには読み取り専用にする必要があります。

共有ファイルシステムでは、すべてのノードで同じシークレットファイルを指定できます。ノードは同じ mjs_def ファイルを共有することもできます。
非共有ファイルシステムでは、提供されたスクリプトによりシークレットファイルを作成してから、そのファイルを各ノードにコピーして、各ノードの mjs_def ファイルでそのシークレットファイルの場所を確実に示します。

暗号化通信の設定

MATLAB ジョブスケジューラ、クライアントおよびワーカーの間に暗号化通信を設定するには、mjs_def ファイルで以下の値を設定します。

USE_SECURE_COMMUNICATION = true
ALL_SERVER_SOCKETS_IN_CLUSTER = true

暗号化通信は TLSv1.3 を使用して提供されます。

R2023a より前: 暗号化通信は TLSv1.2 を使用して SSLSocket によって提供されます。

メモ

R2023a より前: mjs_def ファイルで ALL_SERVER_SOCKETS_IN_CLUSTER を false として指定した場合、mjs サービスは MATLAB ジョブスケジューラとワーカーの間にのみ暗号化通信を確立します。ワーカー間の通信が暗号化されることはありません。ワーカーとクライアント間の通信が別のワーカー経由で送信された場合、そのワーカーとクライアント間の通信のみが暗号化されます。

また、ジョブマネージャーまたはワーカーを実行するすべてのホストで、mjs_def ファイルの SHARED_SECRET_FILE パラメーターで指定された場所にシークレットファイルがある必要があります。シークレットファイルを作成する場合は、共有シークレットファイルの作成を参照してください。

メモ

MATLAB ジョブスケジューラのセキュリティレベル 3 を使用する場合は、暗号化通信が必要です。

MATLAB クライアント検証の設定

MATLAB クライアントが MATLAB ジョブスケジューラクラスターに接続できるかどうかを検証します。

クラスターと同じシークレットファイルを使用して証明書ファイルを作成する必要があります。ジョブマネージャーの開始時、および認証済みクラスタープロファイルを作成する場合に証明書を使用します。シークレットファイルを作成する場合は、共有シークレットファイルの作成を参照してください。

MATLAB クライアントと MATLAB ジョブスケジューラクラスター間の接続は、相互 TLS (mTLS) を使用して検証されます。

MATLAB ジョブスケジューラクラスターの構成

mjs_def ファイルで REQUIRE_CLIENT_CERTIFICATE を true に設定します。

次のフォルダーのいずれかに移動します。

matlabroot\toolbox\parallel\bin (Windows オペレーティングシステム)
matlabroot/toolbox/parallel/bin (Linux オペレーティングシステム)

シークレットファイルの場所がある場合は、generateCerticate コマンドを使用して証明書を生成します。シークレットファイルのパスおよび証明書の名前を指定します。

generateCertificate -secretfile path_to_shared_secret_file/secret -certfile mjsClusterClientCert

ジョブマネージャーを開始するには、-certificate フラグを使用して証明書のファイルパスを startjobmanager コマンドに指定します。

startjobmanager -certificate mjsClusterClientCert

認証済みクラスタープロファイルの作成

MATLAB クライアントには、ジョブマネージャーに接続するために正しい証明書が含まれたクラスタープロファイルも必要です。

認証済みクラスタープロファイルを作成するには、createProfile コマンドを使用します。クラスターの名前とホスト名および証明書ファイルのパスを指定します。たとえば、クラスター clusterName、ホスト名 mjsHost、および証明書ファイル mjsClusterClientCert のクラスタープロファイルを作成します。コマンドにより、拡張子が .mlsettings のクラスタープロファイルファイル clusterName が作成されます。このファイルには、MATLAB クライアントがジョブマネージャーに接続するために必要な証明書が含まれます。

createProfile -name clusterName -host mjsHost -certfile mjsClusterClientCert

証明書および関連付けられたクラスタープロファイルにより、ジョブマネージャーに接続できるユーザーが制御されます。このデータは安全に保存しなければならず、セキュリティで保護されたチャネルを介してクラスタープロファイルをユーザーに配布する必要があります。[クラスタープロファイルマネージャー] を使用して、プロファイルを MATLAB クライアントにインポートできます。詳細については、クラスターの検出とクラスタープロファイルの使用 (Parallel Computing Toolbox)を参照してください。

クラスターコマンド検証の設定

MATLAB ジョブスケジューラクラスター管理者は、MATLAB ジョブスケジューラクラスターのコマンドの使用を、指定したユーザーのみに制限できます。コマンドの使用を制限して、未承認のユーザーが "特権" コマンドをクラスターに送信できないようにします。特権コマンドとは、クラスターの状態を変更できるコマンドのことです。

特権コマンド

この表は、検証が必要な特権コマンドの一覧です。これらのコマンドの実行可能ファイルは次のフォルダーにあります。

matlabroot\toolbox\parallel\bin (Windows オペレーティングシステム)
matlabroot/toolbox/parallel/bin (Linux オペレーティングシステム)

コマンド	説明
`pausejobmanager`	`mjs` サービスの下で稼働しているジョブマネージャーを一時停止します。
`resize`	`mjs` サービスでのジョブマネージャープロセスのサイズ変更情報を決定または更新します。
`resumejobmanager`	`mjs` サービスの下で稼働しているジョブマネージャーを再開します。
`startjobmanager`	ジョブマネージャープロセスおよび関連するジョブマネージャールックアッププロセスを `mjs` サービスの下で開始します。
`startworker`	`mjs` サービスの下で MATLAB ワーカープロセスを開始します。
`stopjobmanager`	ジョブマネージャープロセスおよび関連するジョブマネージャールックアッププロセスを `mjs` サービスの下で停止します。
`stopworker`	`mjs` サービスの下で MATLAB ワーカープロセスを停止します。
`util/clusterlogs`	`mjs` サービスのログレベルを設定または取得します。
`util/workerRegisterWithJobManager`	MATLAB ワーカーを、指定したジョブマネージャーに登録します。

メモ

MATLAB ジョブスケジューラをセキュリティレベル 3 に設定した場合は、既定でコマンド検証が有効になります。

`mjs_def` ファイルでのコマンド検証の設定

mjs サービスがクラスターで特権コマンドを実行する前に検証を必須とするには、mjs_def ファイルで REQUIRE_SCRIPT_VERIFICATION パラメーターを true に設定します。

また、SHARED_SECRET_FILE パラメーターを、コマンド送信先の mjs プロセスで使用されるシークレットファイルの場所に設定する必要もあります。

以下のいずれかのオプションを使用してシークレットファイルを指定します。

コマンドラインでシークレットファイルを指定する。特権コマンドをクラスターに送信する際にシークレットファイルのパスを指定できます。
たとえば、クラスターでワーカーを停止するには、Windows または Linux コマンドで次のコマンドを入力します。
```
stopworker -name worker1 -secretfile path_to_shared_secret_file/secret
```
mjs_def ファイルにパスを指定する。シークレットファイルの場所と同じクラスターホストを使用している場合は、mjs_def ファイルにシークレットファイルのパスを指定できます。
シークレットファイルへの読み取りアクセス権をもつユーザーのみがクラスターで特権コマンドを実行できます。

参考

startjobmanager | changePassword (Parallel Computing Toolbox) | logout (Parallel Computing Toolbox) | mjs

セキュリティレベル	説明	ユーザー制限
0	セキュリティは設定されません。すべてのユーザーがすべてのジョブにアクセスできます。タスクは、ワーカーマシンで mjs プロセスを開始したユーザー (通常は root または Local System) に関連付けられます。これは既定レベルであり、R2010b より前のすべてのリリースでこのセキュリティレベルになります。ジョブは既定のユーザー名と関連付けられていますが、ソフトウェアで保護は提供されません。	なし
1	ジョブはその投入ユーザーに関連付けられます。すべてのユーザーがすべてのジョブにアクセスできます。アクセスされたジョブが別のユーザーに属する場合は、ダイアログボックスによって警告されます。タスクは、ワーカーマシンで `mjs` プロセスを開始するユーザー (通常は root または Local System) に関連付けられます。	ジョブマネージャーへの初回アクセス時に、ダイアログボックスでユーザー名の指定を求められます。 MATLAB ジョブスケジューラのユーザー名は、システムまたはネットワークのユーザー名と一致させる必要はありません。パスワードは不要です。
2	ジョブには MATLAB ジョブスケジューラのパスワード保護があります。ジョブおよびタスクはその投入ユーザーに関連付けられ、パスワードで保護されます。投入ユーザーは他のユーザーにジョブおよびタスクへのアクセスを承認できます。この場合、承認されたユーザーは自身のパスワードを入力してジョブおよびタスクにアクセスできます。その他の未承認のユーザーはそのジョブにアクセスできません。タスクは、ワーカーマシンで `mjs` プロセスを開始したユーザー (通常は root または Local System) に関連付けられます。	MATLAB ジョブスケジューラの起動時に、ジョブマネージャー管理者アカウントの新規パスワードを指定する必要があります。このアカウントを使用してすべてのジョブおよびタスクにアクセスできます。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラから求められたときに管理者アカウントの LDAP サーバーパスワードを入力する必要があります。 MATLAB クライアントセッションから MATLAB ジョブスケジューラへの初回アクセス時に、ダイアログボックスでユーザー名とパスワードの指定を求められます。 MATLAB ジョブスケジューラのユーザー名およびパスワードは、システムまたはネットワークのユーザー名およびパスワードと一致させる必要はありません。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラのユーザー名およびパスワードは LDAP サーバーのユーザー名およびパスワードと一致する必要があります。
3	レベル 2 のセキュリティに加えて、タスクはワーカーマシン上の投入ユーザーに関連付けられています。ジョブおよびタスクはその投入ユーザーに関連付けられ、パスワードで保護されます。その他の未承認のユーザーはそのジョブにアクセスできません。タスクは、ジョブを投入したユーザーに関連付けられます。	MATLAB ジョブスケジューラはワーカーに対して暗号化通信を使用しなければなりません。詳細については、暗号化通信の設定を参照してください。 MATLAB ジョブスケジューラの起動時に、ジョブマネージャーの管理者アカウントの新規パスワードを指定する必要があります。このアカウントを使用してすべてのジョブおよびタスクにアクセスできます。 LDAP サーバー認証を使用する場合は、MATLAB ジョブスケジューラから求められたときに管理者アカウントの LDAP サーバーパスワードを入力する必要があります。 MATLAB クライアントから MATLAB ジョブスケジューラへの初回アクセス時に、ダイアログボックスでユーザー名とパスワードの指定を求められます。ジョブマネージャー (MATLAB ジョブスケジューラ) のユーザー名とパスワードは、システムまたはネットワークのユーザー名およびパスワードと同じにしなければなりません。これは、並列ワーカーがタスクを実行するために、そのユーザーとしてログインしなければならないためです。 `CHECKPOINTBASE` フォルダーとそのすべてのサブフォルダーに対する読み取りおよび書き込み権限を、`mjs` プロセスを開始するユーザーに制限する必要があります。 UNIX システムでは、root ユーザーがクラスターノード上の `mjs` プロセスを開始しなければなりません。 Windows システムでは、クラスター上でジョブを正常に実行するために、投入ユーザーがすべてのワーカーマシンにローカルログオンできる必要があります。各投入ユーザーアカウントに `"Allow log on locally"` 権限を付与する必要があります。この権限を無効にした場合、投入したジョブはクラスターが開始したときにすべて失敗します。この権限を有効にするには、クラスター内の各マシンの [ユーザー権利の割り当て] セキュリティポリシー設定で、ユーザーの `SeInteractiveLogonRight` 定数を変更します。