一种用户权限控制系统与方法与流程

1.本技术涉及计算机技术领域，尤其涉及一种用户权限控制系统与方法。


背景技术：

2.linux平台简单资源管理器(simple linux utility for resource management，slurm)是一种可用于大型计算节点集群的高度可伸缩和容错的集群管理器和作业调度系统，被世界范围内的超级计算机和计算集群广泛采用。slurm为用户分配独占或者非独占的计算资源，以便用户能够执行工作任务。
3.通常情况下，slurm通过对用户权限的控制为用户分配资源，但是slurm中的用户通常相对独立，需要逐个创建用户，进而进行权限分配，但是这种方式工作量较大，影响slurm的工作效率。
4.因此，亟需一种基于slurm的用户权限控制系统，实现对于用户权限的控制。


技术实现要素：

5.本技术提供了一种用户权限控制系统，该系统包括域控制器和slurm，slurm根据域控制器中的用户信息创建用户，实现对于域控制器中用户的接入，域控制器通过设置用户条件控制slurm对于用户权限的分配，实现通过域控制器对于slurm中用户权限的控制。本技术还提供了上述系统对应的方法。
6.第一方面，本技术提供了一种用户权限控制系统，该系统包括域控制器和资源管理器slurm；
7.域控制器，用于向slurm提供用户信息，并设置用户条件；
8.slurm，用于根据用户信息创建用户，并根据用户条件对用户分配权限。
9.在一些可能的实现方式中，用户信息包括用户身份验证信息；
10.域控制器还用于：获取登录用户输入的用户身份验证信息。
11.在一些可能的实现方式中，用户条件包括启用用户功能和禁用用户功能。在一些可能的实现方式中，slurm具体用于：
12.当用户条件为禁用用户功能时，关闭用户提交作业功能。
13.在一些可能的实现方式中，slurm具体用于：
14.当用户条件为启用用户功能时，开启用户提交作业功能。
15.在一些可能的实现方式中，用户条件包括登录条件；
16.slurm具体用于：当用户不满足登录条件时，禁止用户登录slurm。
17.在一些可能的实现方式中，用户条件包括节点条件；
18.slurm具体用于：根据节点条件为用户分配节点。
19.在一些可能的实现方式中，用户条件包括用户组条件；
20.slurm具体用于：根据用户组条件将用户分配至用户组。
21.第二方面，本技术提供一种用户权限控制方法，该方法包括：
22.域控制器向slurm提供用户信息，以使slurm根据用户信息创建用户；域控制器设置用户条件，以使slurm根据用户条件对用户分配权限。
23.在一些可能的实现方式中，用户信息包括用户身份验证信息；
24.该方法还包括：
25.域控制器获取登录用户输入的用户身份验证信息。
26.在一些可能的实现方式中，用户条件包括启用用户功能和禁用用户功能。在一些可能的实现方式中，该方法还包括：
27.当用户条件为禁用用户功能时，slurm关闭用户提交作业功能。
28.在一些可能的实现方式中，该方法还包括：
29.当用户条件为启用用户功能时，slurm开启用户提交作业功能。
30.在一些可能的实现方式中，用户条件包括登录条件；
31.该方法还包括：当用户不满足登录条件时，禁止用户登录slurm。
32.在一些可能的实现方式中，用户条件包括节点条件；
33.该方法还包括：
34.slurm根据节点条件为用户分配节点。
35.在一些可能的实现方式中，用户条件包括用户组条件；
36.该方法还包括：
37.slurm根据用户组条件将用户分配至用户组。
38.第三方面，本技术提供一种用户权限控制方法，该方法包括：
39.slurm接收域控制器发送的用户信息，根据用户信息创建用户；
40.slurm接收域控制器设置的用户条件，并根据用户条件对用户分配权限。
41.在一些可能的实现方式中，用户信息包括用户身份验证信息；
42.该方法还包括：
43.域控制器获取登录用户输入的用户身份验证信息。
44.在一些可能的实现方式中，用户条件包括启用用户功能和禁用用户功能。
45.在一些可能的实现方式中，该方法还包括：
46.当用户条件为禁用用户功能时，slurm关闭用户提交作业功能。
47.在一些可能的实现方式中，该方法还包括：
48.当用户条件为启用用户功能时，slurm开启用户提交作业功能。
49.在一些可能的实现方式中，用户条件包括登录条件；
50.该方法还包括：当用户不满足登录条件时，禁止用户登录slurm。
51.在一些可能的实现方式中，用户条件包括节点条件；
52.该方法还包括：
53.slurm根据节点条件为用户分配节点。
54.在一些可能的实现方式中，用户条件包括用户组条件；
55.该方法还包括：
56.slurm根据用户组条件将用户分配至用户组。
57.本技术在上述各方面提供的实现方式的基础上，还可以进行进一步组合以提供更多实现方式。
58.从以上技术方案可以看出，本技术实施例具有以下优点：
59.本实施例提供了一种用户权限控制系统，该系统包括域控制器和slurm，域控制器用于向slurm提供用户信息，并设置用户条件，slurm用于根据用户信息创建用户，并根据用户条件为用户分配权限。slurm能够从域控制器中获取用户信息，减少了在slurm添加用户信息的工作量，域控制器能够通过设置用户条件，控制对于slurm中用户权限的分配，实现了一种高效的权限分配方法。
附图说明
60.为了更清楚地说明本技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
61.图1为本技术实施例提供的一种用户权限分配系统的架构示意图；
62.图2为本技术实施例提供的一种用户权限分配方法的流程示意图；
63.图3为本技术实施例提供的一种用户权限分配方法的流程示意图。
具体实施方式
64.下面将结合本技术中的附图，对本技术提供的实施例中的方案进行描述。
65.本技术的说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的术语在适当情况下可以互换，这仅仅是描述本技术的实施例中对相同属性的对象在描述时所采用的区分方式。
66.为了便于理解本技术的技术方案，下面对本技术涉及的一些技术术语进行介绍。
67.slurm是一个开源、容错、高可伸缩的集群管理和linux集群作业调度系统，用在集群环境中进行多节点高性能计算。slurm在一段时间内为用户分配独占或者非独占的计算资源，以便用户能够执行工作任务。
68.slurm被广泛应用于各大院校、研究机构以及大型商业机构的服务器中。但是在用户登录时，例如slurm被应用于高校服务器中，通常需要对学生、教室以及校外人员赋予不同的权限，避免操作不当带来的损失。因此，需要一个一个创建对应的slurm用户，并且赋予不同的权限，工作量较大。
69.有鉴于此，本技术提供一种用户权限控制系统，该系统包括域控制器和slurm。域控制器，用于向slurm提供用户信息，并设置用户条件，slurm，用于根据用户信息创建用户，并根据用户条件对用户分配权限。如此，slurm能够从域控制器中获取用户信息以及用户条件，从而能够根据用户信息创建用户，根据用户条件为用户分配不同权限。
70.接下来，将结合附图对本技术实施例提供的用户权限控制方法进行介绍。
71.参见图1所示的用户权限控制系统的架构示意图，该系统100包括域控制器102和slurm104。其中，域控制器102与slurm104连接，域控制器102用于向slurm104提供用户信息，并设置用户条件。slurm104用于根据用户信息创建用户，并根据用户条件对用户分配权限。slurm104通过根据域控制器102提供的用户信息创建用户，实现对于域控制器102中用
户的接入，减少了在slurm104中添加用户的工作成本。域控制器102通过设置用户条件实现对于slurm104中用户权限分配的控制，实现了对于slurm104的控制。
72.参见图2所示的用户权限控制方法的流程图，该方法包括如下步骤：
73.s202：域控制器102向slurm104提供用户信息。
74.域控制器102(domain controller，dc)存储着目录数据并管理用户域的交互关系,其中包括用户登录过程、身份验证和目录搜索等。
75.域控制器102中包含了由这个域的账户、密码、属于这个域的计算机等信息构成的数据库。域控制器102通过对用户的账户、密码等信息的验证，判断用户是否属于这个域，从而判断该用户能否登陆，以保护网络资源。
76.域是计算机网络的一种形式，其中所有用户账户，计算机，打印机和其他安全主体都在位于称为域控制器102的一个或多个中央计算机集群上的中央数据库中注册。具体地，可以通过安装活动目录(active directory，ad)实现集中管理与统一管理。
77.ad域是微软基于轻型目录访问协议(lightweight directory access protocol，ldap)提供给windows server平台的目录服务，能够实现对计算机和用户的域控制，下面域控制器102均以ad域控制器102dc为例进行介绍。
78.由于ad域中的用户与slurm104中的用户不完全一致，因此无法直接将大多数公司和团体组织已经建立的基于微软ad域的用户管理导入slurm104。在本实施例中，域控制器102可以向slurm104提供用户信息，使slurm104获取用户的相关信息。
79.s204：slurm104根据用户信息创建用户。
80.由于ad域与slurm104中用户不完全一致，因此slurm104可以根据域控制器102发送的用户信息，建立用户。
81.在一些可能的实现方式中，由于ad域的用户密码无法获取，即使是管理员也只能修改用户密码，而slurm104获取的用户信息包括身份验证信息(可以为用户名与密码)。
82.因此当用户登录系统时，ad域对用户名与密码进行校验，当校验通过时，将用户登录所输入的用户名与密码发送至slurm104中。
83.身份验证信息也可以为多种形式，例如预存手机号码、验证码等多种信息。slurm104获取用户登录时输入的身份验证，当身份验证信息通过时，获取对应的身份验证信息。
84.s206：域控制器102设置用户条件。
85.域控制器102通过设置用户条件，实现对于用户权限分配的管控。
86.其中，用户条件可以为启用用户和禁用用户。启用用户可以提交作业，而禁用用户不可以提交作业。对于slurm104，可以通过定制服务质量(quality of service，qos)影响用户对于作业的提交。具体地，当用户被禁用时，slurm104可以通过qos关闭该用户的提交作业功能，当用户被重新启用后，slurm104可以通过qos解除对用户提交作业功能的关闭，使用户可以提交作业。
87.在一些可能的实现方式中，域控制器102并不是对所有用户都赋予较高的计算权限，因此可以通过设置登录条件以限定能够通过slurm104进行运行的用户。例如，在某些高校系统中，可以仅学校教职工可以访问校内课表，而校外人士无法访问，实现对于数据内容的保护。再例如，可以对于重要程度较高的用户允许登录slurm104，以保证该用户所需任务
的正常运行。
88.具体地，在域控制器102与slurm104连接后，管理员可以设置过滤条件，筛选出符合条件的用户与用户组信息，提供给slurm104，slurm104根据这些信息，添加对应的用户与用户组。
89.在域控制中，也可以设置用户对于计算机的节点条件，将slurm104所控制的多个登录节点通过域控制器102进行管控。具体地，域控制器102的用户条件可以为节点条件，节点条件中包括用户能够登录的计算机属性，slurm104可以根据节点条件，将登录节点加入用户的可允许登录计算机列表中。
90.其中，可以在ad域中添加与slurm104的多个开放系统的登录节点相同的节点，管理员可以通过域控制器102设置用户的可登录节点和登录时间限制，将该用户条件通过域控制器102发送至slurm104，实现对于用户登录slurm104的控制。
91.由于在ad域中存在用户和用户组两个概念，一个用户可以属于多个用户组，而在slurm104中存在用户和账户两个概念，因此对应地将slurm104中的用户与ad域中的用户关联，将slurm104中的账户与ad域中的用户关联。ad域可以通过设置用户条件，为用户设置不同的用户组，而在slurm104中，可以根据用户条件中用户所属的用户组，在对于用户提交的作业运行计费时，以用户组为单位，计算所属用户组的作业运行计费。
92.s208：slurm104根据用户条件对用户分配权限。
93.当用户条件包括对于用户的启用和禁用时，slurm104为用户分配提交作业的权限。当用户启用时，slurm104通过定制qos功能，为用户分配能够提交作业的权限。当用户禁用时，slurm104通过定制qos功能，关闭用户的提交作业功能。
94.当用户条件包括登录条件时，slurm104对用户分配能否登录slurm104的权限。当用户不符合登录条件时，不赋予该用户登录slurm104的权限，因此该用户无法获得slurm104高性能计算的权限。其中登录条件可以为多个条件，符合登录条件可以设置为符合多个登录条件中的任意一种条件，也可以设置为符合登录条件中的固定一种条件，也可以设置为符合登录条件中的固定个登录条件。登录条件可以根据slurm104中用户信息灵活设置。
95.在一些可能的实现方式中，还可以设置定时同步机制。ad域中的用户可能存在变更，因此可以定时对slurm104中的用户进行同步。具体可以包括对用户进行增加、删除、修改权限等。同样地，也可以对用户的身份验证信息进行更新，可以固定时间对ad域的用户名及密码进行更新，用户只有身份验证通过后才能登陆slurm104，提交作业。通过定时同步机制和密码更新机制，保证ad域与slurm104的同步问题。其中，可以根据实际需求设置同步频率，在不影响正常业务进行情况下保证slurm104与域控制的高同步性。
96.通过上述内容的描述，本实施例提供一种用户权限控制系统，该系统包括域控制器102和slurm104，域控制器102用于向slurm104提供用户信息，slurm104根据用户信息创建用户，域控制器102设置用户条件，slurm104根据用户条件对用户分配权限，能够将域控制器102的控制功能映射到slurm104中，实现对于slurm104中用户信息的同步更新，实现域控制器102与slurm104功能的结合。
97.在一些可能的实现方式中，用户条件可以为多个条件，域控制器102可以设置用户筛选条件以及用户身份验证条件，slurm104根据用户筛选条件确定该用户的节点是否为可
登录节点，然后通过用户身份验证条件确定用户是否能够登录slurm104。
98.在另一些可能的实现方式中，可以通过ad连接配置，然后进行用户筛选，确定域控制器102向slurm104提供的用户，从而通过slurm104获取ad域用户的用户状态。并且，还可以通过域控制器102将slurm104的多个开放的linux系统的登录节点添加到ad域中，通过域控制器102，实现对于登录该节点的用户的筛选，如图3所示。
99.综上所述，本实施例提供了一种用户权限控制系统，该系统包括域控制器102和slurm104，通过域控制器102与slurm104的连接，域控制器102能够向slurm104提供用户信息，slurm104根据用户信息创建用户，实现域控制器102与slurm104之间的用户同步，减少了研发的工作量与时间。并且还可以通过域控制器102设置用户条件，使slurm104能够根据用户条件为用户分配权限，可以根据用户条件中用户的启用与禁用为slurm104中用户的qos权限进行限制，也可以根据域控制器102中对于用户节点的控制，为用户分配对应的登录节点，实现通过域控制器102对于slurm104的控制。
100.另外需说明的是，以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本技术提供的装置实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。
101.通过以上的实施方式的描述，所属领域的技术人员可以清楚地了解到本技术可借助软件加必需的通用硬件的方式来实现，当然也可以通过专用硬件包括专用集成电路、专用cpu、专用存储器、专用元器件等来实现。一般情况下，凡由计算机程序完成的功能都可以很容易地用相应的硬件来实现，而且，用来实现同一功能的具体硬件结构也可以是多种多样的，例如模拟电路、数字电路或专用电路等。但是，对本技术而言更多情况下软件程序实现是更佳的实施方式。基于这样的理解，本技术的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品存储在可读取的存储介质中，如计算机的软盘、u盘、移动硬盘、rom、ram、磁碟或者光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，训练设备，或者网络设备等)执行本技术各个实施例所述的方法。
102.在上述实施例中，可以全部或部分地通过软件、硬件、固件或者其任意组合来实现。当使用软件实现时，可以全部或部分地以计算机程序产品的形式实现。
103.所述计算机程序产品包括一个或多个计算机指令。在计算机上加载和执行所述计算机程序指令时，全部或部分地产生按照本技术实施例所述的流程或功能。所述计算机可以是通用计算机、专用计算机、计算机网络、或者其他可编程装置。所述计算机指令可以存储在计算机可读存储介质中，或者从一个计算机可读存储介质向另一计算机可读存储介质传输，例如，所述计算机指令可以从一个网站站点、计算机、训练设备或数据中心通过有线(例如同轴电缆、光纤、数字用户线(dsl))或无线(例如红外、无线、微波等)方式向另一个网站站点、计算机、训练设备或数据中心进行传输。所述计算机可读存储介质可以是计算机能够存储的任何可用介质或者是包含一个或多个可用介质集成的训练设备、数据中心等数据存储设备。所述可用介质可以是磁性介质，(例如，软盘、硬盘、磁带)、光介质(例如，dvd)、或
者半导体介质(例如固态硬盘(solid state disk，ssd))等。