MATLAB ジョブスケジューラの LDAP サーバー認証の構成

会社の LDAP (Lightweight Directory Access Protocol) サーバーを使用してユーザー資格情報を認証するように MATLAB^® ジョブスケジューラを構成します。MATLAB ジョブスケジューラをクラスターに統合するときに、以下の手順に従って LDAP サーバー認証を構成します。

前提条件

MATLAB ジョブスケジューラをクラスターにはじめて統合する場合、最も一般的な構成オプションについて、MATLAB ジョブスケジューラおよびネットワークライセンスマネージャー向けのインストールのページを参照してください。

以下の手順において、matlabroot はインストールされている MATLAB Parallel Server™ ソフトウェアの場所を示します。以下の説明でこの文字列が使用されていたら、パスをご自身のインストール環境の場所に置き換えてください。

MATLAB ジョブスケジューラのパラメーターファイルの編集

LDAP サーバー認証を構成するには、mjs サービスをインストールして MATLAB ジョブスケジューラを開始する前に、ヘッドノード上の mjs_def ファイルを編集する必要があります。このファイルは、以下の場所にあります。

matlabroot\toolbox\parallel\bin\mjs_def.bat (Windows^® オペレーティングシステム)
matlabroot/toolbox/parallel/bin/mjs_def.sh (Linux^® オペレーティングシステム)

mjs_def ファイル内のパラメーターの詳細については、MATLAB ジョブスケジューラのスタートアップパラメーターの定義を参照してください。

これらのパラメーターを使用して、MATLAB ジョブスケジューラクラスターで会社の LDAP サーバーを構成します。必要な値を使用して、mjs_def ファイル内のパラメーターを編集します。

パラメーター	説明	値
`SECURITY_LEVEL`	クラスターのセキュリティレベル。セキュリティレベルおよびその他のパラメーターの詳細については、MATLAB ジョブスケジューラクラスターのセキュリティの設定を参照してください。	`Level 2` または `Level 3`
`ADMIN_USER`	クラスター管理者のユーザー名。 `ADMIN_USER` は LDAP サーバーで有効なユーザー名でなければなりません。メモジョブマネージャーを開始すると、`mjs` サービスは続行するために LDAP サーバーに対してクラスター管理者を認証する必要があります。mjs サービスから求められたときにクラスター管理者の LDAP サーバーのパスワードを入力する必要があります。	LDAP サーバーで有効なユーザー名
`USE_LDAP_SERVER_AUTHENTICATION`	LDAP サーバーを使用してユーザー資格情報を認証するオプション。	`true`
`LDAP_URL`	LDAP サーバーの URL。メモセキュリティに関する考慮事項: LDAP サーバーとクライアント間の通信を暗号化するには、LDAP over SSL (LDAPS) を使用します。追加の LDAPS 構成手順については、LDAP over SSL (LDAPS) の構成を参照してください。	LDAP_URL は以下のように指定します。 ldaps://HOST:PORT SSL を介した LDAP サーバーを構成していない場合は、以下のように URL を指定します。 ldap://HOST:PORT
`LDAP_SECURITY_PRINCIPAL_FORMAT`	LDAP サーバーのセキュリティプリンシパル (ユーザー) の形式。	一般的な形式には以下のものがあります。 `cn=[username],ou=Users,dc=domain,dc=com` `[username]@domain.com`
`LDAP_SYNCHRONIZATION_INTERVAL_SECS`	クラスターが LDAP サーバーと同期する頻度。	同期間の秒数に対応する正の数値。既定値は 1800 秒です。クラスターでユーザー認証が必要になるたびにクラスターを LDAP サーバーに同期するには、このパラメーターを `0` に設定します。

LDAP over SSL (LDAPS) の構成

SSL を介して構成された LDAP サーバーを使用する場合は、LDAPS SSL 証明書を MATLAB Parallel Server インストール環境の Java^® 証明書トラストストアに追加する必要があります。mjs サービスは、暗号化接続を確立するために LDAPS サーバーに対して証明書を検証します。

LDAPS SSL 証明書は、PEM を使用して形式が設定されている必要があります。PEM の詳細については、以下を参照してください。

これらの説明では、SSL 証明書を取得して Java 証明書トラストストアに追加する方法が示されています。

LDAP サーバーに接続してサーバー SSL 証明書を取得

s_client コマンドを指定して openssl ツールキットを使用することで、LDAP サーバー SSL 診断情報を取得できます。

たとえば、ポート 636 で LDAP サーバー my.LDAP.Server.com から SSL 診断情報を取得するには、Linux または Windows コマンドウィンドウで以下のコマンドを実行します。

echo | openssl s_client -connect my.LDAP.Server.com:636 > myLDAPServer.com.cert.pem

このコマンドにより、myLDAPServer.com.cert.pem ファイルが生成されます。このファイルには、LDAP サーバー SSL 診断情報が含まれます。myLDAPServer.com.cert.pem ファイルを編集して、以下のテキストのみが含まれているようにします。

-----BEGIN CERTIFICATE-----
...
-----END CERTIFICATE-----

Java 証明書トラストストアへの証明書の追加

既定の Java 証明書トラストストアは以下のフォルダーにあります。

matlabroot\sys\java\jre\win64\jre\lib\security\cacerts (Windows オペレーティングシステム)
matlabroot/sys/java/jre/glnxa64/jre/lib/security/cacerts (Linux オペレーティングシステム)

SSL 証明書を MATLAB Parallel Server インストール環境の Java 証明書トラストストアに追加するには、鍵と証明書の管理ユーティリティ keytool を使用します。keytool ユーティリティは、MATLAB Parallel Server インストール環境の以下の場所にあります。

matlabroot\sys\java\jre\win64\jre\bin (Windows オペレーティングシステム)
matlabroot/sys/java/jre/glnxa64/jre/bin (Linux オペレーティングシステム)

詳細については、keytool を参照してください。

サーバー証明書を Java 証明書トラストストアにインポートする前に、まず cacerts ファイルを書き込み可能にする必要があります。たとえば、Linux ホストでは、以下のコマンドを実行します。

cd matlabroot/sys/java/jre/glnxa64/jre/lib/security
chmod +w cacerts

サーバー証明書を MATLAB Parallel Server インストール環境の Java 証明書トラストストアにインポートします。MATLAB インストール環境に付属の keytool の既定のパスワードは changeit です。keytool からパスワードを求められたときに、そのパスワードを入力する必要があります。

matlabroot/sys/java/jre/glnxa64/jre/bin/keytool -import -keystore cacerts -file /path/to/server/certificate/myLDAPServer.com.cert.pem

MATLAB ジョブスケジューラの開始および LDAP サーバー認証のテスト

MATLAB ジョブスケジューラを開始するには、mjs サービス、MATLAB ジョブスケジューラおよびワーカーの起動 (コマンドライン) を参照してください。

MATLAB ジョブスケジューラクラスターに接続し、クラスタープロファイルを検証できます。クラスターにアクセスするには LDAP ログインのユーザー名とパスワードが必要です。新しい MATLAB ジョブスケジューラクラスターを検証する方法を示した説明については、MATLAB Parallel Server クラスターへの MATLAB クライアントの接続を参照してください。