为 MATLAB 作业调度器配置 LDAP 服务器身份验证
配置 MATLAB® 作业调度器以使用贵公司的轻量级目录访问协议 (LDAP) 服务器来验证用户凭据。当您将 MATLAB 作业调度器与集群集成时,请按照这些说明配置 LDAP 服务器身份验证。
前提条件
如果这是您第一次将 MATLAB 作业调度器与集群集成,请参阅此页面了解最常见的配置选项:使用网络许可证管理器安装 MATLAB 作业调度器。
在这些说明中,matlabroot
指的是您安装的 MATLAB Parallel Server™ 软件的位置。当您在这些说明中看到该术语时,请将路径替换为您的安装位置。
编辑 MATLAB 作业调度器参数文件
要配置 LDAP 服务器身份验证,您必须在安装 mjs
服务和启动 MATLAB 作业调度器之前编辑头节点上的 mjs_def
文件。您可以在以下位置找到此文件:
Windows® 操作系统上的
matlabroot\toolbox\parallel\bin\mjs_def.bat
Linux® 操作系统上的
matlabroot/toolbox/parallel/bin/mjs_def.sh
要了解有关 mjs_def
文件中参数的更多信息,请参阅定义 MATLAB 作业调度器启动参数。
使用这些参数通过 MATLAB 作业调度器集群配置您公司的 LDAP 服务器。使用所需的值编辑 mjs_def
文件中的参数。
参数 | 描述 | 值 |
---|---|---|
| 集群的安全级别。 要了解有关安全级别和其他参数的更多信息,请参阅设置 MATLAB 作业调度器集群安全性。 |
|
| 集群管理员的用户名。
注意 当您启动作业管理器时, | LDAP 服务器中的有效用户名 |
| 选择使用 LDAP 服务器来验证用户凭证。 | true |
| LDAP 服务器的 URL。 注意 安全注意事项:使用 LDAP over SSL (LDAPS) 加密 LDAP 服务器和客户端之间的通信。有关其他 LDAPS 配置步骤,请参阅配置 LDAP over SSL (LDAPS)。 | 将 LDAP_URL 指定为: ldaps://HOST:PORT 如果您尚未通过 SSL 配置 LDAP 服务器,请指定 URL 如下:
ldap://HOST:PORT |
| LDAP 服务器的安全主体(用户)的格式。 | 常见格式包括:
|
| 集群与 LDAP 服务器同步的频率。 | 正数对应同步之间的秒数。默认值为 1800 秒。 要在每次集群需要用户身份验证时将集群与 LDAP 服务器同步,请将此参数设置为 |
配置 LDAP over SSL (LDAPS)
当您使用通过 SSL 配置的 LDAP 服务器时,必须将 LDAPS SSL 证书添加到 MATLAB Parallel Server 安装的 Java® 证书信任库中。mjs
服务根据 LDAPS 服务器验证证书以建立加密连接。
LDAPS SSL 证书必须使用 PEM 格式化。有关 PEM 的详细信息,请参阅:
这些说明展示了如何获取 SSL 证书并将其添加到 Java 证书信任库。
连接到 LDAP 服务器以获取服务器 SSL 证书
您可以使用 openssl
工具包和 s_client
命令来获取 LDAP 服务器 SSL 诊断信息。
例如,要从端口 636 上的 LDAP 服务器 my.LDAP.Server.com
获取 SSL 诊断信息,请在 Linux 或 Windows 命令窗口中运行以下命令:
echo | openssl s_client -connect my.LDAP.Server.com:636 > myLDAPServer.com.cert.pem
该命令生成 myLDAPServer.com.cert.pem
文件,其中包含 LDAP 服务器 SSL 诊断信息。编辑 myLDAPServer.com.cert.pem
文件,使其仅包含以下文本:
-----BEGIN CERTIFICATE----- ... -----END CERTIFICATE-----
将证书添加到 Java 证书信任库
默认 Java 证书信任存储位于以下文件夹中:
Windows 操作系统上的
matlabroot\sys\java\jre\win64\jre\lib\security\cacerts
Linux 操作系统上的
matlabroot/sys/java/jre/glnxa64/jre/lib/security/cacerts
要将 SSL 证书添加到 MATLAB Parallel Server 安装的 Java 证书信任存储,请使用 keytool
密钥和证书管理实用程序。您可以在以下位置通过 MATLAB Parallel Server 安装获取 keytool
实用程序:
Windows 操作系统上的
matlabroot\sys\java\jre\win64\jre\bin
Linux 操作系统上的
matlabroot/sys/java/jre/glnxa64/jre/bin
有关更多信息,请参阅 keytool。
在将服务器证书导入 Java 证书信任库之前,必须先使 cacerts
文件可写。例如,在 Linux 主机上,运行以下命令:
cd matlabroot/sys/java/jre/glnxa64/jre/lib/security chmod +w cacerts
将服务器证书导入到 MATLAB Parallel Server 安装的 Java 证书信任库。MATLAB 安装附带的 keytool
的默认密码是 changeit
。当 keytool
提示您输入密码时,您必须输入密码。
matlabroot/sys/java/jre/glnxa64/jre/bin/keytool -import -keystore cacerts -file /path/to/server/certificate/myLDAPServer.com.cert.pem
启动 MATLAB 作业调度器并测试 LDAP 服务器身份验证
要启动 MATLAB 作业调度器,请参阅启动 mjs
服务、MATLAB 作业调度器和 Workers(命令行)。
您可以连接到 MATLAB 作业调度器集群并验证集群配置文件。您需要您的 LDAP 登录用户名和密码才能访问集群。有关如何验证新的 MATLAB 作业调度器集群的说明,请参阅将 MATLAB 客户端连接到 MATLABParallel Server 集群。