Configuración de Configuración de Ops Manager

Autenticación Kerberos para la base de datos de la aplicación Ops Manager

mms.kerberos.debug

Tipo: booleano

Indicador de depuración para mostrar más información sobre el proceso de autenticación Kerberos.

mms.kerberos.debug=false

mms.kerberos.keyTab

Tipo: string

Obligatorio si se utiliza Kerberos. Ruta absoluta al archivo keytab del principal.

mms.kerberos.keyTab=/path/to/mms.keytab

mms.kerberos.principal

Tipo: string

Obligatorio si se usa Kerberos. Principal utilizado para la autenticación con MongoDB. Debe ser el mismo usuario mongo.mongoUri en.

mms.kerberos.principal=mms/mmsweb.example.com@EXAMPLE.COM

jvm.java.security.krb5.conf

Tipo: string

opcional. Ruta a un archivo de configuración alternativo de Kerberos. El valor está configurado en JVM's java.security.krb5.conf.

jvm.java.security.krb5.conf=/etc/conf/krb5.conf

jvm.java.security.krb5.kdc

Tipo: string

Obligatorio si se utiliza Kerberos. IP/FQDN del servidor KDC. El valor se establecerá en JVM java.security.krb5.kdc.

jvm.java.security.krb5.kdc=kdc.example.com

jvm.java.security.krb5.realm

Tipo: string

Obligatorio si se usa Kerberos. Este es el dominio predeterminado para Kerberos. Se utiliza para la java.security.krb5.realmJVM.

jvm.java.security.krb5.realm=EXAMPLE.COM

Conexión TLS/SSL a la base de datos de la aplicación

mongo.ssl

Tipo: booleano

Habilita TLS la conexión con la Base de datos de la Aplicación Ops Manager cuando se establece en true.

mongodb.ssl.CAFile

Tipo: string

Nombre del archivo PEM que contiene la cadena de certificados raíz de la autoridad de certificación que firmó el certificado del servidor MongoDB.

mongodb.ssl.PEMKeyFile

Tipo: string

Nombre del archivo PEM que contiene el certificado X509 y la clave privada. Obligatorio si la instancia de MongoDB se ejecuta con la opción --tlsCAFile o la configuración net.tls.CAFile.

El campo Extended Key Usage de ese certificado debe incluir TLS Web client authentication.

Si se autentica con el mecanismo de autenticación MONGODB-X509, también debe ingresar este nombre como el nombre del usuario en la cadena de conexión mongoUri.

mongodb.ssl.PEMKeyFilePassword

Tipo: string

Requerido si el archivo PEM contiene una clave privada cifrada. Especifica la contraseña para el archivo PEM. Puedes cifrar la contraseña usando Ops Manager encryptiontool.

Instantáneas de copia de seguridad

backup.fileSystemSnapshotStore.gzip.compressionLevel

Tipo: entero

Por defecto: 6

Determina cuánto comprime Ops Manager las instantáneas basadas en el sistema de archivos. El nivel varía de 0 a 9:

• 0 no proporciona compresión.

• 1 El nivel 9 aumenta el grado de compresión, pero disminuye la velocidad de compresión de la instantánea. El nivel 1 comprime las instantáneas al mínimo, pero a la mayor velocidad. El nivel 9 comprime las instantáneas al máximo, pero a la menor velocidad.

Nota

Cambiando File System Store Gzip Compression Level afecta solo a los nuevos snapshots. No afecta el nivel de compresión de los snapshots existentes.

Corresponde File System Store Gzip Compression Level a.

brs.restore.digest.method

Tipo: string

Default: SHA1

Especifica si se debe generar o no una SHA1 suma de verificación para ficheros de restauración.

Los valores aceptados son SHA1 o NONE.

Corresponde Restore Digest Method a.

brs.snapshotSchedule.interval

Tipo: entero

Predeterminado: 24

Especifica el tiempo, en horas, entre dos instantáneas consecutivas.

Los valores aceptados son:

6, 8, 12 o 24

Corresponde a Snapshot Interval (Hours)

brs.snapshotSchedule.retention.base

Tipo: entero

Por defecto: 2

Especifica cuántos días se almacena una instantánea de intervalo. Los valores aceptados varían según el valor brs.snapshotSchedule.interval de:

brs.snapshotSchedule.interval	Valores permitidos
< 24	23, 4 o 5.
= 24	2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, 29, 30.

Corresponde a .Base Retention of Snapshots

brs.snapshotSchedule.retention.daily

Tipo: entero

Por defecto: 0

Especifica cuántos días se almacena una snapshot diaria.

Los valores aceptados son:

0, 3, 4, 5, 6, 7, 15, 30, 60, 90, 120, 180 or 360

Corresponde a .Daily Retention of Snapshots

brs.snapshotSchedule.retention.monthly

Tipo: entero

Por defecto: 1

Especifica cuántos meses se almacena un Snapshot mensual.

Los valores aceptados son:

0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 18, 24, 36, 48, 60, 72, and 84

Corresponde a Monthly Retention of Snapshots (in Months)

brs.snapshotSchedule.retention.weekly

Tipo: entero

Por defecto: 2

Especifica cuántas semanas se almacena una instantánea semanal.

Los valores aceptados son:

0, 1, 2, 3, 4, 5, 6, 7, 8, 12, 16, 20, 24, and 52

Corresponde a .Weekly Retention of Snapshots

brs.pitWindowInHours

Tipo: entero

Predeterminado: 24

Duración en horas durante la cual puedes restaurar desde un punto específico en el tiempo (PIT).

Corresponde a .PIT Window

backup.kmip.server.host

Tipo: string

Por defecto: ninguno

Especifica el nombre de host de un servidor KMIP.

A partir de MongoDB 4.2.1 (y 4.0.14), puede especificar más de un servidor KMIP en una lista separada por comas.

Importante

En las versiones de MongoDB anteriores a la 4.0.14 o 4.2.1, Ops Manager sólo utiliza el primer nombre de host KMIP de una lista de nombres de host del servidor KMIP.

Corresponde KMIP Server Host a.

backup.kmip.server.port

Tipo: entero

Por defecto: ninguno

Especifica el puerto del servidor KMIP.

Corresponde KMIP Server Port a.

backup.kmip.server.ca.file

Tipo: string

Por defecto: ninguno

Especifica un archivo de formato .PEMque contiene una o más autoridades certificadoras.

Corresponde KMIP Server CA File a.

mms.backup.snapshot.maxSumFileForWorkersMB

Tipo: entero

Predeterminado: 2048

Esto establece el tamaño máximo acumulado de los archivos, en megabytes, que se guardan simultáneamente al tomar una snapshot.

mms.backup.snapshot.maxWorkers

Tipo: entero

Por defecto: 4

Esto establece la cantidad de archivos que se guardan simultáneamente al tomar una instantánea. Aumentar el valor de esta configuración puede mejorar el rendimiento de la tarea de copia de seguridad cuando hay una gran cantidad de archivos pequeños en un entorno de alta latencia.

Configuración de instantáneas consultables

brs.queryable.connecttimeout

Tipo: entero

Por defecto: 30

Número de segundos para esperar una conexión a la mongod instancia Queryable Snapshot antes de que se agote el tiempo.

Corresponde a Mongo .Connection Timeout

brs.queryable.expiration

Tipo: entero

Predeterminado: 24

Tiempo de duración en horas para un Snapshop consultable una vez iniciado.

Corresponde Expiration (Hours) a.

brs.queryable.lruCacheCapacityMB

Tipo: entero

por defecto: 512

Tamaño (en megabytes) que asignas del conglomerado de JVM para el caché de instantáneas global. La caché de instantáneas globales optimiza las consultas repetidas para los mismos datos de instantáneas en las instantáneas consultables.

Importante

MongoDB no recomienda cambiar este valor, a menos que el soporte de MongoDB te indique cambiarlo.

Corresponde Read Cache Size (MB) a.

brs.queryable.mounttimeout

Tipo: entero

Por defecto: 60

Número de segundos que se debe esperar para que la instantánea consultable se prepare antes de que se agote el tiempo de espera.

Corresponde a .Queryable Startup Timeout

brs.queryable.pem.pwd

Tipo: string

Obligatorio si Proxy Server PEM File está cifrado.

Nota

Después de actualizar, reinicie el servidor web para que el cambio surta Proxy Server PEM File Password efecto.

Corresponde Proxy Server PEM File Password a.

brs.queryable.pem

Tipo: string

Obligatorio si se utiliza una instantánea consultable. ArchivoPEM que contiene la cadena de certificados completa para uno o más certificados de confianza y las claves privadas asociadas.

Proxy Server PEM File tiene las siguientes restricciones:

• Este archivo PEM debe ser diferente del que se utiliza para conexiones HTTPS con Ops Manager (mms.https.PEMKeyFile).

• Este archivo PEM debe usar una longitud de clave superior a 512 bits. Se recomienda usar una llave RSA de 2048 bits.

• Este archivo PEM debe utilizar un resumen de mensaje más fuerte que sha1, como sha256.

Nota

Después de actualizar, reinicie el servidor web para que el cambio surta Proxy Server PEM File efecto.

Corresponde Proxy Server PEM File a.

brs.queryable.proxyPort

Tipo: entero

por defecto: 25999

Puerto para el host de respaldo consultable.

Nota

Después de actualizar, reinicie el servidor web para que el cambio surta Proxy Server Port efecto.

Corresponde Proxy Server Port a.

brs.queryable.tls.disabledProtocols

Tipo: string

Default: SSLv2Hello,SSLv3,TLSv1,TLSv1.1,TLSv1.3

Versiones del protocoloTLS que se han deshabilitado para restauraciones e instantáneas consultables.

brs.queryable.tls.disabledCiphers

Tipo: string

Default: TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384

Lista de conjuntos de cifrados TLS que su instancia de Ops Manager no puede aceptar cuando los clientes se conectan al host de respaldo consultable. Especifique los nombres de los conjuntos de cifrados TLS como una lista separada por comas, sin espacios entre las entradas.

Servidor de correo electrónico SMTP

Condicional. Ajusta la configuración mms.emailDaoClass a SIMPLE_MAILER para que se muestren las siguientes opciones.

mms.mail.transport

Tipo: string

Default: smtp

Protocolo de transferencia que especifica su proveedor de correo electrónico:

• smtp (estándar SMTP)

Corresponde Transport a.

mms.mail.hostname

Tipo: string

Por defecto: localhost

Nombre de host del correo electrónico que especifica su proveedor de correo.

mms.mail.hostname=mail.example.com

Corresponde SMTP Server Hostname a.

mms.mail.port

Tipo: número

Por defecto: 25

Número de puerto para SMTP que especifica su proveedor de correo electrónico.

Corresponde SMTP Server Port a.

mms.mail.username

Tipo: string

Nombre de usuario de la cuenta de correo electrónico. Si no se establece, el valor por defecto es la autenticación de SMTP deshabilitada.

Corresponde Username a.

mms.mail.password

Tipo: string

Contraseña de la cuenta de correo electrónico. Si se deja en blanco, esta opción deshabilita la autenticación SMTP.

Corresponde Password a.

mms.mail.tls

Tipo: booleano

Por defecto: False

Seleccione esto como true si el protocolo de transferencia utiliza TLS/SSL.

Corresponde Use SSL a.

Servicio de correo electrónico simple de AWS

Condicional. Ajusta la configuración mms.emailDaoClass a AWS_MAILER para que se muestren las siguientes opciones.

aws.ses.endpoint

Tipo: string

Por defecto: https://email.us-east-1.amazonaws.com

Establece el punto final de API de envío para el AWS SES.

Corresponde AWS Endpoint a.

aws.accesskey

Tipo: string

ID de clave de acceso para AWS.

Corresponde AWS Access Key a.

aws.secretkey

Tipo: string

Clave de acceso secreta para AWS.

Corresponde AWS Secret Key a.

Kubernetes Setup

kubernetes.templates.credentialsFilePath

Tipo: string

Ruta al archivo YAML que contiene tu clave API programática como un secreto de Kubernetes para crear o actualizar objetos en tu proyecto de Ops Manager. Este archivo debe estar en formato YAML y debe almacenarse en el directorio /mongodb-ops-manager/. Este archivo corresponde a Kubernetes Secret Setup.

apiVersion: v1
kind: Secret
metadata:
  name: organization-secret
  namespace: mongodb
stringData:
  user: ${publicKey}
  publicApiKey: ${privateKey}

kubernetes.templates.projectFilePath

Tipo: string

Ruta al archivo YAML que contiene el ConfigMap que se utiliza para vincular con tu proyecto de Ops Manager. Este archivo debe estar en formato YAML y debe almacenarse en el directorio /mongodb-ops-manager/. Este archivo corresponde a Kubernetes ConfigMap Setup.

Supervisión de conmutación por error

Puedes activar la función de supervisión en varios agentes de MongoDB para distribuir las tareas de supervisión y proveer redundancia. Ops Manager distribuye las asignaciones de supervisión entre un máximo de 100 agentes de MongoDB en ejecución. Cada MongoDB Agent que ejecuta una Supervisión activa monitorea un conjunto diferente de procesos de MongoDB. Un MongoDB Agent ejecutando la supervisión activa por Proyecto es el primario monitor. El Monitor principal informa el estado del clúster a Ops Manager. A medida que los Agentes de MongoDB tienen la supervisión activada o desactivada, Ops Manager redistribuye las asignaciones. Si el Monitor principal falla, Ops Manager asigna a otro MongoDB Agent que ejecute supervisión activa para que sea el Monitor principal.

Los siguientes ajustes regulan el intervalo que Ops Manager utiliza para determinar si una supervisión es inaccesible y la frecuencia con la que los agentes en espera encuestan a Ops Manager para determinar si deben recibir asignaciones de supervisión.

mms.monitoring.agent.session.timeoutMillis

Tipo: entero

por defecto: 90000

Intervalo que utiliza Ops Manager para determinar si un agente de reserva debe iniciar la supervisión. Si Ops Manager no recibe noticias de una supervisión durante el tiempo especificado, Ops Manager ascenderá a un agente en espera. Configurar el tiempo de espera por debajo de 90000 (90 segundos) provocará que Ops Manager falle al inicio con un error de configuración.

mms.monitoring.agent.standbyCollectionFactor

Tipo: entero

Por defecto: 4

Especifica con qué frecuencia un agente en espera realiza un registro en Ops Manager para verificar si debe iniciar la supervisión. Se permiten los siguientes valores:

Valor	Frecuencia de verificación de los agentes en espera
1	Cada 55 segundos
2	Cada 27 segundos
3	Cada 18 segundos
4	Cada 14 segundos

Acceso No Uniforme a la Memoria (NUMA)

mongodb.disable.numa

Tipo: booleano

Para deshabilitar NUMA para las bases de datos principales, siga el procedimiento Modificar una configuración personalizada utilizando los siguientes valores:

Key	mongodb.disable.numa
Value	true

Para obtener más información sobre NUMA, consulte MongoDB y hardware NUMA en las Notas de Producción de MongoDB.

Importante

Cada instancia de Ops Manager con daemons de copias de seguridad activados debe tener instalado el servicio numactl. Si numactl no está instalado y esta configuración está ajustada a true, las tareas de copia de seguridad fallarán.

Ops Manager puede cifrar cualquier tarea de copia de seguridad. Utiliza cursores de copia de seguridad en lugar de bases de datos principales para cifrar tareas de copia de seguridad. Para más información, consulte Servicio daemon de copias de seguridad.

Integración de Datadog

datadog.api.url

Tipo: string

Por defecto: https://api.datadoghq.com/api/v1

URL que utiliza Ops Manager para acceder a la API de Datadog.

Habilite este parámetro personalizado si ha implementado Datadog localmente. Establézcalo en un valor adecuado para su implementación.

Opsgenie Integration

opsgenie.api.url

Tipo: string

Por defecto: https://api.opsgenie.com/v2/alerts

URL que Ops Manager utiliza para acceder a la API de Ops Genie en países europeos.

Habilita este parámetro personalizado si tu instancia de Ops Manager ejecuta en Europa. Luego, establece su valor en https://api.eu.opsgenie.com/v2/alerts.

Para obtener más información, consulte la documentación de Opsgenie Alert.

Integración con Twilio

Para recibir notificaciones de alerta por SMS o 2código FA, debes tener una cuenta Twilio.

twilio.account.sid

Tipo: string

Twilio ID de cuenta.

Corresponde Account SID a.

twilio.auth.token

Tipo: string

Twilio API token.

Corresponde Twilio Auth Token a.

twilio.from.num

Tipo: string

Número de teléfono de Twilio.

Corresponde Twilio From Number a.

Autenticación a través de la base de datos de la aplicación de Ops Manager

mms.password.maxDaysBeforeChangeRequired

Tipo: número

Número de días que una contraseña es válida antes de que expire.

Corresponde Days Before Password Change Required a.

mms.password.maxDaysInactiveBeforeAccountLock

Tipo: número

Número máximo de días sin visitas al sitio web del Administrador de operaciones antes de que el Administrador de operaciones bloquee una cuenta.

Corresponde Days Inactive Before Account Lock a.

mms.password.maxFailedAttemptsBeforeAccountLock

Tipo: número

Número de intentos fallidos de inicio de sesión antes de que se bloquee una cuenta. Solo un administrador de Ops Manager puede desbloquear una cuenta bloqueada.

Corresponde Failed Login Attempts Before Account Lock a.

mms.password.minChangesBeforeReuse

Tipo: número

Número de contraseñas anteriores que se deben recordar. No puedes reutilizar una contraseña recordada como nueva contraseña.

Corresponde Password Changes Before Reuse a.

mms.login.ratelimit.attemptsAllowed

Tipo: número

Número de inicios de sesión que un usuario desde una dirección IP específica puede intentar durante un período de tiempo de espera. Debes configurar esta opción junto con Login Attempts Timeout Period.

Corresponde Login Attempts Allowed Before Timeout a.

mms.login.ratelimit.lockedPeriodMinutes

Tipo: número

Esta configuración especifica:

• El periodo de tiempo (en minutos) utilizado para determinar si se han realizado demasiados intentos de inicio de sesión.

• La duración durante la cual las cuentas están bloqueadas antes de que puedas reanudar los intentos de inicio de sesión.

Debes configurar esta configuración junto con Login Attempts Allowed Before Timeout.

Importante

El menú desplegable lista los únicos valores posibles para esta configuración. Intentar configurar un valor en su archivo conf-mms.properties o en la base de datos local que no figure en el menú desplegable genera un error al reiniciar la instancia de Ops Manager.

Corresponde Login Attempts Timeout Period a.

mms.user.invitationOnly

Tipo: booleano

Si es verdadera, sólo los nuevos usuarios podrán registrarse por invitación. La invitación proporciona una URL que muestra el enlace de registro. Si es falso, los usuarios nuevos pueden registrarse si tienen la URL de Ops Manager.

Corresponde Invitation Only Mode a.

mms.user.bypassInviteForExistingUsers

Tipo: booleano

Por defecto: False

Esta casilla de verificación aparece cuando estableces mms.userSvcClass en UserSvcDb.

Valor	Resultados
true	Puede añadir usuarios existentes a cualquier organización o proyecto sin necesidad de invitación. Ops Manager elimina e invalida cualquier invitación pendiente. Los nuevos usuarios continúan recibiendo y deben aceptar la invitación.
false	Todos los usuarios siguen recibiendo y deben aceptar las invitaciones.

Corresponde Bypass Invitation Mode a.

mms.user.passwordHashIterations

Tipo: número

Número de iteraciones para el algoritmo hash pbkdf2.

Corresponde Password Hashing Iterations a.

Autenticación a través de LDAP

Estas configuraciones configuran Ops Manager para usar un servidor LDAP para la autenticación. Si utilizas la autenticación LDAP, los usuarios deben pertenecer a un grupo LDAP para iniciar sesión en Ops Manager. Debes crear grupos LDAP para cada rol de usuariode Ops Manager.

Configuraciones que comienzan con mms.ldap.global.role asignar roles globales de Ops Manager a los miembros de los grupos LDAP especificados. Especifica los grupos usando el formato utilizado por el atributo LDAP especificado en la configuración de LDAP User Group. Puedes especificar varios grupos usando el delimitador ;;. Para cambiar el delimitador por defecto, utiliza el ajuste mms.ldap.group.separator. Cada rol global de Ops Manager proporciona su propio nivel de acceso a todos los proyectos de Ops Manager en la implementación. Para proporcionar acceso a grupos específicos, use roles a nivel de grupo.

mms.ldap.bindDn

Tipo: string

Usuario LDAP utilizado para ejecutar búsquedas para otros usuarios.

mms.ldap.bindDn=authUser@acme.example.com

Corresponde LDAP Bind Dn a.

mms.ldap.bindPassword

Tipo: string

Contraseña para el usuario de búsqueda.

mms.ldap.bindPassword=<password>

Corresponde LDAP Bind Password a.

mms.ldap.global.role.automationAdmin

Tipo: string

LDAP grupo cuyos miembros tienen el rol de administrador global de automatización en Ops Manager. Especifique los proyectos utilizando el formato utilizado por el atributo LDAP especificado en la configuración LDAP User Group. Puede especificar varios proyectos utilizando el delimitador ;;. Para cambiar el delimitador por defecto, use la configuración mms.ldap.project.separator.

mms.ldap.global.role.automationAdmin=CN\=MMS-AutomationAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Cada rol global de Ops Manager proporciona su nivel de acceso a todos los proyectos de Ops Manager en la implementación. Para proporcionar acceso a proyectos específicos, utilice roles de nivel de grupo.

Corresponde LDAP Global Role Automation Admin a.

mms.ldap.global.role.backupAdmin

Tipo: string

LDAP grupo cuyos miembros tienen el rol de administrador de copia de seguridad global en Ops Manager.

mms.ldap.global.role.backupAdmin=CN\=MMS-BackupAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Corresponde LDAP Global Role Backup Admin a.

mms.ldap.global.role.monitoringAdmin

Tipo: string

El grupo LDAP cuyos nodos tienen el rol de administración de supervisión global en Ops Manager.

mms.ldap.global.role.monitoringAdmin=CN\=MMS-MonitoringAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Corresponde LDAP Global Role Monitoring Admin a.

mms.ldap.global.role.owner

Tipo: string

Grupo LDAP que tiene privilegios completos para la implementación de Ops Manager, incluido el acceso total a todos los proyectos de Ops Manager y todos los permisos administrativos. Los usuarios en el grupo LDAP especificado reciben el rol de propietario global en Ops Manager. Especifica el proyecto usando el formato que utiliza el atributo LDAP especificado en la configuración de LDAP User Group.

mms.ldap.global.role.owner=CN\=MMSGlobalOwner,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Corresponde LDAP Global Role Owner a.

mms.ldap.global.role.readOnly

Tipo: string

LDAP grupo cuyos miembros tienen el rol global de solo lectura en Ops Manager.

mms.ldap.global.role.readOnly=CN\=MMS-ReadOnly,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Corresponde LDAP Global Role Read Only a.

mms.ldap.global.role.userAdmin

Tipo: string

GrupoLDAP cuyos miembros tienen el rol de administrador de usuarios global en Ops Manager.

mms.ldap.global.role.userAdmin=CN\=MMS-UserAdmin,OU\=MMS,OU\=acme Groups,DC\=acme,DC\=example,DC\=com

Corresponde LDAP Global Role User Admin a.

mms.ldap.group.baseDn

Tipo: string

Valor predeterminado: LDAP User Base Dn valor

Nombre distintivo (DN) base que Ops Manager utiliza para buscar grupos. Si se deja en blanco, se utiliza el valor predeterminado.

mms.ldap.group.baseDn=OU\=groups,DC\=acme,DC\=com

Corresponde LDAP Group Base Dn a.

mms.ldap.group.member

Tipo: string

Campo en la entrada del grupo que contiene los Nombres Distinguidos de los usuarios (DN). Las clases de objetos groupOfNames o groupOfUniqueNames se utilizan habitualmente.

mms.ldap.group.member=member

Corresponde LDAP Group Member Attribute a.

mms.ldap.group.separator

Tipo: string

Por defecto: ;;

Para establecer el separador de LDAP, siga el procedimiento Modificar una configuración personalizada utilizando los siguientes valores:

Key	mms.ldap.group.separator
Value	<desired-separator>

Cada uno de los valores de rol global acepta una lista delimitada de proyectos:

"dbas,sysadmins"

Si un valor de grupo contiene el delimitador, el delimitador debe establecerse en otro valor.

Ejemplo

Si tienes el valor de grupo "CN\=foo,DN\=bar" y el delimitador es ,, entonces Ops Manager analiza "CN\=foo,DN\=bar" como dos elementos en lugar de como la descripción de un solo grupo.

mms.ldap.referral

Tipo: string

CampoLDAP utilizado para configurar el manejo de las referencias. Acepta dos valores:

• ignore:Ignorar referencias.

• follow: Seguir automáticamente cualquier referencia.

Corresponde LDAP Referral a.

mms.ldap.ssl.CAFile

Tipo: string

Un archivo que contiene uno o más certificados de confianza en formato PEM. Use esta configuración si utiliza LDAPS y el servidor utiliza un certificado que no proviene de una autoridad de certificación reconocida.

mms.ldap.ssl.CAFile=/opt/CA.pem

Corresponde LDAP SSL CA File a.

mms.ldap.ssl.PEMKeyFile

Tipo: string

Un archivo que contiene un certificado de cliente y una llave privada. Utiliza esta configuración cuando tu servidor TLS/SSL LDAP requiere certificados de cliente.

mms.ldap.ssl.PEMKeyFile=/opt/keyFile.pem

Corresponde LDAP SSL PEM Key File a.

mms.ldap.ssl.PEMKeyFilePassword

Tipo: string

Contraseña para LDAP SSL PEM Key File. Use esta configuración si el PEMKeyFile está cifrado.

mms.ldap.ssl.PEMKeyFilePassword=<password>

Corresponde LDAP SSL PEM Key File Password a.

mms.ldap.url

Tipo: string

URI para el servidor LDAP o LDAPS.

mms.ldap.url=ldaps://acme-dc1.acme.example.com:3890

Corresponde LDAP URI a.

mms.ldap.user.baseDn

Tipo: string

Base nombre distinguido (DN) que Ops Manager utiliza para buscar usuarios.

Escapa del signo = con \.

mms.ldap.user.baseDn=DC\=acme,DC\=example,DC\=com

Corresponde LDAP User Base Dn a.

mms.ldap.user.email

Tipo: string

Default: mail per RFC2256

LDAP El atributo de usuario que contiene la dirección de correo electrónico del usuario. Después de la autenticación LDAP exitosa, el Ops Manager sincroniza el atributo LDAP especificado con la dirección de correo electrónico del registro de usuario del Ops Manager.

mms.ldap.user.email=mail

Corresponde LDAP User Email a.

mms.ldap.user.firstName

Tipo: string

Default: givenName per RFC2256

Atributo de usuario de LDAP que contiene el nombre del usuario. Después de una autenticación LDAP exitosa, Ops Manager sincroniza el atributo LDAP especificado con el nombre de pila del registro de usuario de Ops Manager.

mms.ldap.user.firstName=givenName

Corresponde LDAP User First Name a.

mms.ldap.user.group

Tipo: string

Atributo de usuario LDAP que contiene la lista de grupos LDAP a los que pertenece el usuario. El atributo LDAP puede usar cualquier formato para enumerar los proyectos, incluyendo el Nombre común (cn) o Nombre distinguido (dn). Todos los ajustes de Ops Manager en este archivo de configuración que especifiquen proyectos deben coincidir con el formato elegido.

Importante

Ops Manager quedó en desuso mms.ldap.user.group. Utilizar mms.ldap.group.member.

Si provees valores para:

• Tantomms.ldap.user.groupcomomms.ldap.group.member, Ops Manager utilizamms.ldap.group.membere ignoramms.ldap.user.group.

• mms.ldap.user.group solo que Ops Manager no reconoce la pertenencia del usuario a grupos jerárquicos de LDAP.

mms.ldap.user.group=memberOf

Corresponde LDAP User Group a.

mms.ldap.user.lastName

Tipo: string

Default: surname per RFC2256

Atributo de usuario LDAP que contiene el apellido del usuario. Después de una autenticación exitosa de LDAP, Ops Manager sincroniza el atributo LDAP especificado con el apellido del registro de usuario de Ops Manager.

mms.ldap.user.lastName=sn

Corresponde LDAP User Last Name a.

mms.ldap.user.searchAttribute

Tipo: string

Campo de LDAP usado para la búsqueda LDAP. Normalmente, es un nombre de usuario o una dirección de correo electrónico. El valor de este campo también se usa como el nombre de usuario de Ops Manager.

mms.ldap.user.searchAttribute=<myAccountName>

Corresponde LDAP User Search Attribute a.

mms.login.newDeviceNotification.enabled

Tipo: booleano

Indicador que indica que se debe notificar al usuario que ha iniciado sesión desde un nuevo dispositivo.

Corresponde New Device Login Notification a.

Autenticación a través de SAML

mms.saml.idp.uri

Tipo: string

URI del proveedor de identidad(IdP) que utiliza para coordinar su inicio de sesión único. Este puede denominarse EntityId o Emisor del proveedor de identidad.

mms.saml.sso.url

Tipo: string

URL del punto final de inicio de sesión único al que Ops Manager llama cuando un usuario intenta iniciar sesión.

mms.saml.slo.url

Tipo: string

URL del endpoint de cierre de sesión único que Ops Manager llama cuando un usuario intenta cerrar sesión. Si se establece, cuando un usuario intenta cerrar sesión en Ops Manager, sale de tu proveedor de identidad. Si se deja en blanco, cerrar sesión en Ops Manager no cerrará la sesión del usuario en su sesión de proveedor de identidad.

mms.saml.x509.cert

Tipo: string

Certificado provisto por su proveedor de identidad que Ops Manager utiliza para verificar su validez ante el proveedor de identidad.

mms.saml.ssl.PEMKeyFile

Tipo: string

Ruta absoluta al archivo PEM para el certificado que el SP utiliza para firmar las solicitudes, que contiene tanto la clave privada como la pública. Si se deja esto en blanco, Ops Manager no firma las solicitudes de autenticación SAML al proveedor de identidad y no se pueden cifrar las aserciones SAML.

mms.saml.ssl.PEMKeyFilePassword

Tipo: string

Requerido si el archivo PEM contiene una clave privada cifrada. Especifique la contraseña para el archivo PEM.

mms.saml.encrypted.assertions

Tipo: booleano

Indicador que señala si el proveedor de identidad encripta o no las declaraciones que envía a Ops Manager.

mms.saml.signedAssertions

Tipo: booleano

Por defecto: true

Indicador que determina si el proveedor de identidad firma o no las aserciones que envía a Ops Manager.

Importante

Asegúrate de que, o bien las declaraciones, o bien la respuesta, estén firmadas. La configuración fallará la verificación y Ops Manager devolverá un error si las aserciones o la respuesta no están firmadas.

Corresponde SAML Signed Assertions a.

mms.saml.signedMessages

Tipo: booleano

Por defecto: true

Bandera que indica si el IdP firma o no las respuestas que envía a Ops Manager.

Importante

Asegúrate de que, o bien las declaraciones, o bien la respuesta, estén firmadas. La configuración fallará la verificación y Ops Manager devolverá un error si las aserciones o la respuesta no están firmadas.

Corresponde SAML Signed Messages a.

mms.saml.signature.algorithm

Tipo: string

Algoritmo para cifrar la firma enviada hacia y desde el IdP.

Debe utilizar uno de los siguientes valores completos del algoritmo de firma W3.org:

• http://www.w3.org/2001/04/xmldsig-more#rsa-sha1

• http://www.w3.org/2000/09/xmldsig#dsa-sha1

• http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

• http://www.w3.org/2001/04/xmldsig-more#rsa-sha384

• http://www.w3.org/2001/04/xmldsig-more#rsa-sha512

Importante

Debe especificar la URL completa del algoritmo de firma de W3.org, no un simple valor de string. El uso de valores de string simples, como rsa-sha256, hace que Ops Manager devuelva un error unauthorized porque el proveedor de identidad no puede validar correctamente las firmas.

Ejemplo:

mms.saml.signature.algorithm=http://www.w3.org/2001/04/xmldsig-more#rsa-sha256

mms.saml.global.role.owner

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros cuentan con privilegios plenos sobre esta implementación, incluido el acceso total a todos los grupos y todos los permisos administrativos.

mms.saml.global.role.automationAdmin

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros tienen el Global Automation Admin rol.

mms.saml.global.role.backupAdmin

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros tienen el Global Backup Admin rol.

mms.saml.global.role.monitoringAdmin

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros tienen el Global Monitoring Admin rol.

mms.saml.global.role.userAdmin

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros tienen el Global User Admin rol.

mms.saml.global.role.readOnly

Tipo: string

Grupo en el atributo de miembro del grupo SAML cuyos miembros tienen el Global Read Only rol.

mms.saml.user.firstName

Tipo: string

Atributo de usuarioSAML que contiene el nombre del usuario.

mms.saml.user.lastName

Tipo: string

SAML Atributo de usuario que contiene el apellido del usuario.

mms.saml.user.email

Tipo: string

Atributo de usuario SAML que contiene la dirección de correo electrónico del usuario.

mms.saml.group.member

Tipo: string

Por defecto: groups

El atributo SAML que contiene la lista de grupos que Ops Manager utiliza para mapear roles a Proyectos y Organizaciones.

Corresponde SAML Group Member Attribute a.

Autenticación Multifactor (MFA)

mms.multiFactorAuth.level

Tipo: string

Predeterminado: DESACTIVADO

Configura el nivel de "autenticación de dos factores":

Configuración	Descripción
OFF	Desactiva la autenticación de dos factores. Ops Manager no utiliza la autenticación en dos pasos.
OPTIONAL	Los usuarios pueden optar por configurar la autenticación de dos factores para su cuenta de Ops Manager.
REQUIRED_FOR_GLOBAL_ROLES	Los usuarios que posean un rol global deben configurar la autenticación de dos factores. La autenticación de dos factores es opcional para todos los demás usuarios.
REQUIRED	Todos los usuarios deben configurar la autenticación de dos factores para su cuenta de Ops Manager.

Se recomienda la autenticación de dos factores para la seguridad de tu implementación de Ops Manager.

Advertencia

Si activas mms.multiFactorAuth.level a través del archivo de configuración, primero debes crear una cuenta de usuario antes de actualizar el archivo de configuración. De lo contrario, no puedes iniciar sesión en Ops Manager.

Nota

Si habilitas la integración con Twilio (opcional), asegúrate de que los servidores de Ops Manager puedan acceder al dominio twilio.com.

Corresponde Multi-factor Auth Level a.

mms.multiFactorAuth.allowReset

Tipo: booleano

Por defecto: False

Cuando true, el Administrador de operaciones permite a los usuarios restablecer sus ajustes de autenticación de dos factores por correo electrónico de manera similar a cómo restablecen sus contraseñas.

Para restablecer la autenticación de dos factores, un usuario debe:

• poder recibir correo electrónico en la dirección asociada con la cuenta de usuario.

• conoce la contraseña de la cuenta del usuario.

• conoce la clave API del agente de cada proyecto de Ops Manager al que pertenece el usuario.

Corresponde Multi-factor Auth Allow Reset a.

mms.multiFactorAuth.issuer

Tipo: string

Si Google Authenticator ofrece autenticación de dos factores, este string es el issuer en la aplicación Google Authenticator. Si se deja en blanco, el issuer es el nombre de dominio de la instalación del Ops Manager.

Corresponde Multi-factor Auth Issuer a.

mms.multiFactorAuth.require

Tipo: booleano

Por defecto: False

Cuando true, Ops Manager requerirá la autenticación de dos factores para que los usuarios puedan iniciar sesión o realizar ciertas operaciones destructivas dentro de la aplicación.

Si configuras la integración de Twilio, los usuarios pueden obtener sus tokens de segundo factor mediante Google Authenticator, SMS o llamadas de voz. De lo contrario, el único mecanismo para proporcionar autenticación de dos factores es Google Authenticator.

reCaptcha y duración de la sesión

reCaptcha.enabled.registration

Tipo: booleano

Por defecto: false

Indicador de que deseas que un nuevo usuario se valide a sí mismo utilizando la validación reCaptcha al registrarse en Ops Manager.

Establezca en true para requerir la validación de reCaptcha cuando un nuevo usuario se registre.

Esta configuración requiere una cuenta reCaptcha.

Corresponde ReCaptcha Enabled On Registration a.

reCaptcha.enabled

Tipo: booleano

Por defecto: false

Indicador que indica que desea que un usuario se valide mediante la validación reCaptcha cuando inicia sesión en Ops Manager.

Configura en true para requerir validación reCaptcha cuando un usuario inicie sesión.

Esta configuración requiere una cuenta reCaptcha.

Corresponde a ReCaptcha Enabled.

reCaptcha.private.key

Tipo: string

llave privada de ReCaptcha asociada a tu cuenta.

Corresponde ReCaptcha Private Key a.

reCaptcha.public.key

Tipo: string

llave pública de ReCaptcha asociada con tu cuenta.

Corresponde ReCaptcha Public Key a.

mms.session.maxHours

Tipo: número

Número de horas antes de que expire una sesión en el sitio web de Ops Manager.

Nota

Session Max Hours Refleja el tiempo total de la sesión de Ops Manager, no solo el tiempo de inactividad. Tanto las sesiones activas como las inactivas expiran cuando transcurre Session Max Hours.

Establece este valor en 0 para usar solo cookies de sesión del navegador.

Corresponde Session Max Hours a.

mms.session.mode

Tipo: string

Ya sea None o Idle.

None desactiva el tiempo de espera por inactividad de la sesión. Idle cierra la sesión de los usuarios después de un período de inactividad.

mms.session.idleTimeoutMinutes

Tipo: número

La cantidad máxima de tiempo en minutos que una sesión puede estar activa sin actividad del usuario.