Schlüsselwortreferenz für Konfigurationsdateien: Secure Shell-EinstellungenVerwenden Sie diese Referenz, wenn Sie die Secure Shell-Konfigurationsdatei manuell bearbeiten möchten. Die Konfigurationsdatei ist in Abschnitte unterteilt, die jeweils durch ein Hostschlüsselwort gekennzeichnet sind. In jedem Abschnitt sind Secure Shell-Einstellungen für alle Verbindungen festgelegt, die mit dem jeweiligen Host unter Angabe dieses Abschnitts in der SSH-Konfigurationsdatei hergestellt werden. Die Konfigurationsdatei besteht aus Kennwörtern mit zugeordneten Werten. Konfigurationsoptionen können durch Leerzeichen oder durch optionale Leerzeichen und genau ein Gleichheitszeichen (=) getrennt sein. Bei Argumenten muss die Groß- und Kleinschreibung beachtet werden, bei Schlüsselwörtern nicht. Jede Zeile, die mit einem Nummernzeichen (#) beginnt, ist ein Kommentar. Leerzeilen werden ignoriert. Hinweis: Mit den Optionen in dieser Liste werden Funktionen konfiguriert, die Auswirkungen auf die Secure Shell-Verbindung haben. Weitere Schlüsselwörter sind für das Konfigurieren der Terminalemulation für Sitzungen über die ssh-Befehlszeile verfügbar. Referenzinformationen zu diesen Schlüsselwörtern finden Sie unter Schlüsselwortreferenz für Konfigurationsdateien: Terminalemulationseinstellungen BatchModeLegt fest, ob alle Anfragen zu Benutzereingaben, z. B. Eingabeaufforderungen zu Kennwort und Passphrase, deaktiviert werden sollen. Dies ist hilfreich bei Skripts und Sammelaufträgen. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". Hinweis: Das Schlüsselwort deaktiviert Eingabeaufforderungen nicht, wenn die interaktive Authentifizierung über die Tastatur konfiguriert wurde. Verbindungen, die die interaktive Tastatur zur Benutzerauthentifizierung verwenden, schlagen jedoch fehl, wenn die Option BatchMode aktiviert ist. BindAddressLegt bei Computern mit mehreren Schnittstellen oder Aliasadressen die Übermittlungsschnittstelle fest. ChallengeResponseAuthenticationGibt an, ob die Authentifizierung mit Beschränkung/Antwort verwendet wird. Das Argument muss "yes" oder "no" lauten. Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Die Standardeinstellung ist "yes". Dies gilt nur für SSH-Protokoll 1. Diese Version wird zwar unterstützt, ihre Verwendung aber nicht empfohlen. Verwenden Sie KbdInteractiveAuthentication für SSH-Protokollversion 2. CheckHostIPWenn "yes" festgelegt ist, prüft der Reflection Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel die Host-IP-Adresse in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn Host-IP in der Liste der bekannten Hosts mit der IP-Adresse übereinstimmt, die Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking = no ist. CheckHostPortWenn "yes" festgelegt ist, prüft der Reflection Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel den Hostanschluss in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn der Hostanschluss in der Liste der bekannten Hosts mit dem Anschluss übereinstimmt, den Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking = no ist. VerschlüsselungLegt die Verschlüsselungsart für die Verbindung in der Protokollversion 1 fest. Derzeit werden "blowfish", "3des" und "des" unterstützt. "des" wird jedoch vom Secure Shell-Client nur zum Zwecke der Kompatibilität mit früheren Implementierungen von Protokoll 1 unterstützt, bei denen keine 3des-Verschlüsselung möglich ist. Von dieser Verschlüsselung sollte aufgrund kryptografischer Schwachstellen abgesehen werden. Die Standardeinstellung ist "3des". CiphersLegt die für die Protokollversion 2 zulässigen Verschlüsselungsverfahren in der bevorzugten Reihenfolge fest. Mehrere Verschlüsselungen werden durch Kommata gegeneinander abgegrenzt. Die Standardeinstellung lautet "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc". ClearAllForwardingsLöscht alle lokalen, entfernten oder dynamisch weitergeleiteten Anschlüsse, die bereits durch eine Konfigurationsdatei oder die Befehlszeile bearbeitet wurden.Hinweis: scp und sftp löschen automatisch alle weitergeleiteten Anschlüsse, unabhängig davon, welcher Wert eingestellt ist. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". DatenkomprimierungBestimmt, ob die Komprimierung aktiviert ist. Die Komprimierung ist bei Modemverbindungen und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeiten. Außerdem ist das Paket durch die Komprimierung für potenzielle Angreifer noch schwerer zu entschlüsseln. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". CompressionLevelLegt den Komprimierungsgrad fest, wenn die Komprimierung aktiviert ist. Diese Option gilt nur für die Protokollversion 1. Das Argument muss eine ganze Zahl zwischen 1 (schnell) und 9 (langsam, empfohlen) sein. Die Standardeinstellung ist "6". Diese Komprimierung funktioniert bei den meisten Anwendungen gut. Die Werte haben die gleiche Bedeutung wie bei "gzip". ConnectionAttemptsGibt an, wie viele Versuche (einer pro Sekunde) unternommen werden, bevor abgebrochen wird. Das Argument muss eine ganze Zahl sein. Dieses Schlüsselwort kann bei Skripts nützlich sein, wenn die Verbindung manchmal fehlschlägt. Die Standardeinstellung ist "1". ConnectionReuseLegt fest, ob mehrere Sitzungen auf demselben Host die ursprüngliche Secure Shell-Verbindung erneut verwenden und daher keine erneute Authentifizierung erfordern. Das Argument muss "yes" oder "no" lauten. Bei "yes" wird der bestehende Tunnel auch dann für neue Verbindungen verwendet, wenn der Hostname, der Benutzername und der Abschnitt in der SSH-Konfigurationsdatei (sofern verwendet) übereinstimmen. Bei "no" stellt Reflection für jede Sitzung eine neue Verbindung her. Der Authentifizierungsvorgang wird also für jede neue Verbindung erneut ausgeführt, und Änderungen an den verbindungsspezifischen Einstellungen (z. B. Vorwärtskanäle und Schlüssel) werden angewendet. Für Verbindungen, die über das Reflection-Fenster hergestellt werden, ist die Standardeinstellung "yes". Wenn Sie Verbindungen über die Befehlszeilen-Dienstprogramme von Reflection herstellen, ist die Standardeinstellung "no". Weitere Informationen finden Sie unter Wiederverwenden von Verbindungen in Secure Shell-Sitzungen. DisableCRLLegt fest, ob bei der Überprüfung der Hostzertifikate eine Prüfung der CRL-Liste (Certificate Revocation List) auf widerrufene Zertifikate erfolgt. Wenn Sie diese Option auf "yes" setzen, wird die CRL-Prüfung deaktiviert. Der Standardwert für diese Einstellung hängt von den aktuellen Systemeinstellungen für die CRL-Prüfung ab. Um die Systemeinstellungen anzuzeigen und zu ändern, starten Sie Internet Explorer, und rufen Sie unter Extras > Internetoptionen die Registerkarte Erweitert auf. Überprüfen Sie, ob unter Sicherheit das Kontrollkästchen Auf zurückgezogene Serverzertifikate überprüfen (Neustart erforderlich) aktiviert ist. DynamicForwardLegt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal weitergeleitet wird. Daraufhin wird durch das Anwendungsprotokoll bestimmt, mit welchem Anschluss der Remoterechner eine Verbindung aufbauen muss. Das Argument muss eine Anschlussnummer sein. Gegenwärtig wird das SOCKS4-Protokoll unterstützt. Reflection Secure Shell dient in diesem Fall als SOCKS4-Server. Es können mehrere Weiterleitungen definiert werden. Außerdem können in der Befehlszeile zusätzliche Weiterleitungen eingegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. EscapeCharLegt das Escape-Zeichen fest (Standardeinstellung: '~'). Dieses Escape-Zeichen kann auch in der Befehlszeile eingestellt werden. Das Argument muss ein einzelnes Zeichen ("^") sein, gefolgt von einem Buchstaben oder "none", um das Escape-Zeichen zu deaktivieren (die Verbindung wird transparent für binäre Daten). FipsModeWenn diese Einstellung auf "yes" gesetzt ist, müssen Verbindungen über Sicherheitsprotokolle und Algorithmen hergestellt werden, die dem Federal Information Processing Standard (FIPS) 140-2 der US-amerikanischen Regierung entsprechen. Optionen, die diesen Standards nicht entsprechen, stehen in der Registerkarte Verschlüsselung nicht zur Verfügung. Hinweis: Diese Einstellung betrifft den vom Hostschlüsselwort angegebenen Abschnitt der SSH-Konfigurationsdatei und hat nur dann Auswirkungen auf spätere Secure Shell-Sitzungen, wenn diese für denselben Abschnitt der SSH-Konfigurationsdatei (oder denselben Hostnamen) konfiguriert sind. ForwardAgentWenn Sie diese Option auf "yes" setzen, aktivieren Sie die Weiterleitung der Verbindung zum Reflection-Schlüsselagenten. Gehen Sie bei der Aktivierung der Agentweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost (für die Unix-Domainsocket des Agenten) umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann den Schlüssel aber so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann. Die Option muss gegebenenfalls auch auf dem Server aktiviert werden. Die Standardeinstellung ist "no". ForwardX11Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no". Hinweis: Wenn Sie Secure Shell mit Reflection X konfigurieren, wird für ForwardX11 automatisch "yes " eingestellt. GatewayPortsLegt fest, ob externe Hosts eine Verbindung mit lokalen weitergeleiteten Anschlüssen herstellen können. Standardmäßig verbindet Reflection Secure Shell lokale Anschlussweiterleitungen mit der LOOPBACK-Adresse. Dadurch wird verhindert, dass andere externe Hosts eine Verbindung mit den weitergeleiteten Anschlüssen herstellen. Mit GatewayPorts können Sie festlegen, dass Reflection Secure Shell lokale Anschlussweiterleitungen mit der Platzhalteradresse verbindet, damit Remotehosts eine Verbindung mit weitergeleiteten Anschlüssen herstellen können. Diese Einstellung sollte mit großer Vorsicht verwendet werden. Da die Remotehosts bei dieser Einstellung den weitergeleiteten Anschluss auf Ihrem System ohne Authentifizierung nutzen können, ergeben sich dabei möglicherweise Sicherheitslücken für das Netzwerk und die Verbindung. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no". GlobalKnownHostsFileLegt eine Datei fest, die anstelle der Datei ssh_known_hosts im Reflection-Ordner mit den Anwendungsdaten für die Datenbank mit globalen Hostschlüsseln verwendet werden soll. Hinweis: Wenn der Pfad bzw. der Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen. GssapiAuthenticationLegt fest, ob für ein Kerberos-KDC die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur, wenn ein Protokoll der Protokollversion 2 verwendet wird. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosAuthentication.) Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". GssapiDelegateCredentialsGibt an, ob GSSAPI verwendet wird, um das Kerberos-TGT (krbtgt) an den Host weiterzuleiten. Diese Einstellung gilt nur, wenn ein Protokoll der Protokollversion 2 verwendet wird. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosTgtPassing.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". GssapiUseSSPILegt fest, ob die Microsoft Security Support Provider-Schnittstelle (SSPI) für die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung ist nur verfügbar, wenn die Kerberos-/GSSAPI-Authentifizierung (GssapiAuthentication für Protokollversion 2 und KerberosAuthentication für Protokollversion 1) aktiviert ist. Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Reflection Secure Shell-Client den Reflection Kerberos-Client für die GSSAPI-Authentifizierung. Wenn diese Einstellung auf "yes" gesetzt ist, verwendet der Reflection Secure Shell-Client für die Authentifizierung beim Secure Shell-Server Ihre Anmeldeinformationen (SSPI) für die Windows-Domäne. SSPI ist nur für Protokoll-2-Verbindungen verfügbar, und der Server muss die Authentifizierungsmethode GSSAPI-with-mic unterstützen. Die Standardeinstellung ist "yes". GssServicePrincipalLegt einen nicht standardmäßigen Dienstbenutzernamen fest, der verwendet wird, wenn der Client eine Anforderung für ein Service-Ticket an das KDC (Kerberos Key Distribution Center) sendet. Wenn Sie SSPI als GSSAPI-Modul ausgewählt haben, können Sie mit dieser Einstellung einen Dienstteilnehmer in einem anderen Gültigkeitsbereich als der Windows-Domäne festlegen. Verwenden Sie einen vollständigen Hostnamen, gefolgt von "@" und dem Namen des Gültigkeitsbereichs, z. B. meinhost.meingueltigkeitsbereich.com@MEINGUELTIGKEITSBEREICH.COM. (Standardmäßig entspricht der Wert des Hostnamen dem Namen des Secure Shell-Servers, zu dem Sie eine Verbindung aufbauen. Der Gültigkeitsbereich ist abhängig von dem Wert für GssapiUseSSPI. Ist GSSapiUseSSPI auf "no" gesetzt, ist der Name des Gültigkeitsbereichs in Ihrem Standardbenutzerprofil festgelegt. Ist GSSapiUseSSPI auf "yes" gesetzt, wird als Gültigkeitsbereich der Name Ihrer Windows-Domäne verwendet.) HostSchränkt die nachfolgenden Deklarationen (bis zum nächsten Hostschlüsselwort) auf den angegebenen Abschnitt in der SSH-Konfigurationsdatei ein. Die Zeichen "*" und "?" können als Platzhalter verwendet werden. Ein einziges "*" als Muster weist auf globale Standardwerte für alle Hosts hin. Verbindungen über Reflection nutzen die erste übereinstimmende Host-Zeichenfolge, die (unter Berücksichtigung von Platzhalterzeichen) gefunden wird. Alle nachfolgenden Übereinstimmungen bleiben unberücksichtigt. Hinweis: Wenn Sie das Dialogfeld "Reflection Secure Shell-Einstellungen" schließen, werden die Werte mit den Standardeinstellungen nicht in der Konfigurationsdatei gespeichert. Wenn ein Standardwert manuell zur Datei hinzugefügt wurde, wird dieser beim Schließen des Dialogfelds gelöscht. Dies stellt Designeinschränkungen dar, wenn Sie Platzhalter-Hoststanzas in Verbindung mit Stanzas verwenden, die bestimmte Hostnamen verwenden. Wenn Sie einen Standardwert manuell in einem bestimmten Hoststanza konfiguriert haben, der einen Wert in einem Platzhalter-Stanza überschreiben soll, wird die Einstellung gelöscht, wenn Sie das Dialogfeld für die Secure Shell-Einstellungen öffnen, um die Einstellungen für den hostspezifischen Abschnitt in der SSH-Config-Datei anzuzeigen. Verwenden Sie in dieser Situation die globale Konfigurationsdatei, die nicht aktualisiert wird, wenn Benutzer das Dialogfeld "Reflection Secure Shell-Einstellungen" öffnen und schließen. HostKeyAlgorithmsLegt die vom Client verwendeten Hostschlüsselalgorithmen für die Protokollversion 2 in der bevorzugten Reihenfolge fest. Die Standardeinstellung ist: "x509v3-sign-rsa,x509v3-sign-dss,ssh-rsa,ssh-dss". Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Versuche möglich.) HostKeyAliasGibt einen Alias an, der anstelle des tatsächlichen Hostnamens zum Suchen oder Speichern des Hostschlüssels in den Dateien der Hostschlüssel-Datenbank verwendet werden kann. Diese Option eignet sich dazu, SSH-Verbindungen zu tunneln oder mehrere Server auf demselben Host auszuführen. IdentityFileGibt eine privaten Schlüssel für die Authentifizierung an. Die Dateien befinden sich im .ssh-Benutzerordner.) Optionen für IdentifyFile werden hinzugefügt, wenn Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel Schlüssel oder Zertifikate aus der Liste auswählen. In den Konfigurationsdateien können mehrere Kennungsdateien angegeben werden, deren Kennungen dann nacheinander ausprobiert werden. Hinweis: Setzen Sie den vollständigen Pfad in Anführungszeichen, wenn dieser Leerzeichen enthält. KbdInteractiveAuthenticationLegt fest, ob die Authentifizierung interaktiv über die Tastatur erfolgen soll. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Unter Umständen funktioniert diese Methode sogar besser als PasswordAuthentication für die Kennwortauthentifizierung auf Hosts, für die definierte Kennwörter regelmäßig ablaufen oder bei der ersten Anmeldung geändert werden müssen. Sie kann auch zur Kennwortauthentifizierung erforderlich sein, wenn abgelaufene Kennwörter zurückgesetzt werden müssen, um eine erfolgreiche Authentifizierung zu ermöglichen. Dies gilt nur für SSH-Protokoll 2. Verwenden Sie ChallengeResponseAuthentication für SSH-Protokollversion 1. KeepAliveGibt an, ob das System den Verbindungsstatus durch das Versenden von TCP-Aktivhaltungsmeldungen überwachen soll. Diese Meldungen ermöglichen das Erkennen eines Verbindungsabbruchs oder des Ausfalls eines Rechners. Die Standardeinstellung ist "yes" (Aktivhaltungsmeldungen werden versendet), d. h., der Client kann einen Ausfall des Netzwerks oder Remotehosts feststellen. Das ist besonders bei Skripts von Bedeutung und außerdem sehr hilfreich für die Benutzer. Es bedeutet aber auch, dass die Verbindung jedesmal getrennt wird, wenn die Route zeitweise nicht verfügbar ist; ein Umstand, der von einigen Benutzer als störend empfunden wird. Um das Versenden dieser Meldungen zu deaktivieren, wählen Sie "no". Dieses Schlüsselwort aktiviert die Windows TCP-Aktivhaltungseinstellung, die standardmäßig alle zwei Stunden Meldungen zur Verbindungsüberwachung sendet. Die TCP/IP-Aktivhaltungseinstellung kann mit zwei optionalen Parametern konfiguriert werden, die normalerweise nicht in der Windows-Registrierung vorkommen: KeepAliveTime und KeepAliveInterval. Die Konfigurierung dieser Parameter erfolgt in der Teilstruktur HKEY_LOCAL_MACHINE der Registrierung, unter: SYSTEM\CurrentControlSet\Services\Tcpip\Parameters. Informationen zum Festlegen dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel Nr. 120642. KerberosAuthenticationGibt an, ob die Authentifizierung mit Kerberos für Protokoll-1-Verbindungen verwendet wird. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiAuthentication.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". KerberosTgtPassingBestimmt, ob ein Kerberos-Teilnehmer-Ticket (TGT) an den Server weitergeleitet wird. Dies funktioniert nur, wenn es sich beim Kerberos-Server um einen AFS-Kaserver handelt. Diese Einstellung gilt nur für die Protokollversion 1. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiDelegateCredentials.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". KexAlgorithmsGibt an, welche Schlüsselaustauschalgorithmen der Client unterstützt und in welcher Reihenfolge diese angefordert werden. Die unterstützten Werte sind "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" und "diffie-hellman-group14-sha1". Die Standardeinstellung lautet "'diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1". Hinweis: Wenn die GSSAPI-Authentifizierung über den Reflection Kerberos-Client deaktiviert ist, werden der Liste automatisch die folgenden Schlüsselaustauschalgorithmen hinzugefügt: gss-group1-sha1 und gss-gex-sha1. LocalForwardLegt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal an den angegebenen Host und Anschluss des Remoterechners weitergeleitet wird. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. Sie können optionale Argumente für die FTP-Weiterleitung, die Konfiguration eines entfernten Desktops und das automatische Starten einer ausführbaren Datei (*.exe) auch konfigurieren, nachdem die Verbindung hergestellt wurde. Die Syntax für dieses Schlüsselwort lautet wie folgt: LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]] Folgende Optionen sind verfügbar:
LogfileGibt eine Protokolldatei an, die zur Fehlersuche herangezogen werden kann. Alle während der Sitzung vorgenommenen Eingaben und Ausgaben werden in dieser Datei gespeichert. Verwenden Sie das Schlüsselwort mit der Befehlszeilen-Dienstprogrammoption -o wie im Folgenden beschrieben: -o Logfile=\Pfad\Name_der_Protokolldatei Hinweis: Wenn der Pfad oder Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen. LogLevelDie Protokollierungsstufe gibt an, wie ausführlich Meldungen vom Reflection Secure Shell-Client protokolliert werden. Zur Auswahl stehen die Werte: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 and DEBUG3. Voreingestellt ist INFO. DEBUG und DEBUG1 sind äquivalent. DEBUG2 und DEBUG3 stehen jeweils für eine ausführlichere Ausgabe. MACsGibt die MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungscode) in der bevorzugten Reihenfolge an. MAC-Algorithmen werden in der Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen werden durch Kommata gegeneinander abgegrenzt. Die Standardeinstellung ist: "hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96". Wenn für die Verbindung der FIPS-Modus eingerichtet wurde, lautet die Standardeinstellung "hmac-sha1,hmac-sha256,hmac-sha512". MatchHostNameLegt fest, ob bei der Überprüfung der Hostzertifikate ein Hostnamensvergleich erforderlich ist. Wenn für diese Einstellung "yes" aktiviert ist (Standardeinstellung), muss der in Reflection konfigurierte Hostname genau mit einem im Feld CommonName oder SubjectAltName des Zertifikats eingegebenen Hostnamen übereinstimmen. MultihopKonfiguriert Multi-Hop-Einstellungen, mit denen sichere Verbindungen über eine Reihe von SSH-Servern hergestellt werden können. Dies ist sinnvoll, wenn Ihre Netzwerkkonfiguration keinen direkten Zugriff auf einen Remoteserver zulässt, der Zugriff über zwischengeschaltete Server jedoch möglich ist. Die Syntax für dieses Schlüsselwort lautet wie folgt: Multihop localport host:hostport Fügen Sie für jeden Server in der Reihe eine neue Multi-Hop-Zeile hinzu. Jede Verbindung in der Liste wird durch den Tunnel gesendet, der durch die darüber liegende Verbindung hergestellt wird. Im folgenden Beispiel sind SSH-Verbindungen zu ServerC so konfiguriert, dass zunächst eine Verbindung zu ServerA, dann zu ServerB und schließlich zu ServerC hergestellt wird. Host ServerC Multihop 2022 ServerA:22 Multihop 3022 ServerB:22 NoShellWenn für NoShell "Yes" aktiviert ist, erstellt der Client einen Tunnel, ohne eine Terminalsitzung zu öffnen. Diese Option kann gleichzeitig mit der Option ConnectionReuse aktiviert werden, um einen Tunnel zu erstellen, der von anderen SSH-Verbindungen erneut verwendet werden kann. Hinweis: Diese Option wirkt sich auf die Verbindungen aus, die mit dem Befehlszeilen-Dienstprogramm hergestellt wurde; sie ist nicht für die Verwendung mit der Reflection-Benutzeroberfläche vorgesehen. NumberOfPasswordPromptsGibt an, wie oft zur Eingabe des Kennworts aufgefordert wird, bevor ein Abbruch erfolgt. Für dieses Schlüsselwort muss das Argument eine ganze Zahl sein. Der Standardwert ist "3". PasswordAuthenticationLegt fest, ob die Kennwortauthentifizierung verwendet wird. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". PortGibt die Anschlussnummer auf dem Remotehost an. Der Standardwert ist "22". PreferredAuthenticationsBestimmt die Reihenfolge, in der der Client die Authentifizierungsmethoden von Protokoll 2 ausprobieren soll. Dies entspricht der Reihenfolge (von oben nach unten), in der die Methoden in der Liste Benutzerauthentifizierung der Registerkarte Allgemein (Dialogfeld Reflection Secure Shell-Einstellungen) angezeigt werden. Mit dieser Einstellung kann der Client eine Methode (z. B. keyboardinteractive = "Interaktiv über Tastatur") einer anderen (z. B. password = "Kennwort") vorziehen. Standardmäßig versucht Reflection die Authentifizierung in der folgenden Reihenfolge: "publickey,keyboard-interactive,password". Wenn die GSSAPI-Authentifizierung aktiviert ist, ändert sich die Standardreihenfolge folgendermaßen: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password". Hinweise:
ProtokollGibt die Protokollversionen an, die der Reflection Secure Shell-Client in der angegebenen Reihenfolge unterstützen soll. Die möglichen Werte sind "1" und "2". Mehrere Werte werden durch Kommata gegeneinander abgegrenzt. Der Standardwert ist "2 dann 1". Das bedeutet, dass Reflection zuerst Version 2 versucht. Erst wenn diese Version nicht verfügbar ist, greift Reflection auf Version 1 zurück. ProxyLegt den Proxytyp für Secure Shell-Verbindungen fest. Die unterstützten Werte lauten "SOCKS" und "HTTP". Hinweis: Die Proxyverwendung ist für jeden Host-Abschnitt in der Konfigurationsdatei aktiviert, der diese Einstellung verwendet. Die Adresse des Proxyservers wird in der Windows-Registrierung für jeden Benutzer gespeichert. PubkeyAuthenticationLegt fest, ob versucht werden soll, eine Authentifizierung mit öffentlichen Schlüsseln durchzuführen. Diese Option gilt nur für die Protokollversion 2. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". RemoteCommandLegt einen oder mehrere Befehle zum Ausführen auf dem Remoteserver fest. Mehrere Befehle müssen durch Semikola (;) gegeneinander abgegrenzt werden. Sobald die Verbindung aufgebaut wurde, versucht der Server, den bzw. die angegebenen Befehl(e) auszuführen. Anschließend wird die Sitzung beendet. Der Server muss so konfiguriert sein, dass er die vom Client gesendeten Befehle zulässt und ausführt. RemoteForwardLegt fest, dass ein TCP/IP-Anschluss auf dem Remoterechner über den sicheren Kanal an den angegebenen Host und den angegebenen Anschluss des lokalen Rechners weitergeleitet wird. Das erste Argument muss eine Anschlussnummer sein, und das zweite ist host:port. Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. RSAAuthenticationLegt fest, ob die RSA-Authentifizierung verwendet wird. Diese Option gilt nur für die Protokollversion 1. Die RSA-Authentifizierung wird nur ausprobiert, wenn die entsprechenden Kennungsdateien vorhanden sind. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". SendEnvGibt eine Umgebungsvariable an, die auf dem Server eingestellt werden muss, bevor Shells oder Befehle ausgeführt werden können. Der Wert muss das folgende Format aufweisen: VAR val. Der Server muss die angegebene Variable unterstützen und so konfiguriert sein, dass er Umgebungsvariablen akzeptiert. ServerAliveLegt fest, dass Meldungen zum Aktivhalten des Servers in dem durch ServerAliveInterval angegebenen Intervall an den SSH-Server gesendet werden. Die Secure Shell-Einstellung ServerAlive sendet in festgelegten Intervallen eine SSH-Protokollmeldung an den Server, damit sichergestellt ist, dass dieser noch funktioniert. Wenn diese Einstellung nicht aktiviert ist, wird die SSH-Verbindung bei einem Ausfall des Servers oder einer Unterbrechung der Netzwerkverbindung nicht getrennt. Damit lässt sich ein serverseitiges Abbrechen von Verbindungen verhindern, die nur TCP-Sitzungen weiterleiten. Andernfalls würde der Server die Verbindung aufgrund einer Zeitüberschreitung trennen, da er keinen SSH-Verkehr feststellen kann. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". Hinweis: Die Secure Shell-Einstellung ServerAlive ist nicht mit der TCP-Einstellung zum Aktivhalten (KeepAlive) zu vergleichen, bei der durch eine entsprechende Einstellung in der Windows-Registrierung verhindert wird, dass TCP/IP-Verbindungen bei Inaktivität durch eine Firewall getrennt werden. Um die TCP/IP-Aktivhaltungseinstellung anzupassen, müssen Sie in der Windows-Registrierung Änderungen vornehmen. ServerAliveIntervalLegt das Intervall (in Sekunden) fest, wenn ServerAlive = "yes". Geben Sie eine positive Ganzzahl an. Die Standardeinstellung ist "30". SftpBufferLenLegt die Anzahl der Bytes fest, die während SFTP-Übertragungen pro Paket angefordert werden. Der Standardwert ist 32768. Die Einstellung dieses Werts kann die Übertragungsgeschwindigkeit verbessern. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann. SftpMaxRequestsLegt die maximale Anzahl an ausstehenden Datenanforderungen fest, die der Client bei einer SFTP-Übertragung zulässt. Der Standardwert ist 10. Die Einstellung dieses Werts kann die Übertragungsgeschwindigkeit verbessern. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann. StrictHostKeyCheckingDas Argument ist "yes", "no" oder "ask". Voreingestellt ist "ask". Wenn für diese Option "yes" eingestellt ist, fügt der Reflection Secure Shell-Client der Datei known_hosts im .ssh-Benutzerordner nie automatisch Hostschlüssel hinzu und stellt keine Verbindung zu Hosts her, deren Schlüssel geändert wurden. Durch diese Option wird der Benutzer gezwungen, alle neuen Hosts manuell hinzuzufügen. Wenn "no" eingestellt ist, stellt Reflection die Verbindung zum Host her, ohne ein Bestätigungsdialogfeld einzublenden, und nimmt den Hostschlüssel nicht in die Liste der registrierten Schlüssel auf. Bei der Einstellung "ask" werden den Dateien der bekannten Hosts neue Hostschlüssel hinzugefügt, sofern der Benutzer diese bestätigt. Die Hostschlüssel bekannter Hosts werden in jedem Fall automatisch verifiziert. Hinweis: Diese Einstellung hat keine Auswirkungen, wenn der Host für die Authentifizierung mit x509-Zertifikaten konfiguriert wurde. Wenn der Host ein Zertifikat für die Hostauthentifizierung präsentiert und sich das erforderliche Zertifikat der Zertifizierungsstelle nicht in Ihrem Speicher der zuverlässigen Stammzertifikate befindet, schlägt die Verbindung fehl. TryEmptyPasswordWenn "yes" festgelegt ist, startet der Client die Kennwortauthentifizierung mit dem Versuch, ein leeres Kennwort einzugeben. Dieser Versuch wird von den meisten Systemen als Anmeldeversuch gewertet. Als BenutzerLegt den Benutzernamen fest. Dies ist besonders dann sinnvoll, wenn auf mehreren Rechnern unterschiedliche Benutzernamen verwendet werden. UseOCSPLegt fest, ob der Client das OSCP (Online Certificate Status Protocol) zur Validierung von Hostzertifikaten verwendet. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no". UserKnownHostsFileGibt eine Datei an, die anstelle der Datei known_hosts (im .ssh-Benutzerordner) für die Hostschlüssel-Datenbank des Benutzers verwendet werden soll.Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält. x509dsasigtypeGibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten DSA-Schlüsseln nachzuweisen. Mögliche Werte sind "sha1raw" (Standardeinstellung) und "sha1asn1". x509rsasigtypeGibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten RSA-Schlüsseln nachzuweisen. Mögliche Werte sind "md5" und "sha1" (Standardeinstellung). | ||||||||||||||||
|