Mostra Sommario / Indice / Ricerca

Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di Secure Shell

Se viene modificato manualmente il file di configurazione di Secure Shell, utilizzare questo elenco di riferimento. Il file di configurazione è suddiviso in sezioni, ciascuna indicata da una parola chiave Host. Ogni sezione contiene le impostazioni di Secure Shell da utilizzare per tutte le connessioni effettuate mediante l'host o lo schema di configurazione di SSH specificato.

Il file di configurazione è costituito da parole chiave seguite da valori. Le opzioni di configurazione possono essere separate da uno spazio vuoto o da uno spazio vuoto opzionale e un unico segno di uguale (=). Per le parole chiave non viene applicata la distinzione tra lettere maiuscole e minuscole, al contrario degli argomenti.

Le righe che iniziano con un simbolo di cancelletto (#) sono commenti. Le righe vuote vengono ignorate.

Nota: gli elementi dell'elenco configurano funzioni che vengono applicate alla connessione Secure Shell. Sono disponibili ulteriori parole chiave per la configurazione dell'emulazione del terminale nelle sessioni della riga di comando ssh. Le informazioni di riferimento relative a queste parole chiave sono disponibili in Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di emulazione del terminale.

BatchMode

Specifica se disattivare o meno tutte le richieste di input da parte dell'utente, comprese le richieste di password e passphrase; questa parola chiave è utile nell'uso di script e processi batch. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

Nota: questa parola chiave non disattiva le richieste di input da parte dell'utente quando è configurata l'autenticazione interattiva tramite la tastiera; tuttavia, quando BatchMode è attivata, le connessioni che utilizzano la tastiera interattiva non vengono eseguite.

BindAddress

Specifica l'interfaccia da cui trasmettere su computer dotati di più interfacce o indirizzi in forma di alias.

ChallengeResponseAuthentication

Specifica se utilizzare l'autenticazione In attesa/Risposta. L'argomento deve essere "yes" o "no". Questo metodo di autenticazione è raccomandato nel caso in cui venga utilizzata l'autenticazione PAM SecurID o un altro metodo di autenticazione esterno che necessita di richieste dal server e risposte dall'utente. Il valore predefinito è "yes". Viene applicato soltanto alla versione 1 del protocollo SSH, il cui uso è supportato ma non raccomandato. Utilizzare KbdInteractiveAuthentication per la versione 2 del protocollo SSH.

CheckHostIP

Se questo flag è impostato su "yes", il client Reflection Secure Shell verifica anche l'indirizzo IP dell'host nel file known_hosts oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se l'IP dell'host nell'elenco degli host noti corrisponde all'indirizzo IP che si sta utilizzando per la connessione. Il valore predefinito è "no". Nota: questa impostazione non ha effetto se StrictHostKeyChecking = no.

CheckHostPort

Se questo flag è impostato su "yes", il client Reflection Secure Shell verifica anche la porta dell'host nel file known_hosts oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se la porta dell'host nell'elenco degli host noti corrisponde alla porta che si sta utilizzando per la connessione. Il valore predefinito è "no". Nota: questa impostazione non ha effetto se StrictHostKeyChecking = no.

Crittografia

Specifica la crittografia da utilizzare per crittografare la sessione nella versione 1 del protocollo. Le crittografie attualmente supportate sono "blowfish", "3des" e "des". des viene supportata soltanto dal client Secure Shell per consentire l'interoperatività con le implementazioni della versione 1 del protocollo di versioni precedenti che non supportano la crittografia 3des. Il suo impiego è fortemente sconsigliato, in quanto la crittografia fornita presenta vari punti deboli. Il valore predefinito è "3des".

Ciphers

Specifica in ordine di preferenza le crittografie consentite per la versione 2 del protocollo. Per utilizzare più crittografie, è necessario inserire virgole di separazione. L'impostazione predefinita è "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Se l'esecuzione della connessione è impostata sulla modalità FIPS, il valore predefinito è "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

ClearAllForwardings

Elimina tutte le porte di inoltro locale, remoto o dinamico già utilizzate da un file di configurazione o dalla riga di comando.Nota: scp e sftp azzerano automaticamente tutte le porte inoltrate, a prescindere dal valore di questa impostazione. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

Compression

Specifica se la compressione è attivata. L'uso della compressione è preferibile su linee modem e su altre connessioni lente, mentre nelle reti veloci rallenta i tempi di risposta. La compressione inoltre aggiunge ulteriore casualità al pacchetto per impedire la decrittografia dello stesso da parte di persone non autorizzate. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

CompressionLevel

Specifica il livello di compressione da utilizzare se la compressione è attivata. Questa opzione viene applicata soltanto alla versione 1 del protocollo. L'argomento deve essere un numero intero compreso tra 1 (rapido) e 9 (lento, migliore). Il valore predefinito è 6, appropriato per la maggior parte delle applicazioni. Il significato di questi valori è lo stesso di quello di gzip.

ConnectionAttempts

Specifica il numero di tentativi (uno al secondo) da effettuare prima di chiudere. L'argomento deve essere un numero intero. Può rivelarsi utile negli script quando in certi casi la connessione non viene stabilita. Il valore predefinito è 1.

ConnectionReuse

Specifica se più sessioni di connessione allo stesso host riutilizzano la connessione Secure Shell originale e pertanto non richiedono una riautenticazione. L'argomento deve essere "yes" o "no". Se è impostato su "yes", le nuove connessioni riutilizzano il tunnel esistente quando il nome dell'host, il nome dell'utente e lo schema di configurazione di SSH (se utilizzato) coincidono. Se è impostato su "no", Reflection stabilisce una nuova connessione per ciascuna sessione, ossia ciascuna nuova connessione ripete la procedura di autenticazione e inoltre applica qualsiasi impostazione specifica della connessione che sia stata modificata, ad esempio, gli inoltri e le crittografie. Il valore predefinito è "yes" se viene utilizzata la finestra di Reflection per stabilire le connessioni. È impostato su "no" se vengono utilizzate le utilità della riga di comando di Reflection per stabilire le connessioni. Per i dettagli, vedere Riutilizzo delle connessioni nelle sessioni Secure Shell.

DisableCRL

Specifica se deve essere eseguito il controllo CRL (Certificate Revocation List) quando si convalidano i certificati dell'host. Impostando questa parola chiave su "yes", il controllo CRL viene disattivato. Il valore predefinito di questa impostazione si basa sull'impostazione attuale di sistema per il controllo CRL. Per visualizzare e modificare l'impostazione di sistema, avviare Internet Explorer e accedere a Strumenti >Opzioni Internet >Avanzate. In Protezione, cercare l'opzione "Verifica revoca dei certificati del server".

DynamicForward

Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto per fare in modo che il protocollo dell'applicazione venga utilizzato per determinare la destinazione della connessione dal computer remoto. L'argomento deve essere un numero di porta. Attualmente viene supportato il protocollo SOCKS4 e Reflection Secure Shell funge da server SOCKS4. È possibile specificare più inoltri e indicare inoltri aggiuntivi dalla riga di comando. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.

EscapeChar

Imposta il carattere escape (valore predefinito: '~'). Il carattere escape può inoltre essere impostato dalla riga di comando. L'argomento deve essere costituito da un unico carattere "^" seguito da una lettera, oppure da "none" per disattivare completamente il carattere escape (e rendere la connessione trasparente per i dati binari).

FipsMode

Quando questa impostazione è "yes", le connessioni devono essere effettuate mediante l'uso di protocolli e algoritmi di protezione conformi allo standard FIPS (Federal Information Processing Standard) 140-2 del governo statunitense. Le opzioni non conformi a questo tipo di standard non sono disponibili nella scheda Crittografia.

Nota: questa impostazione viene applicata allo schema di configurazione di SSH specificato dalla parola chiave Host e non produce effetti sulle successive sessioni Secure Shell a meno che non vengano configurate in modo da utilizzare lo stesso schema di configurazione di SSH (o nome dell'host).

ForwardAgent

Impostare questa parola chiave su "yes" per attivare l'inoltro della connessione dell'agente di gestione chiavi di Reflection. Attivare l'inoltro dell'agente con cautela. Gli utenti dotati della capacità di ignorare la richiesta di permessi dei file sull'host remoto (per il socket di dominio Unix dell'agente) sono in grado di accedere all'agente locale tramite la connessione inoltrata. Gli intrusi non possono ottenere materiale relativo alle chiavi dall'agente; tuttavia, possono eseguire operazioni sulle chiavi che permettono di ottenere l'autenticazione utilizzando le identità caricate sull'agente. Potrebbe essere necessario attivare anche queste sul server. Il valore predefinito è "no".

ForwardX11

Specifica se le connessioni X11 devono essere reindirizzate automaticamente tramite il canale e il gruppo DISPLAY protetto. L'argomento deve essere "yes" o "no". Il valore predefinito è "no".

Nota: se si configura Secure Shell mediante Reflection X, ForwardX11 è impostato automaticamente su "yes".

GatewayPorts

Specifica se gli host remoti sono autorizzati a connettersi alle porte inoltrate locali. Come impostazione predefinita, Reflection Secure Shell associa gli inoltri porta locale all'indirizzo di loopback. Si evita in tal modo che altri host remoti possano connettersi alle porte inoltrate. GatewayPorts può essere utilizzato per specificare l'associazione degli inoltri porta locale all'indirizzo rappresentato da caratteri jolly, in modo da consentire agli host remoti la connessione alle porte inoltrate. L'attivazione di questa impostazione deve essere utilizzata con prudenza. Il suo impiego può ridurre la protezione della rete e della connessione perché può consentire agli host remoti l'uso della porta inoltrata nel sistema senza alcuna autenticazione. L'argomento deve essere "yes" o "no". Il valore predefinito è "no".

GlobalKnownHostsFile

Specifica un file da utilizzare per il database delle chiavi host globali al posto del file predefinito denominato ssh_known_hosts contenuto nella cartella dei dati delle applicazioni di Reflection.

Nota: racchiudere il nome file tra virgolette se una parte del percorso o del nome file contiene spazi.

GssapiAuthentication

Specifica se deve essere utilizzata l'autenticazione GSSAPI per autenticare un KDC di Kerberos. Questa impostazione può essere applicata soltanto se il protocollo in uso è la versione 2 del protocollo (l'impostazione equivalente della versione 1 del protocollo è KerberosAuthentication). I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

GssapiDelegateCredentials

Specifica se deve essere utilizzato GSSAPI per inoltrare il ticket di concessione ticket (krbtgt) all'host. Questa impostazione può essere applicata soltanto se il protocollo in uso è la versione 2 del protocollo (l'impostazione equivalente della versione 1 del protocollo è KerberosTgtPassing). I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

GssapiUseSSPI

Specifica se deve essere utilizzata l'interfaccia SSPI (Security Support Provider Interface) di Microsoft per l'autenticazione GSSAPI. Questa impostazione può essere applicata soltanto se l'autenticazione Kerberos/GSSAPI è attivata (mediante l'uso di GssapiAuthentication per la versione 2 del protocollo e di KerberosAuthentication per la versione 1 del protocollo). L'argomento di questa parola chiave deve essere "yes" o "no". Se l'argomento è impostato su "no", il client Reflection Secure Shell utilizza il client Reflection Kerberos per eseguire l'autenticazione GSSAPI. Se l'argomento è impostato su "yes", il client Reflection Secure Shell utilizza le credenziali di accesso al dominio di Windows (SSPI) per autenticare il server Secure Shell. SSPI è supportato soltanto per le connessioni della versione 2 del protocollo e il server deve essere in grado di supportare il metodo di autenticazione GSSAPI-with-mic. Il valore predefinito è "yes".

GssServicePrincipal

Specifica un nome principale del servizio non predefinito da utilizzare quando il client invia una richiesta di ticket di servizio al centro distribuzione chiave Kerberos (KDC). Se è stato selezionato SSPI per il provider GSSAPI, è possibile utilizzare questa impostazione per specificare un nome principale del servizio in un'area di autenticazione diversa dal dominio di Windows. Utilizzare un nome dell'host completo seguito dal simbolo @ e dal nome dell'area di autenticazione. Esempio: miohost.miaareaautenticazione.com@MIAAREAAUTENTICAZIONE.COM (come impostazione predefinita, il valore del nome dell'host è il nome del server Secure Shell a cui viene eseguita la connessione, mentre l'area di autenticazione dipende dal valore di GssapiUseSSPI. Se GSSapiUseSSPI è impostato su "no", il nome dell'area di autenticazione viene specificato nel profilo del nome principale predefinito. Se GSSapiUseSSPI è impostato su "yes", il nome dell'area di autenticazione è il nome del dominio di Windows.

Host

Identifica le dichiarazioni successive (fino alla parola chiave Host successiva) come appartenenti allo schema di configurazione di SSH specificato. I caratteri "*" e "?" possono essere utilizzati come caratteri jolly. È possibile utilizzare un unico carattere "*" come modello per fornire valori predefiniti globali per tutti gli host. Le connessioni Reflection utilizzano la prima occorrenza di stringa Host corrispondente (compresi i caratteri jolly). Le corrispondenze successive vengono ignorate.

Nota: quando si chiude la finestra di dialogo Impostazioni Reflection Secure Shell, i valori che mantengono le impostazioni predefinite non vengono salvati nel file di configurazione. Se un valore predefinito è stato aggiunto manualmente al file, verrà rimosso quando si chiude la finestra di dialogo. Ciò impone dei vincoli progettuali se si utilizzano sezioni host con caratteri jolly in combinazione con sezioni in cui si utilizzano i nomi specifici degli host. Se è stato configurato manualmente un valore predefinito in una specifica sezione host allo scopo di ignorare un valore configurato in una sezione con caratteri jolly, l'impostazione predefinita viene rimossa quando si apre la finestra di dialogo Impostazioni Reflection Secure Shell per visualizzare le impostazioni dello schema di configurazione SSH specifico dell'host. È possibile superare questo problema utilizzando il file di configurazione globale, che non viene aggiornato quando gli utenti aprono e chiudono la finestra di dialogo Impostazioni Reflection Secure Shell.

HostKeyAlgorithms

Specifica in ordine di preferenza gli algoritmi delle chiavi dell'host della versione 2 del protocollo utilizzati dal client. Il valore predefinito per questa opzione è: "x509v3-sign-rsa,x509v3-sign-dss,ssh-rsa,ssh-dss". Questa impostazione si rivela utile quando il server è configurato per l'autenticazione della chiave dell'host sia con certificato che standard. Il protocollo SSH consente soltanto un tentativo di autenticazione dell'host. Se l'host presenta un certificato e il client non è configurato per l'autenticazione dell'host mediante certificati, la connessione non viene eseguita (questa funzione è diversa dall'autenticazione dell'utente, nella quale vengono supportati più tentativi di autenticazione).

HostKeyAlias

Specifica un alias da utilizzare al posto del nome dell'host effettivo nei casi in cui è necessario consultare o salvare la chiave dell'host nei file di database delle chiavi dell'host. Questa opzione si rivela utile nel tunneling delle connessioni ssh o per più server eseguiti su un singolo host.

IdentityFile

Specifica una chiave privata da utilizzare nell'autenticazione con chiave. I file sono contenuti nella cartella .ssh dell'utente. Gli elementi di IdentityFile vengono aggiunti quando vengono selezionate chiavi o certificati dall'elenco riportato nella scheda Chiavi utente della finestra di dialogo Impostazioni Reflection Secure Shell. Nei file di configurazione possono essere specificati più file di identità; l'uso di tutte queste identità viene tentato in sequenza.

Nota: se il percorso completo contiene spazi, racchiuderlo tra virgolette.

KbdInteractiveAuthentication

Specifica se utilizzare l'autenticazione interattiva tramite la tastiera. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes". Questo metodo di autenticazione è raccomandato nel caso in cui venga utilizzata l'autenticazione PAM SecurID o un altro metodo di autenticazione esterno che necessita di richieste dal server e risposte dall'utente. Può inoltre rivelarsi più efficace del metodo PasswordAuthentication per l'autenticazione con password sugli host in cui è attivata la scadenza della password o la modifica della password al primo accesso. Può infine essere richiesto per l'autenticazione con password quando le password scadute devono essere reimpostate per consentire una corretta autenticazione. Questo metodo viene applicato soltanto alla versione 2 del protocollo SSH. Utilizzare ChallengeResponseAuthentication per la versione 1 del protocollo SSH.

KeepAlive

Specifica se il sistema deve inviare messaggi keepalive TCP all'altra parte. Se vengono inviati, viene rilevato l'arresto anomalo della connessione o di uno dei computer. Il valore predefinito è "yes" (ossia, è attivato l'invio di messaggi keepalive), pertanto il client viene abilitato al rilevamento dell'arresto anomalo della rete o dell'host remoto. Si tratta di una funzione importante nell'uso degli script ed è utile per gli utenti. Tuttavia, ciò significa che le connessioni si arrestano anche in caso di interruzione temporanea del routing, con conseguente possibile disagio per gli utenti. Per disattivare i messaggi keepalive, impostare il valore su "no". Questa parola chiave attiva l'impostazione keepalive TCP di Windows, la quale come impostazione predefinita invia messaggi keepalive ogni due ore. L'invio di messaggi keepalive TCP/IP può essere configurato mediante l'uso di due pentametri opzionali normalmente non presenti nel Registro di sistema di Windows: KeepAliveTime e KeepAliveInterval. Questi elementi sono configurati nella sottostruttura HKEY_LOCAL_MACHINE del Registro di sistema, nella seguente posizione:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Per informazioni sull'impostazione di questi parametri, fare riferimento all'articolo 120642 della Microsoft Knowledge Base.

KerberosAuthentication

Specifica se deve essere utilizzata l'autenticazione Kerberos per le connessioni della versione 1 del protocollo (l'impostazione equivalente della versione 2 del protocollo è GssapiAuthentication). L'argomento di questa parola chiave deve essere "yes" o "no".

KerberosTgtPassing

Specifica se un ticket di concessione ticket (TGT) Kerberos deve essere inoltrato al server. Funziona soltanto se il server Kerberos è effettivamente un kaserver AFS. Questa impostazione viene applicata soltanto alla versione 1 del protocollo (l'impostazione equivalente della versione 2 del protocollo è GssapiDelegateCredentials). L'argomento di questa parola chiave deve essere "yes" o "no".

KexAlgorithms

Specifica gli algoritmi per lo scambio delle chiavi supportati dal client e l'ordine di preferenza. I valori supportati sono "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" e "diffie-hellman-group14-sha1". Il valore predefinito è "diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1".

Nota: se è attivata l'autenticazione GSSAPI che utilizza il client Reflection Kerberos, all'elenco vengono aggiunti automaticamente i seguenti ulteriori algoritmi di scambio delle chiavi: gss-group1-sha1 e gss-gex-sha1.

LocalForward

Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto all'host e alla porta specificati sul computer remoto. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi. È inoltre possibile configurare argomenti opzionali per l'inoltro FTP, la configurazione di un desktop remoto e l'avvio automatico di un file eseguibile (*.exe) dopo l'avvenuta connessione. La sintassi di questa parola d'ordine è:

LocalForward portalocale host:portahost [FTP=0|1] [RDP=0|1] ["FileEseguibile" [argomenti]]

Sono disponibili le seguenti opzioni:

 

portalocale

Numero di porta locale.

 

host:portahost

Host remoto e porta su tale host (è possibile specificare localhost per inoltrare i dati a una porta diversa sullo stesso host remoto su cui è già stata stabilita una connessione Secure Shell). Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/porta.

 

FTP

Impostare su 1 se viene eseguito il tunneling del trasferimento di file FTP.

 

RDP

Impostare su 1 se viene eseguito il tunneling di una sessione Desktop remoto.

 

"FileEseguibile"

Specificare un file eseguibile (comprensivo di percorso completo, se richiesto) per fare in modo che Reflection avvii un'applicazione immediatamente dopo l'esecuzione della connessione Secure Shell. Per inoltrare dati tramite il tunnel protetto, è necessario configurare questa applicazione in modo che venga eseguita una connessione a localhost (o indirizzo IP di loopback, 127.0.0.1) mediante la portalocale specificata.

Logfile

Specifica un file di registro da utilizzare per il debug. Tutto l'input e l'output della sessione viene scritto su questo file. Utilizzare questa parola chiave con l'opzione -o dell'utilità della riga di comando qui indicata:

-o Logfile=\percorso\nome_fileregistro

Nota: racchiudere il nome file e il percorso tra virgolette se una parte del percorso o del nome file contiene spazi.

LogLevel

Specifica il livello di dettaglio utilizzato nella registrazione dei messaggi ricevuti dal client Reflection Secure Shell. I valori possibili sono: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 e DEBUG3. Il valore predefinito è INFO. DEBUG e DEBUG1 sono equivalenti. DEBUG2 e DEBUG3 specificano livelli più alti di dettaglio nell'output.

Macs

Specifica gli algoritmi MAC (Message Authentication Code) in ordine di preferenza. Gli algoritmi MAC vengono utilizzati nella versione 2 del protocollo per garantire la protezione dell'integrità dei dati. Per utilizzare più algoritmi è necessario inserire virgole di separazione. Il valore predefinito è: "hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96". Se l'esecuzione della connessione è impostata sulla modalità FIPS, il valore predefinito è "hmac-sha1,hmac-sha256,hmac-sha512".

MatchHostName

Specifica se è necessaria la corrispondenza del nome dell'host quando si convalidano i certificati dell'host. Se questa parola chiave è impostata su "yes" (valore predefinito), il nome dell'host configurato in Reflection deve corrispondere esattamente a un nome dell'host immesso nel campo CommonName o SubjectAltName del certificato.

Multihop

Configura connessioni multi-hop che possono essere utilizzate per stabilire connessioni protette tramite una serie di server SSH. Si tratta di una funzione utile se la configurazione di rete non consente un accesso diretto a un server remoto, ma solo tramite server intermedi.

La sintassi di questa parola d'ordine è:

Multihop portalocale host:portahost

Aggiungere una nuova riga Multi-hop per ogni server della serie. Ciascuna connessione nell'elenco viene inviata attraverso il tunnel creato mediante la connessione precedente.

Nell'esempio seguente, le connessioni SSH configurate sul ServerC effettuano prima la connessione al ServerA, quindi al ServerB e infine al ServerC.

Host ServerC

Multihop 2022 ServerA:22

Multihop 3022 ServerB:22

NoShell

Quando NoShell è impostato su "yes", il client crea un tunnel senza aprire una sessione del terminale. Questa opzione può essere utilizzata insieme a ConnectionReuse per creare un tunnel riutilizzabile da altre connessioni ssh. Nota: questa opzione ha effetto sulle connessioni eseguite con l'utilità della riga di comando, non è previsto l'uso con l'interfaccia utente di Reflection.

NumberOfPasswordPrompts

Specifica il numero di richieste di password prima di rinunciare alla connessione. L'argomento per questa parola chiave deve essere un numero intero. Il valore predefinito è 3.

PasswordAuthentication

Specifica se utilizzare l'autenticazione con password. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

Porta

Specifica il numero di porta per la connessione all'host remoto. Il valore predefinito è 22.

PreferredAuthentications

Specifica l'ordine in cui il client deve tentare i metodi di autenticazione con la versione 2 del protocollo. Tale ordine corrisponde a quello (dall'alto al basso) in cui i metodi sono visualizzati nell'elenco Autenticazione utente nella scheda Generale della finestra di dialogo Impostazioni Reflection Secure Shell. Questa impostazione consente al client di preferire un metodo (ad esempio, autenticazione interattiva tramite la tastiera) invece di un altro (ad esempio, autenticazione con password). Come impostazione predefinita, Reflection tenta l'autenticazione nel seguente ordine: "publickey,keyboard-interactive,password". Se è attivata l'autenticazione GSSAPI, il valore predefinito viene modificato come segue: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".

Note

  • Se viene inserita la parola chiave PreferredAuthentications nel file di configurazione, l'elenco specificato deve contenere tutti i metodi di autenticazione utilizzabili. Se PreferredAuthentications è presente ma non specifica un particolare metodo di autenticazione, Reflection non utilizza tale metodo di autenticazione, anche se la parola chiave per l'attivazione del metodo di autenticazione è configurata correttamente.
  • L'inserimento di un metodo di autenticazione nell'elenco PreferredAuthentications non determina l'attivazione dell'autenticazione con tale metodo. Per attivare un metodo di autenticazione non utilizzato come impostazione predefinita, è necessario che anche la parola chiave del metodo di autenticazione sia configurata correttamente (ad esempio, per attivare l'autenticazione GSSAPI, è necessario impostare GssapiAuthentication su "yes").

Protocol

Specifica le versioni del protocollo che devono essere supportate dal client Reflection Secure Shell in ordine di preferenza. I valori possibili sono "1" e "2". Per utilizzare più valori è necessario inserire virgole di separazione. Il valore predefinito è "2,1", ossia Reflection tenta di utilizzare la versione 2 e ricorre alla versione 1 qualora la 2 non sia disponibile.

Proxy

Specifica un tipo di proxy da utilizzare per le connessioni Secure Shell. I valori supportati sono "SOCKS" e "HTTP".

Nota: l'utilizzo di proxy è attivato per ciascuna sezione Host che utilizza questa impostazione nel file di configurazione. L'indirizzo del server proxy viene memorizzato nel Registro di sistema di Windows in base all'utente.

PubkeyAuthentication

Specifica se deve essere tentata l'autenticazione con chiave pubblica. Questa opzione viene applicata soltanto alla versione 2 del protocollo. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

RemoteCommand

Specifica uno o più comando da eseguire sul server remoto. Utilizzare il punto e virgola (;) per separare più comandi. Dopo avere stabilito la connessione, il server esegue (o tenta di eseguire) il/i comando/i specificato/i e successivamente la sessione viene conclusa. Il server deve essere configurato in modo da consentire l'esecuzione dei comandi ricevuti dal client.

RemoteForward

Specifica l'inoltro di una porta TCP/IP di un computer remoto tramite un canale protetto all'host e alla porta specificati dal computer locale. Il primo argomento deve essere un numero di porta, mentre il secondo deve essere host:porta. Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/porta. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.

RSAAuthentication

Specifica se deve essere tentata l'autenticazione RSA. Questa opzione viene applicata soltanto alla versione 1 del protocollo. L'autenticazione RSA viene tentata soltanto se esiste il file di identità. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

SendEnv

Specifica una variabile d'ambiente da impostare sul server prima dell'esecuzione di una shell o di un comando. Il formato di questo valore deve essere: VAR val. Il server deve supportare la variabile specificata e deve essere configurato in modo da accettare queste variabili d'ambiente.

ServerAlive

Specifica se inviare messaggi keepalive server al server SSH in base all'intervallo indicato da ServerAliveInterval. L'impostazione ServerAlive di Secure Shell invia un messaggio di protocollo SSH al server in base all'intervallo indicato per accertarsi che il server sia ancora in funzione. Se questa impostazione non è attivata, la connessione SSH non si interrompe in caso di blocco del server o di perdita della connessione di rete. Questa impostazione può inoltre essere utilizzata per evitare che si verifichi il timeout delle connessioni che inoltrano soltanto sessioni TCP a causa del mancato rilevamento di traffico SSH. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

Nota: l'impostazione ServerAlive di Secure Shell non è correlata al parametro keepalive di TCP (KeepAlive) configurabile nel Registro di sistema di Windows con cui è possibile evitare il timeout di tutte le connessioni TCP/IP mediante un firewall. Per modificare il funzionamento del parametro keepalive di TCP/IP, è necessario modificare il Registro di sistema di Windows.

ServerAliveInterval

Specifica l'intervallo di tempo (in secondi) da utilizzare quando ServerAlive = "yes". Utilizzare un numero intero pari a uno o maggiore. Il valore predefinito è 30.

SftpBufferLen

Specifica il numero di byte richiesti in ciascun pacchetto durante i trasferimenti SFTP. Il valore predefinito è 32768. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.

SftpMaxRequests

Specifica il numero massimo di richieste di dati in attesa consentite dal client durante i trasferimenti SFTP. Il valore predefinito è 10. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.

StrictHostKeyChecking

L'argomento deve essere "yes", "no" o "ask". Il valore predefinito è "ask". Se questa opzione è impostata su "yes", il client Reflection Secure Shell non aggiunge mai automaticamente le chiavi dell'host al file known_hosts (contenuto nella cartella .ssh dell'utente) e rifiuta la connessione agli host la cui chiave dell'host risulta modificata. Questa opzione impone all'utente di aggiungere manualmente tutti i nuovi host. Se questo flag è impostato su "no", Reflection si connette all'host senza visualizzare alcuna finestra di dialogo di conferma e non aggiunge la chiave dell'host all'elenco delle chiavi attendibili. Se questo flag è impostato su "ask", le nuove chiavi dell'host vengono aggiunte ai file degli host conosciuti dell'utente soltanto dopo avere ricevuto conferma da parte dell'utente. Le chiavi dell'host relative agli host conosciuti vengono verificate automaticamente in tutti i casi.

Nota: questa impostazione non produce effetti quando l'host viene configurato in modo da eseguire l'autenticazione utilizzando certificati x509. Se un host presenta un certificato per l'autenticazione dell'host e il certificato CA richiesto non è configurato come certificazione principale attendibile, la connessione non viene eseguita.

TryEmptyPassword

Se questo flag è impostato su "yes", il client avvia l'autenticazione con password tentando di immettere una password vuota. Osservare come questa operazione venga considerata un tentativo di accesso dalla maggior parte dei sistemi.

User

Specifica il nome utente con cui eseguire l'accesso. Può rivelarsi utile quando viene utilizzato un nome utente diverso su più computer.

UseOCSP

Specifica se il client deve utilizzare OCSP (Online Certificate Status Protocol) per la convalida dei certificati dell'host. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

UserKnownHostsFile

Specifica un file da utilizzare per il database delle chiavi host dell'utente invece del file known_hosts (contenuto nella cartella .ssh dell'utente).Utilizzare le virgolette se il nome del file o del percorso contiene spazi.

x509dsasigtype

Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private DSA. I valori possibili sono "sha1raw" (valore predefinito) e "sha1asn1".

x509rsasigtype

Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private RSA. I valori possibili sono "md5" e "sha1" (valore predefinito).

Argomenti correlati

Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di emulazione del terminale