Referencia de palabras claves del archivo de configuración - Configuración de Secure Shell
Utilice estas referencias si modifica manualmente el archivo de configuración de Secure Shell. El archivo de configuración se organiza en secciones, cada una de ellas identificada por una palabra clave Host. Cada sección especifica los parámetros de Secure Shell que se utilizarán en todas las conexiones realizadas utilizando el host especificado o el esquema de configuración SSH.
El archivo de configuración está formado por palabras clave seguidas por valores. Las opciones de configuración se pueden separar mediante espacios en blanco o por espacios en blanco opcionales y un signo igual (=). Las palabras clave no distinguen entre mayúsculas y minúsculas, pero los argumentos sí.
Toda línea que comience con un signo de número (#) es un comentario. Toda línea vacía se ignora.
Nota: Los elementos de esta lista configuran las características que afectan a la conexión Secure Shell. Se encuentran disponibles palabras clave adicionales para configurar la emulación del terminal para las sesiones de línea de comando ssh. La información de referencia sobre estas palabras clave se encuentra disponible en Referencia de palabras clave del archivo de configuración - Parámetros de emulación del terminal.
AddAuthKeyToAgent
Este parámetro afecta a cómo el cliente maneja la autenticación de clave pública cuando ForwardAgent está configurado en 'yes'. Cuando la autenticación de clave pública al servidor es correcta y ForwardAgent y AddAuthKeyToAgent están configurados en 'yes', la clave o certificado utilizados para la autenticación se agrega automáticamente al Agente de claves de Reflection. Esta clave no se guarda en el Agente de claves, pero permanece disponible siempre que el Agente de claves se esté ejecutando. Cuando AddAuthKeyToAgent está configurado en 'no' (valor predeterminado), las claves y certificados nos e agregan automáticamente al Agente de claves; solo utiliza las claves que se han importado manualmente.
AuthUseAllKeys
Este parámetro afecta a cómo el cliente maneja la autenticación de clave pública. Cuando este parámetro es ‘no’ (valor predeterminado), el cliente intenta autenticar utilizando solo la clave (o claves) que haya especificado mediante la palabra clave IdentityFile. Cuando el parámetro es 'yes', el cliente intenta autenticar mediante todas las claves públicas disponibles.
BatchMode
Especifica si se desactivan o no todas las solicitudes de entrada del usuario, incluida la contraseña y la frase de paso, que resulta útil para los trabajos de scripts y por lotes. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
|
Nota: Esta palabra clave no desactiva las solicitudes de entrada del usuario cuando se encuentra configurada la autenticación interactiva por teclado, aunque las conexiones que utilizan la entrada interactiva por teclado fallarán cuando BatchMode está activado. |
BindAddress
Especifica la interfaz desde la cual se transmitirá en las computadoras con varias interfaces o direcciones asociadas.
ChallengeResponseAuthentication
Especifica si se utiliza o no la autenticación de validación/respuesta. El argumento debe ser 'yes' o 'no'. Este método de autenticación se recomienda si se utiliza autenticación SecurID, PAM o cualquier otro método de autenticación externo que requiera solicitudes por parte del servidor y respuestas por parte del usuario. El valor predeterminado es 'yes'. Se aplica solamente al protocolo SSH 1, que es compatible, pero no recomendado. Utilice KbdInteractiveAuthentication para la versión 2 del protocolo SSH.
CheckHostIP
Si se selecciona la opción 'yes', el cliente Reflection Secure Shell comprueba la dirección de IP del host en el archivo known_hosts y la clave pública del host. La conexión se permite solo si la dirección de IP del host en la lista de hosts conocidos coincide con la dirección de IP que usa para la conexión. El valor predeterminado es 'no'. Nota: Esta configuración no tiene ningún efecto si StrictHostKeyChecking = no.
CheckHostPort
Si se selecciona la opción 'yes', el cliente Reflection Secure Shell comprueba el puerto del host en el archivo known_hosts y la clave pública del host. La conexión se permite solo si la dirección de IP del host en la lista de hosts conocidos coincide con la dirección de IP que usa para la conexión. El valor predeterminado es 'no'. Nota: Esta configuración no tiene ningún efecto si StrictHostKeyChecking = no.
Cipher
Especifica el cifrado que se utilizará para cifrar la sesión en la versión 1 del protocolo. Actualmente, es compatible con 'blowfish', '3des' y 'des'. 'des' solamente es compatible con el cliente Secure Shell para la interoperabilidad con las implementaciones heredadas del protocolo 1 que no son compatibles con el cifrado '3des'. Se desaconseja debido a la debilidad del cifrado. El valor predeterminado es '3des'.
Ciphers
Especifica los cifrados permitidos para la versión 2 del protocolo en orden de preferencia. Los distintos cifrados deben separarse mediante comas. El valor predeterminado es 'aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour'. Si la conexión se establece para ejecutarse en modo FIPS, el valor predeterminado es 'aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc'.
ClearAllForwardings
Borra cualquier puerto local, remoto o dinámico reenviado que ya se haya procesado por parte de un archivo de configuración o una línea de comando. Nota: scp y sftp quita automáticamente la marca de todos los puertos reenviados independientemente del valor de este parámetro. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
Compression
Especifica si se activa o no la compresión. Aunque la compresión resulta útil en líneas de módem y en otras conexiones lentas, reduce la velocidad de respuesta en redes rápidas. La compresión también proporciona aleatoriedad adicional al paquete, lo que dificulta la tarea de descifrado del paquete a cualquier pirata informático. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
CompressionLevel
Especifica el nivel de compresión que se utilizará si se activa la compresión. Esta opción solamente se aplica a la versión 1 del protocolo. El argumento debe ser un número entero de 1 (rápida) a 9 (lenta, la mejor calidad). El valor predeterminado es 6. Este valor resulta adecuado para la mayoría de las aplicaciones. El significado de los valores es el mismo que en gzip.
ConnectionAttempts
Especifica el número de intentos (uno por segundo) que se realizarán antes de salir. El argumento debe ser un número entero. Puede ser útil en los scripts si la conexión falla a veces. El valor predeterminado es 1.
ConnectionReuse
Especifica si las sesiones múltiples con el mismo host reutilizan la conexión original de Secure Shell y, por lo tanto, no necesitan volver a autenticarse. El argumento debe ser 'yes' o 'no'. Cuando se ajusta en 'yes', las conexiones nuevas reutilizan el túnel existente cuando coinciden el nombre del host, el nombre de usuario y el esquema de configuración SSH (si se utiliza). Cuando está ajustado en 'no', Reflection establece una conexión nueva para cada sesión, lo que significa que cada conexión nueva repite el proceso de autenticación y aplica además cualquier parámetro específico de conexión modificado (como el reenvío o los cifrados). El valor predeterminado es 'yes' para las conexiones realizadas usando la ventana Reflection. El valor es 'no' si se utilizan las utilidades de líneas de comando de Reflection para establecer las conexiones. Para obtener más detalles, consulte Reutilización de la conexión en sesiones de Secure Shell.
ConnectTimeout
Especifica el tiempo máximo (en segundos) que el cliente espera al intentar completar la conexión al servidor. El temporizador empieza cuando se establece la conexión (antes del inicio de sesión) y se ejecuta durante la negociación de los parámetros, el intercambio de claves del host y la autenticación. A todos los efectos prácticos, el período de tiempo consiste fundamentalmente en las actividades de autenticación. El valor predeterminado es 120.
DisableCRL
Especifica si la comprobación CRL (Certificate Revocation List) se produce al validar los certificados del host. Si se ajusta el valor en 'yes', se desactiva la comprobación CRL. El valor predeterminado de esta opción depende de la configuración actual del sistema para la comprobación CRL. Para ver y editar la configuración del sistema, inicie Internet Explorer y vaya a Herramientas > Opciones de Internet >Opciones avanzadas. En el apartado Seguridad, busque "Comprobar si se revocó el certificado de servidor".
DynamicForward
Especifica que un puerto TCP/IP del equipo local sea reenviado por un canal seguro, y que, por lo tanto, se utilice el protocolo de la aplicación para determinar a dónde conectarse desde el equipo remoto. El argumento debe ser un número de puerto. Actualmente existe compatibilidad con el protocolo SOCKS4 y Reflection Secure Shell actúa como un servidor SOCKS4. Se pueden especificar múltiples reenvíos y en la línea de comando se pueden incluir reenvíos adicionales. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios.
EscapeChar
Establece el carácter de escape (valor predeterminado: '~'). El carácter de escape también se puede establecer en la línea de comando. El argumento debe ser un solo carácter, '^' seguido por una letra, o 'none' para deshabilitar por completo el carácter de escape (lo que hace que la conexión sea transparente para los datos binarios).
FipsMode
Cuando este parámetro es 'yes', las conexiones se deben establecer utilizando protocolos y algoritmos de seguridad que cumplan con el Estándar Federal del Proceso de Información 140-2 (o FIPS, Federal Information Processing Standard) del gobierno de Estados Unidos. Las opciones que no cumplan estas normas no se encuentran disponibles en la ficha Cifrado.
|
Nota: Este parámetro afecta al esquema de configuración SSH especificado por la palabra clave Host y no afecta a las sesiones de Secure Shell posteriores a menos que se configuren para que utilicen el mismo esquema de configuración SSH (o nombre del host). |
ForwardAgent
Si se ajusta este parámetro como 'yes', se habilita el reenvío de la conexión del Agente de claves de Reflection. El reenvío de agentes debe utilizarse con precaución. Los usuarios con autorización para evitar los permisos de archivo en el host remoto (para el socket de dominio Unix del agente) pueden tener acceso al agente local a través de la conexión reenviada. Los piratas informáticos no pueden obtener información de claves del agente, aunque pueden realizar operaciones con las claves que les permiten autenticar utilizando las identidades incluidas en el agente. Puede que también sea necesario habilitarlo en el servidor. El valor predeterminado es 'no'.
ForwardX11
Especifica si las conexiones X11 se redireccionan automáticamente por el canal seguro y el ajuste de DISPLAY. El argumento debe ser 'yes' o 'no'. El valor predeterminado es 'no'. (Nota: Si configura Secure Shell mediante Reflection X, consulte ForwardX11ReflectionX.)
ForwardX11ReflectionX
Este parámetro se utiliza solo si configura conexiones Secure Shell para Reflection X (empezando por 14.1). Especifica si las conexiones X11 se redireccionan automáticamente por el canal seguro y el ajuste de DISPLAY. El argumento debe ser "yes" o "no". El valor predeterminado es "yes".
GatewayPorts
Especifica si los hosts remotos pueden conectarse a los puertos locales reenviados. De manera predeterminada, Reflection Secure Shell vincula los reenvíos de puertos locales a la dirección de conexión en bucle. De este modo, se evita que otros hosts remotos se conecten a los puertos reenviados. GatewayPorts se puede utilizar para especificar que Reflection Secure Shell debería vincular los reenvíos de puertos locales a la dirección comodín, permitiendo así que los hosts remotos se conecten a los puertos reenviados. Tenga especial cuidado al habilitar esta opción. Puede reducir la seguridad de su red y de su conexión ya que permite que hosts remotos utilicen el puerto reenviado en su sistema sin autenticación. El argumento debe ser 'yes' o 'no'. El valor predeterminado es 'no'.
GlobalKnownHostsFile
Especifica un archivo para utilizar en la base de datos global de claves de host en lugar del archivo predeterminado ssh_known_hosts ubicado en la carpeta de datos de programa de Reflection.
|
Nota: Escriba el nombre de archivo entre comillas en el caso de que se utilicen espacios en el nombre de archivo o la ruta. |
GssapiAuthentication
Especifica si se utiliza o no la autenticación GSSAPI para autenticarse a un KDC de Kerberos. Este parámetro se aplica solo si el protocolo utilizado es la versión 2 del protocolo. (El parámetro equivalente para la versión 1 del protocolo es KerberosAuthentication.) Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
GssapiDelegateCredentials
Especifica si GSSAPI se utiliza para reenviar su vale (TGT) al host. Este parámetro se aplica solo si el protocolo utilizado es la versión 2 del protocolo. (El parámetro equivalente para la versión 1 del protocolo es KerberosTgtPassing.) Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'yes'.
GssapiUseSSPI
Especifica si se utiliza la interfaz SSPI de Microsoft para la autenticación GSSAPI. Este parámetro solamente se aplica si se encuentra habilitada la autenticación Kerberos/GSSAPI (utilizando GssapiAuthentication para la versión 2 del protocolo y KerberosAuthentication para la versión 1). El argumento para esta palabra clave debe ser 'yes' o 'no'. Si se ajusta en 'no', el cliente Reflection Secure Shell utiliza el cliente Reflection Kerberos para la autenticación GSSAPI. Si se establece en 'yes', el cliente Reflection Secure Shell utiliza las credenciales de inicio de sesión de dominio de Windows (SSPI) para autenticarse al servidor Secure Shell. SSPI solamente es compatible con las conexiones de la versión 2 del protocolo y el servidor debe ser compatible con el método de autenticación GSSAPI-with-mic. El valor predeterminado es 'yes'.
GssServicePrincipal
Especifica un nombre de la entidad de seguridad de servicios no predeterminado para utilizar cuando el cliente envía una solicitud de vale de servicios al centro de distribución de claves de Kerberos (KDC, Key Distribution Center). Si ha seleccionado SSPI para el proveedor GSSAPI, puede utilizar este parámetro para especificar una entidad de seguridad de servicios en un dominio distinto del de Windows. Utilice un nombre de host completo seguido por @ y luego el nombre del dominio, por ejemplo mihost.midominio.com@MIDOMINIO.COM. (De forma predeterminada, el valor del nombre del host es el nombre del servidor Secure Shell al que se está conectando y el dominio depende del valor de GssapiUseSSPI. Cuando el valor de GssapiUseSSPI es 'no', el nombre del dominio se especifica en el perfil de la entidad de seguridad predeterminada. Cuando el valor de GssapiUseSSPI es 'yes', el dominio es el nombre de dominio de Windows.)
Host
Identifica las declaraciones que siguen (hasta la siguiente palabra clave Host) pertenecientes al esquema de configuración SSH especificado. Los caracteres '*' y '?' se pueden utilizar como comodines. Se puede utilizar un solo '*' como patrón para proporcionar valores globales predeterminados para todos los hosts. Una conexión Reflection utilizará el primer ejemplo de cualquier cadena Host coincidente (incluidos los caracteres comodín). Cualquier coincidencia posterior se ignorará.
|
Nota: Cuando cierra el cuadro de diálogo Configuración de Reflection Secure Shell, los valores con parámetros predeterminados no se guardan en el archivo de configuración. Si un valor predeterminado se ha agregado manualmente al archivo, se elimina cuando se cierra el cuadro de diálogo. Esto impone restricciones de diseño si usa estrofas de host comodín en combinación con estrofas que usan nombres de host específicos. Si ha configurado manualmente un valor predeterminado en una estrofa de host específica que sobrescribirá un valor configurado en una estrofa comodín, la configuración predeterminada se eliminará cuando se abra el cuadro de diálogo Configuración de Secure Shell para ver los parámetros del esquema de configuración SSH específico del host. Puede manejar esta situación de manera satisfactoria utilizando el archivo de configuración global, que no se actualiza cuando los usuarios abren y cierran el cuadro de diálogo Configuración de Reflection Secure Shell. |
HostKeyAlgorithms
Especifica, en orden de preferencia, los algoritmos de las claves del host de la versión 2 del protocolo que utiliza el cliente. El valor predeterminado para esta opción es: 'x509v3-sign-rsa,x509v3-sign-dss,ssh-rsa,ssh-dss". Este parámetro resulta útil cuando el servidor se configura para la autenticación por certificado y estándar por clave del host. El protocolo SSH permite solamente un intento para la autenticación del host. Si el host presenta un certificado y el cliente no está configurado para la autenticación del host usando certificados, la conexión falla. Esto es diferente al caso de la autenticación de usuario, en la que se pueden realizar varios intentos de autenticación.
HostKeyAlias
Especifica un alias para que se utilice en lugar del nombre del host real a la hora de buscar o guardar la clave del host en los archivos de la base de datos de claves de host. Esta opción resulta útil para el tunelado de conexiones ssh o para múltiples servidores que se ejecuten en un solo host.
IdentityFile
Especifica una clave privada para la autenticación de claves. Los archivos se encuentran en la carpeta .ssh de usuario. Los elementos de IdentityFile se agregan cuando selecciona claves o certificados de la lista de la ficha Claves de usuario del cuadro de diálogo Configuración de Secure Shell. Se pueden tener varios archivos de identificación especificados en los archivos de configuración; todas estas identidades se probarán en orden.
|
Nota: Escriba el nombre de la ruta entre comillas en el caso de que contenga espacios. |
KbdInteractiveAuthentication
Especifica si se utiliza o no la autenticación interactiva por teclado. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'yes'. Este método de autenticación se recomienda si se utiliza autenticación SecurID, PAM o cualquier otro método de autenticación externo que requiera solicitudes por parte del servidor y respuestas por parte del usuario. También puede funcionar mejor que el método PasswordAuthentication para la autenticación de la contraseña en los hosts en las que se encuentren habilitadas las opciones de caducidad de contraseña o primer cambio de contraseña de inicio de sesión. También puede ser necesario para la autenticación de contraseña cuando las contraseñas caducadas se tienen que restablecer para poder autenticarse con éxito. Esto se aplica solamente al protocolo SSH versión 2. Utilice ChallengeResponseAuthentication para la versión 1 del protocolo SSH.
KeepAlive
Especifica si el sistema debería enviar mensajes TCP KeepAlive al otro lado. Si se envían, se detecta el fin de la conexión o el bloqueo de uno de los sistemas. El valor predeterminado es 'yes' (para enviar KeepAlives), de modo que el cliente detecta que la red deja de funcionar o que el host remoto se desconecta. Es importante en los scripts y útil para los usuarios. Sin embargo, esto significa que las conexiones se detendrán si la ruta no funciona temporalmente, lo que puede resultar molesto para algunos usuarios. Para desactivar los KeepAlive, establezca el valor en 'no'. Esta palabra clave habilita el parámetro Keep Alive en TCP de Windows, que envía mensajes Keep Alive cada dos horas de manera predeterminada. Keep Alive en TCP/IP es configurable usando dos pentámetros opcionales que normalmente no existen en el registro de Windows: KeepAliveTime y KeepAliveInterval. Se configuran en el subesquema de registro HKEY_LOCAL_MACHINE, en la siguiente ubicación:
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Para obtener información sobre cómo configurar estos parámetros, consulte el Artículo 120642 de Microsoft Knowledge Base.
KerberosAuthentication
Especifica si se utiliza la autenticación de Kerberos para las conexiones de la versión 1 del protocolo. (El parámetro equivalente para la versión 2 del protocolo es GssapiAuthentication.) El argumento para esta palabra clave debe ser 'yes' o 'no'.
KerberosTgtPassing
Especifica si se reenvía un vale TGT de Kerberos al servidor. Solamente funcionará si el servidor Kerberos es realmente un AFS kaserver. Este parámetro se aplica solamente a la versión 1 del protocolo. (El parámetro equivalente para la versión 2 del protocolo es GssapiDelegateCredentials.) El argumento para esta palabra clave debe ser 'yes' o 'no'.
KexAlgorithms
Especifica los algoritmos de intercambio de claves compatibles con el cliente y el orden de preferencia. Los valores compatibles son 'diffie-hellman-group1-sha1', 'diffie-hellman-group-exchange-sha1' y 'diffie-hellman-group14-sha1'. El valor predeterminado es 'diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1'. En algunos casos, es posible que necesite cambiar el orden de los algoritmos de intercambio de claves para colocar 'diffie-hellman-group14-sha1' por delante de los otros dos. Esto es necesario si desea utilizar el hmac-sha512 MAC, o si ve el siguiente error durante el intercambio de claves: "fatal: dh_gen_key: grupo demasiado pequeño: 1024 (2*need 1024)".
|
Nota: Si la autenticación GSSAPI usando el cliente Reflection Kerberos se encuentra activada, los siguientes algoritmos adicionales de intercambio de claves se agregan automáticamente a la lista: gss-group1-sha1 y gss-gex-sha1. |
LocalForward
Especifica que un puerto TCP/IP del equipo local se reenviará a través de un canal seguro hasta el host y el puerto especificados en el equipo remoto. Se pueden especificar múltiples reenvíos. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios. También puede configurar argumentos opcionales para el reenvío FTP, la configuración del escritorio remoto y la ejecución automática de un archivo ejecutable (*.exe) tras establecer una conexión. La sintaxis para esta palabra clave es:
LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]
Las opciones son:
|
localport |
Un número de puerto local. |
|
host:hostport |
Un host remoto y un puerto en dicho host. Puede especificar localhost para reenviar los datos a un puerto distinto del mismo host remoto al que ya ha establecido una conexión Secure Shell. Las direcciones IPv6 se pueden especificar con una sintaxis alternativa: host/port. |
|
FTP |
Ajustar en 1 si va a tunelar la transferencia de archivos por FTP. |
|
RDP |
Ajustar en 1 si va a tunelar una sesión de Escritorio remoto. |
|
"ExecutableFile" |
Especifica un archivo ejecutable (incluida la información completa de la ruta, si es necesaria) para que Reflection ejecute una aplicación inmediatamente después de que se haya establecido una conexión Secure Shell. Para reenviar datos a través de un túnel seguro, esta aplicación debería configurarse para establecer una conexión con localhost (o la dirección IP de conexión en bucle, 127.0.0.1) utilizando el localport especificado. |
Logfile
Especifica un archivo de registro para la depuración. Todas las entradas y salidas de sesión se escriben en este archivo. Utilice esta palabra clave con la opción de utilidad de línea de comando -o como se muestra aquí:
-o Logfile=\path\logfile_name
|
Nota: Escriba el nombre de archivo de la ruta entre comillas en caso de que el nombre de archivo o la ruta contenga espacios. |
LogLevel
Especifica el nivel de verbosidad que se utiliza cuando se registran los mensajes provenientes del cliente Reflection Secure Shell. Los valores posibles son: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 y DEBUG3. El valor predeterminado es INFO. DEBUG y DEBUG1 son equivalentes. DEBUG2 y DEBUG3 especifican niveles mayores de salida verbosa.
Macs
Especifica los algoritmos MAC (Message Authentication Code) en orden de preferencia. El algoritmo MAC se utiliza en la versión 2 del protocolo para la protección de la integridad de los datos. Los distintos algoritmos deben separarse mediante comas. El valor predeterminado es: 'hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96'. Si la conexión se establece para que se ejecute en modo FIPS, el valor predeterminado es "hmac-sha1,hmac-sha256,hmac-sha512".
MatchHostName
Especifica si el nombre del host debe coincidir al validar los certificados del host. Si se utiliza el valor 'yes' (valor predeterminado), el nombre del host configurado en Reflection debe coincidir exactamente con uno de los nombres de host especificados en los campos CommonName o SubjectAltName del certificado.
Multihop
Configura las conexiones multisalto, que se pueden utilizar para establecer conexiones seguras a través de una serie de servidores SSH. Resulta útil si la configuración de la red no permite el acceso directo a un servidor remoto, pero sí lo permite mediante servidores intermedios.
La sintaxis para esta palabra clave es:
Multihop localport host:hostport ["SSH config scheme"]
Agrega una línea Multisalto nueva para cada servidor en la serie. Cada conexión de la lista se envía a través del túnel establecido por la conexión que se encuentra encima del mismo.
En el siguiente ejemplo, las conexiones SSH configuradas para ServerC se conectarán en primer lugar a ServerA, luego a ServerB y por último a ServerC.
Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22
Tiene la opción de especificar un Esquema de configuración SSH para configurar los parámetros de Secure Shell de cualquier host de la cadena. Por ejemplo:
Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
NoShell
Cuando NoShell está configurado en "Yes", el cliente crea un túnel sin abrir una sesión del terminal. Esta opción se puede utilizar en combinación con ConnectionReuse para crear un túnel que se puede reutilizar por otras conexiones ssh. Nota: Esta opción afecta a las conexiones establecidas con la utilidad de línea de comando; no está diseñada para ser utilizada con la interfaz de usuario de Reflection.
NumberOfPasswordPrompts
Especifica el número de solicitudes de contraseña antes de detenerse. El argumento para esta palabra clave debe ser un número entero. El valor predeterminado es 3.
PasswordAuthentication
Especifica si se utiliza o no la autenticación mediante contraseña. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'yes'.
Port
Especifica el número de puerto de conexión en el host remoto. El valor predeterminado es 22.
PreferredAuthentications
Especifica el orden en el que el cliente debe probar los métodos de autenticación de la versión 2 del protocolo. Corresponde al orden (desde arriba hacia abajo) en el que se muestran los métodos en la lista Autenticación de usuario de la ficha General correspondiente al cuadro de diálogo Configuración de Reflection Secure Shell. Este parámetro activa la preferencia de un método por parte del cliente (como la interactiva por teclado) respecto a otro método (como el uso de contraseña). De manera predeterminada, Reflection prueba la autenticación en el siguiente orden: 'publickey,keyboard-interactive,password'. Si se activa la autenticación GSSAPI, el valor predeterminado cambia a: 'gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password'.
|
Notas:
|
PreserveTimestamps
Especifica si los atributos del archivo y las marcas de fecha se modifican cuando los archivos se transfieren al servidor y desde él. Cuando esta palabra clave sea "no" (valor predeterminado), las marcas de fecha y los atributos se modifican. Cuando sea "sí", los archivos mantienen las marcas de fecha y atributos originales.
Protocol
Especifica las versiones del protocolo que debe soportar el cliente Reflection Secure Shell en orden de preferencia. Los valores posibles son '1' y '2'. Los distintos valores deben separarse mediante comas. El valor predeterminado es '2,1', lo que significa que Reflection prueba la versión 2 y regresa a la versión 1 si la versión 2 no está disponible.
Proxy
Especifica un tipo de proxy para su utilización en las conexiones Secure Shell. Los valores compatibles son "SOCKS" y "HTTP".
|
Nota: El uso de proxy está habilitado para todas las secciones del Host del archivo de configuración que utilicen este parámetro. La dirección del servidor proxy se almacena en el registro de Windows por usuario. |
PubkeyAuthentication
Especifica si se prueba o no la autenticación mediante clave pública. Esta opción solamente se aplica a la versión 2 del protocolo. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'yes'.
RemoteCommand
Especifica uno o más comandos para realizar una ejecución en el servidor remoto. Utilice un punto y coma (;) para separar varios comandos al conectar con un servidor UNIX. Utilice una y comercial (&) para separar comandos al conectar con un servidor Windows. Tras establecer una conexión, el servidor ejecuta (o intenta ejecutar) los comandos especificados y, a continuación, finaliza la sesión. El servidor debe estar configurado para permitir la ejecución de comandos recibidos desde el cliente.
Los comandos se deben especificar usando la sintaxis correcta para el servidor. Por ejemplo, los siguientes son equivalentes:
En UNIX: ls ; ls -l
En Windows: dir/w & dir
RemoteForward
Especifica que un puerto TCP/IP del equipo remoto se reenviará a través de un canal seguro hasta el host y el puerto especificados desde el equipo local. El primer argumento debe ser un número de puerto y el segundo debe ser host:port. Las direcciones IPv6 se pueden especificar con una sintaxis alternativa: host/port. Se pueden especificar múltiples reenvíos. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios.
RSAAuthentication
Especifica si se prueba o no la autenticación RSA. Esta opción solamente se aplica a la versión 1 del protocolo. La autenticación RSA solamente se probará si existe el archivo de identidad. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'yes'.
SendEnv
Especifica una variable de entorno de ajuste en el servidor antes de ejecutar un shell o un comando. El valor debería ser de la forma: VAR val. El servidor debe ser compatible con la variable especificada y debe configurarse para que acepte estas variables de entorno.
ServerAlive
Especifica si enviar o no mensajes de Keep Alive del servidor al servidor SSH en el intervalo especificado mediante ServerAliveInterval. El parámetro ServerAlive de Secure Shell envía un mensaje de protocolo SSH al servidor en el intervalo especificado para garantizar que el servidor aún funciona. Si esta opción no está habilitada, la conexión SSH no finalizará si el servidor deja de funcionar o se pierde la conexión con la red. También se puede utilizar esta configuración para evitar que el servidor desconecte las conexiones que solo envían sesiones TCP, cuando el servidor no detecta tráfico SSH. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
|
Nota: La configuración ServerAlive de Secure Shell no está relacionada con la configuración Keep Alive de TCP (KeepAlive), que puede establecerse en el registro de Windows para evitar que el firewall desconecte las conexiones TCP/IP tras agotarse el tiempo de espera. Para cambiar el comportamiento de Keep Alive en TCP/IP, debe editar el registro de Windows. |
ServerAliveInterval
Especifica el intervalo (en segundos) para utilizar cuando ServerAlive = 'yes'. Utilice un valor entero de uno o mayor. El valor predeterminado es 30.
SftpBufferLen
Especifica el número de bytes necesarios en cada paquete durante las transferencias SFTP. El valor predeterminado es 32768. Al ajustar este valor se puede mejorar la velocidad de transferencia. El valor óptimo depende de la configuración de la red y del servidor. El cambio de este valor puede afectar también a la rapidez con la que se cancela una transferencia.
SftpMaxRequests
Especifica el número máximo de solicitudes pendientes de datos que el cliente puede realizar durante las transferencias SFTP. El valor predeterminado es 10. Al ajustar este valor se puede mejorar la velocidad de transferencia. El valor óptimo depende de la configuración de la red y del servidor. El cambio de este valor puede afectar también a la rapidez con la que se cancela una transferencia.
SftpVersion
Especifica qué versión utiliza el cliente para las conexiones SFTP. Los valores válidos son 3 y 4. Cuando el parámetro es 4 (valor predeterminado), la conexión utiliza la versión 4 de SFTP si el servidor la admite, y baja a la versión 3 si el servidor no admite la versión 4. Si el parámetro es 3, el cliente siempre utiliza la versión 3 de SFTP. Nota: Si necesita SFTP 4, realice la comprobación con el servicio técnico de Attachmate para confirmar que este parámetro está disponible con su versión del cliente Reflection.
StrictHostKeyChecking
El argumento debe ser 'yes', 'no' o 'ask'. El valor predeterminado es 'ask'. Si esta opción se encuentra configurada como 'yes', el cliente Reflection Secure Shell no agrega nunca de forma automática claves de host al archivo known_hosts (ubicado en la carpeta .ssh de usuario), y rechaza la conexión a los hosts cuyas claves de host hayan cambiado. Esta opción obliga al usuario a agregar automáticamente todos los hosts nuevos. Si se selecciona 'no', Reflection se conecta al host sin mostrar un cuadro de diálogo de confirmación y no agrega la clave del host a la lista de claves de confianza. Si se selecciona 'ask', se agregan las claves de host nuevas a los archivos de host conocidos del usuario solamente después de que éste haya confirmado qué es lo que desea. Las claves de los hosts conocidos se verifican automáticamente en todos los casos.
|
Nota: Este parámetro no tiene ningún efecto cuando el host ha sido configurado para autenticarse usando certificados x509. Si un host presenta un certificado para la autenticación del host y no posee el certificado de CA necesario configurado como una entidad de anclaje de confianza, la conexión fallará. |
TryEmptyPassword
Si se encuentra seleccionado 'yes', el cliente inicia la autenticación de la contraseña tratando de introducir una contraseña en blanco. En la mayoría de los sistemas se contará como un intento de inicio de sesión.
Usuario
Especifica el usuario con el que se inicia la sesión. Puede resultar útil cuando se utiliza un nombre de usuario diferente en distintos equipos.
UseOCSP
Especifica si el cliente utiliza OCSP (Online Certificate Status Protocol) para validar los certificados del host. Los valores permitidos son 'yes' y 'no'. El valor predeterminado es 'no'.
UserKeyCertLast
Especifica cómo el cliente Reflection maneja la firma de los certificados durante la autenticación de clave pública. Cuando este parámetro es 'yes' (valor predeterminado), el cliente envía el certificado usando primero una firma de clave ssh estándar (ssh-rsa o ssh-dss). Si falla, el cliente lo vuelve a intentar con una firma de certificado (x509-sign-rsa o x509-sign-dss). En algunos casos es posible que este segundo intento no se produzca y que la autenticación falle. Cuando el parámetro es 'no', el cliente prueba primero la firma de certificado seguida de la firma de clave ssh.
UserKnownHostsFile
Especifica un archivo para utilizar en la base de datos de claves de host del usuario en lugar del archivo known_hosts (ubicado en la carpeta .ssh de usuario). Utilice comillas si el archivo o la ruta incluyen espacios.
x509dsasigtype
Especifica el algoritmo de la huella digital utilizado por el cliente en el proceso de comprobación de posesión de claves DSA privadas. Los posibles valores son 'sha1raw' (predeterminado) y 'sha1asn1'.
x509rsasigtype
Especifica el algoritmo de la huella digital utilizado por el cliente en el proceso de comprobación de posesión de claves RSA privadas. Los valores posibles son 'md5', 'sha1' (predeterminado) y 'sha256'.
X11Display
Determina el puerto de conexión en bucle local de la PC al cual las comunicaciones de protocolo X11 se reenvían cuando el reenvío de X11 está activado.
|
Nota: Si está utilizando Reflection X (versión 12.x, 13.x, o 14.x), no necesita configurar esta palabra clave. El servidor Reflection X y el cliente Reflection Secure Shell se sincronizan automáticamente para utilizar el puerto correcto en función del parámetro de visualización del servidor X (Parámetros > Visualización > Número de visualización X); en este caso, la palabra clave X11Display se ignora. Si utiliza un servidor X de la PC diferente, utilice esta palabra clave para especificar el puerto de escucha correcto, como se define para el servidor X de la PC. |
El valor predeterminado es 0. Esto configura el reenvío al puerto 6000, que es el puerto de escucha predeterminado definido por la convención del protocolo X11. El valor de visualización que especifique se agrega a 6000 para determinar el puerto de escucha real. Por ejemplo, si establece X11Display en 20 indica al cliente Secure Shell que el servidor PC-X está escuchando en el puerto 6020.
 |