目次/索引/検索の表示

構成ファイルのキーワード参照 - Secure Shell 設定

Secure Shell 構成ファイルを手動で編集する場合に、この参照を使用します。構成ファイルは、キーワード Host によってそれぞれ識別されるセクションに分かれています。各セクションでは、指定したホストまたは SSH 構成セクションを使用する、すべての接続に使用される Secure Shell 設定を指定します。

構成ファイルは、キーワードの後に値が続きます。構成オプションは、空白またはオプションの空白と 1 つの等号 (=) で区切ることができます。キーワードは大文字と小文字を区別しませんが、引数は大文字と小文字を区別します。

番号記号 (#) で始まる行はコメントです。空の行は無視されます。

注意:この一覧の項目では、Secure Shell 接続に影響する機能を構成します。その他のキーワードは、ssh コマンドラインセッションの端末エミュレーションの構成に使用できます。これらのキーワードに関する詳しい説明は、「構成ファイルのキーワード参照 - 端末エミュレーション設定」を参照してください。

AddAuthKeyToAgent

この設定は、ForwardAgent が「yes」に設定されている場合に、クライアントの公開鍵認証の処理方法に影響します。サーバの公開鍵認証が成功し、ForwardAgentAddAuthKeyToAgent の両方が「yes」に設定されている場合、認証に使用された鍵や証明書は Reflection 鍵エージェントに自動的に追加されます。この鍵は鍵エージェントには保存されませんが、鍵エージェントが実行されている間は使用できます。AddAuthKeyToAgent が「no」(既定値) に設定されている場合、鍵と証明書が鍵エージェントに自動的に追加されることはありません。鍵エージェントは、手動でインポートされた鍵のみを使用します。

AuthUseAllKeys

この設定は、クライアントの公開鍵認証の処理方法に影響します。この設定が「no」(既定値) の場合、クライアントは IdentityFile というキーワードを使用して指定した 1 つまたは複数の鍵のみを使用して認証しようとします。この設定が「yes」の場合、クライアントは使用できる公開鍵全部を使用して認証しようとします。

BatchMode

スクリプトおよびバッチジョブに使用可能なパスワードメッセージおよびパスフレーズメッセージを含む、ユーザ入力要求をすべて無効にするかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「no」です。

 

注意:このキーワードは、キーボード対話型の認証構成時のユーザ入力要求を無効にしませんが、BatchMode 有効時にキーボード対話型を使用する接続は失敗します。

BindAddress

複数インタフェースまたは別名アドレスを使用して、コンピュータから送信するインタフェースを指定します。

ChallengeResponseAuthentication

試行/応答認証を使用するかどうかを指定します。引数は「yes」または「no」にする必要があります。この認証方式は、SecurID、PAM 認証、またはサーバからのメッセージとユーザからの応答が必要なその他の外部認証方式を使用している場合に推奨されます。既定値は「yes」です。これは、対応している SSH プロトコル 1 のみに適用されますが、推奨されません。SSH プロトコルバージョン 2 には KbdInteractiveAuthentication を使用します。

CheckHostIP

このフラグを「yes」に設定した場合、Reflection Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホスト IP アドレスを確認します。既知のホスト一覧のホスト IP が、接続に使用している IP アドレスに一致する場合にのみ、接続が許可されます。既定値は「no」です。注意:StrictHostKeyChecking が「no」の場合、この設定は適用されません。

CheckHostPort

このフラグを「yes」に設定した場合、Reflection Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホストポートを確認します。既知のホスト一覧のホストポートが、接続に使用しているポートに一致する場合にのみ、接続が許可されます。既定値は「no」です。注意:StrictHostKeyChecking が「no」の場合、この設定は適用されません。

Cipher

プロトコルバージョン 1 のセッションの暗号化に使用する暗号を指定します。現在、「blowfish」、「3des」、「des」に対応しています。des は、3des 暗号に対応していない従来のプロトコル 1 実装との相互運用性のため Secure Shell クライアントのみが対応しています。暗号上の弱点があるため、使用することは推奨されません。既定値は「3des」です。

Ciphers

プロトコルバージョン 2 に使用可能な暗号を優先順に指定します。複数の暗号は、カンマで区切る必要があります。既定値は、「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour」です。接続が FIPS モードで行われるように設定されている場合、既定値は「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc」です。

ClearAllForwardings

ローカル転送、リモート転送、または動的転送されたポートのうち、既に処理されたすべてのポートを構成ファイルまたはコマンドラインからクリアします。 注意:scp および sftp は、この設定に関係なく、すべての転送ポートを自動的にクリアします。 指定可能な値は「yes」および「no」です。既定値は「no」です。

Compression

圧縮を有効にするかどうかを指定します。 圧縮は、モデム回線などの低速接続には向いていますが、高速ネットワークでは応答速度を低下させます。また、圧縮はパケットをより不規則にするため、悪意のある人物がパケットを解読することが難しくなります。 指定可能な値は「yes」および「no」です。既定値は「no」です。

CompressionLevel

圧縮を有効にした場合に使用する圧縮レベルを指定します。このオプションは、プロトコルバージョン 1 にのみ適用されます。引数は、1 (高速) から 9 (低速、最適) までの整数にする必要があります。既定レベルは 6 で、ほとんどのアプリケーションに有効です。値の意味は gzip と同じです。

ConnectionAttempts

終了前に試行する回数 (1 秒間に 1 回) を指定します。引数は整数にする必要があります。これは、接続に失敗することがある場合にスクリプトで使用できます。既定値は「1」です。

ConnectionReuse

同一ホストへの複数のセッションで元の Secure Shell 接続を再利用するかどうかを指定します。このため、再認証が不要となります。引数は「yes」または「no」にする必要があります。「yes」に設定すると、ホスト名、ユーザ名、SSH 構成セクション (使用する場合) がすべて一致する場合、新しい接続は既存のトンネルを再利用します。「no」に設定すると、Reflection ではセッションごとに新しい接続を確立します。つまり、新しい接続ごとに認証処理を繰り返し、変更された接続固有の設定 (転送および暗号など) も適用されます。Reflection ウィンドウを使用した接続で接続する場合、既定値は「yes」になります。接続に Reflection コマンドラインユーティリティを使用している場合は「no」になります。詳細については、「Secure Shell セッションにおける接続の再利用」を参照してください。

ConnectTimeout

サーバへの接続完了を試行している時にクライアントが待機する最大時間 (秒単位) を指定します。タイマーは、接続の確立時 (ログオン前) に開始して、設定、ホスト鍵交換、および認証中に稼働します。実際には、タイマーは基本的に認証処理の間に稼働します。既定値は「120」です。

DisableCRL

ホスト証明書の検証時に CRL (Certificate Revocation List) の確認を行うかどうかを指定します。これを「yes」に設定すると、CRL の確認が無効になります。この設定の既定値は、CRL の確認に関する現在のシステム設定に従います。システム設定を表示して編集するには、Internet Explorer を起動して、[ツール] - [インターネットオプション] - [詳細設定] コマンドに進みます。[セキュリティ] の下の [サーバー証明書の取り消しを確認する] を探します。

DynamicForward

安全なチャネルを介して転送するローカルマシンの TCP/IP ポートを指定します。アプリケーションプロトコルは、リモートマシンと接続する場所を決定するために使用されます。引数はポート番号にする必要があります。現在、SOCKS4 プロトコルに対応し、Reflection Secure Shell は SOCKS4 サーバとして動作します。複数転送を指定できるため、コマンドラインで追加転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。

EscapeChar

エスケープ文字を設定します (既定は'~')。エスケープ文字は、コマンドラインでも設定できます。引数は単一の文字「^」で、後に文字を続ける必要があります。あるいは、エスケープ文字を無効にするには「none」にする必要があります (バイナリデータ接続を透過にするため)。

FipsMode

この設定を「yes」にすると、アメリカ合衆国政府の連邦情報処理規格 (FIPS) 140-2 に合致するセキュリティプロトコルおよびアルゴリズムを使用して、接続する必要があります。この規格に合致しないオプションは、[暗号化] タブで使用できません。

 

注意:この設定はキーワード Host で指定される SSH 構成セクションに影響し、同じ SSH 構成セクション (またはホスト名) を使用するように構成されていないかぎり、以降の Secure Shell セッションに影響しません。

ForwardAgent

これを「yes」に設定すると、Reflection 鍵エージェント接続の転送が有効になります。エージェント転送を有効にする場合は注意が必要です。エージェントの UNIX ドメインソケットのリモートホストでファイル権限を回避できるユーザは、転送された接続を介してローカルエージェントにアクセスできます。攻撃者は鍵の情報を取得できませんが、エージェントに読み込まれた識別情報を使用して、その鍵で操作を実行して認証を有効にすることができます。サーバでもエージェント転送が有効になっている必要があります。既定値は「no」です。

ForwardX11

安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「no」です。(注意:Reflection X を使用して Secure Shell を構成する場合は、「ForwardX11ReflectionX」を参照してください)。

ForwardX11ReflectionX

Reflection X (14.1 以降) 用の Secure Shell 接続を構成している場合にのみ、この設定を使用してください。安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「yes」です。

GatewayPorts

リモートホストが、ローカル転送ポートへの接続を許可されるかどうかを指定します。既定では、Reflection Secure Shell はローカルポート転送をループバックアドレスに結合します。これによって、ほかのリモートホストが、転送ポートに接続できないようにしています。GatewayPorts を使用して、Reflection Secure Shell がローカルポート転送をワイルドカードアドレスに結合するように指定できます。これによって、リモートホストは転送ポートに接続できます。この設定を有効にする場合は注意が必要です。この設定によって、リモートホストで、認証なしにシステムで転送されたポートを使用できるようになるため、ネットワークと接続の安全性が低下します。引数は「yes」または「no」にする必要があります。既定値は「no」です。

GlobalKnownHostsFile

Reflection アプリケーションデータフォルダの ssh_known_hosts という既定ファイルの代わりに使用する、グローバルホスト鍵データベース用のファイルを指定します。

 

注意:パスまたはファイル名の一部に空白が含まれている場合、ファイル名を引用符で囲みます。

GssapiAuthentication

GSSAPI 認証を使用して、Kerberos KDC を認証するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます(プロトコルバージョン 1 で同等の設定は KerberosAuthentication になります)。 指定可能な値は「yes」および「no」です。既定値は「no」です。

GssapiDelegateCredentials

GSSAPI を使用して、ホストに発券許可チケット (krbtgt) を転送するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます(プロトコルバージョン 1 で同等の設定は KerberosTgtPassing になります)。 指定可能な値は「yes」および「no」です。既定値は「yes」です。

GssapiUseSSPI

Microsoft の Security Support Provider Interface (SSPI) を GSSAPI 認証に使用するかどうかを指定します。この設定は、Kerberos/GSSAPI 認証が有効な場合にのみ使用できます (プロトコルバージョン 2 では GssapiAuthentication を使用、プロトコルバージョン 1 では KerberosAuthentication を使用)。このキーワードの引数は「yes」または「no」にする必要があります。「no」に設定すると、Reflection Secure Shell クライアントは GSSAPI 認証に Reflection Kerberos クライアントを使用します。「yes」に設定すると、Reflection Secure Shell クライアントは Secure Shell サーバに対する認証に Windows ドメインのログイン資格情報 (SSPI) を使用します。SSPI はプロトコルバージョン 2 接続のみに対応しており、サーバが GSSAPI-with-mic 認証方式に対応する必要があります。既定値は「yes」です。

GssServicePrincipal

クライアントが Kerberos Key Distribution Center (KDC) へサービスチケット要求を送信する時に、使用する既定以外のサービスプリンシパル名を指定します。GSSAPI プロバイダとして SSPI を選択している場合、この設定を使用して Windows ドメインとは異なるレルムにサービスプリンシパルを指定できます。完全なホスト名の後に @ とレルム名を続けます。例えば、myhost.myrealm.com@MYREALM.COM のようになります(既定で、ホスト名の値は接続する Secure Shell サーバの名前になり、レルムは GssapiUseSSPI の値によって異なります。GssapiUseSSPI が「no」の場合、レルム名は既定のプリンシパルプロファイルで指定されます。GssapiUseSSPI が「yes」の場合、レルムは Windows ドメイン名になります)。

Host

指定した SSH 構成セクションに属する (次の Host キーワードまで) 続く宣言を指定します。文字「*」および「?」は、ワイルドカードとして使用できます。パターンに単一の「*」を使用すると、すべてのホストにグローバルな既定設定を指定できます。Reflection 接続では、最初に一致する Host 文字列 (ワイルドカード文字を含む) を使用します。以降の一致は無視されます。

 

注意:[Reflection Secure Shell の設定] ダイアログボックスを閉じる時、既定の設定値は構成ファイルに保存されません。既定値を手動でファイルに追加している場合、ダイアログボックスを閉じる時にその既定値は削除されます。ワイルドカードホストのスタンザを、特定のホスト名を使用するスタンザと組み合わせて使用する場合、これにより、設計制約が課せられます。ワイルドカードのスタンザで構成された値を上書きするよう設定された特定のホストのスタンザに既定値を手動で構成した場合、ホスト固有の SSH 構成セクションの設定を表示するために [Reflection Secure Shell の設定] ダイアログボックスを開くと、既定値は削除されます。この状況は、グローバル構成ファイルを使用すると適切に処理することができます。グローバル構成ファイルは、ユーザが [Reflection Secure Shell の設定] ダイアログボックスを開いたり閉じたりしても、更新されません。

HostKeyAlgorithms

クライアントが使用するプロトコルバージョン 2 ホスト鍵アルゴリズムを優先順に指定します。このオプションの規定は次のとおりです。'x509v3-sign-rsa,x509v3-sign-dss,ssh-rsa,ssh-dss"。この設定は、証明書と標準ホスト鍵認証の両方をサーバに構成する場合に便利です。SSH プロトコルでは、ホストの認証試行は 1 回しか許可しません。ホストが証明書を提示し、証明書を使用したホスト認証がクライアントに構成されていない場合、接続に失敗します(これは、複数の認証試行に対応しているユーザ認証とは異なります)。

HostKeyAlias

ホスト鍵データベースファイルでホスト鍵の検索または保存のため、実際のホスト名の代わりに使用する別名を指定します。このオプションは、ssh 接続のトンネリングまたは単一のホストで複数のサーバを実行している場合に使用できます。

IdentityFile

鍵認証に使用する秘密鍵を指定します。 (ファイルはユーザの .ssh フォルダにあります)。IdentityFile 項目は、[Reflection Secure Shell の設定] ダイアログボックスの [ユーザ鍵] タブの一覧から鍵または証明書を選択すると追加されます。構成ファイルに複数の識別情報ファイルを指定でき、これらのすべての識別情報が順番に試行されます。

 

注意:空白が含まれている場合、完全なパス名を引用符で囲みます。

KbdInteractiveAuthentication

キーボード対話型認証を使用するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「yes」です。 この認証方式は、SecurID、PAM 認証、またはサーバからのメッセージとユーザからの応答が必要なその他の外部認証方式を使用している場合に推奨されます。パスワード有効期限または最初のログインパスワードの変更が有効になっているホストのパスワード認証で、PasswordAuthentication 方式よりも有効に機能する場合があります。認証に成功するために有効期限が切れたパスワードをリセットする必要がある場合、パスワード認証に必要な場合もあります。これは、SSH プロトコル 2 にのみ適用されます。SSH プロトコルバージョン 1 には ChallengeResponseAuthentication を使用します。

KeepAlive

システムが TCP キープアライブメッセージを相手に送信する必要があるかどうかを指定します。送信されると、接続の切断またはいずれかのマシンのクラッシュが検出されます。ネットワークのダウンまたはリモートホストの停止をクライアントが検出するため、既定値は「yes」(キープアライブを送信する) になっています。これはスクリプトにとって重要であり、ユーザにとっても役に立ちます。ただし、ルートが一時的にダウンした場合に接続が切断されることになるので、一部のユーザにとっては迷惑かもしれません。キープアライブを無効にするには、値を「no」に設定します。このキーワードにより、Windows TCP キープアライブ設定が有効になり、既定では 2 時間ごとにキープアライブメッセージが送信されます。TCP/IP キープアライブは、Windows レジストリには通常存在しない 2 つのオプションパラメータ(KeepAliveTime および KeepAliveInterval) を使用して構成できます。これらは、以下の場所の HKEY_LOCAL_MACHINE レジストリサブツリーに構成されます。

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

これらのパラメータの設定については、Microsoft Knowledge Base Article 120642 を参照してください。

KerberosAuthentication

Kerberos 認証をプロトコルバージョン 1 接続に使用するかどうかを指定します(プロトコルバージョン 2 で同等の設定は GssapiAuthentication になります)。このキーワードの引数は「yes」または「no」にする必要があります。

KerberosTgtPassing

Kerberos TGT をサーバに転送するかどうかを指定します。これは、Kerberos サーバが実際に AFS kaserver の場合にのみ機能します。この設定は、プロトコルバージョン 1 にのみ適用されます(プロトコルバージョン 2 で同等の設定は GssapiDelegateCredentials になります)。このキーワードの引数は「yes」または「no」にする必要があります。

KexAlgorithms

クライアントが対応する鍵交換アルゴリズムと優先順位を指定します。対応する値は、「diffie-hellman-group1-sha1」、「diffie-hellman-group-exchange-sha1」、および「diffie-hellman-group14-sha1」です。既定値は、「diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1」です。場合によっては、「diffie-hellman-group14-sha1」を他の 2 つよりも前に配置するために、鍵交換アルゴリズムの順番を変更する必要があります。hmac-sha512 MAC を使用する場合、または鍵交換中に次のエラーが表示される場合は、この操作が必要です。"fatal: dh_gen_key: group too small:1024 (2*need 1024)"

 

注意:Reflection Kerberos クライアントを使用する GSSAPI 認証が有効の場合、追加の鍵交換アルゴリズム (gss-group1-sha1 および gss-gex-sha1) が一覧に自動的に追加されます。

LocalForward

安全なチャネルを介して、リモートマシンの指定したホストとポートに転送するローカルマシンの TCP/IP ポートを指定します。複数の転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。FTP の転送、リモートデスクトップの構成、接続後の実行ファイル (*.exe) の自動起動にオプションの引数を構成することもできます。このキーワードの構文は次のとおりです。

LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]

次のオプションがあります。

 

localport

ローカルポート番号。

 

host:hostport

リモートホストおよびそのホストのポート(localhost を指定して、すでに Secure Shell 接続を確立した同じリモートホストの異なるポートにデータを転送できます)。IPv6 アドレスは、別の構文 host/port を使用して指定できます。

 

FTP

FTP ファイル転送をトンネル接続する場合、1 に設定します。

 

RDP

リモートデスクトップセッションをトンネル接続する場合、1 に設定します。

 

"ExecutableFile"

Secure Shell 接続確立後すぐに Reflection がアプリケーションを起動するように、実行ファイル (必要に応じて完全なパス情報を含む) を指定します。安全なトンネルを介してデータを転送するには、指定した localport を使用して localhost (またはループバック IP アドレス、127.0.0.1) に接続するようにこのアプリケーションを構成する必要があります。

Logfile

デバッグに使用するログファイルを指定します。すべてのセッションの入力および出力は、このファイルに書き込まれます。次に示すように、このキーワードと -o コマンドラインユーティリティオプションを使用します。

-o Logfile=\path\logfile_name

 

注意:パスまたはファイル名の一部に空白が含まれている場合、パスとファイル名を引用符で囲みます。

LogLevel

Reflection Secure Shell クライアントからのメッセージの記録時に使用する詳細レベルを指定します。指定可能な値は、QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 および DEBUG3 です。既定値は「INFO」です。DEBUG と DEBUG1 は同じです。DEBUG2 と DEBUG3 はそれぞれ、より高いレベルの詳細出力を指定します。

Macs

MAC (メッセージ認証コード) アルゴリズムを優先順に指定します。MAC アルゴリズムは、データ整合性保護のためにプロトコルバージョン 2 で使用されます。複数のアルゴリズムは、カンマで区切る必要があります。既定の場所は以下のとおりです。「hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96」。接続が FIPS モードで実行するように設定されている場合、既定値は「hmac-sha1,hmac-sha256,hmac-sha512」です。

MatchHostName

ホストの証明書の検証時にホスト名の一致を確認するかどうかを指定します。この設定が「yes」の場合 (既定値)、Reflection で構成したホスト名が、証明書の CommonName フィールドまたは SubjectAltName フィールドに入力されているホスト名に一致していなければなりません。

Multihop

一連の SSH サーバによって安全な接続を確立するために使用可能なマルチホップ接続を構成します。これは、直接リモートサーバにアクセスすることはできないが、中間サーバを介してアクセスすることができるネットワーク構成で役に立ちます。

このキーワードの構文は次のとおりです。

Multihop localport host:hostport ["SSH config scheme"]

一連の各サーバに Multihop 行を新しく追加します。一覧の各接続は、その上の接続で確立されたトンネルを介して送信されます。

下記の例では、サーバ C に構成された SSH 接続が最初に サーバ A に接続し、それから サーバ B、最後に サーバ C に接続します。

Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22

オプションで SSH 構成セクションを指定して、チェーン内の任意のホストの Secure Shell 設定を構成できます。例えば、次のように入力します。

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"

NoShell

NoShell を「Yes」に設定すると、クライアントは端末セッションを開かずにトンネルを作成します。このオプションは ConnectionReuse と組み合わせて使用し、その他の ssh 接続が再利用できるトンネルを作成できます。注意:このオプションは、接続がコマンドラインユーティリティで行われた場合に適用されます。Reflection ユーザインタフェースでの使用には対応していません。

NumberOfPasswordPrompts

失効するまでに試行できるパスワードメッセージの入力回数を指定します。このキーワードの引数は整数にする必要があります。既定値は「3」です。

PasswordAuthentication

パスワード認証を使用するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「yes」です。

Port

リモートホストに接続するポート番号を指定します。既定値は「22」です。

PreferredAuthentications

クライアントがプロトコル 2 認証方式を試行する順番を指定します。これは、[Reflection Secure Shell の設定] ダイアログボックスの [全般] タブの [ユーザ認証] 一覧に表示される方式の順番 (上から下) に対応します。この設定によって、クライアントはある方式 (キーボード対話型など) を別の方式 (パスワードなど) より優先させることができます。既定で、Reflection は「publickey,keyboardinteractive,password」の順番で認証を試行します。GSSAPI 認証が有効な場合、既定値は「gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password」に変更されます。

 

注意:

  • config ファイルに PreferredAuthentications が含まれている場合、指定する一覧に試行したい認証方式をすべて含める必要があります。PreferredAuthentications が存在するにもかかわらず特定の認証方式を指定しない場合、その認証方式を有効にするキーワードが正しく構成されていても、Reflection ではその認証方式を使用しません。
  • PreferredAuthentications 一覧に認証方式を含めることによって、その方式を使用する認証が有効になるわけではありません。既定で使用されない認証を有効にするには、その認証方式のキーワードも正しく構成する必要があります (例えば、GSSAPI 認証を有効にするには、GssapiAuthentication を yes に設定する必要があります)。

PreserveTimestamps

サーバ間でファイルを転送する時に、属性とタイムスタンプを変更するかどうかを指定します。このキーワードが「no」(既定値) の場合、タイムスタンプと属性が変更されます。「yes」の場合、ファイルの元のタイムスタンプと属性が保持されます。

Protocol

Reflection Secure Shell クライアントが対応するプロトコルバージョンを優先順に指定します。指定可能な値は「1」および「2」です。複数の値は、カンマで区切る必要があります。既定値は「2,1」で、Reflection はバージョン 2 を試行し、バージョン 2 が使用できない場合にバージョン 1 にフォールバックします。

Proxy

Secure Shell 接続に使用するプロキシの種類を指定します。対応する値は、「SOCKS」と「HTTP」です。

 

注意:この設定を使用する各 Host セクションで、プロキシの使用が有効になります。プロキシサーバアドレスは、ユーザごとに Windows レジストリに保存されます。

PubkeyAuthentication

公開鍵認証を試行するかどうかを指定します。このオプションは、プロトコルバージョン 2 にのみ適用されます。 指定可能な値は「yes」および「no」です。既定値は「yes」です。

RemoteCommand

リモートサーバで実行する 1 つまたは複数のコマンドを指定します。UNIX サーバへの接続時には、セミコロン (;) を使用して複数のコマンドを区切ります。Windows サーバへの接続時には、アンパサンド記号 (&) を使用してコマンドを区切ります。接続の確立後、サーバは指定したコマンドを実行 (または実行を試行) し、セッションが終了します。サーバは、クライアントから受信したコマンドの実行を許可するよう構成されている必要があります。

コマンドは、使用するサーバに合った構文を使用して指定する必要があります。例えば、以下が同じになります。

UNIX の場合:ls ; ls -l

Windows の場合:dir/w & dir

RemoteForward

安全なチャネルを介して、ローカルマシンの指定したホストとポートに転送するリモートマシンの TCP/IP ポートを指定します。最初の引数はポート番号で、2 番目の引数は host:port にする必要があります。IPv6 アドレスは、別の構文host/port を使用して指定できます。複数転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。

RSAAuthentication

RSA 認証を試行するかどうかを指定します。このオプションは、プロトコルバージョン 1 にのみ適用されます。RSA 認証は、識別情報ファイルが存在する場合のみ試行されます。 指定可能な値は「yes」および「no」です。既定値は「yes」です。

SendEnv

シェルまたはコマンドの実行前に、サーバに設定する環境変数を指定します。値の形式はVAR val にする必要があります。サーバは指定した変数に対応し、これらの環境変数を受け付けるように構成する必要があります。

ServerAlive

ServerAliveInterval で指定した間隔で、SSH サーバにサーバアライブメッセージを送信するかどうかを指定します。Secure Shell の ServerAlive 設定では、SSH プロトコルメッセージを指定した間隔でサーバに送信し、サーバが機能していることを確認します。この設定が有効になっていないと、サーバが停止するかネットワーク接続が失われた場合に SSH 接続が終了されません。この設定は、TCP セッションのみを転送する接続がサーバによって時間切れになるのを防ぐためにも使用できます。サーバは、SSH トラフィックが存在しないことの検出を理由にこれらの接続を時間切れにする場合があるからです。 指定可能な値は「yes」および「no」です。既定値は「no」です。

 

注意:Secure Shell の ServerAlive 設定は、すべての TCP/IP 接続がファイアウォールによって時間切れになるのを防ぐために Windows レジストリに設定可能な TCP キープアライブ設定 (KeepAlive) とは関係ありません。TCP/IP キープアライブの動作を変更するには、Windows レジストリを編集する必要があります。

ServerAliveInterval

ServerAlive = 'yes' の場合に使用する間隔 (秒単位) を指定します。1 以上の整数値を使用します。既定値は「30」です。

SftpBufferLen

SFTP 転送時に、各パケットで要求されるバイト数を指定します。既定値は「32768」です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。

SftpMaxRequests

クライアントが SFTP 転送時に許可する、未処理データ要求の最大数を指定します。既定値は「10」です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。

SftpVersion

クライアントが SFTP 接続に使用するバージョンを指定します。有効な値は 3 と 4 です。この設定が 4 (既定値) の場合、接続では (サーバが対応していれば) SFTP バージョン 4 が使用されます。また、サーバがバージョン 4 に対応していない場合はバージョン 3 が使用されます。この設定が 3 の場合、クライアントは常に SFTP バージョン 3 を使用します。注意:SFTP 4 が必要な場合は、Attachmate 技術サポートに問い合わせて、ご使用の Reflection クライアントのバージョンでこの設定が使用できることを確認してください。

StrictHostKeyChecking

引数は「yes」、「no」または「ask」にする必要があります。既定値は「ask」です。このオプションを「yes」に設定した場合、Reflection Secure Shell クライアントはホスト鍵を known_hosts ファイル (ユーザの .ssh フォルダにある) に自動的に追加せず、ホスト鍵が変更されたホストへの接続を拒否します。このオプションを使用する場合、ユーザは新しいホストを手動で追加する必要があります。このフラグを「no」に設定した場合、Reflection は確認ダイアログボックスを表示せずにホストに接続し、ホスト鍵を信頼する鍵の一覧に追加しません。このフラグを「ask」に設定した場合、ユーザが該当する鍵であることを確認してから、新しいホスト鍵がユーザ既知のホストファイルに追加されます。すべての場合、既知のホストのホスト鍵は自動的に検証されます。

 

注意:この設定は、ホストが x509 証明書を使用する認証を構成されている場合は影響しません。ホストがホスト認証のために証明書を提示し、トラストアンカとして構成された必要な CA 証明書がない場合、接続に失敗します。

TryEmptyPassword

このフラグを「yes」に設定した場合、クライアントは空のパスワードの入力を試行してパスワード認証を開始します。これは、ほとんどのシステムでログイン試行と見なされます。

User

ログインするユーザを指定します。これは、異なるマシンで異なるユーザ名を使用する場合に便利です。

UseOCSP

クライアントが OCSP (Online Certificate Status Protocol) を使用してホスト証明書を検証するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「no」です。

UserKeyCertLast

Reflection クライアントが公開鍵認証中に証明書の署名を処理する方法を指定します。この設定が「yes」(既定) の場合、クライアントは最初に標準の ssh 鍵署名 (ssh-rsa または ssh-dss) を使用して証明書を送信します。それに失敗すると、クライアントは再び証明書署名 (x509-sign-rsa または x509-sign-dss) の使用を試みます。場合によっては、この 2 番目の試みが行われず、認証が失敗します。この設定が「no」の場合、クライアントは最初に証明書署名を試み、次に ssh 鍵署名を試みます。

UserKnownHostsFile

known_hosts ファイル (ユーザの .ssh フォルダにある) の代わりに使用する、ユーザホスト鍵データベース用のファイルを指定します。 ファイルまたはパスが空白を含む場合、引用符を使用します。

x509dsasigtype

DSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。指定可能な値は「sha1raw」(既定値) と「sha1asn1」です。

x509rsasigtype

RSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。指定可能な値は「md5」、「sha1」(既定値)、および「sha256md5」です。

X11Display

X11 転送が有効な場合、X11 プロトコルが通信する PC のローカルループバックインタフェース上のポートを転送するかどうかを決定します。

 

注意:Reflection X (バージョン 12.x、13.x、または 14.x) を使用している場合は、このキーワードを構成する必要はありません。Reflection X サーバと Reflection Secure Shell クライアントは自動的に同期して、X サーバ表示設定 ([設定] - [表示] - X 表示番号) に基づく適切なポートを使用します。この場合、X11Display キーワードは無視されます。別の PC X サーバを使用する場合は、このキーワードを使用して、PC X サーバに定義されている適切なリスニングポートを指定します。

既定値は、[0] です。これにより、ポート 6000 への転送が構成されます。このポートは、X11 プロトコル規約で定義された既定のリスニングポートです。指定する表示値は実際のリスニングポートを決定するために、6000 に追加されます。例えば、X11Display を 20 に設定した場合、Secure Shell クライアントにとって、PC-X サーバがポート 6020 で待ち受けしていることを意味します。

関連項目

構成ファイルのキーワード参照 - 端末エミュレーション設定