Afficher Sommaire / Index / Recherche

Guide de référence des mots clés des fichiers de configuration - Paramètres Secure Shell

Utilisez ce guide si vous modifiez manuellement votre fichier de configuration Secure Shell. Le fichier de configuration s'articule en sections, chacune identifiée par le mot clé Host. Chaque section recense les paramètres Secure Shell à utiliser pour toutes les connexions établies vers l'hôte spécifié ou schéma de configuration SSH.

Le fichier de configuration se compose de mots clés suivis de valeurs. Les options de configuration peuvent être séparées par des espaces, des espaces facultatifs ou des signes égal (=). Les mots clés ne font pas la distinction entre majuscules et minuscules, contrairement aux arguments.

Les lignes commençant par un signe dièse (#) sont des commentaires. Les lignes vides sont ignorées.

Remarque : Les éléments de cette liste affectent la configuration des connexions Secure Shell. Il existe des mots clés supplémentaires permettant de configurer l'émulation de terminal des sessions de ligne de commande ssh. Pour plus d'informations sur ces mots clés, reportez-vous au Guide de référence des mots clés des fichiers de configuration - Paramètres de l'émulation de terminal.

AddAuthKeyToAgent

Ce paramètre affecte la manière dont le client gère l'authentification par clé publique lorsque ForwardAgent est défini sur « yes ». Lorsque l'authentification par clé publique auprès du serveur est réussie, et si ForwardAgent et AddAuthKeyToAgent sont tous deux définis sur « yes », la clé ou le certificat utilisé pour l'authentification est automatiquement ajouté à l'agent de gestion des clés de Reflection. Cette clé n'est pas enregistrée dans l'Agent de gestion des clés, mais reste disponible tant que l'Agent de gestion des clés est en cours d'exécution. Lorsque AddAuthKeyToAgent est défini sur « no » (par défaut), les clés et les certificats ne sont pas automatiquement ajoutés à l'Agent de gestion des clés. Il utilise uniquement les clés qui ont déjà été importées manuellement.

AuthUseAllKeys

Ce paramètre affecte la manière dont le client gère l'authentification par clé publique. Lorsque ce paramètre est défini sur « no » (par défaut), le client tente de s'authentifier uniquement à l'aide de la clé ou des clés que vous avez spécifiées en utilisant le mot clé IdentityFile. Lorsque ce paramètre est défini sur « yes », le client tente de s'authentifier à l'aide de toutes les clés publiques disponibles.

BatchMode

Indique s'il faut désactiver toutes les invites utilisateur, y compris la demande de mot de passe et de phrase de chiffrement. La désactivation est utile pour l'exécution de scripts et les tâches séquentielles. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

 

Remarque : Ce mot clé ne désactive pas les invites utilisateur si le mode d'authentification est clavier interactif, mais les connexions utilisant ce mode échouent si BatchMode est activé.

BindAddress

Indique l'interface de transmission sur les ordinateurs à interfaces multiples ou avec plusieurs alias.

ChallengeResponseAuthentication

Indique si l'authentification par essai/réponse doit être utilisée. L'argument est « yes » ou « no ». Cette méthode est recommandée si vous utilisez une authentification externe (telle que SecurID ou PAM) impliquant une invite du serveur et une réponse de l'utilisateur. La valeur par défaut est « yes ». Ne s'applique qu'à la version 1 de SSH, version prise en charge mais non recommandée. Utilisez KbdInteractiveAuthentication pour la version 2 de SSH.

CheckHostIP

Si ce paramètre a la valeur « yes », le client Reflection Secure Shell vérifie l'adresse IP de l'hôte dans le fichier known_hosts en plus de la clé publique hôte. La connexion est autorisée uniquement si l'adresse IP hôte répertoriée dans la liste des hôtes connus correspond à l'adresse IP que vous utilisez pour la connexion. La valeur par défaut est « no ». Remarque : Ce paramètre n'a aucun effet si StrictHostKeyChecking = no.

CheckHostPort

Si ce paramètre a la valeur « yes », le client Reflection Secure Shell vérifie le port de l'hôte dans le fichier known_hosts en plus de la clé publique hôte. La connexion est autorisée uniquement si le port de l'hôte répertorié dans la liste des hôtes connus correspond au port que vous utilisez pour la connexion. La valeur par défaut est « no ». Remarque : Ce paramètre n'a aucun effet si StrictHostKeyChecking = no.

Cipher

Spécifie le code à utiliser pour chiffrer la session dans la version 1 du protocole. Actuellement, « blowfish », « 3des » et « des » sont pris en charge. « des » n'est reconnu par le client Secure Shell que pour des raisons d'interopérabilité avec les implémentations héritées qui ne prennent pas en charge « 3des ». Son utilisation est fortement déconseillée en raison de sa faiblesse de chiffrement. La valeur par défaut est « 3des ».

Ciphers

Indique les codes de chiffrement autorisés pour la version 2 du protocole, par ordre de préférence. Les différents codes sont séparés par des virgules. La valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour ». Si la connexion est configurée pour s'exécuter en mode FIPS, la valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc ».

ClearAllForwardings

Efface tout port transféré en local, à distance ou dynamiquement ayant déjà été traité par un fichier de configuration ou une ligne de commande. Remarque : scp and sftp désactivent automatiquement tous les ports redirigés quelle que soit la valeur de ce paramètre. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

Compression des données

Indique si la compression doit être activée. La compression est souhaitable pour les lignes modem et toute autre connexion lente, mais elles ralentissent le flux de réponse sur les réseaux rapides. Elle rend également les paquets un peu plus aléatoires, ce qui complique la tâche de toute personne mal intentionnée qui tenterait de les déchiffrer. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

CompressionLevel

Indique le niveau de compression à utiliser si la compression est activée. Cette option ne s'applique qu'à la version 1 du protocole. L'argument doit être un entier compris entre 1 (rapide) et 9 (lent mais plus efficace). La valeur par défaut est 6, ce qui représente un niveau approprié pour la plupart des applications. L'échelle utilisée est la même que pour gzip.

ConnectionAttempts

Indique le nombre de tentatives (une par seconde) autorisées avant de quitter. L'argument doit être un entier. Cet argument est utile pour les scripts en cas d'interruption occasionnelle de la connexion. La valeur par défaut est 1.

ConnectionReuse

Indique si les sessions multiples vers le même hôte réutilisent la connexion Secure Shell d'origine, et par conséquent ne nécessitent pas une nouvelle authentification. L'argument est « yes » ou « no ». Si le paramètre a pour valeur « yes », les nouvelles connexions réutilisent le tunnel existant si le nom d'hôte, le nom d'utilisateur et le schéma de configuration SSH (le cas échéant) concordent. Si le paramètre a pour valeur « no », Reflection établit une nouvelle connexion pour chaque session, ce qui signifie le renouvellement de l'authentification pour chaque connexion et l'application de toute modification apportée aux paramètres spécifiques de la connexion (comme le transfert de port ou le code de chiffrement). La valeur par défaut est « yes » pour les connexions établies par la fenêtre Reflection. La valeur est « no » pour les connexions établies par les utilitaires de ligne de commande de Reflection. Pour plus d'informations, reportez-vous à la section Réutilisation de connexion dans les sessions Secure Shell.

ConnectTimeout

Indique le temps d'attente maximal (en secondes) au bout duquel le client tente d'effectuer la connexion au serveur. L'horloge démarre lorsque la connexion est établie (avant la connexion) et s'exécute lors de la négociation des paramètres, de l'échange de clés d'hôte et de l'authentification. Pour des raisons pratiques, la période de temporisation correspond en fait aux opérations d'authentification. La valeur par défaut est 120.

DisableCRL

Indique si la vérification CRL (Certificate Revocation List) doit avoir lieu lors de la validation des certificats de l'hôte. Lui attribuer la valeur « yes » désactive la vérification CRL. La valeur par défaut de ce paramètre dépend de votre paramètre système actuel pour la vérification CRL. Pour afficher et modifier le paramètre système, lancez Internet Explorer et sélectionnez Outils > Options Internet > Avancé. Sous Sécurité, recherchez Vérifier la révocation du certificat serveur.

DynamicForward

Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé et que le protocole de l'application doit alors être utilisé pour déterminer à quelle destination se connecter à partir de l'ordinateur distant. L'argument doit être un numéro de port. Actuellement, le protocole SOCKS4 étant pris en charge, Reflection Secure Shell agit comme un serveur SOCKS4. Les transferts multiples peuvent être spécifiés et des transferts supplémentaires peuvent être indiqués sur la ligne de commande. Seul un utilisateur ayant des privilèges administratifs peut configurer le transfert de ports avec privilèges.

EscapeChar

Définit le caractère d'échappement (par défaut : ~). Peut également être défini sur la ligne de commande. L'argument doit être un caractère unique : le symbole « ^ » suivi d'une lettre ou de la valeur « none » pour désactiver tout caractère d'échappement (ce qui rend la connexion transparente pour les données binaires).

FipsMode

Lorsque ce paramètre a pour valeur « yes », les connexions doivent être établies à l'aide de protocoles et d'algorithmes de sécurité conformes à la norme FIPS (Federal Information Processing Standard) 140-2 de l'administration des États-Unis. Les options qui ne la respectent pas ne sont pas disponibles dans l'onglet Chiffrement.

 

Remarque : Ce paramètre affecte le schéma de configuration SSH spécifié par le mot clé Host et n'a aucun effet sur les sessions Secure Shell suivantes, à moins qu'elles ne soient configurées pour utiliser le même schéma (ou nom d'hôte).

ForwardAgent

Attribuer la valeur « yes » à ce paramètre active le transfert de la connexion de l'Agent de gestion des clés de Reflection. Le transfert d'agent(s) doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichier sur l'hôte distant (pour atteindre le socket de domaine Unix de l'agent) peuvent accéder à l'agent local par l'intermédiaire de la connexion transférée. Des attaquants ne peuvent pas obtenir d'informations sur la clé auprès de l'agent, mais ils peuvent cependant exécuter certaines opérations sur les clés qui leur permettront de s'authentifier grâce aux identités chargées dans l'agent. Le transfert d'agent(s) doit également être activé sur le serveur. La valeur par défaut est « no ».

ForwardX11

Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. L'argument est « yes » ou « no ». La valeur par défaut est « no ». (Remarque : Si vous configurez Secure Shell via Reflection X, reportez-vous à ForwardX11ReflectionX.)

ForwardX11ReflectionX

Ce paramètre n'est utilisé que si vous configurez des connexions Secure Shell pour Reflection X (à partir de 14.1). Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. Cet argument doit être défini sur « yes » ou « no ». La valeur par défaut est « yes ».

GatewayPorts

Indique si les hôtes distants sont autorisés à se connecter à des ports transférés en local. Par défaut, Reflection Secure Shell lie les transferts de ports locaux aux adresses de bouclage. Ceci empêche les autres hôtes distants de se connecter aux ports transférés. GatewayPorts indique à Reflection Secure Shell de lier les transferts de ports locaux à l'adresse générique, ce qui permet aux hôtes distants de se connecter aux ports transférés. Faites attention lorsque vous décidez d'activer ce paramètre. Son utilisation peut réduire la sécurité de votre réseau et de votre connexion parce qu'il peut autoriser les hôtes distants à utiliser sans authentification le port transféré sur le système. L'argument est « yes » ou « no ». La valeur par défaut est « no ».

GlobalKnownHostsFile

Indique le fichier à utiliser comme base de données des clés hôte globales à la place du fichier ssh_known_hosts par défaut situé dans le dossier des données d'application de Reflection.

 

Remarque : Entrez le nom de fichier entre guillemets si le nom ou le chemin d'accès du fichier comprend des espaces.

GssapiAuthentication

Indique si l'interface GSSAPI doit être utilisée pour l'authentification auprès d'un centre de distribution de clés Kerberos. Ce paramètre n'est applicable qu'avec la version 2 du protocole. (Le paramètre équivalent pour la version 1 est KerberosAuthentication.) Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

GssapiDelegateCredentials

Spécifie si l'interface GSSAPI doit transférer votre ticket initial Kerberos (krbtgt) à l'hôte. Ce paramètre n'est applicable qu'avec la version 2 du protocole. (Le paramètre équivalent pour la version 1 est KerberosTgtPassing.) Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

GssapiUseSSPI

Indique si l'interface SSPI (Security Support Provider Interface) de Microsoft doit être utilisée pour l'authentification GSSAPI. Ce paramètre n'est appliquable que si l'authentification Kerberos/GSSAPI est activée (à l'aide du paramètre GssapiAuthentication pour la version 2 du protocole et KerberosAuthentication pour la version 1). L'argument de ce mot clé est « yes » ou « no ». Lorsqu'il a « no » pour valeur, le client Reflection Secure Shell utilise le client Reflection Kerberos pour l'authentification GSSAPI. Lorsqu'il a « yes » pour valeur, le client Reflection Secure Shell utilise vos informations d'identification de connexion au domaine Windows (SSPI) pour s'authentifier auprès du serveur Secure Shell. SSPI n'est pris en charge que par la version 2 du protocole et le serveur doit accepter la méthode d'authentification GSSAPI-with-mic. La valeur par défaut est « yes ».

GssServicePrincipal

Indique un nom personnalisé de principal de service à utiliser lorsque le client envoie une demande de ticket de service au Centre de distribution de clés Kerberos (KDC, Key Distribution Center). Si vous avez sélectionné SSPI comme fournisseur GSSAPI, vous pouvez utiliser ce paramètre pour spécifier un principal de service dans une zone autre que le domaine Windows. Utilisez un nom d'hôte complet suivi du symbole @ et du nom de la zone, par exemple hote.zone.com@ZONE.COM. (Par défaut, le nom d'hôte est le nom du serveur Secure Shell auquel vous vous connectez et la zone dépend de la valeur du paramètre GssapiUseSSPI. Si GssapiUseSSPI a la valeur « no », le nom de la zone est spécifié dans votre profil de principal par défaut. Si GssapiUseSSPI a la valeur « yes », la zone correspond à votre nom de domaine Windows.)

Host

Identifie les déclarations qui suivent (jusqu'au prochain mot clé Host) comme faisant partie du schéma de configuration SSH spécifié. Les caractères génériques « * » et « ? » peuvent être utilisés. Juste un astérique (« * ») permet de fournir des paramètres par défaut globaux à tous les hôtes. Une connexion Reflection utilise la première occurrence de toute chaîne Host concordante (caractères génériques inclus). Toutes les concordances suivantes sont ignorées.

 

Remarque : Lorsque vous fermez la boîte de dialogue Paramètres de Reflection Secure Shell, les valeurs avec des paramètres par défaut ne sont pas enregistrées dans le fichier de configuration. Si une valeur par défaut a été ajoutée manuellement au fichier, elle est supprimée lorsque vous fermez la boîte de dialogue. Ceci impose des contraintes de design si vous utilisez des strophes de noms d'hôte contenant des caractères génériques en combinaison avec des strophes qui utilisent des noms d'hôte spécifiques. Si vous avez manuellement configuré une valeur par défaut dans une strophe spécifique destinée à remplacer une valeur configurée dans une strophe contenant des caractères génériques, le paramètre par défaut est supprimé lorsque vous ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell pour afficher les paramètres de la section de configuration SSH spécifique de l'hôte. Vous pouvez gérer cette situation en utilisant le fichier de configuration global qui n'est pas mis à jour lorsque les utilisateurs ouvrent et ferment la boîte de dialogue Paramètres de Reflection Secure Shell.

HostKeyAlgorithms

Indique, par ordre de préférence, les algorithmes de clé hôte que le client utilise (version 2 du protocole uniquement). La valeur par défaut est la suivante : « x509v3-sign-rsa,x509v3-sign-dss,ssh-rsa,ssh-dss ». Ce paramètre est utile lorsque le serveur est configuré pour l'authentification par certificat et par clé hôte standard. Le protocole SSH n'autorise qu'une seule tentative d'authentification de l'hôte. Si l'hôte présente un certificat et que le client n'est pas configuré pour l'authentification hôte par certificat, la connexion échoue. (Contrairement à l'authentification client où plusieurs tentatives sont autorisées.)

HostKeyAlias

Indique un alias à utiliser à la place du nom d'hôte réel pour rechercher ou enregistrer la clé hôte dans la base de données des clés hôte. Ce paramètre est utile pour les connexions ssh par tunnel ou pour les serveurs multiples exécutés sur un même hôte.

IdentityFile

Indique la clé privée à utiliser pour l'authentification par clé. Les fichiers se trouvent dans le dossier utilisateur .ssh.) Des éléments sont ajoutés à IdentityFile lorsque vous sélectionnez des clés ou certificats dans la liste de l'onglet Clés utilisateur de la boîte de dialogue Paramètres de Reflection Secure Shell. Il est possible de spécifier plusieurs fichier d'identité dans les fichiers de configuration. Les identités seront essayées les unes après les autres.

 

Remarque : Entrez le chemin d'accès complet entre guillemets s'il comporte des espaces.

KbdInteractiveAuthentication

Indique si l'authentification par clavier interactif doit être utilisée. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ». Cette méthode est recommandée si vous utilisez une authentification externe (telle que SecurID ou PAM) impliquant une invite du serveur et une réponse de l'utilisateur. Elle peut s'avérer plus efficace que la méthode PasswordAuthentication (authentification par mot de passe) sur les hôtes où l'expiration du mot de passe ou la modification du mot de passe à la première ouverture de session sont activées. Elle peut aussi être nécessaire pour l'authentification par mot de passe si les mots de passe expirés doivent être réinitialisés pour que l'authentification aboutisse. Ne s'applique qu'à la version 2 du protocole SSH. Utilisez ChallengeResponseAuthentication pour la version 1 de SSH.

KeepAlive

Indique si le système doit envoyer des paquets de supervision TCP à l'autre partie. Si oui, l'interruption de la connexion ou l'arrêt d'un des ordinateurs sont détectés. La valeur par défaut est « yes » (envoi de paquets de supervision) pour permettre au client de détecter toute interruption du réseau ou de l'hôte distant, ce qui est important pour les scripts et utile aux utilisateurs. Toutefois, cela signifie qu'il est mis fin aux connexions en cas d'interruption temporaire de l'itinéraire, ce qui peut agacer certains utilisateurs. Pour désactiver l'envoi de paquets de supervision, attribuez la valeur « no ». Ce mot clé active le paramètre d'envoi de paquets de supervision TCP de Windows qui prévoit par défaut l'envoi de paquets toutes les deux heures. Il est possible de configurer le paramètre TCP/IP à l'aide de deux options facultatives qui n'existent généralement pas dans le registre Windows : KeepAliveTime et KeepAliveInterval. Elles se trouvent dans le sous-arbre HKEY_LOCAL_MACHINE du registre, à l'emplacement suivant :

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Pour plus d'informations sur la configuration de ces paramètres, reportez-vous à l'article 120642 de la Base de connaissances de Microsoft.

KerberosAuthentication

Indique si l'authentification Kerberos doit être utilisée pour les connexions SSH version 1. (Le paramètre équivalent pour la version 2 est GssapiAuthentication.) L'argument de ce mot clé est « yes » ou « no ».

KerberosTgtPassing

Indique si le ticket initial Kerberos (TGT) est transféré au serveur. N'est possible que si le serveur Kerberos est un serveur AFS kaserver. Ne s'applique qu'à la version 1 du protocole. (Le paramètre équivalent pour la version 2 est GssapiDelegateCredentials.) L'argument de ce mot clé est « yes » ou « no ».

KexAlgorithms

Spécifie par ordre de préférence les algorithmes d'échange de clés pris en charge par le client. Les valeurs prises en charge sont « diffie-hellman-group1-sha1 », « diffie-hellman-group-exchange-sha1 » et « diffie-hellman-group14-sha1 ». La valeur par défaut est « diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 ». Dans certains cas, vous devrez peut-être modifier l'ordre des algorithmes d'échange de clés de manière à placer diffie-hellman-group14-sha1 devant les deux autres. Cette opération est nécessaire si vous souhaitez utiliser hmac-sha512 MAC ou si l'erreur suivante se produit lors de l'échange de clés : « fatal: dh_gen_key: group too small: 1024 (2*need 1024). »

 

Remarque : Si l'authentification GSSAPI à l'aide du client Reflection Kerberos est activée, les algorithmes d'échange de clé suivants sont aussi ajoutés automatiquement à la liste : gss-group1-sha1 et gss-gex-sha1.

LocalForward

Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur distant. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges. Vous pouvez aussi configurer des arguments facultatifs pour le transfert FTP, le bureau distant et le démarrage automatique d'un fichier exécutable (*.exe) après établissement de la connexion. La syntaxe de ce mot clé est la suivante :

LocalForward portlocal host:porthôte [FTP=0|1] [RDP=0|1] ["FichierExécutable" [args]]

Les options suivantes sont disponibles :

 

portlocal

Numéro de port local.

 

host:porthôte

Hôte distant et port sur cet hôte. (Vous pouvez spécifier localhost pour transférer des données vers un port différent sur le même hôte distant auquel vous avez déjà établi une connexion Secure Shell.) Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : hote/port.

 

FTP

Attribuez la valeur 1 si vous configurez le transfert de fichier FTP par tunnel.

 

RDP

Attribuez la valeur 1 si vous configurez une session de bureau distant par tunnel.

 

"FichierExécutable"

Indiquez un fichier exécutable (incluant le chemin d'accès complet, si nécessaire) pour que Reflection démarre une application immédiatement après établissement de la connexion Secure Shell. Pour transférer des données par le tunnel sécurisé, cette application doit être configurée pour se connecter à localhost (ou l'adresse IP de bouclage 127.0.0.1) par le port portlocal spécifié.

Logfile

Indique un fichier journal à utiliser pour le débogage. Toutes les entrées et sorties de session sont consignées dans ce fichier. Utilisez ce mot clé avec l'option de ligne de commande -o comme suit :

-o Logfile=\chemin\nom_fichierjournal

 

Remarque : Entrez le chemin et le nom de fichier entre guillemets s'ils comportent des espaces.

LogLevel

Indique le niveau de détail utilisé pour consigner les messages du client Reflection Secure Shell. Les valeurs disponibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 et DEBUG3. La valeur par défaut est INFO. DEBUG et DEBUG1 sont équivalentes. DEBUG2 et DEBUG3 spécifient les niveaux les plus détaillés.

Macs

Indique les algorithmes MAC (code d'authentification de message) à utiliser par ordre de préférence. Les algorithmes MAC sont pris en charge dans la version 2 du protocole pour assurer l'intégrité des données. Les différents algorithmes sont séparés par des virgules. Le dossier par défaut est le suivant : « hmac-sha1,hmac-sha256,hmac-sha512,hmac-md5,hmac-ripemd160,hmac-sha1-96,hmac-md5-96 ». Si la connexion est configurée pour être exécutée en mode FIPS, la valeur par défaut est « hmac-sha1,hmac-sha256,hmac-sha512 ».

MatchHostName

Indique si le nom d'hôte correspondant est requis lors de la validation des certificats de l'hôte. S'il a « yes » pour valeur (par défaut), le nom d'hôte que vous configurez dans Reflection doit correspondre exactement au nom d'hôte saisi dans le champ CommonName ou SubjectAltName du certificat.

Multihop

Configure des connexions à sauts multiples pour établir des connexions sécurisées passant par plusieurs serveurs Secure Shell. Ce paramètre est utile si votre configuration réseau ne permet pas un accès direct à un serveur distant, mais autorise l'accès via des serveurs intermédiaires.

La syntaxe de ce mot clé est la suivante :

Multihop portlocal host:porthôte ["Schéma de configuration SSH"]

Ajoutez une ligne Multihop pour chaque serveur de l'itinéraire. Chaque connexion de la liste est envoyée via le tunnel établi par la connexion située au-dessus.

Dans l'exemple suivant, les connexions SSH au serveur C passent par le serveur A, puis B et enfin C.

Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22

Vous pouvez éventuellement indiquer un schéma de configuration SSH pour configurer les paramètres Secure Shell pour n'importe quel hôte de la chaîne. Par exemple :

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"

NoShell

Lorsque NoShell a pour valeur « yes », le client crée un tunnel sans ouvrir de session terminal. Il peut être configuré conjointement avec ConnectionReuse pour créer un tunnel pouvant être utilisé par d'autres connexions ssh. Remarque : Ce paramètre affecte les connexions effectuées avec l'utilitaire de ligne de commande ; il n'est pas destiné à être utilisé avec l'interface utilisateur de Reflection for Secure IT.

NumberOfPasswordPrompts

Indique le nombre d'invites de mot de passe à afficher avant d'abandonner. L'argument de ce mot clé doit être un entier. La valeur par défaut est 3.

PasswordAuthentication

Indique si l'authentification par mot de passe doit être utilisée. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

Port

Spécifie le numéro de port auquel se connecter sur l'hôte distant. La valeur par défaut est 22.

PreferredAuthentications

Indique l'ordre dans lequel le client doit essayer les méthodes d'authentification du protocole version 2. Cela correspond à l'ordre (de haut en bas) dans lequel les méthodes sont affichées dans la liste Authentification utilisateur de l'onglet Configuration générale de la boîte de dialogue Paramètres de Reflection Secure Shell. Ce paramètre permet au client d'utiliser une méthode (comme le clavier interactif) de préférence à une autre (le mot de passe, par exemple). Par défaut, Reflection tente l'authentification dans l'ordre suivant : « publickey,keyboard-interactive,password ». Si l'authentification GSSAPI est activée, l'ordre par défaut devient le suivant : « gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password ».

 

Remarques :

  • Si vous ajoutez le mot clé PreferredAuthentications à votre fichier de configuration, la liste spécifiée doit inclure toutes les méthodes d'authentification que vous voulez essayer. Si PreferredAuthentications est présent sans préciser de méthode d'authentification particulière, Reflection n'utilisera pas cette méthode même si le mot clé l'activant est correctement configuré.
  • Inclure une méthode d'authentification dans la liste PreferredAuthentications n'active pas l'authentification à l'aide de cette méthode. Pour activer une méthode d'authentification autre que celle utilisée par défaut, le mot clé de cette méthode doit aussi être correctement configuré (par exemple, pour activer l'authentification GSSAPI, vous devez attribuer la valeur « yes » à GssapiAuthentication.)

PreserveTimestamps

Indique si des attributs de fichier et des horodatages sont modifiés lors du transfert des fichiers vers et depuis le serveur. Si ce mot clé prend la valeur « no » (option par défaut), les horodatages et les attributs sont modifiés. S'il prend la valeur « yes », les fichiers conservent leurs horodatages et attributs initiaux.

Protocole

Indique, par ordre de préférence, les versions du protocole que le client Reflection Secure Shell doit prendre en charge. Les valeurs possibles sont « 1 » et « 2 ». Les différentes versions doivent être séparées par des virgules. La valeur par défaut est « 2,1 », ce qui signifie que Reflection essaie la version 2 et, en cas d'échec, utilise la version 1.

Proxy

Indique un type de proxy à utiliser pour les connexions Secure Shell. Les valeurs prises en charge sont « SOCKS » et « HTTP ».

 

Remarque : L'utilisation d'un proxy est activée pour chaque section Host du fichier de configuration utilisant ce paramètre. L'adresse du serveur proxy est enregistrée dans la base de registres Windows pour chaque utilisateur.

PubkeyAuthentication

Indique si l'authentification par clé publique doit être utilisée. Cette option ne s'applique qu'à la version 2 du protocole. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

RemoteCommand

Spécifie une ou plusieurs commandes à exécuter sur le serveur distant. Utilisez un point-virgule (;) pour séparer plusieurs commandes lors de la connexion à un serveur UNIX. Utilisez une esperluette (&) pour séparer plusieurs commandes lors de la connexion à un serveur Windows. Après établissement d'une connexion, le serveur exécute (ou tente d'exécuter) la ou les commandes spécifiées, puis la session prend fin. La configuration du serveur doit autoriser l'exécution des commandes reçues du client.

Vous devez spécifier les commandes au format correspondant au serveur. Les deux lignes ci-après, par exemple, sont équivalentes :

Sous UNIX : ls ; ls -l

Sous Windows : dir/w & dir

RemoteForward

Indique qu'un port TCP/IP de l'ordinateur distant doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur local. Le premier argument doit être un numéro de port, le second doit être host:port. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : hôte/port. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges.

RSAAuthentication

Indique si l'authentification RSA doit être utilisée. Cette option ne s'applique qu'à la version 1 du protocole. L'authentification RSA n'est tentée que s'il existe un fichier d'identité. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

SendEnv

Indique la variable d'environnement à définir sur le serveur avant d'exécuter un shell ou une commande. Le format de cette valeur est le suivant : VAR val. Le serveur doit prendre en charge la variable spécifiée et doit être configuré pour accepter ces variables d'environnement.

ServerAlive

Indique si des paquets de supervision serveur doivent être envoyés au serveur SSH à la fréquence indiquée par le mot clé ServerAliveInterval. Le paramètre ServerAlive Secure Shell envoie au serveur un message de protocole SSH à l'intervalle précisé pour s'assurer que le serveur est opérationnel. Si ce paramètre n'est pas activé, la connexion SSH ne se termine pas si le serveur est en panne ou si la connexion réseau est perdue. Ce paramètre peut également servir à empêcher des connexions qui transfèrent uniquement des sessions TCP d'expirer à cause du serveur. En effet, ce dernier peut y mettre fin du fait qu'il ne détecte aucun trafic SSH. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

 

Remarque : Le paramètre ServerAlive Secure Shell n'est pas lié au paramètre TCP keep alive (envoi de paquets de supervision TCP) qui peut être défini dans le registre Windows pour éviter que le délai de toutes les connexions TCP/IP expire face à un pare-feu. Pour modifier le comportement de l'envoi de paquets de supervision TCP/IP, vous devez modifier le registre Windows.

ServerAliveInterval

Indique l'intervalle (en secondes) à utiliser quand ServerAlive = yes. Utilisez un entier égal ou supérieur à 1. La valeur par défaut est 30.

SftpBufferLen

Indique le nombre d'octets requis dans chaque paquet pendant les transferts SFTP. La valeur par défaut est 32768. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.

SftpMaxRequests

Indique le nombre maximal de requêtes de données en attente acceptées par le client pendant les transferts SFTP. La valeur par défaut est 10. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.

SftpVersion

Spécifie la version utilisée par le client pour les connexions SFTP. Les valeurs valides sont 3 et 4. Lorsque ce paramètre est défini sur 4 (par défaut), la connexion utilise la version 4 de SFTP si le serveur la prend en charge, sinon, il utilise la version 3. Si ce paramètre est défini sur 3, le client utilise toujours la version 3 de SFTP. Remarque : Si vous devez utiliser SFTP 4, consultez le support technique d'Attachmate pour vérifier si ce paramètre est disponible avec votre version du client Reflection.

StrictHostKeyChecking

L'argument est « yes », « no » ou « ask ». La valeur par défaut est « ask ». Si cette option a pour valeur « yes », le client Reflection Secure Shell n'ajoute jamais automatiquement de clés hôte au fichier known_hosts (situé dans le dossier utilisateur .ssh) et refuse de se connecter aux hôtes dont la clé a changé. Cette option oblige l'utilisateur à ajouter manuellement tous les nouveaux hôtes. Si elle a « no » pour valeur, Reflection se connecte à l'hôte sans afficher de boîte de dialogue de confirmation, mais n'ajoute pas la clé hôte à la liste des clés approuvées. Si elle a la valeur « ask », les clés des nouveaux hôtes ne sont ajoutées au fichier de clés approuvées que si l'utilisateur confirme cet ajout. Dans tous les cas, les clés des hôtes connus sont vérifiées automatiquement.

 

Remarque : Ce paramètre n'a aucun effet si l'hôte a été configuré pour l'authentification par certificats x509. Si un hôte présente un certificat pour s'authentifier et que le certificat de l'autorité de certification requis n'est pas configuré comme un certificat approuvé, la connexion échoue.

TryEmptyPassword

Si ce paramètre a « yes » pour valeur, le client commence l'authentification par un mot de passe vide. Notez que cet essai est considéré comme une première tentative sur la plupart des systèmes.

User

Indique sous quel utilisateur ouvrir la session. Ce paramètre est utile lorsqu'un nom d'utilisateur différent est utilisé sur plusieurs ordinateurs.

UseOCSP

Indique si le client doit utiliser le protocole OCSP (Online Certificate Status Protocol) lors de la validation des certificats hôte. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

UserKeyCertLast

Indique la méthode utilisée par le client Reflection pour le traitement de la signature des certificats lors de l'authentification des clés publiques. Lorsque la valeur de ce paramètre est « yes » (valeur par défaut), le client envoie d'abord le certificat à l'aide d'une signature de clé SSH standard (ssh-rsa ou ssh-dss). Si l'opération échoue, le client réessaie à l'aide d'une signature de certificat (x509-sign-rsa ou x509-sign-dss). Parfois, cette deuxième tentative n'a pas lieu et l'authentification échoue. Lorsque la valeur de ce paramètre est « no », le client fait une première tentative à l'aide de la signature de certificat, puis une deuxième à l'aide de la signature de clé SSH.

UserKnownHostsFile

Indique le fichier à utiliser comme base de données des clés hôte utilisateur à la place du fichier known_hosts (situé dans le dossier utilisateur .ssh). Utilisez des guillemets si le fichier ou le chemin contient des espaces.

x509dsasigtype

Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées DSA. Les valeurs possibles sont « sha1raw » (par défaut) et « sha1asn1 ».

x509rsasigtype

Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées RSA. Les valeurs possibles sont « md5 » et « sha1 » (par défaut).

X11Display

Détermine le port de l'interface de bouclage locale du PC vers lequel les communications de protocole X11 sont transférées lorsque le transfert X11 est activé.

 

Remarque : Si vous utilisez Reflection X (version 12.x, 13.x ou 14.x), vous n'avez pas besoin de configurer ce mot clé. Le serveur Reflection X et le client Reflection Secure Shell sont synchronisés automatiquement de manière à utiliser le port approprié en fonction de votre paramètre d'affichage de serveur X (Paramètres > Affichage > Numéro du serveur X) ; dans ce cas, le mot clé X11Display est ignoré. Si vous utilisez un autre serveur X pour PC, servez-vous de ce mot clé pour indiquer le port d'écoute approprié comme défini pour ce serveur.

La valeur par défaut est 0. Elle permet de configurer le transfert sur le port 6000, port d'écoute par défaut défini par la convention de protocole X11. La valeur d'affichage que vous spécifiez est ajoutée à 6000 pour déterminer le port d'écoute réel. Par exemple, le fait de définir X11Display sur 20 indique au client Secure Shell que le serveur X pour PC écoute sur le port 6020.

Autres rubriques

Guide de référence des mots clés des fichiers de configuration - Paramètres de l'émulation de terminal