Schlüsselwortreferenz für Konfigurationsdateien: Secure Shell-Einstellungen

Verwenden Sie diese Referenz, wenn Sie die Secure Shell-Konfigurationsdatei manuell bearbeiten möchten. Die Konfigurationsdatei ist in Abschnitte unterteilt, die jeweils durch ein Host-Schlüsselwort gekennzeichnet sind. In jedem Abschnitt sind Secure Shell-Einstellungen für alle Verbindungen festgelegt, die mit dem jeweiligen Host unter Angabe dieses Abschnitts in der SSH-Konfigurationsdatei hergestellt werden.

Die Konfigurationsdatei besteht aus Kennwörtern mit zugeordneten Werten. Konfigurationsoptionen können durch Leerzeichen oder durch optionale Leerzeichen und genau ein Gleichheitszeichen (=) getrennt sein. Bei Argumenten muss die Groß- und Kleinschreibung beachtet werden, bei Schlüsselwörtern nicht.

Jede Zeile, die mit einem Nummernzeichen (#) beginnt, ist ein Kommentar. Leerzeilen werden ignoriert.

Hinweis: Mit den Optionen in dieser Liste werden Funktionen konfiguriert, die Auswirkungen auf die Secure Shell-Verbindung haben. Weitere Schlüsselwörter sind für das Konfigurieren der Terminalemulation für Sitzungen über die ssh-Befehlszeile verfügbar. Referenzinformationen zu diesen Schlüsselwörtern finden Sie unter Schlüsselwortreferenz für Konfigurationsdateien: Terminalemulationseinstellungen

AddAuthKeyToAgent

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet, wenn ForwardAgent auf "yes" gesetzt ist. Wenn die Authentifizierung öffentlicher Schlüssel beim Server erfolgreich ist und sowohl ForwardAgent als auch AddAuthKeyToAgent auf "yes" gesetzt sind, wird der Schlüssel oder das Zertifikat, der bzw. das für die Authentifizierung verwendet wurde, automatisch dem Reflection-Schlüsselagenten hinzugefügt. Dieser Schlüssel wird im Schlüsselagenten nicht gespeichert, bleibt jedoch verfügbar, während der Schlüsselagent ausgeführt wird. Wenn "ddAuthKeyToAgent" auf "no" gesetzt ist (Standardwert), werden Schlüssel und Zertifikate nicht automatisch dem Schlüsselagenten hinzugefügt. Es werden dann nur die Schlüssel verwendet, die bereits manuell importiert wurden.

AuthUseAllKeys

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet. Wenn die Einstellung auf "no" gesetzt ist (Standardwert), führt der Client die Authentifizierung nur mit dem Schlüssel (oder den Schlüsseln) durch, die Sie unter Verwendung des Schlüsselworts IdentityFile angegeben haben. Wenn die Einstellung auf "yes" gesetzt ist, führt der Client die Authentifizierung unter Verwendung aller verfügbaren öffentlichen Schlüssel durch.

BatchMode

Legt fest, ob alle Anfragen zu Benutzereingaben, z. B. Eingabeaufforderungen zu Kennwort und Passphrase, deaktiviert werden. Dies ist hilfreich bei Skripts und Sammelaufträgen. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

 

Hinweis: Das Schlüsselwort deaktiviert Eingabeaufforderungen nicht, wenn die interaktive Authentifizierung über die Tastatur konfiguriert wurde. Verbindungen, die die interaktive Tastatur zur Benutzerauthentifizierung verwenden, schlagen jedoch fehl, wenn BatchMode aktiviert ist.

BindAddress

Legt bei Computern mit mehreren Schnittstellen oder Aliasadressen die Übermittlungsschnittstelle fest.

ChallengeResponseAuthentication

Gibt an, ob die Authentifizierung mit Beschränkung/Antwort verwendet wird. Das Argument muss "yes" oder "no" lauten. Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Die Standardeinstellung ist "yes". Dies gilt nur für SSH-Protokoll 1. Diese Version wird zwar unterstützt, ihre Verwendung wird aber nicht empfohlen. Verwenden Sie KbdInteractiveAuthentication für SSH-Protokollversion 2.

CheckHostIP

Wenn "yes" festgelegt ist, prüft der Reflection Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel die Host-IP-Adresse in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn Host-IP in der Liste der bekannten Hosts mit der IP-Adresse übereinstimmt, die Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

CheckHostPort

Wenn "yes" festgelegt ist, prüft der Reflection Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel den Hostanschluss in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn der Hostanschluss in der Liste der bekannten Hosts mit dem Anschluss übereinstimmt, den Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

Cipher

Legt die Verschlüsselungsart für die Verbindung in der Protokollversion 1 fest. Derzeit werden "blowfish", "3des" und "des" unterstützt. "des" wird jedoch vom Secure Shell-Client nur zum Zwecke der Kompatibilität mit früheren Implementierungen von Protokoll 1 unterstützt, bei denen keine 3des-Verschlüsselung möglich ist. Von dieser Verschlüsselung sollte aufgrund kryptografischer Schwachstellen abgesehen werden. Die Standardeinstellung ist "3des".

Ciphers

Legt die für die Protokollversion 2 zulässigen Verschlüsselungsverfahren in der bevorzugten Reihenfolge fest. Mehrere Verschlüsselungen werden durch Kommata voneinander abgegrenzt. Die Standardeinstellung lautet "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

ClearAllForwardings

Löscht alle lokalen, entfernten oder dynamisch weitergeleiteten Anschlüsse, die bereits durch eine Konfigurationsdatei oder die Befehlszeile bearbeitet wurden. Hinweis: scp und sftp löschen automatisch alle weitergeleiteten Anschlüsse unabhängig davon, welcher Wert eingestellt ist. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Compression

Bestimmt, ob die Komprimierung aktiviert ist. Die Komprimierung ist bei Modemverbindungen und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeiten. Außerdem ist das Paket durch die Komprimierung für potenzielle Angreifer noch schwerer zu entschlüsseln. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

CompressionLevel

Legt den Komprimierungsgrad fest, wenn die Komprimierung aktiviert ist. Diese Option gilt nur für die Protokollversion 1. Das Argument muss eine ganze Zahl zwischen 1 (schnell) und 9 (langsam, empfohlen) sein. Die Standardeinstellung ist "6". Diese Komprimierung funktioniert bei den meisten Anwendungen gut. Die Werte haben die gleiche Bedeutung wie bei "gzip".

ConnectionAttempts

Gibt an, wie viele Versuche (einer pro Sekunde) unternommen werden, bevor ein Abbruch erfolgt. Das Argument muss eine ganze Zahl sein. Dieses Schlüsselwort kann bei Skripts nützlich sein, wenn die Verbindung manchmal fehlschlägt. Die Standardeinstellung ist "1".

ConnectionReuse

Legt fest, ob mehrere Sitzungen auf demselben Host die ursprüngliche Secure Shell-Verbindung erneut verwenden und daher keine erneute Authentifizierung erfordern. Das Argument muss "yes" oder "no" lauten. Bei "yes" wird der bestehende Tunnel auch dann für neue Verbindungen verwendet, wenn der Hostname, der Benutzername und der Abschnitt in der SSH-Konfigurationsdatei (sofern verwendet) übereinstimmen. Bei "no" stellt Reflection für jede Sitzung eine neue Verbindung her. Der Authentifizierungsvorgang wird also für jede neue Verbindung erneut ausgeführt, und Änderungen an den verbindungsspezifischen Einstellungen (z. B. Vorwärtskanäle und Schlüssel) werden angewendet. Für Verbindungen, die über das Reflection-Fenster hergestellt werden, ist die Standardeinstellung "yes". Wenn Sie Verbindungen über die Befehlszeilen-Dienstprogramme von Reflection herstellen, ist die Standardeinstellung "no". Weitere Informationen finden Sie unter Wiederverwenden von Verbindungen in Secure Shell-Sitzungen.

ConnectTimeout

Gibt die maximale Zeitspanne (in Sekunden) ein, die der Client wartet, wenn er versucht, die Verbindung zum Server herzustellen. Der Timer wird gestartet, wenn die Verbindung hergestellt wurde (vor der Anmeldung), und läuft während der Aushandlung der Einstellungen, des Austauschs des Hostschlüssels und der Authentifizierung weiter. Aus praktischer Sicht umfasst der gemessene Zeitraum die Authentifizierungsaktivitäten. Die Standardeinstellung ist "120".

DisableCRL

Legt fest, ob bei der Überprüfung der Hostzertifikate eine Prüfung der CRL-Liste (Certificate Revocation List) auf widerrufene Zertifikate erfolgt. Wenn Sie diese Option auf "yes" setzen, wird die CRL-Prüfung deaktiviert. Der Standardwert für diese Einstellung hängt von den aktuellen Systemeinstellungen für die CRL-Prüfung ab. Um die Systemeinstellungen anzuzeigen und zu bearbeiten, starten Sie Internet Explorer und wählen Extras > Internetoptionen > Erweitert aus. Überprüfen Sie, ob unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen aktiviert ist.

DynamicForward

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal weitergeleitet wird. Daraufhin wird durch das Anwendungsprotokoll bestimmt, mit welchem Anschluss der Remotecomputer eine Verbindung aufbaut. Das Argument muss eine Anschlussnummer sein. Gegenwärtig wird das SOCKS4-Protokoll unterstützt. Reflection Secure Shell dient in diesem Fall als SOCKS4-Server. Es können mehrere Weiterleitungen definiert werden. Außerdem können in der Befehlszeile zusätzliche Weiterleitungen eingegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

EscapeChar

Legt das Escape-Zeichen fest (Standardeinstellung: "~"). Dieses Escape-Zeichen kann auch in der Befehlszeile festgelegt werden. Das Argument muss ein einzelnes Zeichen ("^") sein, gefolgt von einem Buchstaben oder "none", um das Escape-Zeichen zu deaktivieren (die Verbindung wird transparent für binäre Daten).

FipsMode

Wenn diese Einstellung auf "yes" gesetzt ist, müssen alle Verbindungen mithilfe von Sicherheitsprotokollen und Algorithmen hergestellt werden, die dem FIPS-140-2-Standard (Federal Information Processing Standard) der US-Regierung entsprechen. Optionen, die diesem Standard nicht entsprechen, sind in der Registerkarte Verschlüsselung nicht verfügbar.

 

Hinweis: Diese Einstellung betrifft den vom Hostschlüsselwort angegebenen Abschnitt der SSH-Konfigurationsdatei und hat nur dann Auswirkungen auf spätere Secure Shell-Sitzungen, wenn diese für denselben Abschnitt der SSH-Konfigurationsdatei (oder denselben Hostnamen) konfiguriert sind.

ForwardAgent

Wenn Sie diese Option auf "yes" setzen, aktivieren Sie die Weiterleitung der Verbindung zum Reflection-Schlüsselagenten. Gehen Sie bei der Aktivierung der Agentweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost (für das Unix Domain Socket des Agenten) umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann aber den Schlüssel so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann. Die Option muss gegebenenfalls auch auf dem Server aktiviert werden. Die Standardeinstellung ist "no".

ForwardX11

Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no". (Hinweis: Zur Konfiguration von Secure Shell in Reflection X siehe ForwardX11ReflectionX.)

ForwardX11ReflectionX

Diese Einstellung wird nur verwendet, wenn Sie Secure Shell-Verbindungen für Reflection X konfigurieren (ab 14.1). Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Voreingestellt ist "yes".

GatewayPorts

Legt fest, ob externe Hosts eine Verbindung mit lokalen weitergeleiteten Anschlüssen herstellen können. Standardmäßig verbindet Reflection Secure Shell lokale Anschlussweiterleitungen mit der LOOPBACK-Adresse. Dadurch wird verhindert, dass andere externe Hosts eine Verbindung mit den weitergeleiteten Anschlüssen herstellen. Mit GatewayPorts können Sie festlegen, dass Reflection Secure Shell lokale Anschlussweiterleitungen mit der Platzhalteradresse verbindet, damit Remotehosts eine Verbindung mit weitergeleiteten Anschlüssen herstellen können. Diese Einstellung sollte mit großer Vorsicht verwendet werden. Da die Remotehosts bei dieser Einstellung den weitergeleiteten Anschluss auf Ihrem System ohne Authentifizierung nutzen können, ergeben sich dabei möglicherweise Sicherheitslücken für das Netzwerk und die Verbindung. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no".

GlobalKnownHostsFile

Legt eine Datei fest, die statt der Standarddatei "ssh_known_hosts" im Reflection-Ordner "Anwendungsdaten" für die Datenbank mit globalen Hostschlüsseln verwendet werden soll.

 

Hinweis: Wenn der Pfad bzw. der Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.

GssapiAuthentication

Legt fest, ob für ein Kerberos-KDC die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosAuthentication.) Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

GssapiDelegateCredentials

Gibt an, ob GSSAPI verwendet wird, um das Kerberos-TGT (krbtgt) an den Host weiterzuleiten. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosTgtPassing.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

GssapiUseSSPI

Legt fest, ob die Microsoft Security Support Provider-Schnittstelle (SSPI) für die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur, wenn die Kerberos-/GSSAPI-Authentifizierung aktiviert ist (unter Verwendung von GssapiAuthentication für Protokollversion 2 und KerberosAuthentication für Protokollversion 1). Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Reflection Secure Shell-Client den Reflection Kerberos-Client für die GSSAPI-Authentifizierung. Wenn diese Einstellung auf "yes" gesetzt ist, verwendet der Reflection Secure Shell-Client für die Authentifizierung beim Secure Shell-Server Ihre Anmeldeinformationen (SSPI) für die Windows-Domäne. SSPI ist nur für Protokoll-2-Verbindungen verfügbar, und der Server muss die Authentifizierungsmethode GSSAPI-with-mic unterstützen. Die Standardeinstellung ist "yes".

GssServicePrincipal

Legt einen nicht standardmäßigen Dienstbenutzernamen fest, der verwendet wird, wenn der Client eine Anforderung für ein Service-Ticket an das KDC (Kerberos Key Distribution Center) sendet. Wenn Sie SSPI als GSSAPI-Modul ausgewählt haben, können Sie mit dieser Einstellung einen Dienstteilnehmer in einem anderen Gültigkeitsbereich als der Windows-Domäne festlegen. Verwenden Sie einen vollständigen Hostnamen gefolgt von "@" und dem Namen des Gültigkeitsbereichs, z. B. meinhost.meingueltigkeitsbereich.com@MEINGUELTIGKEITSBEREICH.COM. (Standardmäßig entspricht der Wert des Hostnamens dem Namen des Secure Shell-Servers, mit dem Sie eine Verbindung aufbauen. Der Gültigkeitsbereich ist abhängig vom Wert für GssapiUseSSPI. Wenn GssapiUseSSPI auf "no" gesetzt ist, ist der Name des Gültigkeitsbereichs in Ihrem Standardbenutzerprofil festgelegt. Wenn GssapiUseSSPI auf "yes" gesetzt ist, wird als Gültigkeitsbereich der Name Ihrer Windows-Domäne verwendet.)

Host

Schränkt die nachfolgenden Deklarationen (bis zum nächsten Hostschlüsselwort) auf den angegebenen Abschnitt in der SSH-Konfigurationsdatei ein. Die Zeichen "*" und "?" können als Platzhalter verwendet werden. Ein einziges "*" als Muster weist auf globale Standardwerte für alle Hosts hin. Verbindungen über Reflection verwenden die erste übereinstimmende Host-Zeichenfolge, die (unter Berücksichtigung von Platzhalterzeichen) gefunden wird. Alle nachfolgenden Übereinstimmungen bleiben unberücksichtigt.

 

Hinweis: Wenn Sie das Dialogfeld Reflection Secure Shell-Einstellungen schließen, werden die Werte mit den Standardeinstellungen nicht in der Konfigurationsdatei gespeichert. Wenn ein Standardwert manuell zur Datei hinzugefügt wurde, wird dieser beim Schließen des Dialogfelds gelöscht. Dies stellt Designeinschränkungen dar, wenn Sie Platzhalter-Hoststanzas in Verbindung mit Stanzas verwenden, die bestimmte Hostnamen verwenden. Wenn Sie in einem bestimmten Hoststanza manuell einen Standardwert konfiguriert haben, durch den der Wert in einer Platzhalterstanza überschrieben werden soll, wird die Einstellung gelöscht, sobald Sie das Dialogfeld für die Secure Shell-Einstellungen öffnen, um die Einstellungen für den hostspezifischen Abschnitt in der SSH-Konfigurationsdatei anzuzeigen. Verwenden Sie in dieser Situation die globale Konfigurationsdatei, die nicht aktualisiert wird, wenn Benutzer das Dialogfeld "Reflection Secure Shell-Einstellungen" öffnen und schließen.

HostKeyAlgorithms

Legt die vom Client verwendeten Hostschlüsselalgorithmen in der bevorzugten Reihenfolge fest. Die Standardeinstellung ist: "x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss". Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Der Standardwert präsentiert x509-Algorithmen vor regulären SSH-Schlüsselalgorithmen. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Versuche möglich.) Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl, sofern x509-Algorithmen bevorzugt werden. In diesem Fall können Sie den Client so konfigurieren, dass SSH-Schlüssel vor Zertifikaten bevorzugt werden, indem Sie die bevorzugte Reihenfolge in "ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss, x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss" ändern.

HostKeyAlias

Gibt einen Alias an, der anstelle des tatsächlichen Hostnamens zum Suchen oder Speichern des Hostschlüssels in den Dateien der Hostschlüsseldatenbank verwendet werden kann. Diese Option eignet sich dazu, SSH-Verbindungen zu tunneln oder mehrere Server auf demselben Host auszuführen.

IdentityFile

Gibt einen privaten Schlüssel für die Authentifizierung an. Die Dateien befinden sich im .ssh-Benutzerordner. Optionen für IdentifyFile werden hinzugefügt, wenn Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel Schlüssel oder Zertifikate in der Liste auswählen. In den Konfigurationsdateien können mehrere Kennungsdateien angegeben werden, deren Kennungen dann nacheinander ausprobiert werden.

 

Hinweis: Setzen Sie den vollständigen Pfad in Anführungszeichen, wenn dieser Leerzeichen enthält.

KbdInteractiveAuthentication

Legt fest, ob die Authentifizierung interaktiv über die Tastatur erfolgen soll. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Unter Umständen funktioniert diese Methode sogar besser als PasswordAuthentication für die Kennwortauthentifizierung auf Hosts, für die definierte Kennwörter regelmäßig ablaufen oder bei der ersten Anmeldung geändert werden müssen. Sie kann auch zur Kennwortauthentifizierung erforderlich sein, wenn abgelaufene Kennwörter zurückgesetzt werden müssen, um eine erfolgreiche Authentifizierung zu ermöglichen. Dies gilt nur für SSH-Protokoll 2. Verwenden Sie ChallengeResponseAuthentication für SSH-Protokollversion 1.

KeepAlive

Gibt an, ob das System den Verbindungsstatus durch das Versenden von TCP-Aktivhaltungsmeldungen überwachen soll. Diese Meldungen ermöglichen das Erkennen eines Verbindungsabbruchs oder des Ausfalls eines Rechners. Die Standardeinstellung ist "yes" (Aktivhaltungsmeldungen werden versendet), d. h., der Client kann einen Ausfall des Netzwerks oder Remotehosts feststellen. Das ist besonders bei Skripts von Bedeutung und außerdem sehr hilfreich für die Benutzer. Es bedeutet aber auch, dass die Verbindung jedes Mal getrennt wird, wenn die Route zeitweise nicht verfügbar ist; ein Umstand, der von einigen Benutzern als störend empfunden wird. Um das Versenden dieser Meldungen zu deaktivieren, wählen Sie "no". Dieses Schlüsselwort aktiviert die Windows TCP-Aktivhaltungseinstellung, die standardmäßig alle zwei Stunden Meldungen zur Verbindungsüberwachung sendet. Die TCP/IP-Aktivhaltungseinstellung kann mit zwei optionalen Parametern konfiguriert werden, die normalerweise nicht in der Windows-Registrierung vorkommen: KeepAliveTime und KeepAliveInterval. Die Konfiguration dieser Parameter erfolgt in der Teilstruktur HKEY_LOCAL_MACHINE der Registrierung unter:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Informationen zum Festlegen dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel Nr. 120642.

KerberosAuthentication

Gibt an, ob die Authentifizierung mit Kerberos für Protokoll-1-Verbindungen verwendet wird. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiAuthentication.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

KerberosTgtPassing

Bestimmt, ob ein Kerberos-Teilnehmer-Ticket (TGT) an den Server weitergeleitet wird. Dies funktioniert nur, wenn es sich beim Kerberos-Server um einen AFS-Kaserver handelt. Diese Einstellung gilt nur für die Protokollversion 1. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiDelegateCredentials.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

KexAlgorithms

Gibt an, welche Schlüsselaustauschalgorithmen der Client unterstützt und in welcher Reihenfolge diese angefordert werden. Die unterstützten Werte sind "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" und "diffie-hellman-group14-sha1". Die Standardeinstellung lautet "diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1". Gelegentlich müssen Sie die Reihenfolge der Schlüsselaustauschalgorithmen so umstellen, dass diffie-hellman-group14-sha1 vor den anderen beiden steht. Dies ist nötig, wenn Sie hmac-sha512 MAC verwenden möchten oder wenn beim Schlüsselaustausch der folgende Fehler ausgegeben wird: "fatal: dh_gen_key: group too small: 1024 (2*need 1024)".

 

Hinweis: Wenn die GSSAPI-Authentifizierung über den Reflection Kerberos-Client aktiviert ist, werden der Liste automatisch die folgenden Schlüsselaustauschalgorithmen hinzugefügt: gss-group1-sha1 und gss-gex-sha1.

LocalForward

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal an den angegebenen Host und Anschluss des Remotecomputers weitergeleitet wird. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. Sie können optionale Argumente für die FTP-Weiterleitung, die Konfiguration eines entfernten Desktops und das automatische Starten einer ausführbaren Datei (*.exe) auch konfigurieren, nachdem die Verbindung hergestellt worden ist. Die Syntax für dieses Schlüsselwort lautet wie folgt:

LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]

Folgende Optionen sind verfügbar:

 

localport

Nummer eines lokalen Anschlusses.

 

host:hostport

Ein Remotehost und ein Anschluss, der sich auf diesem Host befindet. (Sie können festlegen, dass localhost Daten an einen anderen Anschluss auf demselben Remotehost weiterleitet, zu dem Sie bereits eine Secure Shell-Verbindung hergestellt haben.) Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port.

 

FTP

Setzen Sie den Wert auf 1, wenn Sie die FTP-Dateiübertragung über einen Tunnel ausführen.

 

RDP

Setzen Sie den Wert auf 1, wenn Sie eine Remotedesktopsitzung über einen Tunnel ausführen.

 

"ExecutableFile"

Geben Sie eine ausführbare Datei (einschließlich der Pfadinformationen, sofern erforderlich) an, damit Reflection eine Anwendung startet, sobald die Secure Shell-Verbindung hergestellt ist. Damit Daten über einen sicheren Tunnel weitergeleitet werden, sollte diese Anwendung so konfiguriert sein, dass eine Verbindung zum localhost (oder zur LOOPBACK-IP-Adresse 127.0.0.1) über den angegebenen lokalen Anschluss localport hergestellt wird.

Logfile

Gibt eine Protokolldatei an, die zur Fehlersuche herangezogen werden kann. Alle während der Sitzung vorgenommenen Eingaben und Ausgaben werden in dieser Datei gespeichert. Verwenden Sie das Schlüsselwort mit der Befehlszeilen-Dienstprogrammoption -o wie im Folgenden beschrieben:

-o Logfile=\Pfad\Name_der_Protokolldatei

 

Hinweis: Wenn der Pfad oder Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.

LogLevel

Gibt an, wie ausführlich Meldungen vom Reflection Secure Shell-Client protokolliert werden. Zur Auswahl stehen die Werte: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Voreingestellt ist INFO. DEBUG und DEBUG1 sind äquivalent. DEBUG2 und DEBUG3 stehen jeweils für eine ausführlichere Ausgabe.

MACs

Gibt die MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungscode) in der bevorzugten Reihenfolge an. MAC-Algorithmen werden in der Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen werden durch Kommata gegeneinander abgegrenzt. Die Standardeinstellung ist: "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-sha512, hmac-sha2-512".

MatchHostName

Legt fest, ob bei der Überprüfung der Hostzertifikate ein Hostnamensvergleich erforderlich ist. Wenn diese Einstellung auf "yes" gesetzt ist (Standardeinstellung), muss der in Reflection konfigurierte Hostname genau mit einem im Feld "CommonName" oder "SubjectAltName" des Zertifikats eingegebenen Hostnamen übereinstimmen.

Multihop

Konfiguriert Multi-Hop-Einstellungen, mit denen sichere Verbindungen über eine Reihe von SSH-Servern hergestellt werden können. Dies ist sinnvoll, wenn Ihre Netzwerkkonfiguration keinen direkten Zugriff auf einen Remoteserver zulässt, der Zugriff über zwischengeschaltete Server jedoch möglich ist.

Die Syntax für dieses Schlüsselwort lautet wie folgt:

Multihop localport host:hostport ["SSH config scheme"]

Fügen Sie für jeden Server in der Reihe eine neue Multi-Hop-Zeile hinzu. Jede Verbindung in der Liste wird durch den Tunnel gesendet, der durch die darüber liegende Verbindung hergestellt wird.

Im folgenden Beispiel sind SSH-Verbindungen zu ServerC so konfiguriert, dass zunächst eine Verbindung zu ServerA, dann zu ServerB und schließlich zu ServerC hergestellt wird.

Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22

Sie können optional einen Namen der SSH-Konfigurationsdatei angeben, um Secure Shell-Einstellungen für jeden Host in der Kette zu konfigurieren. Beispiel:

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"

NoShell

Wenn NoShell auf "yes" gesetzt ist, erstellt der Client einen Tunnel, ohne eine Terminalsitzung zu öffnen. Diese Option kann in Verbindung mit der Option "ConnectionReuse" aktiviert werden, um einen Tunnel zu erstellen, der von anderen SSH-Verbindungen erneut verwendet werden kann. Hinweis: Diese Option wirkt sich auf die Verbindungen aus, die mit dem Befehlszeilen-Dienstprogramm hergestellt wurde; sie ist nicht für die Verwendung mit der Reflection for Secure IT-Benutzeroberfläche vorgesehen.

NumberOfPasswordPrompts

Gibt an, wie oft zur Eingabe des Kennworts aufgefordert wird, bevor ein Abbruch erfolgt. Für dieses Schlüsselwort muss das Argument eine ganze Zahl sein. Die Standardeinstellung ist "3".

PasswordAuthentication

Legt fest, ob die Kennwortauthentifizierung verwendet wird. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Port

Gibt die Anschlussnummer auf dem entfernten Host an. Die Standardeinstellung ist "22".

PreferredAuthentications

Bestimmt die Reihenfolge, in der der Client die Authentifizierungsmethoden von Protokoll 2 testet. Dies entspricht der Reihenfolge (von oben nach unten), in der die Methoden in der Liste Benutzerauthentifizierung der Registerkarte Allgemein (Dialogfeld Reflection Secure Shell-Einstellungen) angezeigt werden. Mit dieser Einstellung kann der Client eine Methode (z. B. keyboardinteractive = "Interaktiv über Tastatur") einer anderen (z. B. password = "Kennwort") vorziehen. Standardmäßig versucht Reflection die Authentifizierung in der folgenden Reihenfolge: "publickey,keyboard-interactive,password". Wenn die GSSAPI-Authentifizierung aktiviert ist, ändert sich die Standardreihenfolge folgendermaßen: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".

 

Hinweise:

  • Wenn Sie PreferredAuthentications in Ihre Konfigurationsdatei aufnehmen, muss die von Ihnen festgelegte Liste alle Authentifizierungsmethoden enthalten, die Sie ausprobieren möchten. Wenn PreferredAuthentications vorhanden ist, aber eine bestimmte Authentifizierungsmethode fehlt, verwendet Reflection diese Authentifizierungsmethode selbst dann nicht, wenn das Schlüsselwort zur Aktivierung dieser Authentifizierungsmethode richtig konfiguriert ist.
  • Durch das Aufnehmen einer Authentifizierungsmethode in die Liste PreferredAuthentication allein wird die Authentifizierung mit dieser Methode nicht aktiviert. Damit eine nicht voreingestellte Authentifizierungsmethode aktiviert wird, muss das Schlüsselwort für diese Authentifizierungsmethode ebenfalls richtig konfiguriert sein (zur Aktivierung der GSSAPI-Authentifizierung müssen Sie beispielsweise GssapiAuthentication auf "yes" setzen).

PreserveTimestamps

Gibt an, ob Dateiattribute und Zeitstempel bearbeitet werden, wenn Dateien vom und an den Server übertragen werden. Wenn das Schlüsselwort "no" ist (Standardeinstellung), werden Zeitstempel und Attribute geändert. Lautet das Schlüsselwort "yes", behalten die Dateien ihre ursprünglichen Zeitstempel und Attribute.

Protocol

Gibt die Protokollversionen an, die der Reflection Secure Shell-Client in der angegebenen Reihenfolge unterstützen soll Die möglichen Werte sind "1" und "2". Mehrere Werte werden durch Kommata gegeneinander abgegrenzt. Der Standardwert ist "2 dann 1". Das bedeutet, dass Reflection zuerst Version 2 versucht. Erst wenn diese Version nicht verfügbar ist, greift Reflection auf Version 1 zurück.

Proxy

Legt den Proxytyp für Secure Shell-Verbindungen fest. Die unterstützten Werte lauten "SOCKS" und "HTTP".

 

Hinweis: Die Proxyverwendung ist für jeden Host-Abschnitt in der Konfigurationsdatei aktiviert, der diese Einstellung verwendet. Die Adresse des Proxyservers wird in der Windows-Registrierung für jeden Benutzer gespeichert.

PubkeyAuthentication

Legt fest, ob versucht werden soll, eine Authentifizierung mit öffentlichen Schlüsseln durchzuführen. Diese Option gilt nur für die Protokollversion 2. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

RemoteCommand

Legt einen oder mehrere Befehle fest, die auf dem entfernten Server ausgeführt werden sollen. Bei der Herstellung einer Verbindung mit einem UNIX-Server müssen mehrere Befehle durch ein Semikolon (;) abgegrenzt werden. Bei der Herstellung einer Verbindung zu einem Windows-Server müssen Befehle durch ein Et-Zeichen (&) abgegrenzt werden. Wenn die Verbindung aufgebaut ist, führt der Server den bzw. die angegebenen Befehl(e) aus, oder zumindest versucht er es. Danach wird die Sitzung beendet. Der Server muss entsprechend konfiguriert sein, damit er die Befehle, die der Client sendet, zulässt und ausführt.

Befehle müssen in der von Ihrem Server verwendeten Syntax angegeben werden. So sind beispielsweise die folgenden Informationen identisch:

Unter UNIX: ls ; ls -l

Unter Windows: dir/w & dir

RemoteForward

Legt fest, dass ein TCP/IP-Anschluss auf dem Remoterechner über den sicheren Kanal an den angegebenen Host und den angegebenen Anschluss des lokalen Rechners weitergeleitet wird. Das erste Argument muss eine Anschlussnummer sein und das zweite host:port. Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

RSAAuthentication

Legt fest, ob die RSA-Authentifizierung verwendet wird. Diese Option gilt nur für die Protokollversion 1. Die RSA-Authentifizierung wird nur ausprobiert, wenn die entsprechenden Kennungsdateien vorhanden sind. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

SendEnv

Gibt eine Umgebungsvariable an, die auf dem Server eingestellt werden muss, bevor Shells oder Befehle ausgeführt werden können. Der Wert muss das folgende Format aufweisen: VAR val. Der Server muss die angegebene Variable unterstützen und so konfiguriert sein, dass er Umgebungsvariablen akzeptiert.

ServerAlive

Legt fest, dass Meldungen zum Aktivhalten des Servers in dem durch ServerAliveInterval angegebenen Intervall an den SSH-Server gesendet werden. Die Secure Shell-Einstellung ServerAlive sendet in festgelegten Intervallen eine SSH-Protokollmeldung an den Server, damit sichergestellt ist, dass dieser noch funktioniert. Wenn diese Einstellung nicht aktiviert ist, wird die SSH-Verbindung bei einem Ausfall des Servers oder einer Unterbrechung der Netzwerkverbindung nicht getrennt. Damit lässt sich ein serverseitiges Abbrechen von Verbindungen verhindern, die nur TCP-Sitzungen weiterleiten. Andernfalls würde der Server die Verbindung aufgrund einer Zeitüberschreitung trennen, da er keinen SSH-Verkehr feststellen kann. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

 

Hinweis: Die Secure Shell-Einstellung ServerAlive ist nicht mit der TCP-Einstellung zum Aktivhalten (KeepAlive) zu vergleichen, bei der durch eine entsprechende Einstellung in der Windows-Registrierung verhindert wird, dass TCP/IP-Verbindungen bei Inaktivität durch eine Firewall getrennt werden. Um die TCP/IP-Aktivhaltungseinstellung anzupassen, müssen Sie in der Windows-Registrierung Änderungen vornehmen.

ServerAliveInterval

Legt das Intervall (in Sekunden) fest, wenn ServerAlive auf "yes" gesetzt ist. Geben Sie eine positive Ganzzahl an. Die Standardeinstellung ist "30".

SftpBufferLen

Legt die Anzahl der Bytes fest, die während SFTP-Übertragungen pro Paket angefordert werden. Die Standardeinstellung ist "32768". Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

SftpMaxRequests

Legt die maximale Anzahl ausstehender Datenanforderungen fest, die der Client bei einer SFTP-Übertragung zulässt. Die Standardeinstellung ist "10". Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Serverkonfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

SftpVersion

Gibt die Version an, die der Client für SFTP-Verbindungen verwendet. Gültige Werte sind "3" und "4". Wenn für diese Einstellung der Wert "4" festgelegt ist (Standardwert), wird bei der Verbindung SFTP-Version 4 verwendet, sofern der Server dies unterstützt. Wenn der Server Version 4 nicht unterstützt, wird automatisch Version 3 verwendet. Wenn für diese Einstellung der Wert "3" festgelegt ist, verwendet der Client immer SFTP-Version 3. Hinweis: Wenn Sie SFTP 4 verwenden möchten, lassen Sie sich vom technischen Support von Attachmate bestätigen, dass diese Einstellung mit Ihrer Version des Reflection-Clients verfügbar ist.

StrictHostKeyChecking

Das Argument ist "yes", "no" oder "ask". Voreingestellt ist "ask". Wenn diese Option auf "yes" gesetzt ist, fügt der Reflection Secure Shell-Client der Datei "known_hosts" im .ssh-Benutzerordner nie automatisch Hostschlüssel hinzu und stellt keine Verbindung zu Hosts her, deren Schlüssel geändert wurde. Durch diese Option wird der Benutzer gezwungen, alle neuen Hosts manuell hinzuzufügen. Wenn "no" eingestellt ist, stellt Reflection die Verbindung zum Host her, ohne ein Bestätigungsdialogfeld einzublenden, und nimmt den Hostschlüssel nicht in die Liste der registrierten Schlüssel auf. Bei der Einstellung "ask" werden den Dateien der bekannten Hosts neue Hostschlüssel hinzugefügt, sofern der Benutzer diese bestätigt. Die Hostschlüssel bekannter Hosts werden in jedem Fall automatisch verifiziert.

 

Hinweis: Diese Einstellung hat keine Auswirkungen, wenn der Host für die Authentifizierung mit x509-Zertifikaten konfiguriert wurde. Wenn der Host ein Zertifikat für die Hostauthentifizierung präsentiert und sich das erforderliche Zertifikat der Zertifizierungsstelle nicht in Ihrem Speicher der zuverlässigen Stammzertifikate befindet, schlägt die Verbindung fehl.

TryEmptyPassword

Wenn "yes" festgelegt ist, startet der Client die Kennwortauthentifizierung mit dem Versuch, ein leeres Kennwort einzugeben. Dieser Versuch wird von den meisten Systemen als Anmeldeversuch gewertet.

User

Legt den Benutzernamen fest. Dies ist besonders dann sinnvoll, wenn auf mehreren Rechnern unterschiedliche Benutzernamen verwendet werden.

UseOCSP

Legt fest, ob der Client das OSCP (Online Certificate Status Protocol) zur Validierung von Hostzertifikaten verwendet. Die möglichen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

UserKeyCertLast

Legt fest, wie der Reflection-Client die Signatur für Zertifikate bei der Authentifizierung mit öffentlichen Schlüsseln behandelt. Wenn diese Einstellung auf "yes" gesetzt ist (Standardwert), sendet der Client das Zertifikat zuerst mit einer Standard-ssh-Schlüsselsignatur (ssh-rsa oder ssh-dss). Wenn dies fehlschlägt, unternimmt der Client einen neuen Versuch unter Verwendung einer Zertifikatsignatur (x509-sign-rsa oder x509-sign-dss). In manchen Fällen findet dieser zweite Versuch nicht statt, und die Authentifizierung schlägt fehl. Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Client für den ersten Versuch die Zertifikatsignatur und anschließend die SSH-Schlüsselsignatur.

UserKnownHostsFile

Gibt eine Datei an, die anstelle der Datei known_hosts (im .ssh-Benutzerordner) für die Hostschlüsseldatenbank des Benutzers verwendet werden soll. Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält.

x509dsasigtype

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten DSA-Schlüsseln nachzuweisen. Mögliche Werte sind "sha1raw" (Standardeinstellung) und "sha1asn1".

x509rsasigtype

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten RSA-Schlüsseln nachzuweisen. Mögliche Werte sind "md5", "sha1" (Standardeinstellung) und "sha256".

X11Display

Legt den Anschluss an der lokalen LOOPBACK-Schnittstelle des Rechners fest, an den X11-basierte Kommunikation weitergeleitet wird, wenn die X11-Weiterleitung aktiviert ist.

 

Hinweis: Wenn Sie mit Reflection X (Version 12.x, 13.x oder 14.x) arbeiten, muss dieses Schlüsselwort nicht konfiguriert werden. Der Reflection X-Server und der Reflection Secure Shell-Client werden automatisch synchronisiert, damit sie den richtigen Anschluss entsprechend den Anzeigeeinstellungen Ihres X-Servers verwenden (Einstellungen > Anzeige > X-Anzeigenummer). In diesem Fall wird das Schlüsselwort X11Display ignoriert. Wenn Sie mit einem anderen PC X Server arbeiten, geben Sie mit diesem Schlüsselwort den empfangenden Anschluss an, der für Ihren PC X Server definiert ist.

Der Standardwert lautet 0. Dadurch wird die Weiterleitung an den Anschluss 6000 konfiguriert. Dies ist der Standardempfangsanschluss, der durch das X11-Protokoll definiert ist. Der von Ihnen angegebene Anzeigewert wird 6000 hinzugefügt, um den tatsächlichen Empfangsanschluss zu bestimmen. Legen Sie beispielsweise X11Display auf 20 fest, zeigt dies dem Secure Shell-Client an, dass der PC X Server an Anschluss 6020 empfängt.

Verwandte Themen

Schlüsselwortreferenz für Konfigurationsdateien: Terminalemulationseinstellungen