構成ファイルのキーワード参照 - Secure Shell 設定
Secure Shell 構成ファイルを手動で編集する場合に、この参照を使用します。構成ファイルは、キーワード Host によってそれぞれ識別されるセクションに分かれています。各セクションでは、指定したホストまたは SSH 構成セクションを使用する、すべての接続に使用される Secure Shell 設定を指定します。
構成ファイルは、キーワードの後に値が続きます。構成オプションは、空白またはオプションの空白と 1 つの等号 (=) で区切ることができます。キーワードは大文字と小文字を区別しませんが、引数は大文字と小文字を区別します。
番号記号 (#) で始まる行はコメントです。空の行は無視されます。
注意:この一覧の項目では、Secure Shell 接続に影響する機能を構成します。その他のキーワードは、ssh コマンドラインセッションの端末エミュレーションの構成に使用できます。これらのキーワードに関する詳しい説明は、「構成ファイルのキーワード参照 - 端末エミュレーション設定」を参照してください。
AddAuthKeyToAgent
この設定は、ForwardAgent が「yes」に設定されている場合に、クライアントの公開鍵認証の処理方法に影響します。サーバの公開鍵認証が成功し、ForwardAgent と AddAuthKeyToAgent の両方が「yes」に設定されている場合、認証に使用された鍵や証明書は Reflection 鍵エージェントに自動的に追加されます。この鍵は鍵エージェントには保存されませんが、鍵エージェントが実行されている間は使用できます。AddAuthKeyToAgent が「no」(既定値) に設定されている場合、鍵と証明書が鍵エージェントに自動的に追加されることはありません。鍵エージェントは、手動でインポートされた鍵のみを使用します。
AuthUseAllKeys
この設定は、クライアントの公開鍵認証の処理方法に影響します。この設定が「no」(既定値) の場合、クライアントは IdentityFile というキーワードを使用して指定した 1 つまたは複数の鍵のみを使用して認証しようとします。この設定が「yes」の場合、クライアントは使用できる公開鍵全部を使用して認証しようとします。
BatchMode
スクリプトおよびバッチジョブに使用可能なパスワードメッセージおよびパスフレーズメッセージを含む、ユーザ入力要求をすべて無効にするかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「no」です。
|
注意:このキーワードは、キーボード対話型の認証構成時のユーザ入力要求を無効にしませんが、BatchMode 有効時にキーボード対話型を使用する接続は失敗します。 |
BindAddress
複数インタフェースまたは別名アドレスを使用して、コンピュータから送信するインタフェースを指定します。
ChallengeResponseAuthentication
試行/応答認証を使用するかどうかを指定します。引数は「yes」または「no」にする必要があります。この認証方式は、SecurID、PAM 認証、またはサーバからのメッセージとユーザからの応答が必要なその他の外部認証方式を使用している場合に推奨されます。既定値は「yes」です。これは、対応している SSH プロトコル 1 のみに適用されますが、推奨されません。SSH プロトコルバージョン 2 には KbdInteractiveAuthentication を使用します。
CheckHostIP
このフラグを「yes」に設定した場合、Reflection Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホスト IP アドレスを確認します。既知のホスト一覧のホスト IP が、接続に使用している IP アドレスに一致する場合にのみ、接続が許可されます。既定値は「no」です。注意:StrictHostKeyChecking が「no」の場合、この設定は適用されません。
CheckHostPort
このフラグを「yes」に設定した場合、Reflection Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホストポートを確認します。既知のホスト一覧のホストポートが、接続に使用しているポートに一致する場合にのみ、接続が許可されます。既定値は「no」です。注意:StrictHostKeyChecking が「no」の場合、この設定は適用されません。
Cipher
プロトコルバージョン 1 のセッションの暗号化に使用する暗号を指定します。現在、「blowfish」、「3des」、「des」に対応しています。des は、3des 暗号に対応していない従来のプロトコル 1 実装との相互運用性のため Secure Shell クライアントのみが対応しています。暗号上の弱点があるため、使用することは推奨されません。既定値は「3des」です。
Ciphers
プロトコルバージョン 2 に使用可能な暗号を優先順に指定します。複数の暗号は、カンマで区切る必要があります。既定値は、「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour」です。接続が FIPS モードで行われるように設定されている場合、既定値は「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc」です。
ClearAllForwardings
ローカル転送、リモート転送、または動的転送されたポートのうち、既に処理されたすべてのポートを構成ファイルまたはコマンドラインからクリアします。 注意:scp および sftp は、この設定に関係なく、すべての転送ポートを自動的にクリアします。 指定可能な値は「yes」および「no」です。既定値は「no」です。
Compression
圧縮を有効にするかどうかを指定します。 圧縮は、モデム回線などの低速接続には向いていますが、高速ネットワークでは応答速度を低下させます。また、圧縮はパケットをより不規則にするため、悪意のある人物がパケットを解読することが難しくなります。 指定可能な値は「yes」および「no」です。既定値は「no」です。
CompressionLevel
圧縮を有効にした場合に使用する圧縮レベルを指定します。このオプションは、プロトコルバージョン 1 にのみ適用されます。引数は、1 (高速) から 9 (低速、最適) までの整数にする必要があります。既定レベルは 6 で、ほとんどのアプリケーションに有効です。値の意味は gzip と同じです。
ConnectionAttempts
終了前に試行する回数 (1 秒間に 1 回) を指定します。引数は整数にする必要があります。これは、接続に失敗することがある場合にスクリプトで使用できます。既定値は「1」です。
ConnectionReuse
同一ホストへの複数のセッションで元の Secure Shell 接続を再利用するかどうかを指定します。このため、再認証が不要となります。引数は「yes」または「no」にする必要があります。「yes」に設定すると、ホスト名、ユーザ名、SSH 構成セクション (使用する場合) がすべて一致する場合、新しい接続は既存のトンネルを再利用します。「no」に設定すると、Reflection ではセッションごとに新しい接続を確立します。つまり、新しい接続ごとに認証処理を繰り返し、変更された接続固有の設定 (転送および暗号など) も適用されます。Reflection ウィンドウを使用した接続で接続する場合、既定値は「yes」になります。接続に Reflection コマンドラインユーティリティを使用している場合は「no」になります。詳細については、「Secure Shell セッションにおける接続の再利用」を参照してください。
ConnectTimeout
サーバへの接続完了を試行している時にクライアントが待機する最大時間 (秒単位) を指定します。タイマーは、接続の確立時 (ログオン前) に開始して、設定、ホスト鍵交換、および認証中に稼働します。実際には、タイマーは基本的に認証処理の間に稼働します。既定値は「120」です。
DisableCRL
ホスト証明書の検証時に CRL (Certificate Revocation List) の確認を行うかどうかを指定します。これを「yes」に設定すると、CRL の確認が無効になります。この設定の既定値は、CRL の確認に関する現在のシステム設定に従います。システム設定を表示して編集するには、Internet Explorer を起動して、[ツール] - [インターネットオプション] - [詳細設定] コマンドに進みます。[セキュリティ] の下の [サーバー証明書の取り消しを確認する] を探します。
DynamicForward
安全なチャネルを介して転送するローカルマシンの TCP/IP ポートを指定します。アプリケーションプロトコルは、リモートマシンと接続する場所を決定するために使用されます。引数はポート番号にする必要があります。現在、SOCKS4 プロトコルに対応し、Reflection Secure Shell は SOCKS4 サーバとして動作します。複数転送を指定できるため、コマンドラインで追加転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。
EscapeChar
エスケープ文字を設定します (既定は'~')。エスケープ文字は、コマンドラインでも設定できます。引数は単一の文字「^」で、後に文字を続ける必要があります。あるいは、エスケープ文字を無効にするには「none」にする必要があります (バイナリデータ接続を透過にするため)。
FipsMode
この設定を「yes」にすると、アメリカ合衆国政府の連邦情報処理規格 (FIPS) 140-2 に合致するセキュリティプロトコルおよびアルゴリズムを使用して、接続する必要があります。この規格に合致しないオプションは、[暗号化] タブで使用できません。
|
注意:この設定はキーワード Host で指定される SSH 構成セクションに影響し、同じ SSH 構成セクション (またはホスト名) を使用するように構成されていないかぎり、以降の Secure Shell セッションに影響しません。 |
ForwardAgent
これを「yes」に設定すると、Reflection 鍵エージェント接続の転送が有効になります。エージェント転送を有効にする場合は注意が必要です。エージェントの UNIX ドメインソケットのリモートホストでファイル権限を回避できるユーザは、転送された接続を介してローカルエージェントにアクセスできます。攻撃者は鍵の情報を取得できませんが、エージェントに読み込まれた識別情報を使用して、その鍵で操作を実行して認証を有効にすることができます。サーバでもエージェント転送が有効になっている必要があります。既定値は「no」です。
ForwardX11
安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「no」です。(注意:Reflection X を使用して Secure Shell を構成する場合は、「ForwardX11ReflectionX」を参照してください)。
ForwardX11ReflectionX
Reflection X (14.1 以降) 用の Secure Shell 接続を構成している場合にのみ、この設定を使用してください。安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「yes」です。
GatewayPorts
リモートホストが、ローカル転送ポートへの接続を許可されるかどうかを指定します。既定では、Reflection Secure Shell はローカルポート転送をループバックアドレスに結合します。これによって、ほかのリモートホストが、転送ポートに接続できないようにしています。GatewayPorts を使用して、Reflection Secure Shell がローカルポート転送をワイルドカードアドレスに結合するように指定できます。これによって、リモートホストは転送ポートに接続できます。この設定を有効にする場合は注意が必要です。この設定によって、リモートホストで、認証なしにシステムで転送されたポートを使用できるようになるため、ネットワークと接続の安全性が低下します。引数は「yes」または「no」にする必要があります。既定値は「no」です。
GlobalKnownHostsFile
Reflection アプリケーションデータフォルダの ssh_known_hosts という既定ファイルの代わりに使用する、グローバルホスト鍵データベース用のファイルを指定します。
|
注意:パスまたはファイル名の一部に空白が含まれている場合、ファイル名を引用符で囲みます。 |
GssapiAuthentication
GSSAPI 認証を使用して、Kerberos KDC を認証するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます(プロトコルバージョン 1 で同等の設定は KerberosAuthentication になります)。 指定可能な値は「yes」および「no」です。既定値は「no」です。
GssapiDelegateCredentials
GSSAPI を使用して、ホストに発券許可チケット (krbtgt) を転送するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます(プロトコルバージョン 1 で同等の設定は KerberosTgtPassing になります)。 指定可能な値は「yes」および「no」です。既定値は「yes」です。
GssapiUseSSPI
Microsoft の Security Support Provider Interface (SSPI) を GSSAPI 認証に使用するかどうかを指定します。この設定は、Kerberos/GSSAPI 認証が有効な場合にのみ使用できます (プロトコルバージョン 2 では GssapiAuthentication を使用、プロトコルバージョン 1 では KerberosAuthentication を使用)。このキーワードの引数は「yes」または「no」にする必要があります。「no」に設定すると、Reflection Secure Shell クライアントは GSSAPI 認証に Reflection Kerberos クライアントを使用します。「yes」に設定すると、Reflection Secure Shell クライアントは Secure Shell サーバに対する認証に Windows ドメインのログイン資格情報 (SSPI) を使用します。SSPI はプロトコルバージョン 2 接続のみに対応しており、サーバが GSSAPI-with-mic 認証方式に対応する必要があります。既定値は「yes」です。
GssServicePrincipal
クライアントが Kerberos Key Distribution Center (KDC) へサービスチケット要求を送信する時に、使用する既定以外のサービスプリンシパル名を指定します。GSSAPI プロバイダとして SSPI を選択している場合、この設定を使用して Windows ドメインとは異なるレルムにサービスプリンシパルを指定できます。完全なホスト名の後に @ とレルム名を続けます。例えば、myhost.myrealm.com@MYREALM.COM のようになります(既定で、ホスト名の値は接続する Secure Shell サーバの名前になり、レルムは GssapiUseSSPI の値によって異なります。GssapiUseSSPI が「no」の場合、レルム名は既定のプリンシパルプロファイルで指定されます。GssapiUseSSPI が「yes」の場合、レルムは Windows ドメイン名になります)。
Host
指定した SSH 構成セクションに属する (次の Host キーワードまで) 続く宣言を指定します。文字「*」および「?」は、ワイルドカードとして使用できます。パターンに単一の「*」を使用すると、すべてのホストにグローバルな既定設定を指定できます。Reflection 接続では、最初に一致する Host 文字列 (ワイルドカード文字を含む) を使用します。以降の一致は無視されます。
|
注意:[Reflection Secure Shell の設定] ダイアログボックスを閉じる時、既定の設定値は構成ファイルに保存されません。既定値を手動でファイルに追加している場合、ダイアログボックスを閉じる時にその既定値は削除されます。ワイルドカードホストのスタンザを、特定のホスト名を使用するスタンザと組み合わせて使用する場合、これにより、設計制約が課せられます。ワイルドカードのスタンザで構成された値を上書きするよう設定された特定のホストのスタンザに既定値を手動で構成した場合、ホスト固有の SSH 構成セクションの設定を表示するために [Reflection Secure Shell の設定] ダイアログボックスを開くと、既定値は削除されます。この状況は、グローバル構成ファイルを使用すると適切に処理することができます。グローバル構成ファイルは、ユーザが [Reflection Secure Shell の設定] ダイアログボックスを開いたり閉じたりしても、更新されません。 |
HostKeyAlgorithms
クライアントが使用するホスト鍵アルゴリズムを優先順に指定します。このオプションの規定は次のとおりです。「x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss」この設定は、証明書と標準ホスト鍵認証の両方をサーバに構成する場合に便利です。既定値では、通常の SSH 鍵アルゴリズムの前に x509 アルゴリズムが指定されています。SSH プロトコルでは、ホストの認証試行は 1 回しか許可しません。(これは、複数の認証試行に対応しているユーザ認証とは異なります)。ホストが証明書を提示し、証明書を使用したホスト認証がクライアントに構成されていない場合、x509 アルゴリズムが優先されていると接続は失敗しますこの場合、優先順位を「ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss, x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss」に変更して、証明書よりも SSH 鍵が優先されるようにクライアントを構成します。
HostKeyAlias
ホスト鍵データベースファイルでホスト鍵の検索または保存のため、実際のホスト名の代わりに使用する別名を指定します。このオプションは、ssh 接続のトンネリングまたは単一のホストで複数のサーバを実行している場合に使用できます。
IdentityFile
鍵認証に使用する秘密鍵を指定します。 (ファイルはユーザの .ssh フォルダにあります)。IdentityFile 項目は、[Reflection Secure Shell の設定] ダイアログボックスの [ユーザ鍵] タブの一覧から鍵または証明書を選択すると追加されます。構成ファイルに複数の識別情報ファイルを指定でき、これらのすべての識別情報が順番に試行されます。
|
注意:空白が含まれている場合、完全なパス名を引用符で囲みます。 |
KbdInteractiveAuthentication
キーボード対話型認証を使用するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「yes」です。 この認証方式は、SecurID、PAM 認証、またはサーバからのメッセージとユーザからの応答が必要なその他の外部認証方式を使用している場合に推奨されます。パスワード有効期限または最初のログインパスワードの変更が有効になっているホストのパスワード認証で、PasswordAuthentication 方式よりも有効に機能する場合があります。認証に成功するために有効期限が切れたパスワードをリセットする必要がある場合、パスワード認証に必要な場合もあります。これは、SSH プロトコル 2 にのみ適用されます。SSH プロトコルバージョン 1 には ChallengeResponseAuthentication を使用します。
KeepAlive
システムが TCP キープアライブメッセージを相手に送信する必要があるかどうかを指定します。送信されると、接続の切断またはいずれかのマシンのクラッシュが検出されます。ネットワークのダウンまたはリモートホストの停止をクライアントが検出するため、既定値は「yes」(キープアライブを送信する) になっています。これはスクリプトにとって重要であり、ユーザにとっても役に立ちます。ただし、ルートが一時的にダウンした場合に接続が切断されることになるので、一部のユーザにとっては迷惑かもしれません。キープアライブを無効にするには、値を「no」に設定します。このキーワードにより、Windows TCP キープアライブ設定が有効になり、既定では 2 時間ごとにキープアライブメッセージが送信されます。TCP/IP キープアライブは、Windows レジストリには通常存在しない 2 つのオプションパラメータ(KeepAliveTime および KeepAliveInterval) を使用して構成できます。これらは、以下の場所の HKEY_LOCAL_MACHINE レジストリサブツリーに構成されます。
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
これらのパラメータの設定については、Microsoft Knowledge Base Article 120642 を参照してください。
KerberosAuthentication
Kerberos 認証をプロトコルバージョン 1 接続に使用するかどうかを指定します(プロトコルバージョン 2 で同等の設定は GssapiAuthentication になります)。このキーワードの引数は「yes」または「no」にする必要があります。
KerberosTgtPassing
Kerberos TGT をサーバに転送するかどうかを指定します。これは、Kerberos サーバが実際に AFS kaserver の場合にのみ機能します。この設定は、プロトコルバージョン 1 にのみ適用されます(プロトコルバージョン 2 で同等の設定は GssapiDelegateCredentials になります)。このキーワードの引数は「yes」または「no」にする必要があります。
KexAlgorithms
クライアントが対応する鍵交換アルゴリズムと優先順位を指定します。対応する値は、「diffie-hellman-group1-sha1」、「diffie-hellman-group-exchange-sha1」、および「diffie-hellman-group14-sha1」です。既定値は、「diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1」です。場合によっては、「diffie-hellman-group14-sha1」を他の 2 つよりも前に配置するために、鍵交換アルゴリズムの順番を変更する必要があります。hmac-sha512 MAC を使用する場合、または鍵交換中に次のエラーが表示される場合は、この操作が必要です。"fatal: dh_gen_key: group too small:1024 (2*need 1024)"
|
注意:Reflection Kerberos クライアントを使用する GSSAPI 認証が有効の場合、追加の鍵交換アルゴリズム (gss-group1-sha1 および gss-gex-sha1) が一覧に自動的に追加されます。 |
LocalForward
安全なチャネルを介して、リモートマシンの指定したホストとポートに転送するローカルマシンの TCP/IP ポートを指定します。複数の転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。FTP の転送、リモートデスクトップの構成、接続後の実行ファイル (*.exe) の自動起動にオプションの引数を構成することもできます。このキーワードの構文は次のとおりです。
LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]
次のオプションがあります。
|
localport |
ローカルポート番号。 |
|
host:hostport |
リモートホストおよびそのホストのポート(localhost を指定して、すでに Secure Shell 接続を確立した同じリモートホストの異なるポートにデータを転送できます)。IPv6 アドレスは、別の構文 host/port を使用して指定できます。 |
|
FTP |
FTP ファイル転送をトンネル接続する場合、1 に設定します。 |
|
RDP |
リモートデスクトップセッションをトンネル接続する場合、1 に設定します。 |
|
"ExecutableFile" |
Secure Shell 接続確立後すぐに Reflection がアプリケーションを起動するように、実行ファイル (必要に応じて完全なパス情報を含む) を指定します。安全なトンネルを介してデータを転送するには、指定した localport を使用して localhost (またはループバック IP アドレス、127.0.0.1) に接続するようにこのアプリケーションを構成する必要があります。 |
Logfile
デバッグに使用するログファイルを指定します。すべてのセッションの入力および出力は、このファイルに書き込まれます。次に示すように、このキーワードと -o コマンドラインユーティリティオプションを使用します。
-o Logfile=\path\logfile_name
|
注意:パスまたはファイル名の一部に空白が含まれている場合、パスとファイル名を引用符で囲みます。 |
LogLevel
Reflection Secure Shell クライアントからのメッセージの記録時に使用する詳細レベルを指定します。指定可能な値は、QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 および DEBUG3 です。既定値は「INFO」です。DEBUG と DEBUG1 は同じです。DEBUG2 と DEBUG3 はそれぞれ、より高いレベルの詳細出力を指定します。
Macs
MAC (メッセージ認証コード) アルゴリズムを優先順に指定します。MAC アルゴリズムは、データ整合性保護のためにプロトコルバージョン 2 で使用されます。複数のアルゴリズムは、カンマで区切る必要があります。既定の場所は以下のとおりです。"hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512"接続が FIPS モードで行われるように設定されている場合、既定値は「hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-sha512, hmac-sha2-512」です。
MatchHostName
ホストの証明書の検証時にホスト名の一致を確認するかどうかを指定します。この設定が「yes」の場合 (既定値)、Reflection で構成したホスト名が、証明書の CommonName フィールドまたは SubjectAltName フィールドに入力されているホスト名に一致していなければなりません。
Multihop
一連の SSH サーバによって安全な接続を確立するために使用可能なマルチホップ接続を構成します。これは、直接リモートサーバにアクセスすることはできないが、中間サーバを介してアクセスすることができるネットワーク構成で役に立ちます。
このキーワードの構文は次のとおりです。
Multihop localport host:hostport ["SSH config scheme"]
一連の各サーバに Multihop 行を新しく追加します。一覧の各接続は、その上の接続で確立されたトンネルを介して送信されます。
下記の例では、サーバ C に構成された SSH 接続が最初に サーバ A に接続し、それから サーバ B、最後に サーバ C に接続します。
Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22
オプションで SSH 構成セクションを指定して、チェーン内の任意のホストの Secure Shell 設定を構成できます。例えば、次のように入力します。
Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
NoShell
NoShell を「Yes」に設定すると、クライアントは端末セッションを開かずにトンネルを作成します。このオプションは ConnectionReuse と組み合わせて使用し、その他の ssh 接続が再利用できるトンネルを作成できます。注意:このオプションは、接続がコマンドラインユーティリティで行われた場合に適用されます。Reflection for Secure IT ユーザインタフェースでの使用には対応していません。
NumberOfPasswordPrompts
失効するまでに試行できるパスワードメッセージの入力回数を指定します。このキーワードの引数は整数にする必要があります。既定値は「3」です。
PasswordAuthentication
パスワード認証を使用するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「yes」です。
Port
リモートホストに接続するポート番号を指定します。既定値は「22」です。
PreferredAuthentications
クライアントがプロトコル 2 認証方式を試行する順番を指定します。これは、[Reflection Secure Shell の設定] ダイアログボックスの [全般] タブの [ユーザ認証] 一覧に表示される方式の順番 (上から下) に対応します。この設定によって、クライアントはある方式 (キーボード対話型など) を別の方式 (パスワードなど) より優先させることができます。既定で、Reflection は「publickey,keyboardinteractive,password」の順番で認証を試行します。GSSAPI 認証が有効な場合、既定値は「gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password」に変更されます。
|
注意:
|
PreserveTimestamps
サーバ間でファイルを転送する時に、属性とタイムスタンプを変更するかどうかを指定します。このキーワードが「no」(既定値) の場合、タイムスタンプと属性が変更されます。「yes」の場合、ファイルの元のタイムスタンプと属性が保持されます。
Protocol
Reflection Secure Shell クライアントが対応するプロトコルバージョンを優先順に指定します。指定可能な値は「1」および「2」です。複数の値は、カンマで区切る必要があります。既定値は「2,1」で、Reflection はバージョン 2 を試行し、バージョン 2 が使用できない場合にバージョン 1 にフォールバックします。
Proxy
Secure Shell 接続に使用するプロキシの種類を指定します。対応する値は、「SOCKS」と「HTTP」です。
|
注意:この設定を使用する各 Host セクションで、プロキシの使用が有効になります。プロキシサーバアドレスは、ユーザごとに Windows レジストリに保存されます。 |
PubkeyAuthentication
公開鍵認証を試行するかどうかを指定します。このオプションは、プロトコルバージョン 2 にのみ適用されます。 指定可能な値は「yes」および「no」です。既定値は「yes」です。
RemoteCommand
リモートサーバで実行する 1 つまたは複数のコマンドを指定します。UNIX サーバへの接続時には、セミコロン (;) を使用して複数のコマンドを区切ります。Windows サーバへの接続時には、アンパサンド記号 (&) を使用してコマンドを区切ります。接続の確立後、サーバは指定したコマンドを実行 (または実行を試行) し、セッションが終了します。サーバは、クライアントから受信したコマンドの実行を許可するよう構成されている必要があります。
コマンドは、使用するサーバに合った構文を使用して指定する必要があります。例えば、以下が同じになります。
UNIX の場合:ls ; ls -l
Windows の場合:dir/w & dir
RemoteForward
安全なチャネルを介して、ローカルマシンの指定したホストとポートに転送するリモートマシンの TCP/IP ポートを指定します。最初の引数はポート番号で、2 番目の引数は host:port にする必要があります。IPv6 アドレスは、別の構文host/port を使用して指定できます。複数転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。
RSAAuthentication
RSA 認証を試行するかどうかを指定します。このオプションは、プロトコルバージョン 1 にのみ適用されます。RSA 認証は、識別情報ファイルが存在する場合のみ試行されます。 指定可能な値は「yes」および「no」です。既定値は「yes」です。
SendEnv
シェルまたはコマンドの実行前に、サーバに設定する環境変数を指定します。値の形式はVAR val にする必要があります。サーバは指定した変数に対応し、これらの環境変数を受け付けるように構成する必要があります。
ServerAlive
ServerAliveInterval で指定した間隔で、SSH サーバにサーバアライブメッセージを送信するかどうかを指定します。Secure Shell の ServerAlive 設定では、SSH プロトコルメッセージを指定した間隔でサーバに送信し、サーバが機能していることを確認します。この設定が有効になっていないと、サーバが停止するかネットワーク接続が失われた場合に SSH 接続が終了されません。この設定は、TCP セッションのみを転送する接続がサーバによって時間切れになるのを防ぐためにも使用できます。サーバは、SSH トラフィックが存在しないことの検出を理由にこれらの接続を時間切れにする場合があるからです。 指定可能な値は「yes」および「no」です。既定値は「no」です。
|
注意:Secure Shell の ServerAlive 設定は、すべての TCP/IP 接続がファイアウォールによって時間切れになるのを防ぐために Windows レジストリに設定可能な TCP キープアライブ設定 (KeepAlive) とは関係ありません。TCP/IP キープアライブの動作を変更するには、Windows レジストリを編集する必要があります。 |
ServerAliveInterval
ServerAlive = 'yes' の場合に使用する間隔 (秒単位) を指定します。1 以上の整数値を使用します。既定値は「30」です。
SftpBufferLen
SFTP 転送時に、各パケットで要求されるバイト数を指定します。既定値は「32768」です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。
SftpMaxRequests
クライアントが SFTP 転送時に許可する、未処理データ要求の最大数を指定します。既定値は「10」です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。
SftpVersion
クライアントが SFTP 接続に使用するバージョンを指定します。有効な値は 3 と 4 です。この設定が 4 (既定値) の場合、接続では (サーバが対応していれば) SFTP バージョン 4 が使用されます。また、サーバがバージョン 4 に対応していない場合はバージョン 3 が使用されます。この設定が 3 の場合、クライアントは常に SFTP バージョン 3 を使用します。注意:SFTP 4 が必要な場合は、Attachmate 技術サポートに問い合わせて、ご使用の Reflection クライアントのバージョンでこの設定が使用できることを確認してください。
StrictHostKeyChecking
引数は「yes」、「no」または「ask」にする必要があります。既定値は「ask」です。このオプションを「yes」に設定した場合、Reflection Secure Shell クライアントはホスト鍵を known_hosts ファイル (ユーザの .ssh フォルダにある) に自動的に追加せず、ホスト鍵が変更されたホストへの接続を拒否します。このオプションを使用する場合、ユーザは新しいホストを手動で追加する必要があります。このフラグを「no」に設定した場合、Reflection は確認ダイアログボックスを表示せずにホストに接続し、ホスト鍵を信頼する鍵の一覧に追加しません。このフラグを「ask」に設定した場合、ユーザが該当する鍵であることを確認してから、新しいホスト鍵がユーザ既知のホストファイルに追加されます。すべての場合、既知のホストのホスト鍵は自動的に検証されます。
|
注意:この設定は、ホストが x509 証明書を使用する認証を構成されている場合は影響しません。ホストがホスト認証のために証明書を提示し、トラストアンカとして構成された必要な CA 証明書がない場合、接続に失敗します。 |
TryEmptyPassword
このフラグを「yes」に設定した場合、クライアントは空のパスワードの入力を試行してパスワード認証を開始します。これは、ほとんどのシステムでログイン試行と見なされます。
User
ログインするユーザを指定します。これは、異なるマシンで異なるユーザ名を使用する場合に便利です。
UseOCSP
クライアントが OCSP (Online Certificate Status Protocol) を使用してホスト証明書を検証するかどうかを指定します。 指定可能な値は「yes」および「no」です。既定値は「no」です。
UserKeyCertLast
Reflection クライアントが公開鍵認証中に証明書の署名を処理する方法を指定します。この設定が「yes」(既定) の場合、クライアントは最初に標準の ssh 鍵署名 (ssh-rsa または ssh-dss) を使用して証明書を送信します。それに失敗すると、クライアントは再び証明書署名 (x509-sign-rsa または x509-sign-dss) の使用を試みます。場合によっては、この 2 番目の試みが行われず、認証が失敗します。この設定が「no」の場合、クライアントは最初に証明書署名を試み、次に ssh 鍵署名を試みます。
UserKnownHostsFile
known_hosts ファイル (ユーザの .ssh フォルダにある) の代わりに使用する、ユーザホスト鍵データベース用のファイルを指定します。 ファイルまたはパスが空白を含む場合、引用符を使用します。
x509dsasigtype
DSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。指定可能な値は「sha1raw」(既定値) と「sha1asn1」です。
x509rsasigtype
RSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。指定可能な値は「md5」、「sha1」(既定値)、および「sha256md5」です。
X11Display
X11 転送が有効な場合、X11 プロトコルが通信する PC のローカルループバックインタフェース上のポートを転送するかどうかを決定します。
|
注意:Reflection X (バージョン 12.x、13.x、または 14.x) を使用している場合は、このキーワードを構成する必要はありません。Reflection X サーバと Reflection Secure Shell クライアントは自動的に同期して、X サーバ表示設定 ([設定] - [表示] - X 表示番号) に基づく適切なポートを使用します。この場合、X11Display キーワードは無視されます。別の PC X サーバを使用する場合は、このキーワードを使用して、PC X サーバに定義されている適切なリスニングポートを指定します。 |
既定値は、[0] です。これにより、ポート 6000 への転送が構成されます。このポートは、X11 プロトコル規約で定義された既定のリスニングポートです。指定する表示値は実際のリスニングポートを決定するために、6000 に追加されます。例えば、X11Display を 20 に設定した場合、Secure Shell クライアントにとって、PC-X サーバがポート 6020 で待ち受けしていることを意味します。
 |