Schlüsselwortreferenz für Konfigurationsdateien – Secure Shell-Einstellungen

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet, wenn ForwardAgent auf "yes" gesetzt ist. Wenn die Authentifizierung öffentlicher Schlüssel beim Server erfolgreich ist und sowohl ForwardAgent als auch AddAuthKeyToAgent auf "yes" gesetzt sind, wird der Schlüssel oder das Zertifikat, der bzw. das für die Authentifizierung verwendet wurde, automatisch dem Schlüsselagenten hinzugefügt. Dieser Schlüssel wird im Schlüsselagenten nicht gespeichert, bleibt jedoch verfügbar, während der Schlüsselagent ausgeführt wird. Wenn "ddAuthKeyToAgent" auf "no" gesetzt ist (Standardwert), werden Schlüssel und Zertifikate nicht automatisch dem Schlüsselagenten hinzugefügt. Es werden dann nur die Schlüssel verwendet, die bereits manuell importiert wurden.

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet. Wenn die Einstellung auf "no" gesetzt ist (Standardwert), führt der Client die Authentifizierung nur mit dem Schlüssel (oder den Schlüsseln) durch, die Sie unter Verwendung des Schlüsselworts IdentityFile angegeben haben. Wenn die Einstellung auf "yes" gesetzt ist, führt der Client die Authentifizierung unter Verwendung aller verfügbaren öffentlichen Schlüssel durch.

Legt fest, ob alle Anfragen zu Benutzereingaben, z. B. Eingabeaufforderungen zu Kennwort und Passphrase, deaktiviert werden. Dies ist hilfreich bei Skripts und Sammelaufträgen. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Legt bei Computern mit mehreren Schnittstellen oder Alias-Adressen die Übermittlungsschnittstelle fest.

Gibt an, ob die Authentifizierung mit Beschränkung/Antwort verwendet wird. Das Argument muss "yes" oder "no" lauten. Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Die Standardeinstellung ist "yes". Dies gilt nur für SSH-Protokoll 1. Diese Version wird zwar unterstützt, ihre Verwendung wird aber nicht empfohlen. Verwenden Sie KbdInteractiveAuthentication für SSH-Protokollversion 2.

Wenn "yes" festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel die Host-IP-Adresse in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn Host-IP in der Liste der bekannten Hosts mit der IP-Adresse übereinstimmt, die Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

Wenn "yes" festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel den Hostanschluss in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn der Hostanschluss in der Liste der bekannten Hosts mit dem Anschluss übereinstimmt, den Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

Legt die Verschlüsselungsart für die Verbindung in der Protokollversion 1 fest. Derzeit werden "blowfish", "3des" und "des" unterstützt. "des" wird jedoch vom Secure Shell-Client nur zum Zwecke der Kompatibilität mit früheren Implementierungen von Protokoll 1 unterstützt, bei denen keine 3des-Verschlüsselung möglich ist. Ansonsten sollte von dieser Verschlüsselung aufgrund kryptographischer Schwächen abgesehen werden. Die Standardeinstellung ist "3des".

Legt die für die Protokollversion 2 zulässigen Verschlüsselungsverfahren in der bevorzugten Reihenfolge fest. Mehrere Verschlüsselungen werden durch Kommata voneinander abgegrenzt. Die Standardeinstellung lautet "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

Löscht alle lokalen, entfernten oder dynamisch weitergeleiteten Anschlüsse, die bereits durch eine Konfigurationsdatei oder die Befehlszeile bearbeitet wurden. Hinweis: scp und sftp löschen automatisch alle weitergeleiteten Anschlüsse unabhängig davon, welcher Wert festgelegt ist. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Bestimmt, ob die Komprimierung aktiviert ist. Die Komprimierung ist bei Modemverbindungen und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeiten. Außerdem ist das Paket durch die Komprimierung für potenzielle Angreifer noch schwerer zu entschlüsseln. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Legt den Komprimierungsgrad fest, wenn die Komprimierung aktiviert ist. Diese Option gilt nur für Version 1 des Protokolls. Das Argument muss eine ganze Zahl zwischen 1 (schnell) und 9 (langsam, empfohlen) sein. Voreingestellt ist "6". Diese Komprimierung funktioniert bei den meisten Anwendungen gut. Die Werte haben die gleiche Bedeutung wie bei "gzip".

Gibt an, wie viele Versuche (einer pro Sekunde) unternommen werden, bevor ein Abbruch erfolgt. Das Argument muss eine ganze Zahl sein. Dieses Schlüsselwort kann bei Skripts nützlich sein, wenn die Verbindung manchmal fehlschlägt. Der Standardwert ist 1.

Legt fest, ob mehrere Sitzungen auf demselben Host die ursprüngliche Secure Shell-Verbindung wiederverwenden und daher keine erneute Authentifizierung erfordern. Das Argument muss "yes" oder "no" lauten. Bei "yes" wird der bestehende Tunnel auch dann für neue Verbindungen verwendet, wenn der Hostname, der Benutzername und der Abschnitt in der SSH-Konfigurationsdatei (sofern verwendet) übereinstimmen. Bei "no" stellt Reflection für jede Sitzung eine neue Verbindung her. Der Authentifizierungsvorgang wird also für jede neue Verbindung erneut ausgeführt, und Änderungen an den verbindungsspezifischen Einstellungen (z. B. Vorwärtskanäle und Schlüssel) werden angewendet. Für Verbindungen, die über das Reflection-Fenster hergestellt werden, ist die Standardeinstellung "yes". Wenn Sie Verbindungen über die Befehlszeilen-Dienstprogramme herstellen, ist die Standardeinstellung "no". Weitere Informationen finden Sie in Verbindungen in Secure Shell-Sitzungen wiederverwenden.

Gibt die maximale Zeitspanne (in Sekunden) ein, die der Client wartet, wenn er versucht, die Verbindung zum Server herzustellen. Der Timer wird gestartet, wenn die Verbindung hergestellt wurde (vor der Anmeldung), und läuft während der Aushandlung der Einstellungen, des Austauschs des Hostschlüssels und der Authentifizierung weiter. Aus praktischer Sicht umfasst der gemessene Zeitraum die Authentifizierungsaktivitäten. Der Standardwert ist 120.

Legt fest, ob bei der Überprüfung der Hostzertifikate eine Prüfung der CRL-Liste (CRL, Certificate Revocation List) auf widerrufene Zertifikate erfolgt. Wenn Sie diese Option auf "yes" setzen, wird die CRL-Prüfung deaktiviert. Der Standardwert für diese Einstellung hängt von Ihren aktuellen Systemeinstellungen für die CRL-Prüfung ab. Um die Systemeinstellungen anzuzeigen und zu bearbeiten, starten Sie Internet Explorer und wählen Extras > Internetoptionen > Erweitert aus. Überprüfen Sie, ob unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen aktiviert ist.

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal weitergeleitet wird. Daraufhin wird durch das Anwendungsprotokoll bestimmt, mit welchem Anschluss der Remotecomputer eine Verbindung aufbaut. Das Argument muss eine Anschlussnummer sein. Zur Zeit wird das SOCKS4-Protokoll unterstützt. Reflection Secure Shell dient in diesem Fall als SOCKS4-Server. Es können mehrere Weiterleitungen angegeben werden. Außerdem können in der Befehlszeile zusätzliche Weiterleitungen eingegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

Legt das Escape-Zeichen fest (Standard: '~'). Dieses Escape-Zeichen kann auch in der Befehlszeile festgelegt werden. Das Argument muss ein einzelnes Zeichen ("^") sein, gefolgt von einem Buchstaben oder "none", um das Escape-Zeichen zu deaktivieren (die Verbindung wird transparent für binäre Daten).

Wenn diese Einstellung auf "yes" gesetzt ist, müssen alle Verbindungen mithilfe von Sicherheitsprotokollen und Algorithmen hergestellt werden, die dem FIPS-140-2-Standard (Federal Information Processing Standard) der US-Regierung entsprechen. Optionen, die diesem Standard nicht entsprechen, sind in der Registerkarte Verschlüsselung nicht verfügbar.

Wenn Sie diese Option auf "yes" setzen, aktivieren Sie die Weiterleitung der Verbindung zum Schlüsselagenten. Gehen Sie bei der Aktivierung der Agentenweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost (für das Unix Domain Socket des Agenten) umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann den Schlüssel aber so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann. Die Option muss gegebenenfalls auch auf dem Server aktiviert werden. Die Standardeinstellung ist "no".

Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no". (Hinweis: Zur Konfiguration von Secure Shell in Reflection X siehe ForwardX11ReflectionX.)

Diese Einstellung wird nur verwendet, wenn Sie Secure Shell-Verbindungen für Reflection X konfigurieren (ab 14.1). Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Voreingestellt ist "yes".

Legt fest, ob externe Hosts eine Verbindung mit lokalen weitergeleiteten Anschlüssen herstellen können. Standardmäßig verbindet Reflection Secure Shell lokale Anschlussweiterleitungen mit der LOOPBACK-Adresse. Damit wird verhindert, dass andere Fernhosts eine Verbindung zu weitergeleiteten Anschlüssen herstellen. Mit GatewayPorts können Sie festlegen, dass Reflection Secure Shell lokale Anschlussweiterleitungen mit der Platzhalteradresse verbindet, damit Remotehosts eine Verbindung mit weitergeleiteten Anschlüssen herstellen können. Überlegen Sie sich gründlich, ob Sie diese Einstellung aktivieren möchten. Mit ihr kann die Sicherheit Ihres Netzwerks und Ihrer Verbindung verringert werden, da sie zulassen kann, dass entfernte Hosts den weitergeleiteten Anschluss auf Ihrem System ohne Authentifizierung nutzen. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no".

Legt eine Datei fest, die statt der Standarddatei "ssh_known_hosts" im Windows-Ordner für gemeinsam genutzte Anwendungsdaten für die Datenbank mit globalen Hostschlüsseln verwendet werden soll.

Legt fest, ob für ein Kerberos-KDC die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosAuthentication.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Gibt an, ob GSSAPI verwendet wird, um das Kerberos-TGT (krbtgt) an den Host weiterzuleiten. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosTgtPassing.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Legt fest, ob die Microsoft Security Support Provider-Schnittstelle (SSPI) für die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur, wenn die Kerberos-/GSSAPI-Authentifizierung aktiviert ist (unter Verwendung von GssapiAuthentication für Protokollversion 2 und KerberosAuthentication für Protokollversion 1). Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Secure Shell-Client den Reflection Kerberos-Client für die GSSAPI-Authentifizierung. Wenn diese Einstellung auf "yes" gesetzt ist, verwendet der Secure Shell-Client für die Authentifizierung beim Secure Shell-Server Ihre Anmeldeinformationen (SSPI) für die Windows-Domäne. SSPI ist nur für Protokoll-2-Verbindungen verfügbar, und der Server muss die Authentifizierungsmethode GSSAPI-with-mic unterstützen. Die Standardeinstellung ist "yes".

Legt einen nicht standardmäßigen Dienst-Benutzernamen fest, der verwendet wird, wenn der Client eine Anforderung für ein Service-Ticket an das KDC (Kerberos Key Distribution Center) sendet. Wenn Sie SSPI als GSSAPI-Modul ausgewählt haben, können Sie mit dieser Einstellung einen Dienstteilnehmer in einem anderen Gültigkeitsbereich als der Windows-Domäne festlegen. Verwenden Sie einen vollständigen Hostnamen gefolgt von "@" und dem Namen des Gültigkeitsbereichs, z. B. meinhost.meingueltigkeitsbereich.com@MEINGUELTIGKEITSBEREICH.COM. (Standardmäßig entspricht der Wert des Hostnamens dem Namen des Secure Shell-Servers, mit dem Sie eine Verbindung aufbauen. Der Gültigkeitsbereich ist abhängig vom Wert für GssapiUseSSPI. Wenn GssapiUseSSPI auf "no" gesetzt ist, ist der Name des Gültigkeitsbereichs in Ihrem Standardbenutzerprofil festgelegt. Wenn GssapiUseSSPI auf "yes" gesetzt ist, wird als Gültigkeitsbereich der Name Ihrer Windows-Domäne verwendet.)

Schränkt die nachfolgenden Deklarationen (bis zum nächsten Hostschlüsselwort) auf den angegebenen Abschnitt in der SSH-Konfigurationsdatei ein. Die Zeichen "*" und "?" können als Platzhalter verwendet werden. Ein einziges "*" als Muster weist auf globale Standardwerte für alle Hosts hin. Verbindungen über Reflection verwenden die erste übereinstimmende Host-Zeichenfolge, die (unter Berücksichtigung von Platzhalterzeichen) gefunden wird. Alle nachfolgenden Übereinstimmungen bleiben unberücksichtigt.

Legt die vom Client verwendeten Hostschlüsselalgorithmen in der bevorzugten Reihenfolge fest. Der Standardwert für diese Option ist "x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss". Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Der Standardwert präsentiert x509-Algorithmen vor regulären SSH-Schlüsselalgorithmen. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Authentifizierungsmethoden und Versuche möglich.) Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl, sofern x509-Algorithmen bevorzugt werden. In diesem Fall können Sie den Client so konfigurieren, dass SSH-Schlüssel vor Zertifikaten bevorzugt werden, indem Sie die bevorzugte Reihenfolge in "ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss, x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss" ändern.

Gibt einen Alias an, der anstelle des wirklichen Hostnamens zum Suchen oder Speichern des Hostschlüssels in den Dateien der Hostschlüsseldatenbank verwendet werden kann. Diese Option eignet sich dazu, SSH-Verbindungen zu umgehen oder für mehrere Server, die auf dem gleichen Host ausgeführt werden.

Gibt eine privaten Schlüssel für die Authentifizierung an. Die Dateien befinden sich im .ssh-Benutzerordner. (\Benutzer\Benutzername\Dokumente\Micro Focus\Reflection\.ssh\). Optionen für IdentifyFile werden hinzugefügt, wenn Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel Schlüssel oder Zertifikate in der Liste auswählen. In den Konfigurationsdateien können mehrere Kennungsdateien angegeben werden, deren Kennungen dann nacheinander ausprobiert werden.

Legt fest, ob die Authentifizierung interaktiv über die Tastatur erfolgen soll. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Unter Umständen funktioniert diese Methode sogar besser als PasswordAuthentication für die Kennwortauthentifizierung auf Hosts, für die definierte Kennwörter regelmäßig ablaufen oder bei der ersten Anmeldung geändert werden müssen. Sie kann auch zur Kennwortauthentifizierung erforderlich sein, wenn abgelaufene Kennwörter zurückgesetzt werden müssen, um eine erfolgreiche Authentifizierung zu ermöglichen. Dies gilt nur für SSH-Protokoll 2. Verwenden Sie ChallengeResponseAuthentication für SSH-Protokollversion 1.

Legt fest, ob das System TCP-Lebenszeichen an die andere Seite senden soll. Wenn diese Meldungen versendet werden, kann der Abbruch einer Verbindung oder der Absturz einer der Rechner erkannt werden. Die Standardeinstellung ist "yes" (Aktivhaltungsmeldungen werden versendet), d. h., der Client kann einen Ausfall des Netzwerks oder Remotehosts feststellen. Das ist besonders bei Skripts von Bedeutung und außerdem sehr hilfreich für die Benutzer. Es bedeutet aber auch, dass die Verbindung jedes Mal getrennt wird, wenn die Route zeitweise nicht verfügbar ist; ein Umstand, der von einigen Benutzern als störend empfunden wird. Um das Versenden dieser Meldungen zu deaktivieren, wählen Sie "no". Dieses Schlüsselwort aktiviert die Windows TCP-Aktivhaltungseinstellung, die standardmäßig alle zwei Stunden Mitteilungen zur Verbindungsüberwachung sendet. Die TCP/IP-Aktivhaltungseinstellung kann mit zwei optionalen Parametern konfiguriert werden, die normalerweise nicht in der Windows-Registrierung vorkommen: KeepAliveTime und KeepAliveInterval. Die Konfiguration dieser Parameter erfolgt in der Teilstruktur HKEY_LOCAL_MACHINE der Registrierung unter:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Informationen zum Festlegen dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel Nr. 120642.

Gibt an, ob die Authentifizierung mit Kerberos für Protokoll-1-Verbindungen verwendet wird. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiAuthentication.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

Bestimmt, ob ein Kerberos-Teilnehmerticket (TGT) an den Server weitergeleitet wird. Dies funktioniert nur, wenn es sich beim Kerberos-Server um einen AFS-Kaserver handelt. Diese Einstellung gilt nur für die Protokollversion 1. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiDelegateCredentials.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

Gibt an, welche Schlüsselaustauschalgorithmen der Client unterstützt und in welcher Reihenfolge diese angefordert werden. Die unterstützten Werte sind "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" und "diffie-hellman-group14-sha1". Die Standardeinstellung lautet "diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1". Gelegentlich müssen Sie die Reihenfolge der Schlüsselaustauschalgorithmen so umstellen, dass diffie-hellman-group14-sha1 vor den anderen beiden steht. Dies ist nötig, wenn Sie hmac-sha512 MAC verwenden möchten oder wenn beim Schlüsselaustausch der folgende Fehler ausgegeben wird: "fatal: dh_gen_key: group too small: 1024 (2*need 1024)".

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal an den angegebenen Host und Anschluss des Remotecomputers weitergeleitet wird. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. Sie können optionale Argumente für die FTP-Weiterleitung, die Konfiguration eines entfernten Desktops und das automatische Starten einer ausführbaren Datei (*.exe) auch konfigurieren, nachdem die Verbindung hergestellt worden ist. Die Syntax für dieses Schlüsselwort lautet wie folgt:

LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]

Die Optionen sind:

Gibt eine Protokolldatei an, die zur Fehlersuche herangezogen werden kann. Alle während der Sitzung vorgenommenen Eingaben und Ausgaben werden in dieser Datei gespeichert. Verwenden Sie das Schlüsselwort mit der Befehlszeilen-Dienstprogrammoption -o wie im Folgenden beschrieben:

-o Logfile=\Pfad\Name_der_Protokolldatei

Gibt an, wie ausführlich Meldungen vom Secure Shell-Client protokolliert werden. Mögliche Werte sind QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Der Standardwert ist INFO. DEBUG und DEBUG1 sind gleichbedeutend. DEBUG2 und DEBUG3 stehen für eine jeweils ausführlichere Ausgabe.

Gibt die MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungs-Code) in der bevorzugten Reihenfolge an. MAC-Algorithmen werden in der Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen werden durch ein Komma voneinander getrennt. Der Standardwert ist "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-sha512, hmac-sha2-512".

Legt fest, ob bei der Überprüfung der Hostzertifikate ein Hostnamensvergleich erforderlich ist. Wenn dieses Kontrollkästchen auf 'yes' gesetzt ist (Standardeinstellung), muss der für die Sitzung konfigurierte Hostname genau mit einem der Hostnamen übereinstimmen, die im Feld CommonName oder SubjectAltName des Zertifikats eingegeben wurden.

Konfiguriert Multi-Hop-Einstellungen, mit denen sichere Verbindungen über eine Reihe von SSH-Servern hergestellt werden können. Dies ist nützlich, wenn Ihre Netzwerkkonfiguration keinen direkten Zugriff auf einen entfernten Server zulässt, der Zugriff über zwischengeschaltete Server jedoch möglich ist.

Die Syntax für dieses Schlüsselwort lautet wie folgt:

Multihop localport host:hostport ["Abschnitt in SSH-Config-Datei"]

Fügen Sie für jeden Server in der Reihe eine neue Multi-Hop-Zeile hinzu. Jede Verbindung in der Liste wird durch den Tunnel gesendet, der durch die Verbindung darüber hergestellt wird.

Im folgenden Beispiel sind SSH-Verbindungen zu ServerC so konfiguriert, dass zunächst eine Verbindung zu ServerA, dann zu ServerB und schließlich zu ServerC hergestellt wird.

• Host ServerC
• Multihop 2022 ServerA:22
• Multihop 3022 ServerB:22

Sie können optional einen Namen der SSH-Konfigurationsdatei angeben, um Secure Shell-Einstellungen für jeden Host in der Kette zu konfigurieren. Beispiel:

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"

Diese Einstellung bezieht sich auf eine von Microsoft vorgenommene Änderung, durch die der Nagle-Algorithmus für Windows-TCP-Sockets standardmäßig aktiviert wird, was sich negativ auf die Leistung von Secure Shell-Verbindungen auswirken kann. Indem Sie Nodelay auf "yes" (die Standardeinstellung) setzen, wird dieser Algorithmus deaktiviert und die Leistung auf den meisten Systemen verbessert.

Wenn NoShell auf "yes" gesetzt ist, erstellt der Client einen Tunnel, ohne eine Terminalsitzung zu öffnen. Diese Option kann in Verbindung mit der Option "ConnectionReuse" aktiviert werden, um einen Tunnel zu erstellen, der von anderen SSH-Verbindungen erneut verwendet werden kann. Hinweis: Diese Option wirkt sich auf die Verbindungen aus, die mit dem Befehlszeilenprogramm hergestellt wurde; sie ist nicht für die Verwendung mit der Benutzeroberfläche vorgesehen.

Gibt an, wie oft zur Eingabe des Kennworts aufgefordert wird, bevor abgebrochen wird. Für dieses Schlüsselwort muss das Argument eine ganze Zahl sein. Der Standardwert ist 3.

Legt fest, ob die Kennwortauthentifizierung verwendet wird. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Gibt die Anschlussnummer auf dem entfernten Host an. Der Standardwert ist 22.

Bestimmt die Reihenfolge, in der der Client die Authentifizierungsmethoden von Protokoll 2 testet. Dies entspricht der Reihenfolge (von oben nach unten), in der die Methoden in der Liste Benutzerauthentifizierung der Registerkarte Allgemein (Dialogfeld Reflection Secure Shell-Einstellungen) angezeigt werden. Mit dieser Einstellung wird es dem Client ermöglicht, eine Methode (wie z. B. keyboardinteractive = interaktiv über Tastatur) einer anderen (z. B. password = Kennwort) vorzuziehen. Standardmäßig führt Reflection die Authentifizierung in der folgenden Reihenfolge durch: "publickey,keyboard-interactive,password". Wenn die GSSAPI-Authentifizierung aktiviert ist, ändert sich die Standardreihenfolge folgendermaßen: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".

Gibt an, ob Dateiattribute und Zeitstempel bearbeitet werden, wenn Dateien vom und an den Server übertragen werden. Wenn das Schlüsselwort "no" ist (Standardeinstellung), werden Zeitstempel und Attribute geändert. Lautet das Schlüsselwort "yes", behalten die Dateien ihre ursprünglichen Zeitstempel und Attribute.

Gibt die Protokollversionen an, die der Reflection Secure Shell-Client in der angegebenen Reihenfolge unterstützen soll. Die möglichen Werte sind "1" und "2". Mehrere Werte werden durch ein Komma voneinander getrennt. Der Standardwert ist "2 dann 1". Das bedeutet, dass Reflection zuerst Version 2 versucht. Erst wenn diese Version nicht verfügbar ist, greift Reflection auf Version 1 zurück.

Legt den Proxytyp für Secure Shell-Verbindungen fest. Die unterstützten Werte lauten "SOCKS" und "HTTP".

Gibt die Schlüsselalgorithmen in der festgelegten Reihenfolge an, in der sie der Client dem Server anzeigt. Wenn der Server nur für einen Algorithmus konfiguriert ist, können Sie dieses Schlüsselwort so festlegen, dass nur die entsprechende Option angezeigt wird.

Verfügbare Werte: x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, x509v3-ssh-rsa, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss.

Legt fest, ob versucht werden soll, eine Authentifizierung mit öffentlichen Schlüsseln durchzuführen. Diese Option gilt nur für Version 2 des Protokolls. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Legt einen oder mehrere Befehle fest, die auf dem entfernten Server ausgeführt werden sollen. Bei der Herstellung einer Verbindung mit einem UNIX-Server müssen mehrere Befehle durch ein Semikolon (;) abgegrenzt werden. Bei der Herstellung einer Verbindung zu einem Windows-Server müssen Befehle durch ein Und-Zeichen (&) abgegrenzt werden. Wenn die Verbindung aufgebaut ist, führt der Server den bzw. die angegebenen Befehl(e) aus, oder zumindest versucht er es. Danach wird die Sitzung beendet. Der Server muss entsprechend konfiguriert sein, damit er die Befehle, die der Client sendet, zulässt und ausführt.

Befehle müssen in der von Ihrem Server verwendeten Syntax angegeben werden. So sind beispielsweise die folgenden Informationen identisch:

Unter UNIX: ls ; ls -l

Unter Windows: dir/w & dir

Legt fest, dass ein TCP/IP-Anschluss auf dem externen Rechner über den sicheren Kanal an den angegebenen Host und den angegebenen Anschluss des lokalen Rechners weitergeleitet wird. Das erste Argument muss eine Anschlussnummer sein und das zweite host:port. Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

Legt fest, ob die RSA-Authentifizierung verwendet wird. Diese Option gilt nur für Version 1 des Protokolls. Die RSA-Authentifizierung wird nur ausprobiert, wenn die entsprechenden Kennungsdateien vorhanden sind. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Gibt eine Umgebungsvariable an, die auf dem Server eingestellt werden muss, bevor Shells oder Befehle ausgeführt werden können. Der Wert muss das folgende Format aufweisen: VAR val. Der Server muss die angegebene Variable unterstützen und so konfiguriert sein, dass er Umgebungsvariablen akzeptiert.

Legt fest, dass Meldungen zum Aktivhalten des Servers in dem durch ServerAliveInterval angegebenen Intervall an den SSH-Server gesendet werden. Die Secure Shell-Einstellung ServerAlive sendet in festgelegten Intervallen eine SSH-Protokollmeldung an den Server, damit sichergestellt ist, dass dieser noch funktioniert. Wenn diese Einstellung nicht aktiviert ist, wird die SSH-Verbindung nicht getrennt, wenn der Server abstürzt oder die Netzwerkverbindung getrennt wird. Mit dieser Einstellung kann auch verhindert werden, dass Verbindungen, die nur TCP-Sitzungen weiterleiten, aufgrund einer Zeitüberschreitung abgebrochen werden; dies ist möglicherweise der Fall, wenn der Server keinen SSH-Verkehr feststellen kann. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Legt das Intervall (in Sekunden) fest, wenn ServerAlive auf "yes" gesetzt ist. Geben Sie eine ganze Zahl größer als Null an. Der Standardwert ist 30.

Gibt das zu verwendende Schlüsselformat beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welches Schlüsselformat verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind "OpenSSH" und "SECSH".

Gibt die Konfigurationseinstellungen des öffentlichen Schlüssels für den Host beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welcher Hoststil verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind "UNIX" und "VMS".

Legt die Anzahl der Bytes fest, die während SFTP-Übertragungen pro Paket angefordert werden. Der Standardwert ist 32768. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Server-Konfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

Legt die maximale Anzahl ausstehender Datenanforderungen fest, die der Client bei einer SFTP-Übertragung zulässt. Der Standardwert ist 10. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Server-Konfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

Gibt die Version an, die der Client für SFTP-Verbindungen verwendet. Gültige Werte sind "3" und "4". Wenn für diese Einstellung der Wert "4" festgelegt ist (Standardwert), wird bei der Verbindung SFTP-Version 4 verwendet, sofern der Server dies unterstützt. Wenn der Server Version 4 nicht unterstützt, wird automatisch Version 3 verwendet. Wenn für diese Einstellung der Wert "3" festgelegt ist, verwendet der Client immer SFTP-Version 3.

Das Argument ist "yes", "no" oder "ask". Voreingestellt ist "ask". Wenn diese Option auf "yes" gesetzt ist, fügt der Secure Shell-Client der Datei "known_hosts" im .ssh-Benutzerordner nie automatisch Hostschlüssel hinzu und stellt keine Verbindung zu Hosts her, deren Schlüssel geändert wurde. Durch diese Option wird der Benutzer gezwungen, alle neuen Hosts manuell hinzuzufügen. Wenn "no" eingestellt ist, stellt Reflection die Verbindung zum Host her, ohne ein Bestätigungsdialogfeld einzublenden, und nimmt den Hostschlüssel nicht in die Liste der registrierten Schlüssel auf. Bei der Einstellung "ask" werden den Dateien der bekannten Hosts neue Hostschlüssel hinzugefügt, sofern der Benutzer diese bestätigt. Die Hostschlüssel bekannter Hosts werden in jedem Fall automatisch verifiziert.

Wenn "yes" festgelegt ist, startet der Client die Kennwortauthentifizierung mit dem Versuch, ein leeres Kennwort einzugeben. Dieser Versuch wird von den meisten Systemen als Anmeldeversuch gewertet.

Legt den Benutzernamen fest. Dies ist besonders nützlich, wenn auf mehreren Rechnern unterschiedliche Benutzernamen verwendet werden.

Legt fest, ob der Client das OSCP (Online Certificate Status Protocol) zur Validierung von Hostzertifikaten verwendet. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Legt fest, wie der Client die Signatur für Zertifikate bei der Authentifizierung mit öffentlichen Schlüsseln behandelt. Wenn diese Einstellung auf "yes" gesetzt ist (Standardwert), sendet der Client das Zertifikat zuerst mit einer Standard-ssh-Schlüsselsignatur (ssh-rsa oder ssh-dss). Wenn dies fehlschlägt, unternimmt der Client einen neuen Versuch unter Verwendung einer Zertifikatsignatur (x509-sign-rsa oder x509-sign-dss). In manchen Fällen findet dieser zweite Versuch nicht statt, und die Authentifizierung schlägt fehl. Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Client für den ersten Versuch die Zertifikatsignatur und anschließend die SSH-Schlüsselsignatur.

Gibt eine Datei an, die anstelle der Datei known_hosts (im .ssh-Benutzerordner) für die Hostschlüsseldatenbank des Benutzers verwendet werden soll. Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält.

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten DSA-Schlüsseln nachzuweisen. Mögliche Werte sind "sha1raw" (Standardeinstellung) und "sha1asn1".

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten RSA-Schlüsseln nachzuweisen. Mögliche Werte sind "md5", "sha1" (Standardeinstellung) und "sha256".

Legt den Anschluss an der lokalen LOOPBACK-Schnittstelle des Rechners fest, an den X11-basierte Kommunikation weitergeleitet wird, wenn die X11-Weiterleitung aktiviert ist.

Der Standardwert ist 0. Dadurch wird die Weiterleitung an den Anschluss 6000 konfiguriert. Dies ist der Standardempfangsanschluss, der durch das X11-Protokoll definiert ist. Der von Ihnen angegebene Anzeigewert wird 6000 hinzugefügt, um den tatsächlichen Empfangsanschluss zu bestimmen. Legen Sie beispielsweise X11Display auf 20 fest, zeigt dies dem Secure Shell-Client an, dass der PC X Server an Anschluss 6020 empfängt.