Secure Shell 構成ファイルを手動で編集する場合に、この参照を使用します。構成ファイルは、キーワード Host によってそれぞれ識別されるセクションに分かれています。各セクションでは、指定したホストまたは SSH 構成セクションを使用する、すべての接続に使用される Secure Shell 設定を指定します。
構成ファイルは、キーワードの後に値が続きます。構成オプションは、空白またはオプションの空白と 1 つの等号 (=) で区切ることができます。キーワードは大文字と小文字を区別しませんが、引数は大文字と小文字を区別します。
番号記号 (#) で始まる行はコメントです。空の行は無視されます。
メモ:この一覧の項目では、Secure Shell 接続に影響する機能を構成します。その他のキーワードは、ssh コマンドラインセッションの端末エミュレーションの構成に使用できます。これらのキーワードに関する詳しい説明は、「構成ファイルのキーワード参照 - 端末エミュレーション設定」を参照してください。
この設定は、ForwardAgent が「yes」に設定されている場合に、クライアントの公開鍵認証の処理方法に影響します。サーバの公開鍵認証が成功し、ForwardAgent と AddAuthKeyToAgent の両方が「yes」に設定されている場合、認証に使用された鍵や証明書は 鍵エージェントに自動的に追加されます。この鍵は鍵エージェントには保存されませんが、鍵エージェントが実行されている間は使用できます。AddAuthKeyToAgent が「no」(既定値) に設定されている場合、鍵と証明書が鍵エージェントに自動的に追加されることはありません。鍵エージェントは、手動でインポートされた鍵のみを使用します。
この設定を使用すると、使用するものをクライアントが選択できるようになります。両方が選択されている場合、列挙では証明書と鍵の両方が別々のオプションとして提供されます。[certs(証明書)]が選択されている場合は、証明書のみを使用して署名が要求されます。[keys(鍵)]が選択されている場合、証明書に含まれる鍵を使用して署名が要求され、エージェントは鍵のみを使用するようになりました。提供される順序は、初期接続に基づいて設定されます。たとえば、キーのみを使用して接続する場合、エージェントの転送ではキーが列挙され、証明書が列挙されます。
この設定は、クライアントの公開鍵認証の処理方法に影響します。この設定が「no」(既定値) の場合、クライアントは IdentityFile というキーワードを使用して指定した 1 つまたは複数の鍵のみを使用して認証しようとします。この設定が「yes」の場合、クライアントは使用できる公開鍵全部を使用して認証しようとします。
スクリプトおよびバッチジョブに使用可能なパスワードメッセージおよびパスフレーズメッセージを含む、ユーザ入力要求をすべて無効にするかどうかを指定します。指定可能な値は「yes」および「no」です。既定値は「no」です。
メモ:このキーワードは、キーボード対話型の認証構成時のユーザ入力要求を無効にしませんが、BatchMode 有効時にキーボード対話型を使用する接続は失敗します。
複数インタフェースまたは別名アドレスを使用して、コンピュータから送信するインタフェースを指定します。
このフラグを「yes」に設定した場合、 Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホスト IP アドレスを確認します。既知のホスト一覧のホスト IP が、接続に使用している IP アドレスに一致する場合にのみ、接続が許可されます。既定値は「no」です。メモ: StrictHostKeyChecking が「no」の場合、この設定は適用されません。
このフラグを「yes」に設定した場合、 Secure Shell クライアントは、ホストの公開鍵のほか、known_hosts ファイルのホストポートを確認します。既知のホスト一覧のホストポートが、接続に使用しているポートに一致する場合にのみ、接続が許可されます。既定値は「no」です。メモ: StrictHostKeyChecking が「no」の場合、この設定は適用されません。
プロトコルバージョン 2 に使用可能な暗号を優先順に指定します。複数の暗号は、カンマで区切る必要があります。既定値は、「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour」です。接続が FIPS モードで行われるように設定されている場合、既定値は「aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc」です。
ローカル転送、リモート転送、または動的転送されたポートのうち、既に処理されたすべてのポートを構成ファイルまたはコマンドラインからクリアします。メモ: scp および sftp は、この設定に関係なく、すべての転送ポートを自動的にクリアします。指定可能な値は「yes」および「no」です。既定値は「no」です。
圧縮を有効にするかどうかを指定します。圧縮は、モデム回線などの低速接続には向いていますが、高速ネットワークでは応答速度を低下させます。また、圧縮はパケットをより不規則にするため、悪意のある人物がパケットを解読することが難しくなります。指定可能な値は「yes」および「no」です。既定値は「no」です。
終了前に試行する回数 (1 秒間に 1 回) を指定します。引数は整数にする必要があります。これは、接続に失敗することがある場合にスクリプトで使用できます。デフォルト値は1です。
同一ホストへの複数のセッションで元の Secure Shell 接続を再利用するかどうかを指定します。このため、再認証が不要となります。引数は「yes」または「no」にする必要があります。「yes」に設定すると、ホスト名、ユーザ名、SSH 構成セクション (使用する場合) がすべて一致する場合、新しい接続は既存のトンネルを再利用します。「no」に設定すると、Reflection ではセッションごとに新しい接続を確立します。つまり、新しい接続ごとに認証処理を繰り返し、変更された接続固有の設定 (転送および暗号など) も適用されます。Reflection ウィンドウを使用した接続で接続する場合、既定値は「yes」になります。接続に コマンドラインユーティリティを使用している場合は「no」になります。詳細については、Secure Shell セッションにおける接続の再利用を参照してください。
サーバへの接続完了を試行している時にクライアントが待機する最大時間 (秒単位) を指定します。タイマーは、接続の確立時 (ログオン前) に開始して、設定、ホスト鍵交換、および認証中に稼働します。実際には、タイマーは基本的に認証処理の間に稼働します。デフォルト値は120です。
ホスト証明書の検証時に CRL (Certificate Revocation List) の確認を行うかどうかを指定します。これを「yes」に設定すると、CRL の確認が無効になります。この設定の既定値は、CRL の確認に関する現在のシステム設定に従います。システム設定を表示して編集するには、Internet Explorer を起動して、[ツール] - [インターネットオプション] - [詳細設定] コマンドに進みます。[セキュリティ] の下の [サーバ証明書の取り消しを確認する] を探します。
安全なチャネルを介して転送するローカルマシンの TCP/IP ポートを指定します。アプリケーションプロトコルは、リモートマシンと接続する場所を決定するために使用されます。引数はポート番号にする必要があります。現在、SOCKS4 プロトコルに対応し、Reflection Secure Shell は SOCKS4 サーバとして動作します。複数転送を指定できるため、コマンドラインで追加転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。
エスケープ文字を設定します (既定は '~')。エスケープ文字は、コマンドラインでも設定できます。引数は単一の文字「^」で、後に文字を続ける必要があります。あるいは、エスケープ文字を無効にするには「none」にする必要があります (バイナリデータ接続を透過にするため)。
この設定を「yes」にすると、アメリカ合衆国政府の連邦情報処理規格 (FIPS) 140-2 に合致するセキュリティプロトコルおよびアルゴリズムを使用して、接続する必要があります。この規格に合致しないオプションは、[暗号化] タブで使用できません。
メモ:この設定はキーワード Host で指定される SSH 構成セクションに影響し、同じ SSH 構成セクション (またはホスト名) を使用するように構成されていないかぎり、以降の Secure Shell セッションに影響しません。
これを「yes」に設定すると、鍵エージェント接続の転送が有効になります。エージェントの転送を有効にする場合は注意を必要とします。(エージェントの UNIX ドメインソケットに関して) リモートホスト上でファイルのアクセス許可をバイパスする能力を持つユーザは、転送された接続を介してローカルエージェントにアクセスできます。攻撃者は、エージェントから鍵類を取得できませんが、鍵に関して、エージェントに読み込まれた ID による認証を可能にする操作を実行できます。サーバでもエージェント転送が有効になっている必要があります。既定値は「no」です。
安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「no」です。(メモ: Reflection X を使用して Secure Shell を構成する場合は、ForwardX11ReflectionX を参照してください。)
Reflection X (14.1 以降) 用の Secure Shell 接続を構成している場合にのみ、この設定を使用してください。安全なチャネルを介して X11 接続を自動的にリダイレクトし、DISPLAY を設定するかどうかを指定します。引数は「yes」または「no」にする必要があります。既定値は「yes」です。
リモートホストが、ローカル転送ポートへの接続を許可されるかどうかを指定します。既定では、Reflection Secure Shell はローカルポート転送をループバックアドレスに結合します。これによって、ほかのリモートホストが、転送ポートに接続できないようにしています。[GatewayPorts] を使用して、Reflection Secure Shell がローカルポート転送をワイルドカードアドレスに結合するように指定できます。これによって、リモートホストは転送ポートに接続できます。この設定を有効にする場合は注意を必要とします。この設定を使用すると、システム上の転送ポートをリモートホストが認証なしで使用できるようになるため、ネットワークおよび接続のセキュリティレベルが下がるおそれがあります。引数は「yes」または「no」にする必要があります。既定値は「no」です。
Windows の共通アプリケーションデータフォルダーの ssh_known_hosts という既定ファイルの代わりに使用する、グローバルホスト鍵データベース用のファイルを指定します。
メモ:パスまたはファイル名の一部に空白が含まれている場合、ファイル名を引用符で囲みます。
GSSAPI 認証を使用して、 KDC を認証するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます
GSSAPI を使用して、ホストに発券許可チケット (krbtgt) を転送するかどうかを指定します。この設定は、使用中のプロトコルがプロトコルバージョン 2 である場合にのみ適用できます
Microsoft の Security Support Provider Interface (SSPI) を GSSAPI 認証に使用するかどうかを指定します。この設定は、(プロトコルバージョン2のGssapiAuthenticationを使用して)GSSAPI認証が有効になっている場合のみ適用されます。このキーワードの引数は「yes」または「no」にする必要があります。「no」に設定した場合、Secure ShellクライアントはGSSAPI認証を使用します。「yes」に設定すると、 Secure Shell クライアントは Secure Shell サーバに対する認証に Windows ドメインのログイン資格情報 (SSPI) を使用します。SSPI はプロトコルバージョン 2 接続のみに対応しており、サーバが GSSAPI-with-mic 認証方式に対応する必要があります。既定値は「yes」です。
クライアントが Key Distribution Center (KDC) へサービスチケット要求を送信する時に、使用する既定以外のサービスプリンシパル名を指定します。GSSAPI プロバイダとして SSPI を選択している場合、この設定を使用して Windows ドメインとは異なるレルムにサービスプリンシパルを指定できます。完全なホスト名の後に @ とレルム名を続けます。例えば、myhost.myrealm.com@MYREALM.COM のようになります(既定で、ホスト名の値は接続する Secure Shell サーバの名前になり、レルムは GssapiUseSSPI の値によって異なります。GssapiUseSSPI が「no」の場合、レルム名は既定のプリンシパルプロファイルで指定されます。GssapiUseSSPI が「yes」の場合、レルムは Windows ドメイン名になります)。
指定した SSH 構成セクションに属する (次の Host キーワードまで) 続く宣言を指定します。文字「*」および「?」は、ワイルドカードとして使用できます。パターンに単一の「*」を使用すると、すべてのホストにグローバルな既定設定を指定できます。Reflection 接続では、最初に一致する Host 文字列 (ワイルドカード文字を含む) を使用します。以降の一致は無視されます。
メモ:[Reflection Secure Shell の設定] ダイアログボックスを閉じる時、既定の設定値は構成ファイルに保存されません。既定値を手動でファイルに追加している場合、ダイアログボックスを閉じる時にその既定値は削除されます。ワイルドカードホストのスタンザを、特定のホスト名を使用するスタンザと組み合わせて使用する場合、これにより、設計制約が課せられます。ワイルドカードのスタンザで構成された値を上書きするよう設定された特定のホストのスタンザに既定値を手動で構成した場合、ホスト固有の SSH 構成セクションの設定を表示するために [Reflection Secure Shell の設定] ダイアログボックスを開くと、既定値は削除されます。この状況は、グローバル構成ファイルを使用すると適切に処理することができます。グローバル構成ファイルは、ユーザが [Reflection Secure Shell の設定] ダイアログボックスを開いたり閉じたりしても、更新されません。
クライアントが使用するホスト鍵アルゴリズムを優先順に指定します。このオプションのデフォルトは次のとおりです。「,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss」。
この設定は、証明書と標準ホスト鍵認証の両方をサーバに構成する場合に便利です。既定値では、通常の SSH 鍵アルゴリズムの前に x509 アルゴリズムが指定されています。SSH プロトコルでは、ホストの認証試行を 1 回しか許可しません。(これは、複数の認証方式と試みがサポートされているユーザ認証とは異なります。)ホストが証明書を提示し、クライアントが証明書を使ってホスト認証することを設定しない場合、x509 アルゴリズムを優先すると接続は失敗します。このような状況では、優先順位を「ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss」に変更することによって、証明書よりSSHキーを優先するようにクライアントを設定できます。
ホスト鍵データベースファイルでホスト鍵の検索または保存のため、実際のホスト名の代わりに使用する別名を指定します。このオプションは、ssh 接続のトンネリングまたは単一のホストで複数のサーバを実行している場合に使用できます。
鍵認証に使用する秘密鍵を指定します。ファイルはユーザの .ssh フォルダにあります。(\Users\username\Documents\Micro Focus\Reflection\.ssh\).IdentityFile 項目は、[Reflection Secure Shell の設定] ダイアログボックスの [ユーザ鍵] タブの一覧から鍵または証明書を選択すると追加されます。構成ファイルに複数の識別情報ファイルを指定でき、これらのすべての識別情報が順番に試行されます。
メモ:空白が含まれている場合、完全なパス名を引用符で囲みます。
キーボード対話型認証を使用するかどうかを指定します。指定可能な値は「yes」および「no」です。既定値は「yes」です。この認証方式は、SecurID、PAM 認証、またはサーバからのメッセージとユーザからの応答が必要なその他の外部認証方式を使用している場合に推奨されます。パスワード有効期限または最初のログインパスワードの変更が有効になっているホストのパスワード認証で、PasswordAuthentication 方式よりも有効に機能する場合があります。認証に成功するために有効期限が切れたパスワードをリセットする必要がある場合、パスワード認証に必要な場合もあります。これは、SSH プロトコル 2 にのみ適用されます。
システムが TCP キープアライブメッセージを相手に送信する必要があるかどうかを指定します。送信されると、接続の切断またはいずれかのマシンのクラッシュが検出されます。ネットワークのダウンまたはリモートホストの停止をクライアントが検出するため、既定値は「yes」(キープアライブを送信する) になっています。これはスクリプトにとって重要であり、ユーザにとっても役に立ちます。ただし、ルートが一時的にダウンした場合に接続が切断されることになるので、一部のユーザにとっては迷惑かもしれません。キープアライブを無効にするには、値を「no」に設定します。このキーワードにより、Windows TCP キープアライブ設定が有効になり、既定では 2 時間ごとにキープアライブメッセージが送信されます。TCP/IP キープアライブは、Windows レジストリには通常存在しない 2 つのオプションパラメータ (KeepAliveTime および KeepAliveInterval) を使用して構成できます。これらは、以下の場所の HKEY_LOCAL_MACHINE レジストリサブツリーに構成されます。
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
これらのパラメータの設定については、Microsoft Knowledge Base Article 120642 を参照してください。
クライアントが対応する鍵交換アルゴリズムと優先順位を指定します。サポートされている値は、「ecdsa-sha2-nistp256」、「ecdsa-sha2-nistp384」、「ecdsa-sha2-nistp521」、「diffie-hellman-group1-sha1」、「diffie-hellman-group-exchange-sha1」および「diffie-hellman-group14-sha1」です。デフォルトの設定は、「ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1」です。
安全なチャネルを介して、リモートマシンの指定したホストとポートに転送するローカルマシンの TCP/IP ポートを指定します。複数の転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。FTP の転送、リモートデスクトップの構成、接続後の実行ファイル (*.exe) の自動起動にオプションの引数を構成することもできます。このキーワードの構文は次のとおりです。
LocalForward localport host: hostport [FTP=0|1] [RDP=0|1] [" ExecutableFile " [args]]
オプションは次のとおりです。
|
localport |
ローカルポート番号。 |
|
host: hostport |
リモートホストおよびそのホストのポート(localhost を指定して、すでに Secure Shell 接続を確立した同じリモートホストの異なるポートにデータを転送できます)。IPv6 アドレスは、別の構文 host/port を使用して指定できます。 |
|
FTP |
FTP ファイル転送をトンネル接続する場合、1 に設定します。 |
|
RDP |
リモートデスクトップセッションをトンネル接続する場合、1 に設定します。 |
|
" ExecutableFile " |
Secure Shell 接続確立後すぐに Reflection がアプリケーションを起動するように、実行ファイル (必要に応じて完全なパス情報を含む) を指定します。安全なトンネルを介してデータを転送するには、指定した localport を使用して localhost (またはループバック IP アドレス、127.0.0.1) に接続するようにこのアプリケーションを構成する必要があります。 |
デバッグに使用するログファイルを指定します。すべてのセッションの入力および出力は、このファイルに書き込まれます。次に示すように、このキーワードと -o コマンドラインユーティリティオプションを使用します。
-o Logfile=\path\logfile_name
メモ:パスまたはファイル名の一部に空白が含まれている場合、パスとファイル名を引用符で囲みます。
Secure Shell クライアントからのメッセージの記録時に使用する詳細レベルを指定します。指定可能な値は QUIET、FATAL、ERROR、INFO、VERBOSE、DEBUG、DEBUG1、DEBUG2 および DEBUG3 です。既定値は「INFO」です。DEBUG と DEBUG1 は同じです。DEBUG2 と DEBUG3 はそれぞれ、より高いレベルの詳細出力を指定します。
MAC (メッセージ認証コード) アルゴリズムを優先順に指定します。MAC アルゴリズムは、データ整合性保護のためにプロトコルバージョン 2 で使用されます。複数のアルゴリズムは、カンマで区切る必要があります。既定は、「hmac-sha256、hmac-sha2-256、hmac-sha1、hmac-md5、hmac-ripemd160、hmac-sha1-96、hmac-md5-96、hmac-sha512、hmac-sha2-512」です。接続が FIPS モードで実行するように設定されている場合、既定は「HMAC-SHA256、HMAC-SHA2-256、HMAC-SHA1、HMAC-SHA512、HMAC-sha2-512」です。
ホスト証明書の確認時にホスト名の一致が必要かどうかを指定します。この設定が [yes] の場合 (既定値)、接続のために構成したホスト名が、証明書の [CommonName] フィールドまたは [SubjectAltName] フィールドに入力されているホスト名に一致していなければなりません。
一連の SSH サーバによって安全な接続を確立するために使用可能なマルチホップ接続を構成します。これは、直接リモートサーバにアクセスすることはできないが、中間サーバを介してアクセスすることができるネットワーク構成で役に立ちます。
このキーワードの構文は次のとおりです。
マルチホップ ローカルポート ホスト: ホストポート [「 SSH 構成セクション 」]
一連の各サーバに Multihop 行を新しく追加します。一覧にある各接続は、その上に表示されている接続によって設定されたトンネルを経由して送信されます。
下記の例では、サーバ C に構成された SSH 接続が最初に サーバ A に接続し、それから サーバ B、最後に サーバ C に接続します。
オプションで SSH 構成セクションを指定して、チェーン内の任意のホストの Secure Shell 設定を構成できます。次に例を示します。
Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
この設定は、既定で、Windows の TCP ソケットで Nagle アルゴリズムを有効にする Microsoft によって行われる変更に対処し、Secure Shell 接続でのパフォーマンスに悪影響を与える可能性があります。Nodelay を yes (既定) に設定すると、このアルゴリズムが無効になり、ほとんどのシステムでパフォーマンスが向上します。
NoShell を「Yes」に設定すると、クライアントは端末セッションを開かずにトンネルを作成します。このオプションは ConnectionReuse と組み合わせて使用し、その他の ssh 接続が再利用できるトンネルを作成できます。メモ: このオプションは、接続がコマンドラインユーティリティで行われた場合に適用されます。このオプションは、ユーザインタフェースでの使用には対応していません。
失効するまでに試行できるパスワードメッセージの入力回数を指定します。このキーワードの引数は整数にする必要があります。デフォルト値は3です。
パスワード認証を使用するかどうかを指定します。指定可能な値は「yes」および「no」です。既定値は「yes」です。
リモートホストに接続するポート番号を指定します。デフォルト値は22です。
クライアントがプロトコル 2 認証方式を試行する順番を指定します。これは、[Reflection Secure Shell の設定] ダイアログボックスの [全般] タブの [ユーザ認証] 一覧に表示される方式の順番 (上から下) に対応します。この設定によって、クライアントはある方式 (キーボード対話型など) を別の方式 (パスワードなど) より優先させることができます。既定で、Reflection は「publickey,keyboardinteractive,password」の順番で認証を試行します。GSSAPI 認証が有効な場合、既定値は「gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password」に変更されます。
メモ:
config ファイルに PreferredAuthentications が含まれている場合、指定する一覧に試行したい認証方式をすべて含める必要があります。PreferredAuthentications が存在するにもかかわらず特定の認証方式を指定しない場合、その認証方式を有効にするキーワードが正しく構成されていても、Reflection ではその認証方式を使用しません。
PreferredAuthentications 一覧に認証方式を含めることによって、その方式を使用する認証が有効になるわけではありません。既定で使用されない認証を有効にするには、その認証方式のキーワードも正しく構成する必要があります (例えば、GSSAPI 認証を有効にするには、GssapiAuthentication を yes に設定する必要があります)。
サーバ間でファイルを転送する時に、属性とタイムスタンプを変更するかどうかを指定します。このキーワードが「no」(既定値) の場合、タイムスタンプと属性が変更されます。「yes」の場合、ファイルの元のタイムスタンプと属性が保持されます。
Secure Shellクライアントは、「2」という値として識別されるプロトコル2をサポートしています。
Secure Shell 接続に使用するプロキシの種類を指定します。対応する値は、「SOCKS」と「HTTP」です。
メモ:この設定を使用する各 Host セクションで、プロキシの使用が有効になります。プロキシサーバアドレスは、ユーザごとに Windows レジストリに保存されます。
クライアントがサーバーに提案するキーアルゴリズムを優先順位順に指定します。サーバが一つのアルゴリズムにのみ設定されている場合は、そのオプションが提案するキーワードにのみ設定することができます。
使用可能な値: 「ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss」
公開鍵認証を試行するかどうかを指定します。このオプションは、プロトコルバージョン2に適用されます。指定可能な値は「yes」および「no」です。既定値は「yes」です。
リモートサーバで実行する 1 つまたは複数のコマンドを指定します。UNIX サーバへの接続時には、セミコロン (;) を使用して複数のコマンドを区切ります。Windows サーバへの接続時には、アンパサンド記号 (&) を使用してコマンドを区切ります。接続の確立後、サーバは指定したコマンドを実行 (または実行を試行) し、セッションが終了します。サーバは、クライアントから受信したコマンドの実行を許可するよう構成されている必要があります。
コマンドは、使用するサーバに合った構文を使用して指定する必要があります。例えば、以下が同じになります。
UNIX で: ls ; ls -l
Windows で: dir/w & dir
安全なチャネルを介して、ローカルマシンの指定したホストとポートに転送するリモートマシンの TCP/IP ポートを指定します。最初の引数はポート番号にする必要があり、2 つ目は次のようにします: host : port。IPv6 アドレスは、別の構文 host / port を使用して指定できます。複数転送を指定できます。管理権限のあるユーザだけが権限ポートを転送できます。
シェルまたはコマンドの実行前に、サーバに設定する環境変数を指定します。値の形式は VAR val にする必要があります。サーバは指定した変数に対応し、これらの環境変数を受け付けるように構成する必要があります。
ServerAliveInterval で指定した間隔で、SSH サーバにサーバアライブメッセージを送信するかどうかを指定します。Secure Shell の ServerAlive 設定では、SSH プロトコルメッセージを指定した間隔でサーバに送信し、サーバが機能していることを確認します。この設定が有効になっていないと、サーバが停止するかネットワーク接続が失われた場合に SSH 接続が終了されません。この設定は、TCP セッションのみを転送する接続がサーバによって時間切れになるのを防ぐためにも使用できます。サーバは、SSH トラフィックが存在しないことの検出を理由にこれらの接続を時間切れにする場合があるからです。指定可能な値は「yes」および「no」です。既定値は「no」です。
メモ:Secure Shell の ServerAlive 設定は、すべての TCP/IP 接続がファイアウォールによって時間切れになるのを防ぐために Windows レジストリに設定可能な TCP キープアライブ設定 (KeepAlive) とは関係ありません。TCP/IP キープアライブの動作を変更するには、Windows レジストリを編集する必要があります。
ServerAlive = 'yes' の場合に使用する間隔 (秒単位) を指定します。1 以上の整数値を使用します。デフォルト値は30です。
[ユーザキー] タブ上のアップロード機能を使用してホストにキーをアップロードする際に使用するキー形式を指定します。ユーティリティは、使用するキー形式を自動的に決定します。その形式がご使用のサーバに対して間違っている場合は、この設定を変更します。指定可能な値は「OpenSSH」および「SECSH」です。
[ユーザキー] タブ上のアップロード機能を使用してホストにキーをアップロードする際に使用するホスト公開キー構成設定を指定します。ユーティリティは、ホストスタイルを自動的に決定します。その形式がご使用のサーバに対して間違っている場合は、この設定を変更します。指定可能な値は「UNIX」および「VMS」です。
SFTP 転送時に、各パケットで要求されるバイト数を指定します。デフォルト値は32768です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。
クライアントが SFTP 転送時に許可する、未処理データ要求の最大数を指定します。デフォルト値は10です。この値を調整すると、転送速度を上げることができます。最適な値は、使用しているネットワークおよびサーバ設定によって異なります。この値を変更すると、データの転送をキャンセルしてから実際に転送が停止するまでの時間にも影響を与えることがあります。
クライアントが SFTP 接続に使用するバージョンを指定します。有効な値は 3 と 4 です。この設定が 4 (既定値) の場合、接続では (サーバが対応していれば) SFTP バージョン 4 が使用されます。また、サーバがバージョン 4 に対応していない場合はバージョン 3 が使用されます。この設定が 3 の場合、クライアントは常に SFTP バージョン 3 を使用します。
引数は「yes」、「no」または「ask」にする必要があります。既定値は「ask」です。このオプションを「yes」に設定した場合、 Secure Shell クライアントはホスト鍵を known_hosts ファイル (ユーザの .ssh フォルダにある) に自動的に追加せず、ホスト鍵が変更されたホストへの接続を拒否します。このオプションを使用する場合、ユーザは新しいホストを手動で追加する必要があります。このフラグを「no」に設定した場合、Reflection は確認ダイアログボックスを表示せずにホストに接続し、ホスト鍵を信頼する鍵の一覧に追加しません。このフラグを「ask」に設定した場合、ユーザが該当する鍵であることを確認してから、新しいホスト鍵がユーザ既知のホストファイルに追加されます。すべての場合、既知のホストのホスト鍵は自動的に検証されます。
メモ:この設定は、ホストが x509 証明書を使用する認証を構成されている場合は影響しません。ホストがホスト認証のために証明書を提示し、トラストアンカとして構成された必要な CA 証明書がない場合、接続に失敗します。
このフラグを「yes」に設定した場合、クライアントは空のパスワードの入力を試行してパスワード認証を開始します。これは、ほとんどのシステムでログイン試行と見なされます。
ログインするユーザを指定します。これは、異なるマシンで異なるユーザ名を使用する場合に便利です。
クライアントが OCSP (Online Certificate Status Protocol) を使用してホスト証明書を検証するかどうかを指定します。指定可能な値は「yes」および「no」です。既定値は「no」です。
クライアントが公開鍵認証中に証明書の署名を処理する方法を指定します。この設定が「yes」(既定)の場合、クライアントは最初に標準のssh鍵署名を使用して証明書を送信します。それが失敗した場合、クライアントは証明書の署名を使用して再試行します。場合によっては、この 2 番目の試みが行われず、認証が失敗します。この設定が「no」の場合、クライアントは最初に証明書の署名で試行し、次にssh鍵署名を試行します。
known_hosts ファイル (ユーザの .ssh フォルダにある) の代わりに使用する、ユーザホスト鍵データベース用のファイルを指定します。ファイルまたはパスが空白を含む場合、引用符を使用します。
DSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。指定可能な値は「sha1raw」(既定値) と「sha1asn1」です。
RSA 秘密鍵の所有を提供する過程でクライアントが使用するハッシュアルゴリズムを指定します。有効な値は、「md5」、「sha1」、「sha256」および「すべて」(既定)です。
X11 転送が有効な場合、X11 プロトコルが通信する PC のローカルループバックインタフェース上のポートを転送するかどうかを決定します。
メモ:Reflection X (バージョン 12.x、13.x、または 14.x) を使用している場合は、このキーワードを構成する必要はありません。X サーバと Reflection Secure Shell クライアントは自動的に同期して、X サーバ表示設定 ([設定] - [表示] - X 表示番号) に基づく適切なポートを使用します。この場合、X11Display キーワードは無視されます。別の PC X サーバを使用する場合は、このキーワードを使用して、PC X サーバに定義されている適切なリスニングポートを指定します。
デフォルト値は「0」です。これにより、ポート 6000 への転送が構成されます。このポートは、X11 プロトコル規約で定義された既定のリスニングポートです。指定する表示値は実際のリスニングポートを決定するために、6000 に追加されます。例えば、X11Display を 20 に設定した場合、Secure Shell クライアントにとって、PC-X サーバがポート 6020 で待ち受けしていることを意味します。