Saltar a contenido

Referencia de palabras claves del archivo de configuración - Configuración de Secure Shell

Utilice estas referencias si modifica manualmente el archivo de configuración de Secure Shell. El archivo de configuración se organiza en secciones, cada una de ellas identificada por una palabra clave Host. Cada sección especifica los parámetros de Secure Shell que se utilizarán en todas las conexiones realizadas utilizando el host especificado o el esquema de configuración SSH.

El archivo de configuración está formado por palabras clave seguidas por valores. Las opciones de configuración se pueden separar mediante espacios en blanco o por espacios en blanco opcionales y un signo igual (=). Las palabras clave no distinguen entre mayúsculas y minúsculas, pero los argumentos sí.

Toda línea que comience con una almohadilla (#) es un comentario. Toda línea vacía se ignora.

nota

Los elementos de esta lista configuran las características que afectan a la conexión Secure Shell. Se encuentran disponibles palabras clave adicionales para configurar la emulación del terminal para las sesiones de línea de comando ssh. La información de referencia sobre estas palabras clave se encuentra disponible en Referencia de palabras clave del archivo de configuración - Parámetros de emulación del terminal.

AddAuthKeyToAgent

Este parámetro afecta a cómo el cliente maneja la autenticación de clave pública cuando ForwardAgent se ha establecido en "yes". Cuando la autenticación de clave pública al servidor es correcta y ForwardAgent y AddAuthKeyToAgent se han establecido en yes, la clave o el certificado utilizados para la autenticación se agrega automáticamente al Agente de claves. Esta clave no se guarda en el Agente de claves, pero permanece disponible siempre que el Agente de claves se esté ejecutando. Si AddAuthKeyToAgent se ha establecido no (valor por defecto), las claves y los certificados no se agregan automáticamente al Agente de claves; solo utiliza las claves que se han importado manualmente.

AgentEnumCertsAs

Este parámetro permite al cliente elegir qué se utilizará. Si se selecciona ambos, la enumeración ofrece el certificado y la clave como opciones distintas. Si se selecciona certificados, se solicita la firma solo mediante el certificado. Si se selecciona claves, se solicita una firma mediante una clave incluida en un certificado; el agente ahora utiliza solo la clave. El orden en el que se ofrece esto se define en función de la conexión inicial. Por ejemplo, si me conecto solo mediante una clave, el reenvío de agentes enumerará la clave y, a continuación, el certificado.

Estos valores se han optimizado para tipos de servidor basados en los algoritmos y los tipos de claves admitidos actualmente. Valores de optimización disponibles= sunssh, openvms, openssh, pkix y rsit

AuthUseAllKeys

Este parámetro afecta a cómo el cliente maneja la autenticación de clave pública. Si se ha establecido en no (valor por defecto), el cliente intenta realizar la autenticación solo mediante la clave (o claves) que haya especificado mediante la palabra clave IdentityFile. Si se ha establecido en yes, el cliente intenta autenticar mediante todas las claves públicas disponibles.

BatchMode

Especifica si se desactivan o no todas las solicitudes de entrada del usuario, incluida la contraseña y la frase de paso, que resulta útil para los trabajos de scripts y por lotes. Los valores permitidos son yes y no. El valor predeterminado es no:

nota

Esta palabra clave no desactiva las solicitudes de entrada del usuario cuando se encuentra configurada la autenticación interactiva por teclado, aunque las conexiones que utilizan la entrada interactiva por teclado fallarán cuando BatchMode esté activado.

BindAddress

Especifica la interfaz desde la cual se transmitirá en las computadoras con varias interfaces o direcciones asociadas.

CheckHostIP

Si se selecciona la opción yes, el cliente Secure Shell comprueba la dirección de IP del host en el archivo known_hosts y la clave pública del host. La conexión se permite solo si la dirección de IP del host en la lista de hosts conocidos coincide con la dirección de IP que usa para la conexión. El valor predeterminado es no: Esta configuración no tiene ningún efecto si StrictHostKeyChecking = no.

CheckHostPort

Si se selecciona la opción yes, el cliente Secure Shell comprueba el puerto del host en el archivo known_hosts y la clave pública del host. La conexión se permite sólo si la dirección de IP del host en la lista de hosts conocidos coincide con la dirección de IP que usa para la conexión. El valor predeterminado es no: Nota: esta configuración no tiene ningún efecto si StrictHostKeyChecking = no.

Ciphers

Especifica los cifrados permitidos para la versión 2 del protocolo en orden de preferencia. Los distintos cifrados deben separarse mediante comas. El valor predeterminado es 'aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour'.

ClearAllForwardings

Borra cualquier puerto local, remoto o dinámico reenviado que ya se haya procesado por parte de un archivo de configuración o una línea de comando. Nota: scp y sftp quitan automáticamente la marca de todos los puertos reenviados independientemente del valor de este parámetro. Los valores permitidos son yes y no. El valor predeterminado es no:

Compresión

Especifica si se activa o no la compresión. Aunque la compresión resulta útil en líneas de módem y en otras conexiones lentas, reduce la velocidad de respuesta en redes rápidas. La compresión también proporciona aleatoriedad adicional al paquete, lo que dificulta la tarea de descifrado del paquete a cualquier pirata informático. Los valores permitidos son yes y no. El valor predeterminado es no:

ConnectionAttempts

Especifica el número de intentos (uno por segundo) que se realizarán antes de salir. El argumento debe ser un número entero. Puede ser útil en los scripts si la conexión falla a veces. El ajuste por defecto es 1.

ConnectionReuse

Especifica si las sesiones múltiples con el mismo host reutilizan la conexión original de Secure Shell y, por lo tanto, no necesitan volver a autenticarse. El argumento debe ser yes o no. Si se establece en yes, las conexiones nuevas reutilizan el túnel existente cuando coinciden el nombre del host, el nombre de usuario y el esquema de configuración SSH (si se utiliza). Si se establece en no, Reflection establece una conexión nueva para cada sesión, lo que significa que cada conexión nueva repite el proceso de autenticación y aplica además cualquier parámetro específico de conexión modificado (como el reenvío o los cifrados). El valor por defecto es yes para las conexiones realizadas mediante la ventana del cliente. El valor es no si se utilizan las utilidades de líneas de comando para establecer las conexiones. Para obtener más detalles, consulte Reutilización de la conexión en sesiones de Secure Shell.

ConnectTimeout

Especifica el tiempo máximo (en segundos) que el cliente espera al intentar completar la conexión al servidor. El temporizador empieza cuando se establece la conexión (antes del inicio de sesión) y se ejecuta durante la negociación de los parámetros, el intercambio de claves del host y la autenticación. A todos los efectos prácticos, el período de tiempo consiste fundamentalmente en las actividades de autenticación. El puerto por defecto es el 120.

DisableCRL

Especifica si la comprobación CRL (Certificate Revocation List) se produce al validar los certificados del host. Si se establece en yes, se desactiva la comprobación CRL. el valor predeterminado de esta opción depende de la configuración actual del sistema para la comprobación CRL. Para ver y editar la configuración del sistema, inicie el cuadro de diálogo Opciones de Internet del menú de inicio y desplácese a la pestaña Avanzado. En la sección Seguridad, inhabilite el parámetro Comprobar si se revocó el certificado de servidor.

DynamicForward

Especifica que un puerto TCP/IP del equipo local sea reenviado por un canal seguro, y que, por lo tanto, se utilice el protocolo de la aplicación para determinar a dónde conectarse desde el equipo remoto. El argumento debe ser un número de puerto. Actualmente existe compatibilidad con el protocolo SOCKS4 y el cliente Secure Shell actúa como un servidor SOCKS4. Se pueden especificar múltiples reenvíos y en la línea de comando se pueden incluir reenvíos adicionales. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios.

EscapeChar

Establece el carácter de escape (valor predeterminado: ~). El carácter de escape también se puede establecer en la línea de comando. El argumento debe ser un solo carácter, ^ seguido de una letra o none para inhabilitar por completo el carácter de escape (lo que hace que la conexión sea transparente para los datos binarios).

FipsMode

Si se define en yes, las conexiones se deben establecer mediante protocolos y algoritmos de seguridad que cumplan con el Estándar Federal del Proceso de Información 140-2 (o FIPS, Federal Information Processing Standard) del gobierno de Estados Unidos. Las opciones que no cumplan estas normas no se encuentran disponibles en la pestaña Cifrado.

nota

Este parámetro afecta al esquema de configuración SSH especificado por la palabra clave Host y no afecta a las sesiones de Secure Shell posteriores a menos que se configuren para que utilicen el mismo esquema de configuración SSH (o nombre del host).

ForwardAgent

Si se establece en yes, se habilita el reenvío de la conexión del Agente de claves. El reenvío de agentes debe utilizarse con precaución. Los usuarios con autorización para evitar los permisos de archivo en el host remoto (para el socket de dominio Unix del agente) pueden tener acceso al agente local a través de la conexión reenviada. Los piratas informáticos no pueden obtener información de claves del agente, aunque pueden realizar operaciones con las claves que les permiten autenticarse utilizando las identidades incluidas en el agente. Puede que también sea necesario habilitarlo en el servidor. El valor predeterminado es no:

ForwardX11

Especifica si las conexiones X11 se redireccionan automáticamente por el canal seguro y el ajuste de DISPLAY. El argumento debe ser yes o no. El valor predeterminado es no: (Nota: si configura Secure Shell mediante Reflection X, consulte ForwardX11ReflectionX).

ForwardX11ReflectionX

Este parámetro se utiliza solo si configura conexiones Secure Shell para Reflection X (empezando por 14.1). Especifica si las conexiones X11 se redireccionan automáticamente por el canal seguro y el ajuste de DISPLAY. El argumento debe ser yes o no. El valor predeterminado es yes:

GatewayPorts

Especifica si los hosts remotos pueden conectarse a los puertos locales reenviados. De manera predeterminada, el cliente Secure Shell vincula los reenvíos de puertos locales a la dirección de conexión en bucle. De esta manera, se evita que otros hosts remotos conecten con los puertos reenviados. GatewayPorts se puede utilizar para especificar que Reflection Secure Shell debería vincular los reenvíos de puertos locales a la dirección comodín, permitiendo así que los hosts remotos se conecten a los puertos reenviados. Tenga especial cuidado al habilitar esta opción. Puede reducir la seguridad de su red y de su conexión ya que permite que hosts remotos utilicen el puerto reenviado en su sistema sin autenticar. El argumento debe ser yes o no. El valor predeterminado es no:

GlobalKnownHostsFile

Especifica un archivo que se utilizará en la base de datos global de claves de host en lugar del archivo por defecto ssh_known_hosts ubicado en la carpeta datos comunes de programas de Windows.

nota

Escriba el nombre de archivo entre comillas si se utilizan espacios en el nombre de archivo o la ruta.

GssapiAuthentication

Especifica si se utiliza o no la autenticación GSSAPI para autenticarse a un KDC de Este parámetro se aplica solo si el protocolo utilizado es la versión 2 del protocolo.

GssapiDelegateCredentials

Especifica si GSSAPI se utiliza para reenviar su vale (TGT) al host. Este parámetro se aplica solo si el protocolo utilizado es la versión 2 del protocolo.

GssapiUseSSPI

Especifica si se utiliza la interfaz SSPI de Microsoft para la autenticación GSSAPI. Este parámetro solo es aplicable si la autenticación GSSAPI está habilitada (mediante GssapiAuthentication para la versión 2 del protocolo). El argumento para esta clave debe ser yes o no. Si se establece en no, el cliente Shell Secure utiliza la autenticación GSSAPI. Si se establece en yes, el cliente Secure Shell utiliza las credenciales de inicio de sesión de dominio de Windows (SSPI) para autenticarse al servidor Secure Shell. SSPI solamente es compatible con las conexiones de la versión 2 del protocolo y el servidor debe ser compatible con el método de autenticación GSSAPI-with-mic. El valor predeterminado es yes:

GssServicePrincipal

Especifica un nombre de la entidad de seguridad de servicios no predeterminado para utilizar cuando el cliente envía una solicitud de vale de servicios al centro de distribución de claves de (KDC, Key Distribution Center). Si ha seleccionado SSPI para el proveedor GSSAPI, puede utilizar este parámetro para especificar una entidad de seguridad de servicios en un dominio distinto del de Windows. Utilice un nombre de host completo seguido por @ y, a continuación, el nombre del dominio, por ejemplo, mihost.midominio.com@MIDOMINIO.COM. (De forma predeterminada, el valor del nombre del host es el nombre del servidor Secure Shell al que se está conectando y el dominio depende del valor de GssapiUseSSPI. Cuando el valor de GssapiUseSSPI es no, el nombre del dominio se especifica en el perfil de la entidad de seguridad por defecto. Si el valor de GssapiUseSSPI es yes, el dominio es el nombre de dominio de Windows).

Host

Identifica las declaraciones que siguen (hasta la siguiente palabra clave Host) pertenecientes al esquema de configuración SSH especificado. Los caracteres "" y "?" se pueden utilizar como comodines. Se puede utilizar un solo "" como patrón para proporcionar valores globales por defecto para todos los hosts. Una conexión del cliente utilizará el primer ejemplo de cualquier cadena Host coincidente (incluidos los caracteres comodín). Cualquier coincidencia posterior se ignorará.

nota

Al cerrar el cuadro de diálogo Configuración de Secure Shell, los valores con parámetros por defecto no se guardan en el archivo de configuración. Si un valor predeterminado se ha agregado manualmente al archivo, se elimina cuando se cierra el cuadro de diálogo. Esto impone restricciones de diseño si usa estrofas de host comodín en combinación con estrofas que usan nombres de host específicos.

Si ha configurado manualmente un valor predeterminado en una estrofa de host específica que sobrescribirá un valor configurado en una estrofa comodín, la configuración predeterminada se eliminará cuando se abra el cuadro de diálogo Configuración de Secure Shell para ver los parámetros del esquema de configuración SSH específico del host. Puede manejar esta situación de manera satisfactoria utilizando el archivo de configuración global, que no se actualiza cuando los usuarios abren y cierran el cuadro de diálogo Configuración de Secure Shell.

HostKeyAlgorithms

Especifica, en orden de preferencia, los algoritmos de las claves del host que utiliza el cliente. El valor por defecto de esta opción es: x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256\@attachmate.com, ssh-rsa,ssh-dss.

Este parámetro resulta útil cuando el servidor se configura para el certificado y la autenticación estándar de claves del host. El valor predeterminado presenta algoritmos x509 previamente a los algoritmos de las claves SSH regulares. El protocolo SSH permite solamente un intento para autenticar al host. (Esto es diferente al caso de la autenticación de usuario, en la que se pueden realizar varios intentos de autenticación.) Si el host presenta un certificado y el cliente no se ha configurado para la autenticación del host mediante certificados, la conexión presentará errores en caso de que los algoritmos preferidos sean los algoritmos x509. En esta situación, puede configurar el cliente para que prefiera las claves SSH a los certificados. Para ello, cambie el orden de preferencia a ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.

Valores disponibles: ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss

HostKeyAlias

Especifica un alias para que se utilice en lugar del nombre del host real a la hora de buscar o guardar la clave del host en los archivos de la base de datos de claves de host. Esta opción resulta útil para el tunelado de conexiones ssh o para múltiples servidores que se ejecuten en un solo host.

IdentityFile

Especifica una clave privada para la autenticación de claves. Los archivos se encuentran en la carpeta .ssh de usuario. (\Users\nombre de usuario\Documents\Micro Focus\nombre-producto\.ssh\). Los elementos de IdentityFile se agregan cuando selecciona claves o certificados de la lista de la ficha Claves de usuario del cuadro de diálogo Configuración de Secure Shell. Se pueden tener varios archivos de identificación especificados en los archivos de configuración; todas estas identidades se probarán en orden.

nota

Escriba el nombre de la ruta entre comillas si contiene espacios.

KbdInteractiveAuthentication

Especifica si se utiliza o no la autenticación interactiva por teclado. Los valores permitidos son yes y no. El valor predeterminado es yes: Este método de autenticación se recomienda si se utiliza autenticación SecurID, PAM o cualquier otro método de autenticación externo que requiera solicitudes por parte del servidor y respuestas por parte del usuario. También puede funcionar mejor que el método PasswordAuthentication para la autenticación de la contraseña en los hosts en las que se encuentren habilitadas las opciones de caducidad de contraseña o primer cambio de contraseña de inicio de sesión. También puede ser necesario para la autenticación de contraseña cuando las contraseñas caducadas se tienen que restablecer para poder autenticarse con éxito. Esto se aplica solamente al protocolo SSH versión 2.

KeepAlive

Especifica si el sistema debe enviar mensajes de actividad a la otra parte. Si se envían, se detecta el fin de la conexión o el bloqueo de uno de los sistemas. El valor por defecto es yes (para enviar KeepAlive), de modo que el cliente detecta que la red deja de funcionar o que el host remoto se desconecta. Es importante en los scripts y útil para los usuarios. Sin embargo, esto significa que las conexiones se detendrán si la ruta no funciona temporalmente, lo que puede resultar molesto para algunos usuarios. Para desactivar los KeepAlive, establezca el valor en no. Esta palabra clave habilita el parámetro Keep Alive en TCP de Windows, que envía mensajes Keep Alive cada dos horas de manera predeterminada. Keep Alive en TCP/IP es configurable usando dos pentámetros opcionales que normalmente no existen en el registro de Windows: KeepAliveTime y KeepAliveInterval. Se configuran en el subesquema de registro HKEY_LOCAL_MACHINE, en la siguiente ubicación:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Para obtener información sobre cómo configurar estos parámetros, consulte el Artículo 120642 de Microsoft Knowledge Base.

KexAlgorithms

Especifica los algoritmos de intercambio de claves compatibles con el cliente y el orden de preferencia. Los valores admitidos son "ecdh-sha2-nistp256", "ecdh-sha2-nistp384", "ecdh-sha2-nistp521", "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" y "diffie-hellman-group14-sha1". El valor predeterminado es "ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1".

LocalForward

Especifica que un puerto TCP/IP del equipo local se reenviará a través de un canal seguro hasta el host y el puerto especificados en el equipo remoto. Se pueden especificar múltiples reenvíos. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios. También puede configurar argumentos opcionales para el reenvío FTP, la configuración del escritorio remoto y la ejecución automática de un archivo ejecutable (*.exe) tras establecer una conexión. La sintaxis para esta palabra clave es:

LocalForward` localport host: hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]

Las opciones son:
localport Un número de puerto local.
host:hostport Un host remoto y un puerto en dicho host. (Puede especificar localhost para reenviar los datos a un puerto distinto del mismo host remoto al que ya ha establecido una conexión Secure Shell.) Las direcciones IPv6 se pueden especificar con una sintaxis alternativa:host/port.
FTP Ajustar en 1 si va a tunelar la transferencia de archivos por FTP.
RDP Ajustar en 1 si va a tunelar una sesión de Escritorio remoto.
"ExecutableFile" Especifica un archivo ejecutable (incluida la información completa de la ruta, si es necesaria) para que el cliente ejecute una aplicación inmediatamente después de que se haya establecido una conexión Secure Shell. Para reenviar datos a través de un túnel seguro, esta aplicación debería configurarse para establecer una conexión con localhost (o la dirección IP de conexión en bucle, 127.0.0.1) utilizando el localport especificado.

Logfile

Especifica un archivo de registro para la depuración. Todas las entradas y salidas de sesión se escriben en este archivo. Utilice esta palabra clave con la opción de utilidad de línea de comando -o como se muestra aquí:

-o Logfile=\ path\ logfile_name

nota

Escriba el nombre de archivo de la ruta entre comillas si se utilizan espacios en el nombre de archivo o la ruta.

LogLevel

Especifica el nivel de verbosidad que se utiliza cuando se registran los mensajes provenientes del cliente Secure Shell. Los valores posibles son: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 y DEBUG3. El valor predeterminado es INFO. DEBUG y DEBUG1 son equivalentes. DEBUG2 y DEBUG3 especifican niveles mayores de salida verbosa.

Macs

Especifica los algoritmos MAC (Message Authentication Code) en orden de preferencia. El algoritmo MAC se utiliza en la versión 2 del protocolo para la protección de la integridad de los datos. Los distintos algoritmos deben separarse mediante comas. El valor predeterminado es: "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512."

MatchHostName

Especifica si el nombre del host debe coincidir al validar los certificados del host. Si este parámetro es yes (por defecto), el nombre del host configurado para su conexión debe coincidir exactamente con un nombre de host o una dirección IP que se haya especificado en uno de los campos CommonName o SubjectAltName del certificado.

Multihop

Configura las conexiones multisalto, que se pueden utilizar para establecer conexiones seguras a través de una serie de servidores SSH. Resulta útil si la configuración de la red no permite el acceso directo a un servidor remoto, pero sí lo permite mediante servidores intermedios.

La sintaxis para esta palabra clave es:

Multihop localport host: hostport ["SSH config scheme"]

Agrega una línea Multisalto nueva para cada servidor en la serie. Cada conexión de la lista se envía a través del túnel establecido por la conexión que se encuentra encima del mismo.

En el siguiente ejemplo, las conexiones SSH configuradas para ServerC se conectarán en primer lugar a ServerA, luego a ServerB y por último a ServerC.

Host ServerC
Multihop 2022 ServerA:22
Multihop 3022 ServerB:22

Tiene la opción de especificar un Esquema de configuración SSH para configurar los parámetros de Secure Shell de cualquier host de la cadena. Por ejemplo:

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"

Nodelay

Este parámetro arregla un cambio realizado por Microsoft que permite el algoritmo Nagle en puertos de servicio tcp Windows de forma predeterminada y que puede afectar negativamente en el rendimiento de las conexiones de Secure Shell. Ajustando Nodelay a yes (opción predeterminada) se deshabilita este algoritmo y se mejora el rendimiento en la mayoría de los sistemas.

NoShell

Si NoShell se ha establecido en Yes, el cliente crea un túnel sin abrir una sesión del terminal. Esta opción se puede utilizar en combinación con ConnectionReuse para crear un túnel que se puede reutilizar por otras conexiones ssh.

nota

Esta opción afecta a las conexiones establecidas con la utilidad de línea de comando; no está diseñada para ser utilizada con la interfaz de usuario.

NumberOfPasswordPrompts

Especifica el número de solicitudes de contraseña antes de detenerse. El argumento para esta palabra clave debe ser un número entero. El valor por defecto es 3.

PasswordAuthentication

Especifica si se utiliza o no la autenticación mediante contraseña. Los valores permitidos son yes y no. El valor predeterminado es yes:

Puerto

Especifica el número de puerto de conexión en el host remoto. El valor por defecto es 22.

PreferredAuthentications

Especifica el orden en el que el cliente debe probar los métodos de autenticación de la versión 2 del protocolo. Corresponde al orden (desde arriba hacia abajo) en el que se muestran los métodos en la lista Autenticación de usuario de la ficha General correspondiente al cuadro de diálogo Configuración de Secure Shell. Este parámetro activa la preferencia de un método por parte del cliente (como la interactiva por teclado) respecto a otro método (como el uso de contraseña). De manera predeterminada, el cliente prueba la autenticación en el siguiente orden: 'publickey,keyboard-interactive,password’. Si se activa la autenticación GSSAPI, el valor predeterminado cambia a: 'gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password'.

nota

  • Si incluye PreferredAuthentications en el archivo de configuración, la lista especificada debe incluir todos los métodos de autenticación que desee probar. Si está presente PreferredAuthentications pero no especifica un método de autenticación particular, Reflection no utilizará ese método de autenticación, incluso si la palabra clave para habilitar dicho método de autenticación se ha configurado correctamente.
  • La inclusión de un método de autenticación en la lista PreferredAuthentications no habilita la autenticación utilizando dicho método. Para activar un método de autenticación que no se utilice de manera predeterminada, la palabra clave para dicho método también se debe configurar correctamente (por ejemplo, para activar la autenticación GSSAPI, antes se debe ajustar el valor de GssapiAuthentication en 'yes'.)

PreserveTimestamps

Especifica si los atributos del archivo y las marcas de fecha se modifican cuando los archivos se transfieren al servidor y desde él. Cuando esta palabra clave sea no (por defecto), las marcas de fecha y los atributos se modifican. Cuando sea yes, los archivos conservarán las marcas de fecha y atributos originales.

Protocolo

El cliente Secure Shell admite el protocolo 2, que se identifica como el valor 2.

Servidor proxy

Especifica un tipo de proxy para su utilización en las conexiones Secure Shell. Los valores compatibles son "SOCKS" y "HTTP".

nota

El uso de proxy está habilitado para todas las secciones de Host del archivo de configuración que utilicen este parámetro. La dirección del servidor proxy se almacena en el registro de Windows por usuario.

PubkeyAlgorithms

Especifica en orden de preferencia los algoritmos de las claves que el cliente propondrá al servidor. Si el servidor se ha configurado solo para un algoritmo, puede configurar esta palabra clave para que proponga solo esa opción.

Valores disponibles:ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss

PubkeyAuthentication

Especifica si se prueba o no la autenticación mediante clave pública. Esta opción se aplica a la versión 2 del protocolo. Los valores permitidos son yes y no. El valor predeterminado es yes:

RemoteCommand

Especifica uno o más comandos para realizar una ejecución en el servidor remoto. Utilice un punto y coma (;) para separar varios comandos al conectar con un servidor UNIX. Utilice una y comercial (&) para separar comandos al conectar con un servidor Windows. Tras establecer una conexión, el servidor ejecuta (o intenta ejecutar) los comandos especificados y, a continuación, finaliza la sesión. El servidor debe estar configurado para permitir la ejecución de comandos recibidos desde el cliente.

Los comandos se deben especificar usando la sintaxis correcta para el servidor. Por ejemplo, los siguientes son equivalentes:

En UNIX: ls ; ls -l

En Windows: dir/w & dir

RemoteForward

Especifica que un puerto TCP/IP del equipo remoto se reenviará a través de un canal seguro hasta el host y el puerto especificados desde el equipo local. El primer argumento debe ser un número de puerto y el segundo debe ser host:port. Las direcciones IPv6 se pueden especificar con una sintaxis alternativa: host/port. Se pueden especificar múltiples reenvíos. Solamente los usuarios con privilegios administrativos pueden reenviar puertos con privilegios.

SendEnv

Especifica una variable de entorno de ajuste en el servidor antes de ejecutar un shell o un comando. El valor debería ser de la forma: VAR val. El servidor debe ser compatible con la variable especificada y debe configurarse para que acepte estas variables de entorno.

ServerAlive

Especifica si enviar o no mensajes de Keep Alive del servidor al servidor SSH en el intervalo especificado mediante ServerAliveInterval. El parámetro ServerAlive de Secure Shell envía un mensaje de protocolo SSH al servidor en el intervalo especificado para garantizar que el servidor aún funciona. Si esta opción no está habilitada, la conexión SSH no finalizará si el servidor deja de funcionar o se pierde la conexión con la red. También se puede utilizar esta configuración para evitar que el servidor desconecte las conexiones que solo envían sesiones TCP, cuando el servidor no detecta tráfico SSH. Los valores permitidos son yes y no. El valor predeterminado es no:

nota

El parámetro ServerAlive de Secure Shell no está relacionado con la configuración keep alive de TCP (KeepAlive), que puede establecerse en el Registro de Windows para evitar que el firewall desconecte las conexiones TCP/IP tras agotarse el tiempo de espera. Para cambiar el comportamiento de Keep Alive en TCP/IP, debe editar el registro de Windows.

ServerAliveInterval

Especifica el intervalo (en segundos) que se utilizará cuando ServerAlive = yes. Utilice un valor entero de uno o mayor. El valor por defecto es 30.

ServerKeyFormat

Especifica el formato de clave a utilizar cuando se cargan claves a un host con la utilidad Cargar en la ficha Claves de usuario. La utilidad determina automáticamente qué formato de clave se debe utilizar. Modifique este parámetro si ese formato es incorrecto para su servidor. Los valores permitidos son "OpenSSH" y "SECSH".

ServerStyle

Especifica los parámetros de configuración de la clave pública del host a utilizar cuando se cargan claves a un host con la utilidad Cargar en la ficha Claves de usuario. La utilidad determina automáticamente qué estilo de host se debe utilizar. Modifique este parámetro si ese formato es incorrecto para su servidor. Los valores permitidos son "UNIX" y "VMS".

SftpBufferLen

Especifica el número de bytes necesarios en cada paquete durante las transferencias SFTP. El puerto por defecto es el 32768. Al ajustar este valor se puede mejorar la velocidad de transferencia. El valor óptimo depende de la configuración de la red y del servidor. El cambio de este valor puede afectar también a la rapidez con la que se cancela una transferencia.

SftpMaxRequests

Especifica el número máximo de solicitudes pendientes de datos que el cliente puede realizar durante las transferencias SFTP. El puerto por defecto es el 10. Al ajustar este valor se puede mejorar la velocidad de transferencia. El valor óptimo depende de la configuración de la red y del servidor. El cambio de este valor puede afectar también a la rapidez con la que se cancela una transferencia.

SftpVersion

Especifica qué versión utiliza el cliente para las conexiones SFTP. Los valores válidos son 3 y 4. Si este parámetro es 4 (por defecto), la conexión utiliza la versión 4 de SFTP si el servidor la admite y baja a la versión 3 si el servidor no admite la versión 4. Si el parámetro es 3, el cliente utiliza siempre la versión 3 de SFTP.

StrictHostKeyChecking

El argumento debe ser yes, no o "ask". El valor predeterminado es 'ask'. Si esta opción se ha establecido en yes, el cliente Secure Shell no agrega nunca de forma automática claves de host al archivo known_hosts (ubicado en la carpeta .ssh de usuario) y rechaza la conexión a los hosts cuyas claves de host hayan cambiado. Esta opción obliga al usuario a agregar automáticamente todos los hosts nuevos. Si se establece en no, Reflection se conecta al host sin mostrar un cuadro de diálogo de confirmación y no agrega la clave del host a la lista de claves de confianza. Si se establece en ask, se agregan las claves de host nuevas a los archivos de host conocidos del usuario solamente después de que este haya confirmado qué es lo que desea. Las claves de los hosts conocidos se verifican automáticamente en todos los casos.

nota

Este parámetro no tiene ningún efecto cuando se ha configurado el host para autenticarse mediante certificados x509. Si un host presenta un certificado para la autenticación del host y no posee el certificado de CA necesario configurado como una entidad de anclaje de confianza, la conexión fallará.

TryEmptyPassword

Si se establece en yes, el cliente inicia la autenticación de la contraseña tratando de introducir una contraseña en blanco. En la mayoría de los sistemas se contará como un intento de inicio de sesión.

Usuario

Especifica el usuario con el que se inicia la sesión. Puede resultar útil cuando se utiliza un nombre de usuario diferente en distintos equipos.

UseOCSP

Especifica si el cliente utiliza OCSP (Online Certificate Status Protocol) para validar los certificados del host. Los valores permitidos son yes y no. El valor predeterminado es no:

UserKeyCertLast

Especifica cómo el cliente maneja la firma de los certificados durante la autenticación de clave pública. Si este parámetro se ha establecido en "yes", el cliente envía la clave usando primero una firma de clave ssh estándar. Si se produce un error, el cliente vuelve a intentar utilizar una firma de certificado. En algunos casos es posible que este segundo intento no se produzca y que la autenticación falle. Si el parámetro se ha establecido en "no", el cliente prueba primero la firma de certificado y, a continuación, la firma de clave ssh.

UserKnownHostsFile

Especifica un archivo para utilizar en la base de datos de claves de host del usuario en lugar del archivo known_hosts (ubicado en la carpeta .ssh de usuario). Utilice comillas si el archivo o la ruta incluyen espacios.

x509dsasigtype

Especifica el algoritmo de la huella digital utilizado por el cliente en el proceso de comprobación de posesión de claves DSA privadas. Los valores posibles son sha1raw (valor por defecto) y sha1asn1.

x509rsasigtype

Especifica el algoritmo de la huella digital utilizado por el cliente en el proceso de comprobación de posesión de claves RSA privadas. Los valores posibles son md5, sha1, y sha256 y all (valor por defecto).

X11Display

Determina el puerto de conexión en bucle local de la PC al cual las comunicaciones de protocolo X11 se reenvían cuando el reenvío de X11 está activado.

nota

Si está utilizando Reflection X (versión 12.x, 13.x o 14.x), no necesita configurar esta palabra clave. El servidor X y el cliente Reflection Secure Shell se sincronizan automáticamente para utilizar el puerto correcto en función del parámetro de visualización del servidor X (Parámetros > Visualización > Número de visualización X); en este caso, la palabra clave X11Display se ignora. Si utiliza un servidor X de la PC diferente, utilice esta palabra clave para especificar el puerto de escucha correcto, como se define para el servidor X de la PC.

El valor por defecto es 0. Esto configura el reenvío al puerto 6000, que es el puerto de escucha predeterminado definido por la convención del protocolo X11. El valor de visualización que especifique se agrega a 6000 para determinar el puerto de escucha real. Por ejemplo, si establece X11Display en 20 indica al cliente Secure Shell que el servidor PC-X está escuchando en le puerto 6020.

Más información