Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di Secure Shell

Se viene modificato manualmente il file di configurazione di Secure Shell, utilizzare questo elenco di riferimento. Il file di configurazione è suddiviso in sezioni, ciascuna indicata da una parola chiave Host. Ogni sezione contiene le impostazioni di Secure Shell da utilizzare per tutte le connessioni effettuate mediante l'host o lo schema di configurazione di SSH specificato.

Il file di configurazione è costituito da parole chiave seguite da valori. Le opzioni di configurazione possono essere separate da uno spazio vuoto o da uno spazio vuoto opzionale e un unico segno di uguale (=). Per le parole chiave non viene applicata la distinzione tra lettere maiuscole e minuscole, al contrario degli argomenti.

Le righe che iniziano con un simbolo di cancelletto (#) sono commenti. Le righe vuote vengono ignorate.

NOTA:Gli elementi dell'elenco configurano funzioni che vengono applicate alla connessione Secure Shell. Sono disponibili ulteriori parole chiave per la configurazione dell'emulazione del terminale nelle sessioni della riga di comando ssh. Elenco di riferimento delle parole chiave del file di configurazione Elenco di riferimento delle parole chiave dei file di configurazione - Impostazioni di emulazione del terminale.

AddAuthKeyToAgent

Questa impostazione determina la gestione dell'autenticazione della chiave pubblica da parte del client quando ForwardAgent è impostata su "yes". Quando viene effettuata l'autenticazione della chiave pubblica al server e sia ForwardAgent sia AddAuthKeyToAgent sono impostate su "yes", la chiave o il certificato utilizzato per l'autenticazione viene automaticamente aggiunto all'Agente di gestione chiavi di Reflection. Questa chiave non viene salvata nell'Agente di gestione chiavi ma rimane disponibile fino a quando l'Agente di gestione chiavi è in esecuzione. Quando AddAuthKeyToAgent è impostata su "no" (impostazione predefinita), chiavi e certificati non vengono aggiunti automaticamente all'Agente di gestione chiavi e vengono utilizzate solo le chiavi importate manualmente.

AuthUseAllKeys

Questa impostazione determina la gestione dell'autenticazione della chiave pubblica da parte del client. Quando l'impostazione è "no" (impostazione predefinita), il client cerca di autenticare solo le chiavi specificate utilizzando la parola chiave IdentityFile. Quando è impostata su "yes" il client cerca di effettuare l'autenticazione utilizzando tutte le chiavi pubbliche disponibili.

BatchMode

Specifica se disattivare o meno tutte le richieste di input da parte dell'utente, comprese le richieste di password e passphrase; questa parola chiave è utile per gli script e i processi batch. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

NOTA:Questa parola chiave non disattiva le richieste di input da parte dell'utente quando è configurata l'autenticazione interattiva tramite la tastiera; tuttavia, quando BatchMode è attivata, le connessioni che utilizzano la tastiera interattiva non vengono eseguite.

BindAddress

Specifica l'interfaccia da cui trasmettere su computer dotati di più interfacce o indirizzi in forma di alias.

ChallengeResponseAuthentication

Specifica se utilizzare l'autenticazione In attesa/Risposta. L'argomento deve essere "yes" o "no". Questo metodo di autenticazione è raccomandato nel caso in cui venga utilizzata l'autenticazione PAM SecurID o un altro metodo di autenticazione esterno che necessita di richieste dal server e risposte dall'utente. Il valore predefinito è "yes". Viene applicato soltanto alla versione 1 del protocollo SSH, il cui utilizzo è supportato ma non raccomandato. Utilizzare KbdInteractiveAuthentication per la versione 2 del protocollo SSH.

CheckHostIP

Se questo flag è impostato su "yes", il client Reflection Secure Shell verifica anche l'indirizzo IP dell'host nel file known_hosts oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se l'IP dell'host nell'elenco degli host noti corrisponde all'indirizzo IP che si sta utilizzando per la connessione. Il valore predefinito è "no". Nota: Questa impostazione non ha effetto se StrictHostKeyChecking = no.

CheckHostPort

Se questo flag è impostato su "yes", il client Reflection Secure Shell verifica anche la porta dell'host nel file known_hosts oltre a verificare la chiave pubblica dell'host. La connessione viene permessa solo se la porta dell'host nell'elenco degli host noti corrisponde alla porta che si sta utilizzando per la connessione. Il valore predefinito è "no". Nota: Questa impostazione non ha effetto se StrictHostKeyChecking = no.

Cipher

Specifica la crittografia da utilizzare per la sessione nella versione 1 del protocollo. Le crittografie attualmente supportate sono "blowfish", "3des" e "des". des viene supportata soltanto dal client Secure Shell per consentire l'interoperatività con le implementazioni della versione 1 del protocollo di versioni precedenti che non supportano la crittografia 3des. Il suo impiego è fortemente sconsigliato, in quanto la crittografia fornita presenta vari punti deboli. Il valore predefinito è "3des".

Crittografie

Specifica in ordine di preferenza le crittografie consentite per la versione 2 del protocollo. Per utilizzare più crittografie, è necessario inserire virgole di separazione. L'impostazione predefinita è "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Se l'esecuzione della connessione è impostata sulla modalità FIPS, il valore predefinito è "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

ClearAllForwardings

Elimina tutte le porte di inoltro locale, remoto o dinamico già utilizzate da un file di configurazione o dalla riga di comando. Nota: scp e sftp azzerano automaticamente tutte le porte inoltrate, a prescindere dal valore di questa impostazione. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

Compression

Specifica se la compressione è attiva. L'uso della compressione è preferibile su linee modem e su altre connessioni lente, mentre nelle reti veloci rallenta i tempi di risposta. La compressione inoltre aggiunge ulteriore casualità al pacchetto per impedire la decrittografia dello stesso da parte di persone non autorizzate. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

CompressionLevel

Specifica il livello di compressione da utilizzare se la compressione è attiva. Questa opzione viene applicata soltanto alla versione 1 del protocollo. L'argomento deve essere un numero intero compreso tra 1 (rapido) e 9 (lento, migliore). Il valore predefinito è 6, appropriato per la maggior parte delle applicazioni. Il significato di questi valori è lo stesso di quello di gzip.

ConnectionAttempts

Specifica il numero di tentativi (uno al secondo) da effettuare prima di chiudere. L'argomento deve essere un numero intero. Può rivelarsi utile negli script quando in certi casi la connessione non viene stabilita. Il valore predefinito è 1.

ConnectionReuse

Specifica se più sessioni di connessione allo stesso host riutilizzano la connessione Secure Shell originale e pertanto non richiedono una riautenticazione. L'argomento deve essere "yes" o "no". Se è impostato su "yes", le nuove connessioni riutilizzano il tunnel esistente quando il nome dell'host, il nome dell'utente e lo schema di configurazione di SSH (se utilizzato) coincidono. Se è impostato su "no", Reflection stabilisce una nuova connessione per ciascuna sessione, ossia ciascuna nuova connessione ripete la procedura di autenticazione e inoltre applica qualsiasi impostazione specifica della connessione che sia stata modificata, ad esempio, gli inoltri e le crittografie. Il valore predefinito è "yes" se viene utilizzata la finestra di Reflection per stabilire le connessioni. È impostato su "no" se vengono utilizzate le utilità della riga di comando di Reflection per stabilire le connessioni. Per i dettagli, vedere Riutilizzo delle connessioni nelle sessioni Secure Shell.

ConnectTimeout

Specifica il tempo massimo (in secondi) di attesa del client quando tenta di completare la connessione al server. Il timer viene avviato quando la connessione è stabilita (prima dell'accesso) e viene eseguito durante la negoziazione delle impostazioni, lo scambio delle chiavi dell'host e l'autenticazione. Per tutti gli scopi pratici, il periodo misurato è sostanzialmente il tempo delle attività di autenticazione. Il valore predefinito è 120.

DisableCRL

Specifica se deve essere eseguito il controllo CRL (Certificate Revocation List) quando si convalidano i certificati dell'host. Impostando questa parola chiave su "yes", il controllo CRL viene disattivato. Il valore predefinito di questa impostazione si basa sull'impostazione attuale di sistema per il controllo CRL. Per visualizzare e modificare l'impostazione di sistema, avviare Internet Explorer e accedere a Strumenti > Opzioni Internet > Avanzate. In Protezione, cercare l'opzione Verifica revoca dei certificati del server.

DynamicForward

Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto per fare in modo che il protocollo dell'applicazione venga utilizzato per determinare la destinazione della connessione dal computer remoto. L'argomento deve essere un numero di porta. Attualmente viene supportato il protocollo SOCKS4 e Reflection Secure Shell funge da server SOCKS4. È possibile specificare più inoltri e indicare inoltri aggiuntivi dalla riga di comando. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.

EscapeChar

Imposta il carattere escape (valore predefinito: '~'). Il carattere escape può inoltre essere impostato dalla riga di comando. L'argomento deve essere costituito da un unico carattere "^" seguito da una lettera, oppure da "none" per disattivare completamente il carattere escape (e rendere la connessione trasparente per i dati binari).

FipsMode

Quando questa impostazione è "yes", le connessioni devono essere effettuate mediante l'uso di protocolli e algoritmi di protezione conformi allo standard FIPS (Federal Information Processing Standard) 140-2 del governo statunitense. Le opzioni non conformi a questo tipo di standard non sono disponibili nella scheda Crittografia.

NOTA:Questa impostazione viene applicata allo schema di configurazione di SSH specificato dalla parola chiave Host e non produce effetti sulle successive sessioni Secure Shell a meno che non vengano configurate in modo da utilizzare lo stesso schema di configurazione di SSH (o nome dell'host).

ForwardAgent

Impostare questa parola chiave su "yes" per attivare l'inoltro della connessione dell'agente di gestione chiavi di Reflection. Attivare l'inoltro dell'agente con cautela. Gli utenti dotati della capacità di ignorare la richiesta di permessi dei file sull'host remoto (per il socket di dominio Unix dell'agente) sono in grado di accedere all'agente locale tramite la connessione inoltrata. Gli intrusi non possono ottenere materiale relativo alle chiavi dall'agente; tuttavia, possono eseguire operazioni sulle chiavi che permettono di ottenere l'autenticazione utilizzando le identità caricate sull'agente. Potrebbe essere necessario attivare anche queste sul server. Il valore predefinito è "no".

ForwardX11

Specifica se le connessioni X11 devono essere reindirizzate automaticamente tramite il canale e il gruppo DISPLAY protetto. L'argomento deve essere "yes" o "no". Il valore predefinito è "no". (Nota: Se si configura Secure Shell mediante Reflection X, vedere ForwardX11ReflectionX.)

ForwardX11ReflectionX

Questa impostazione è utilizzata quando si configurano le connessioni Secure Shell per Reflection X (a partire dalla versione 14.1). Specifica se le connessioni X11 devono essere reindirizzate automaticamente tramite il canale e il gruppo DISPLAY protetto. L'argomento deve essere "yes" o "no". Il valore predefinito è "yes".

GatewayPorts

Specifica se gli host remoti sono autorizzati a connettersi alle porte inoltrate locali. Come impostazione predefinita, Reflection Secure Shell associa gli inoltri porta locale all'indirizzo di loopback. Si evita in tal modo che altri host remoti possano connettersi alle porte inoltrate. GatewayPorts può essere utilizzato per specificare l'associazione degli inoltri porta locale all'indirizzo rappresentato da caratteri jolly, in modo da consentire agli host remoti la connessione alle porte inoltrate. L'attivazione di questa impostazione deve essere utilizzata con prudenza. Il suo impiego può ridurre la protezione della rete e della connessione perché può consentire agli host remoti l'uso della porta inoltrata nel sistema senza alcuna autenticazione. L'argomento deve essere "yes" o "no". Il valore predefinito è "no".

GlobalKnownHostsFile

Specifica un file da utilizzare per il database delle chiavi host globali al posto del file predefinito denominato ssh_known_hosts contenuto nella Cartella dei dati delle applicazioni di Reflection Reflection memorizza le informazioni Secure Shell disponibili per tutti gli utenti nel percorso seguente:

  • Windows 7, Windows Vista, Windows Server 2008:
  • \ProgramData\Micro Focus\Reflection
.

NOTA:Racchiudere il nome file tra virgolette se una parte del percorso o del nome file contiene spazi.

GssapiAuthentication

Specifica se deve essere utilizzata l'autenticazione GSSAPI per autenticare un KDC di Kerberos. Questa impostazione è valida solo se si utilizza la versione 2 del protocollo. (L'impostazione equivalente della versione 1 del protocollo è KerberosAuthentication.) I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

GssapiDelegateCredentials

Specifica se deve essere utilizzato GSSAPI per inoltrare il ticket di concessione ticket (krbtgt) all'host. Questa impostazione è valida solo se si utilizza la versione 2 del protocollo. (L'impostazione equivalente della versione 1 del protocollo è KerberosTgtPassing.) I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

GssapiUseSSPI

Specifica se deve essere utilizzata l'interfaccia SSPI (Security Support Provider Interface) di Microsoft per l'autenticazione GSSAPI. Questa impostazione può essere applicata soltanto se l'autenticazione Kerberos/GSSAPI è attivata (mediante l'utilizzo di GssapiAuthentication per la versione 2 del protocollo e di KerberosAuthentication per la versione 1 del protocollo). L'argomento di questa parola chiave deve essere "yes" o "no". Se l'argomento è impostato su "no", il client Reflection Secure Shell utilizza il client Reflection Kerberos per eseguire l'autenticazione GSSAPI. Se l'argomento è impostato su "yes", il client Reflection Secure Shell utilizza le credenziali di accesso al dominio di Windows (SSPI) per autenticare il server Secure Shell. SSPI è supportato soltanto per le connessioni della versione 2 del protocollo e il server deve essere in grado di supportare il metodo di autenticazione GSSAPI-with-mic. Il valore predefinito è "yes".

GssServicePrincipal

Specifica un nome principale del servizio non predefinito da utilizzare quando il client invia una richiesta di ticket di servizio al centro distribuzione chiave Kerberos (KDC). Se è stato selezionato SSPI per il provider GSSAPI, è possibile utilizzare questa impostazione per specificare un nome principale del servizio in un'area di autenticazione diversa dal dominio di Windows. Utilizzare un nome dell'host completo seguito dal simbolo @ e dal nome dell'area di autenticazione, ad esempio: miohost.miaareaautenticazione.com@MIAAREAAUTENTICAZIONE.COM. (Per impostazione predefinita, il valore del nome dell'host è il nome del server Secure Shell a cui viene eseguita la connessione, mentre l'area di autenticazione dipende dal valore di GssapiUseSSPI. Se GssapiUseSSPI è impostato su "no", il nome dell'area di autenticazione viene specificato nel profilo del nome principale predefinito. Se GssapiUseSSPI è impostato su "yes", il nome dell'area di autenticazione è il nome del dominio di Windows.

Host

Identifica le dichiarazioni successive (fino alla parola chiave Host successiva) come appartenenti allo schema di configurazione di SSH specificato. I caratteri "*" e "?" possono essere utilizzati come caratteri jolly. È possibile utilizzare un unico carattere "*" come modello per fornire valori predefiniti globali per tutti gli host. Le connessioni Reflection utilizzano la prima occorrenza di stringa Host corrispondente (compresi i caratteri jolly). Le corrispondenze successive vengono ignorate.

NOTA:Quando si chiude la finestra di dialogo Impostazioni Reflection Secure Shell, i valori che mantengono le impostazioni predefinite non vengono salvati nel file di configurazione. Se un valore predefinito è stato aggiunto manualmente al file, verrà rimosso quando si chiude la finestra di dialogo. Ciò impone dei vincoli progettuali se si utilizzano sezioni host con caratteri jolly in combinazione con sezioni in cui si utilizzano i nomi specifici degli host. Se è stato configurato manualmente un valore predefinito in una specifica sezione host allo scopo di ignorare un valore configurato in una sezione con caratteri jolly, l'impostazione predefinita viene rimossa quando si apre la finestra di dialogo Impostazioni Reflection Secure Shell per visualizzare le impostazioni dello schema di configurazione SSH specifico dell'host. È possibile superare questo problema utilizzando il file di configurazione globale, che non viene aggiornato quando gli utenti aprono e chiudono la finestra di dialogo Impostazioni Reflection Secure Shell.

HostKeyAlgorithms

Specifica in ordine di preferenza gli algoritmi delle chiavi dell'host utilizzati dal client. Il valore predefinito per questa opzione è: "x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss". Questa impostazione si rivela utile quando il server è configurato per l'autenticazione della chiave dell'host sia con certificato che standard. Il valore predefinito presenta algoritmi x509 prima dei normali algoritmi con chiave SSH. Il protocollo SSH consente soltanto un tentativo di autenticazione dell'host. (Questa funzione è diversa dall'autenticazione dell'utente, nella quale vengono supportati più tentativi di autenticazione). Se l'host presenta un certificato e il client non è configurato per l'autenticazione dell'host mediante certificati, la connessione non viene eseguita quando sono preferiti gli algoritmi x509. In questa situazione è possibile configurare il client in modo da preferire le chiavi SSH rispetto ai certificati modificando l'ordine di preferenza in "ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss, x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss".

HostKeyAlias

Specifica un alias da utilizzare al posto del nome dell'host effettivo nei casi in cui è necessario consultare o salvare la chiave dell'host nei file di database delle chiavi dell'host. Questa opzione si rivela utile nel tunneling delle connessioni ssh o per più server eseguiti su un singolo host.

IdentityFile

Specifica una chiave privata da utilizzare nell'autenticazione con chiave. I file sono contenuti nella cartella .ssh dell'utente Reflection conserva le informazioni di Secure Shell relative ai singoli utenti nella seguente posizione della cartella dei documenti personali di Windows:

  • Windows 7, Windows Vista, Windows Server 2008:
  • \Utenti\ nomeutente \ Documenti\Micro Focus\Reflection\ .ssh
I file analoghi vengono inseriti nella directory $HOME dei sistemi UNIX.
. Gli elementi di IdentityFile vengono aggiunti quando vengono selezionate chiavi o certificati dall'elenco riportato nella scheda Chiavi utente della finestra di dialogo Impostazioni Secure Shell. Nei file di configurazione possono essere specificati più file di identità; l'uso di tutte queste identità viene tentato in sequenza.

NOTA:Se il percorso completo contiene spazi, racchiuderlo tra virgolette.

KbdInteractiveAuthentication

Specifica se utilizzare l'autenticazione interattiva tramite la tastiera. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes". Questo metodo di autenticazione è raccomandato nel caso in cui venga utilizzata l'autenticazione PAM SecurID o un altro metodo di autenticazione esterno che necessita di richieste dal server e risposte dall'utente. Può inoltre rivelarsi più efficace del metodo PasswordAuthentication per l'autenticazione con password sugli host in cui è attivata la scadenza della password o la modifica della password al primo accesso. Può infine essere richiesto per l'autenticazione con password quando le password scadute devono essere reimpostate per consentire una corretta autenticazione. Questo metodo viene applicato soltanto alla versione 2 del protocollo SSH. Utilizzare ChallengeResponseAuthentication per la versione 1 del protocollo SSH.

KeepAlive

Specifica se il sistema deve inviare messaggi keepalive TCP all'altra parte. Se vengono inviati, viene rilevato l'arresto anomalo della connessione o di uno dei computer. Il valore predefinito è "yes" (ossia, è attivato l'invio di messaggi keepalive), pertanto il client viene abilitato al rilevamento dell'arresto anomalo della rete o dell'host remoto. Si tratta di una funzione importante nell'uso degli script ed è utile per gli utenti. Tuttavia, ciò significa che le connessioni si arrestano anche in caso di interruzione temporanea del routing, con conseguente possibile disagio per gli utenti. Per disattivare i messaggi keepalive, impostare il valore su "no". Questa parola chiave attiva l'impostazione keepalive TCP di Windows, la quale come impostazione predefinita invia messaggi keepalive ogni due ore. L'invio di messaggi keepalive TCP/IP può essere configurato mediante l'uso di due pentametri opzionali normalmente non presenti nel Registro di sistema di Windows: KeepAliveTime e KeepAliveInterval. Questi elementi sono configurati nella sottostruttura HKEY_LOCAL_MACHINE del Registro di sistema, nella seguente posizione:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Per informazioni sull'impostazione di questi parametri, fare riferimento all'articolo 120642 della Microsoft Knowledge Base.

KerberosAuthentication

Specifica se deve essere utilizzata l'autenticazione Kerberos per le connessioni della versione 1 del protocollo (l'impostazione equivalente della versione 2 del protocollo è GssapiAuthentication). L'argomento di questa parola chiave deve essere "yes" o "no".

KerberosTgtPassing

Specifica se un ticket di concessione ticket (TGT) Kerberos deve essere inoltrato al server. Funziona soltanto se il server Kerberos è effettivamente un kaserver AFS. Questa impostazione viene applicata soltanto alla versione 1 del protocollo (l'impostazione equivalente della versione 2 del protocollo è GssapiDelegateCredentials). L'argomento di questa parola chiave deve essere "yes" o "no".

KexAlgorithms

Specifica gli algoritmi per lo scambio delle chiavi supportati dal client e l'ordine di preferenza. I valori supportati sono "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" e "diffie-hellman-group14-sha1". L'impostazione predefinita è "diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1". In alcuni casi potrebbe essere necessario cambiare l'ordine degli algoritmi per lo scambio delle chiavi per mettere "diffie-hellman-group14-sha1" prima degli altri due. Questa operazione è necessaria se si desidera utilizzare la crittografia MAC hmac-sha512 oppure se durante lo scambio delle chiavi viene visualizzato l'errore seguente: "fatal: dh_gen_key: group too small: 1024 (2*need 1024)".

NOTA:Se è attivata l'autenticazione GSSAPI che utilizza il client Reflection Kerberos, all'elenco vengono aggiunti automaticamente i seguenti ulteriori algoritmi di scambio delle chiavi: gss-group1-sha1 gss-gex-sha1.

LocalForward

Specifica l'inoltro di una porta TCP/IP di un computer locale tramite un canale protetto all'host e alla porta specificati sul computer remoto. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi. È inoltre possibile configurare argomenti opzionali per l'inoltro FTP, la configurazione di un desktop remoto e l'avvio automatico di un file eseguibile (*.exe) dopo l'avvenuta connessione. La sintassi di questa parola chiave è:

LocalForward portalocale host: portahost [FTP=0|1] [RDP=0|1] [" FileEseguibile " [argomenti]

Le opzioni disponibili sono:

portalocale

Numero di porta locale.

host: portahost

Host remoto e porta su tale host (è possibile specificare localhost per inoltrare i dati a una porta diversa sullo stesso host remoto su cui è già stata stabilita una connessione Secure Shell). Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/port.

FTP

Impostare su 1 se viene eseguito il tunneling del trasferimento di file FTP.

RDP

Impostare su 1 se viene eseguito il tunneling di una sessione Desktop remoto.

" FileEseguibile "

Specificare un file eseguibile (comprensivo di percorso completo, se richiesto) per fare in modo che Reflection avvii un'applicazione immediatamente dopo l'esecuzione della connessione Secure Shell. Per inoltrare dati tramite il tunnel protetto, è necessario configurare questa applicazione in modo che venga eseguita una connessione a hostlocale (o indirizzo IP di loopback, 127.0.0.1) mediante la portalocale.

Logfile

Specifica un file di registro da utilizzare per il debug. Tutto l'input e l'output della sessione viene scritto su questo file. Utilizzare questa parola chiave con l'opzione -o dell'utilità della riga di comando qui indicata:

-o Logfile=\percorso\nome_fileregistro

NOTA:Racchiudere il nome file e il percorso tra virgolette se una parte del percorso o del nome file contiene spazi.

LogLevel

Specifica il livello di dettaglio utilizzato nella registrazione dei messaggi ricevuti dal client Reflection Secure Shell. I valori possibili sono: QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 e DEBUG3. Il valore predefinito è INFO. DEBUG e DEBUG1 sono equivalenti. DEBUG2 e DEBUG3 specificano livelli più alti di dettaglio nell'output.

Macs

Specifica gli algoritmi MAC (Message Authentication Code) in ordine di preferenza. Gli algoritmi MAC vengono utilizzati nella versione 2 del protocollo per garantire la protezione dell'integrità dei dati. Per utilizzare più algoritmi è necessario inserire virgole di separazione. Il valore predefinito è: "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512." Se l'esecuzione della connessione è impostata sulla modalità FIPS, il valore predefinito è "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-sha512, hmac-sha2-512".

MatchHostName

Specifica se è necessaria la corrispondenza del nome dell'host quando si convalidano i certificati dell'host. Se questa parola chiave è impostata su "yes" (valore predefinito), il nome dell'host configurato in Reflection deve corrispondere esattamente a un nome dell'host immesso nel campo CommonName o SubjectAltName del certificato.

Multihop

Configura connessioni multi-hop che possono essere utilizzate per stabilire connessioni protette tramite una serie di server SSH. Si tratta di una funzione utile se la configurazione di rete non consente un accesso diretto a un server remoto, ma solo tramite server intermedi.

La sintassi di questa parola chiave è:

Multihop portalocale host: portahost [" Schema config. SSH "]

Aggiungere una nuova riga Multi-hop per ogni server della serie. Ogni connessione nell'elenco viene inviata attraverso il tunnel creato mediante la connessione precedente.

Nell'esempio seguente, le connessioni SSH configurate sul ServerC effettuano prima la connessione al ServerA, quindi al ServerB e infine al ServerC.

  • Host ServerC
  • Multihop 2022 ServerA:22
  • Multihop 3022 ServerB:22

È possibile specificare opzionalmente uno schema di configurazione SSH per configurare le impostazioni di Secure Shell per qualsiasi host nella catena. Esempio:

Multihop 4022 mario@ServerA:22 "Multihop SchemaA"
NoShell

Quando NoShell è impostato su "yes", il client crea un tunnel senza aprire una sessione del terminale. Questa opzione può essere utilizzata insieme a ConnectionReuse per creare un tunnel riutilizzabile da altre connessioni ssh. Nota: Questa opzione ha effetto sulle connessioni eseguite con l'utilità della riga di comando, non è previsto l'uso con l'interfaccia utente.

NumberOfPasswordPrompts

Specifica il numero di richieste di password prima di rinunciare alla connessione. L'argomento per questa parola chiave deve essere un numero intero. Il valore predefinito è 3.

PasswordAuthentication

Specifica se utilizzare l'autenticazione con password. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

Port

Specifica il numero di porta per la connessione all'host remoto. Il valore predefinito è 22.

PreferredAuthentications

Specifica l'ordine in cui il client deve tentare i metodi di autenticazione con la versione 2 del protocollo. Tale ordine corrisponde a quello (dall'alto al basso) in cui i metodi sono visualizzati nell'elenco Autenticazione utente nella scheda Generale della finestra di dialogo Impostazioni Reflection Secure Shell. Questa impostazione consente al client di preferire un metodo (ad esempio, autenticazione interattiva tramite la tastiera) invece di un altro (ad esempio, autenticazione con password). Come impostazione predefinita, Reflection tenta l'autenticazione nel seguente ordine: “chiavepubblica,tastiera interattiva,password". Se è attivata l'autenticazione GSSAPI, il valore predefinito viene modificato come segue: 'gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password'.

NOTA:

  • Se viene inserita la parola chiave PreferredAuthentications nel file di configurazione, l'elenco specificato deve contenere tutti i metodi di autenticazione utilizzabili. Se PreferredAuthentications è presente ma non specifica un particolare metodo di autenticazione, Reflection non utilizza tale metodo di autenticazione, anche se la parola chiave per l'attivazione del metodo di autenticazione è configurata correttamente.

  • L'inserimento di un metodo di autenticazione nell'elenco PreferredAuthentications non determina l'attivazione dell'autenticazione con tale metodo. Per attivare un metodo di autenticazione non utilizzato come impostazione predefinita, è necessario che anche la parola chiave del metodo di autenticazione sia configurata correttamente (ad esempio, per attivare l'autenticazione GSSAPI, è necessario impostare GssapiAuthentication su "yes").

PreserveTimestamps

Specifica se gli attributi dei file, data e ora vengono modificati quando i file vengono trasferiti da o verso il server. Quando questa parola chiave è "no" (impostazione predefinita), data, ora e attributi vengono modificati. Quando la parola chiave è "yes", i file mantengono data, ora e attributi originali.

Protocol

Specifica le versioni del protocollo che devono essere supportate dal client Reflection Secure Shell in ordine di preferenza. I valori possibili sono "1" e "2". Per utilizzare più valori è necessario inserire virgole di separazione. Il valore predefinito è "2,1", ossia Reflection tenta di utilizzare la versione 2 e ricorre alla versione 1 qualora la 2 non sia disponibile.

Proxy

Specifica un tipo di proxy da utilizzare per le connessioni Secure Shell. I valori supportati sono "SOCKS" e "HTTP".

NOTA:L'utilizzo di proxy è attivato per ciascuna sezione Host che utilizza questa impostazione nel file di configurazione. L'indirizzo del server proxy viene memorizzato nel Registro di sistema di Windows in base all'utente.

PubkeyAuthentication

Specifica se deve essere tentata l'autenticazione con chiave pubblica. Questa opzione viene applicata soltanto alla versione 2 del protocollo. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

RemoteCommand

Specifica uno o più comandi da eseguire sul server remoto. Utilizzare il punto e virgola (;) per separare più comandi quando viene eseguita una connessione a un server UNIX. Utilizzare una "e" commerciale (&) per separare più comandi quando viene eseguita una connessione a un server Windows. Dopo avere stabilito la connessione, il server esegue (o tenta di eseguire) i comandi specificati e successivamente la sessione viene conclusa. Il server deve essere configurato in modo da consentire l'esecuzione dei comandi ricevuti dal client.

I comandi devono essere specificati utilizzando il formato appropriato al server in uso. Ad esempio, i comandi seguenti sono equivalenti:

In UNIX: ls ; ls -l

In Windows: dir/w & dir

RemoteForward

Specifica l'inoltro di una porta TCP/IP di un computer remoto tramite un canale protetto all'host e alla porta specificati dal computer locale. Il primo argomento deve essere un numero di porta, mentre il secondo deve essere host:porta. Gli indirizzi IPv6 possono essere specificati con una sintassi alternativa: host/porta. È possibile specificare più inoltri. Le porte privilegiate possono essere inoltrate soltanto da utenti con privilegi amministrativi.

RSAAuthentication

Specifica se deve essere tentata l'autenticazione RSA. Questa opzione viene applicata soltanto alla versione 1 del protocollo. L'autenticazione RSA viene tentata soltanto se esiste il file di identità. I valori consentiti sono "yes" e "no". Il valore predefinito è "yes".

SendEnv

Specifica una variabile d'ambiente da impostare sul server prima dell'esecuzione di una shell o di un comando. Il formato di questo valore deve essere: VAR val. Il server deve supportare la variabile specificata e deve essere configurato in modo da accettare queste variabili d'ambiente.

ServerAlive

Specifica se inviare messaggi keepalive server al server SSH in base all'intervallo indicato da ServerAliveInterval. L'impostazione ServerAlive di Secure Shell invia un messaggio di protocollo SSH al server in base all'intervallo indicato per accertarsi che il server sia ancora in funzione. Se questa impostazione non è attivata, la connessione SSH non si interrompe in caso di blocco del server o di perdita della connessione di rete. Questa impostazione può inoltre essere utilizzata per evitare che si verifichi il timeout delle connessioni che inoltrano soltanto sessioni TCP a causa del mancato rilevamento di traffico SSH. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

NOTA:l'impostazione ServerAlive di Secure Shell non è correlata al parametro keepalive di TCP (KeepAlive) configurabile nel Registro di sistema di Windows con cui è possibile evitare il timeout di tutte le connessioni TCP/IP mediante un firewall. Per modificare il funzionamento del parametro keep alive di TCP/IP, è necessario modificare il Registro di sistema di Windows.

ServerAliveInterval

Specifica l'intervallo di tempo (in secondi) da utilizzare quando ServerAlive = "yes". Utilizzare un numero intero pari a uno o maggiore. Il valore predefinito è 30.

SftpBufferLen

Specifica il numero di byte richiesti in ciascun pacchetto durante i trasferimenti SFTP. Il valore predefinito è 32768. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.

SftpMaxRequests

Specifica il numero massimo di richieste di dati in attesa consentite dal client durante i trasferimenti SFTP. Il valore predefinito è 10. La regolazione di questo valore può migliorare la velocità di trasferimento. Il valore ottimale dipende dalle impostazioni della rete e del server in uso. La modifica di questo valore potrebbe influenzare anche la velocità con cui è possibile annullare un trasferimento.

SftpVersion

Specifica la versione utilizzata dal client per le connessioni SFTP. I valori validi sono 3 e 4. Quando l'impostazione è 4 (impostazione predefinita), la connessione utilizza la versione 4 di SFTP se il server la supporta e recede alla versione 3 se la 4 non è supportata dal server. Se l'impostazione è 3, il client utilizza sempre la versione 3 di SFTP.

StrictHostKeyChecking

L'argomento deve essere "yes", "no" o "ask". Il valore predefinito è "ask". Se questa opzione è impostata su "yes", il client Reflection Secure Shell non aggiunge mai automaticamente le chiavi dell'host al file known_hosts (contenuto nella cartella .ssh dell'utente Reflection conserva le informazioni di Secure Shell relative ai singoli utenti nella seguente posizione della cartella dei documenti personali di Windows:

  • Windows 7, Windows Vista, Windows Server 2008:
  • \Utenti\ nomeutente \ Documenti\Micro Focus\Reflection\ .ssh
I file analoghi vengono inseriti nella directory $HOME dei sistemi UNIX.
) e rifiuta la connessione agli host la cui chiave dell'host risulta modificata. Questa opzione impone all'utente di aggiungere manualmente tutti i nuovi host. Se questo flag è impostato su "no", Reflection si connette all'host senza visualizzare alcuna finestra di dialogo di conferma e non aggiunge la chiave dell'host all'elenco delle chiavi attendibili. Se questo flag è impostato su "ask", le nuove chiavi dell'host vengono aggiunte ai file degli host conosciuti dell'utente soltanto dopo avere ricevuto conferma da parte dell'utente. Le chiavi dell'host relative agli host conosciuti vengono verificate automaticamente in tutti i casi.

NOTA:Questa impostazione non produce effetti quando l'host viene configurato in modo da eseguire l'autenticazione utilizzando certificati x509. Se un host presenta un certificato per l'autenticazione dell'host e il certificato CA richiesto non è configurato come certificazione principale attendibile, la connessione non viene eseguita.

TryEmptyPassword

Se questo flag è impostato su "yes", il client avvia l'autenticazione con password tentando di immettere una password vuota. La maggior parte dei sistemi considera questa operazione come un tentativo di accesso.

User

Specifica il nome utente con cui eseguire l'accesso. Può rivelarsi utile quando viene utilizzato un nome utente diverso su più computer.

UseOCSP

Specifica se il client deve utilizzare OCSP (Online Certificate Status Protocol) per la convalida dei certificati dell'host. I valori consentiti sono "yes" e "no". Il valore predefinito è "no".

UserKeyCertLast

Specifica come il client Reflection gestisce la firma per i certificati durante l'autenticazione della chiave pubblica. Quando l'impostazione è "yes" (impostazione predefinita), il client invia il certificato utilizzando per prima una firma della chiave ssh standard (ssh-rsa o ssh-dss). Se questo metodo non funziona, il client tenta nuovamente utilizzando una firma del certificato (x509-sign-rsa o x509-sign-dss). In alcuni casi è possibile che questo secondo tentativo non abbia luogo e che l'autenticazione non venga completata. Quando l'impostazione è "no", il client tenta prima la firma del certificato seguita dalla firma della chiave ssh.

UserKnownHostsFile

Specifica un file da utilizzare per il database delle chiavi host dell'utente al posto del file known_hosts (contenuto nella cartella .ssh dell'utente Reflection conserva le informazioni di Secure Shell relative ai singoli utenti nella seguente posizione della cartella dei documenti personali di Windows:

  • Windows 7, Windows Vista, Windows Server 2008:
  • \Utenti\ nomeutente \ Documenti\Micro Focus\Reflection\ .ssh
I file analoghi vengono inseriti nella directory $HOME dei sistemi UNIX.
). Utilizzare le virgolette se il nome del file o del percorso contiene spazi.

x509dsasigtype

Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private DSA. I valori possibili sono "sha1raw" (valore predefinito) e "sha1asn1".

x509rsasigtype

Specifica l'algoritmo hash utilizzato dal client durante l'operazione di dimostrazione del possesso delle chiavi private RSA. I valori possibili sono "md5", "sha1" (valore predefinito) e "sha256".

X11Display

Determina la porta sull'interfaccia loopback locale del PC alla quale vengono inoltrate le comunicazioni del protocollo X11 quando è abilitato il relativo inoltro.

NOTA:Se si utilizza Reflection X (versione 12.x, 13.x o 14.x) non è necessario configurare questa parola chiave. Il server Reflection X e il client Reflection Secure Shell si sincronizzano automaticamente per utilizzare la porta corretta in base all'impostazione del display del server X utilizzato (Impostazioni > Display > X display number); in questo caso la parola chiave X11Display viene ignorata. Se si utilizza un server PC X diverso, utilizzare questa parola chiave per specificare la porta di attesa definita per il server PC X in uso.

Il valore predefinito è 0. Questo valore configura l'inoltro alla porta 6000, che è la porta di attesa predefinita definita dalla convenzione del protocollo X11. Il valore del display specificato viene aggiunto a 6000 per determinare la porta di attesa effettiva. Ad esempio, se si imposta X11Display su 20, si indica al client Secure Shell che il server PC X è in attesa sulla porta 6020.