Schlüsselwortreferenz für Konfigurationsdateien – Secure Shell-Einstellungen

Verwenden Sie diese Referenz, wenn Sie die Secure Shell-Konfigurationsdatei manuell bearbeiten möchten. Die Konfigurationsdatei ist in Abschnitte unterteilt, die jeweils durch ein Host-Schlüsselwort gekennzeichnet sind. In jedem Abschnitt sind Secure Shell-Einstellungen für alle Verbindungen festgelegt, die mit dem jeweiligen Host unter Angabe dieses Abschnitts in der SSH-Konfigurationsdatei hergestellt werden.

Die Konfigurationsdatei besteht aus Kennwörtern mit zugeordneten Werten. Konfigurationsoptionen können durch Leerzeichen oder durch optionale Leerzeichen und genau ein Gleichheitszeichen (=) getrennt sein. Bei Argumenten muss die Groß- und Kleinschreibung beachtet werden, bei Schlüsselwörtern nicht.

Jede Zeile, die mit einem Nummernzeichen (#) beginnt, ist ein Kommentar. Leerzeilen werden ignoriert.

HINWEIS:Mit den Optionen in dieser Liste werden Funktionen konfiguriert, die Auswirkungen auf die Secure Shell-Verbindung haben. Weitere Schlüsselwörter sind für das Konfigurieren der Terminalemulation für Sitzungen über die ssh-Befehlszeile verfügbar. Referenzinformationen zu diesen Schlüsselwörtern finden Sie unter Schlüsselwortreferenz für Konfigurationsdateien: Terminalemulationseinstellungen.

AddAuthKeyToAgent

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet, wenn ForwardAgent auf "yes" gesetzt ist. Wenn die Authentifizierung öffentlicher Schlüssel beim Server erfolgreich ist und sowohl ForwardAgent als auch AddAuthKeyToAgent auf "yes" gesetzt sind, wird der Schlüssel oder das Zertifikat, der bzw. das für die Authentifizierung verwendet wurde, automatisch dem Schlüsselagenten hinzugefügt. Dieser Schlüssel wird im Schlüsselagenten nicht gespeichert, bleibt jedoch verfügbar, während der Schlüsselagent ausgeführt wird. Wenn "ddAuthKeyToAgent" auf "no" gesetzt ist (Standardwert), werden Schlüssel und Zertifikate nicht automatisch dem Schlüsselagenten hinzugefügt. Es werden dann nur die Schlüssel verwendet, die bereits manuell importiert wurden.

AuthUseAllKeys

Diese Einstellung wirkt sich darauf aus, wie der Client die Authentifizierung öffentlicher Schlüssel verarbeitet. Wenn die Einstellung auf "no" gesetzt ist (Standardwert), führt der Client die Authentifizierung nur mit dem Schlüssel (oder den Schlüsseln) durch, die Sie unter Verwendung des Schlüsselworts IdentityFile angegeben haben. Wenn die Einstellung auf "yes" gesetzt ist, führt der Client die Authentifizierung unter Verwendung aller verfügbaren öffentlichen Schlüssel durch.

BatchMode

Legt fest, ob alle Anfragen zu Benutzereingaben, z. B. Eingabeaufforderungen zu Kennwort und Passphrase, deaktiviert werden. Dies ist hilfreich bei Skripts und Sammelaufträgen. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

HINWEIS:Das Schlüsselwort deaktiviert Eingabeaufforderungen nicht, wenn die interaktive Authentifizierung über die Tastatur konfiguriert wurde. Verbindungen, die die interaktive Tastatur zur Benutzerauthentifizierung verwenden, schlagen jedoch fehl, wenn BatchMode aktiviert ist.

BindAddress

Legt bei Computern mit mehreren Schnittstellen oder Alias-Adressen die Übermittlungsschnittstelle fest.

ChallengeResponseAuthentication

Gibt an, ob die Authentifizierung mit Beschränkung/Antwort verwendet wird. Das Argument muss "yes" oder "no" lauten. Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Die Standardeinstellung ist "yes". Dies gilt nur für SSH-Protokoll 1. Diese Version wird zwar unterstützt, ihre Verwendung wird aber nicht empfohlen. Verwenden Sie KbdInteractiveAuthentication für SSH-Protokollversion 2.

CheckHostIP

Wenn "yes" festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel die Host-IP-Adresse in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn Host-IP in der Liste der bekannten Hosts mit der IP-Adresse übereinstimmt, die Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

CheckHostPort

Wenn "yes" festgelegt ist, prüft der Secure Shell-Client zusätzlich zum öffentlichen Hostschlüssel den Hostanschluss in der Datei known_hosts. Die Verbindung ist nur zulässig, wenn der Hostanschluss in der Liste der bekannten Hosts mit dem Anschluss übereinstimmt, den Sie für die Verbindung verwenden. Die Standardeinstellung ist "no". Hinweis: Diese Einstellung hat keine Auswirkung, wenn StrictHostKeyChecking auf "no" gesetzt ist.

Cipher

Legt die Verschlüsselungsart für die Verbindung in der Protokollversion 1 fest. Derzeit werden "blowfish", "3des" und "des" unterstützt. "des" wird jedoch vom Secure Shell-Client nur zum Zwecke der Kompatibilität mit früheren Implementierungen von Protokoll 1 unterstützt, bei denen keine 3des-Verschlüsselung möglich ist. Ansonsten sollte von dieser Verschlüsselung aufgrund kryptographischer Schwächen abgesehen werden. Die Standardeinstellung ist "3des".

Ciphers

Legt die für die Protokollversion 2 zulässigen Verschlüsselungsverfahren in der bevorzugten Reihenfolge fest. Mehrere Verschlüsselungen werden durch Kommata voneinander abgegrenzt. Die Standardeinstellung lautet "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc".

ClearAllForwardings

Löscht alle lokalen, entfernten oder dynamisch weitergeleiteten Anschlüsse, die bereits durch eine Konfigurationsdatei oder die Befehlszeile bearbeitet wurden. Hinweis: scp und sftp löschen automatisch alle weitergeleiteten Anschlüsse unabhängig davon, welcher Wert festgelegt ist. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

Komprimierung

Bestimmt, ob die Komprimierung aktiviert ist. Die Komprimierung ist bei Modemverbindungen und anderen langsamen Verbindungen empfehlenswert, in schnellen Netzwerken verringert sie jedoch die Antwortgeschwindigkeiten. Außerdem ist das Paket durch die Komprimierung für potenzielle Angreifer noch schwerer zu entschlüsseln. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

CompressionLevel

Legt den Komprimierungsgrad fest, wenn die Komprimierung aktiviert ist. Diese Option gilt nur für Version 1 des Protokolls. Das Argument muss eine ganze Zahl zwischen 1 (schnell) und 9 (langsam, empfohlen) sein. Voreingestellt ist "6". Diese Komprimierung funktioniert bei den meisten Anwendungen gut. Die Werte haben die gleiche Bedeutung wie bei "gzip".

ConnectionAttempts

Gibt an, wie viele Versuche (einer pro Sekunde) unternommen werden, bevor ein Abbruch erfolgt. Das Argument muss eine ganze Zahl sein. Dieses Schlüsselwort kann bei Skripts nützlich sein, wenn die Verbindung manchmal fehlschlägt. Der Standardwert ist 1.

ConnectionReuse

Legt fest, ob mehrere Sitzungen auf demselben Host die ursprüngliche Secure Shell-Verbindung wiederverwenden und daher keine erneute Authentifizierung erfordern. Das Argument muss "yes" oder "no" lauten. Bei "yes" wird der bestehende Tunnel auch dann für neue Verbindungen verwendet, wenn der Hostname, der Benutzername und der Abschnitt in der SSH-Konfigurationsdatei (sofern verwendet) übereinstimmen. Bei "no" stellt Reflection für jede Sitzung eine neue Verbindung her. Der Authentifizierungsvorgang wird also für jede neue Verbindung erneut ausgeführt, und Änderungen an den verbindungsspezifischen Einstellungen (z. B. Vorwärtskanäle und Schlüssel) werden angewendet. Für Verbindungen, die über das Reflection-Fenster hergestellt werden, ist die Standardeinstellung "yes". Wenn Sie Verbindungen über die Befehlszeilen-Dienstprogramme herstellen, ist die Standardeinstellung "no". Weitere Informationen finden Sie in Verbindungen in Secure Shell-Sitzungen wiederverwenden.

ConnectTimeout

Gibt die maximale Zeitspanne (in Sekunden) ein, die der Client wartet, wenn er versucht, die Verbindung zum Server herzustellen. Der Timer wird gestartet, wenn die Verbindung hergestellt wurde (vor der Anmeldung), und läuft während der Aushandlung der Einstellungen, des Austauschs des Hostschlüssels und der Authentifizierung weiter. Aus praktischer Sicht umfasst der gemessene Zeitraum die Authentifizierungsaktivitäten. Der Standardwert ist 120.

DisableCRL

Legt fest, ob bei der Überprüfung der Hostzertifikate eine Prüfung der CRL-Liste (CRL, Certificate Revocation List) auf widerrufene Zertifikate erfolgt. Wenn Sie diese Option auf "yes" setzen, wird die CRL-Prüfung deaktiviert. Der Standardwert für diese Einstellung hängt von Ihren aktuellen Systemeinstellungen für die CRL-Prüfung ab. Um die Systemeinstellungen anzuzeigen und zu bearbeiten, starten Sie Internet Explorer und wählen Extras > Internetoptionen > Erweitert aus. Überprüfen Sie, ob unter Sicherheit das Kontrollkästchen Auf gesperrte Serverzertifikate überprüfen aktiviert ist.

DynamicForward

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal weitergeleitet wird. Daraufhin wird durch das Anwendungsprotokoll bestimmt, mit welchem Anschluss der Remotecomputer eine Verbindung aufbaut. Das Argument muss eine Anschlussnummer sein. Zur Zeit wird das SOCKS4-Protokoll unterstützt. Reflection Secure Shell dient in diesem Fall als SOCKS4-Server. Es können mehrere Weiterleitungen angegeben werden. Außerdem können in der Befehlszeile zusätzliche Weiterleitungen eingegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

EscapeChar

Legt das Escape-Zeichen fest (Standard: '~'). Dieses Escape-Zeichen kann auch in der Befehlszeile festgelegt werden. Das Argument muss ein einzelnes Zeichen ("^") sein, gefolgt von einem Buchstaben oder "none", um das Escape-Zeichen zu deaktivieren (die Verbindung wird transparent für binäre Daten).

FipsMode

Wenn diese Einstellung auf "yes" gesetzt ist, müssen alle Verbindungen mithilfe von Sicherheitsprotokollen und Algorithmen hergestellt werden, die dem FIPS-140-2-Standard (Federal Information Processing Standard) der US-Regierung entsprechen. Optionen, die diesem Standard nicht entsprechen, sind in der Registerkarte Verschlüsselung nicht verfügbar.

HINWEIS:Diese Einstellung betrifft den vom Hostschlüsselwort angegebenen Abschnitt der SSH-Konfigurationsdatei und hat nur dann Auswirkungen auf spätere Secure Shell-Sitzungen, wenn diese für denselben Abschnitt der SSH-Konfigurationsdatei (oder denselben Hostnamen) konfiguriert sind.

ForwardAgent

Wenn Sie diese Option auf "yes" setzen, aktivieren Sie die Weiterleitung der Verbindung zum Schlüsselagenten. Gehen Sie bei der Aktivierung der Agentenweiterleitung mit großer Vorsicht vor. Benutzer, die Dateiberechtigungen auf dem Remotehost (für das Unix Domain Socket des Agenten) umgehen können, haben über die weitergeleitete Verbindung Zugriff auf den lokalen Agenten. Ein Angreifer erhält vom Agenten zwar keine Informationen über den Schlüssel, er kann den Schlüssel aber so ändern, dass er sich mithilfe der im Agenten geladenen Identifizierungen authentifizieren kann. Die Option muss gegebenenfalls auch auf dem Server aktiviert werden. Die Standardeinstellung ist "no".

ForwardX11

Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no". (Hinweis: Zur Konfiguration von Secure Shell in Reflection X siehe ForwardX11ReflectionX.)

ForwardX11ReflectionX

Diese Einstellung wird nur verwendet, wenn Sie Secure Shell-Verbindungen für Reflection X konfigurieren (ab 14.1). Gibt an, ob X11-Verbindungen automatisch über den sicheren Kanal und DISPLAY-Satz umgeleitet werden. Das Argument muss "yes" oder "no" lauten. Voreingestellt ist "yes".

GatewayPorts

Legt fest, ob externe Hosts eine Verbindung mit lokalen weitergeleiteten Anschlüssen herstellen können. Standardmäßig verbindet Reflection Secure Shell lokale Anschlussweiterleitungen mit der LOOPBACK-Adresse. Damit wird verhindert, dass andere Fernhosts eine Verbindung zu weitergeleiteten Anschlüssen herstellen. Mit GatewayPorts können Sie festlegen, dass Reflection Secure Shell lokale Anschlussweiterleitungen mit der Platzhalteradresse verbindet, damit Remotehosts eine Verbindung mit weitergeleiteten Anschlüssen herstellen können. Überlegen Sie sich gründlich, ob Sie diese Einstellung aktivieren möchten. Mit ihr kann die Sicherheit Ihres Netzwerks und Ihrer Verbindung verringert werden, da sie zulassen kann, dass entfernte Hosts den weitergeleiteten Anschluss auf Ihrem System ohne Authentifizierung nutzen. Das Argument muss "yes" oder "no" lauten. Die Standardeinstellung ist "no".

GlobalKnownHostsFile

Legt eine Datei fest, die statt der Standarddatei "ssh_known_hosts" im Windows-Ordner für gemeinsam genutzte Anwendungsdaten für die Datenbank mit globalen Hostschlüsseln verwendet werden soll.

HINWEIS:Wenn der Pfad bzw. der Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.

GssapiAuthentication

Legt fest, ob für ein Kerberos-KDC die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosAuthentication.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

GssapiDelegateCredentials

Gibt an, ob GSSAPI verwendet wird, um das Kerberos-TGT (krbtgt) an den Host weiterzuleiten. Diese Einstellung gilt nur für Protokolle mit der Protokollversion 2. (Die entsprechende Einstellung für Protokollversion 1 ist KerberosTgtPassing.) Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

GssapiUseSSPI

Legt fest, ob die Microsoft Security Support Provider-Schnittstelle (SSPI) für die GSSAPI-Authentifizierung verwendet wird. Diese Einstellung gilt nur, wenn die Kerberos-/GSSAPI-Authentifizierung aktiviert ist (unter Verwendung von GssapiAuthentication für Protokollversion 2 und KerberosAuthentication für Protokollversion 1). Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no". Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Secure Shell-Client den Reflection Kerberos-Client für die GSSAPI-Authentifizierung. Wenn diese Einstellung auf "yes" gesetzt ist, verwendet der Secure Shell-Client für die Authentifizierung beim Secure Shell-Server Ihre Anmeldeinformationen (SSPI) für die Windows-Domäne. SSPI ist nur für Protokoll-2-Verbindungen verfügbar, und der Server muss die Authentifizierungsmethode GSSAPI-with-mic unterstützen. Die Standardeinstellung ist "yes".

GssServicePrincipal

Legt einen nicht standardmäßigen Dienst-Benutzernamen fest, der verwendet wird, wenn der Client eine Anforderung für ein Service-Ticket an das KDC (Kerberos Key Distribution Center) sendet. Wenn Sie SSPI als GSSAPI-Modul ausgewählt haben, können Sie mit dieser Einstellung einen Dienstteilnehmer in einem anderen Gültigkeitsbereich als der Windows-Domäne festlegen. Verwenden Sie einen vollständigen Hostnamen gefolgt von "@" und dem Namen des Gültigkeitsbereichs, z. B. meinhost.meingueltigkeitsbereich.com@MEINGUELTIGKEITSBEREICH.COM. (Standardmäßig entspricht der Wert des Hostnamens dem Namen des Secure Shell-Servers, mit dem Sie eine Verbindung aufbauen. Der Gültigkeitsbereich ist abhängig vom Wert für GssapiUseSSPI. Wenn GssapiUseSSPI auf "no" gesetzt ist, ist der Name des Gültigkeitsbereichs in Ihrem Standardbenutzerprofil festgelegt. Wenn GssapiUseSSPI auf "yes" gesetzt ist, wird als Gültigkeitsbereich der Name Ihrer Windows-Domäne verwendet.)

Host

Schränkt die nachfolgenden Deklarationen (bis zum nächsten Hostschlüsselwort) auf den angegebenen Abschnitt in der SSH-Konfigurationsdatei ein. Die Zeichen "*" und "?" können als Platzhalter verwendet werden. Ein einziges "*" als Muster weist auf globale Standardwerte für alle Hosts hin. Verbindungen über Reflection verwenden die erste übereinstimmende Host-Zeichenfolge, die (unter Berücksichtigung von Platzhalterzeichen) gefunden wird. Alle nachfolgenden Übereinstimmungen bleiben unberücksichtigt.

HINWEIS:Wenn Sie das Dialogfeld Reflection Secure Shell-Einstellungen schließen, werden die Werte mit den Standardeinstellungen nicht in der Konfigurationsdatei gespeichert. Wenn ein Standardwert manuell zur Datei hinzugefügt wurde, wird dieser beim Schließen des Dialogfelds gelöscht. Dies stellt Designeinschränkungen dar, wenn Sie Platzhalter-Hoststanzas in Verbindung mit Stanzas verwenden, die bestimmte Hostnamen verwenden. Wenn Sie in einem bestimmten Hoststanza manuell einen Standardwert konfiguriert haben, durch den der Wert in einer Platzhalterstanza überschrieben werden soll, wird die Einstellung gelöscht, sobald Sie das Dialogfeld für die Secure Shell-Einstellungen öffnen, um die Einstellungen für den hostspezifischen Abschnitt in der SSH-Konfigurationsdatei anzuzeigen. Verwenden Sie in dieser Situation die globale Konfigurationsdatei, die nicht aktualisiert wird, wenn Benutzer das Dialogfeld Reflection Secure Shell-Einstellungen öffnen und schließen.

HostKeyAlgorithms

Legt die vom Client verwendeten Hostschlüsselalgorithmen in der bevorzugten Reihenfolge fest. Der Standardwert für diese Option ist "x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss". Diese Einstellung ist nützlich, wenn der Server sowohl für die Authentifizierung mit Zertifikaten als auch für die standardmäßige Hostschlüsselauthentifizierung konfiguriert ist. Der Standardwert präsentiert x509-Algorithmen vor regulären SSH-Schlüsselalgorithmen. Beim SSH-Protokoll steht für die Hostauthentifizierung nur ein Versuch zur Verfügung. (Im Gegensatz dazu sind bei der Benutzerauthentifizierung mehrere Authentifizierungsmethoden und Versuche möglich.) Wenn der Host ein Zertifikat präsentiert, der Client aber nicht für die Hostauthentifizierung mit Zertifikaten konfiguriert ist, schlägt die Verbindung fehl, sofern x509-Algorithmen bevorzugt werden. In diesem Fall können Sie den Client so konfigurieren, dass SSH-Schlüssel vor Zertifikaten bevorzugt werden, indem Sie die bevorzugte Reihenfolge in "ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss, x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss" ändern.

HostKeyAlias

Gibt einen Alias an, der anstelle des wirklichen Hostnamens zum Suchen oder Speichern des Hostschlüssels in den Dateien der Hostschlüsseldatenbank verwendet werden kann. Diese Option eignet sich dazu, SSH-Verbindungen zu umgehen oder für mehrere Server, die auf dem gleichen Host ausgeführt werden.

IdentityFile

Gibt eine privaten Schlüssel für die Authentifizierung an. Die Dateien befinden sich im .ssh-Benutzerordner. (\Benutzer\Benutzername\Dokumente\Micro Focus\Reflection\.ssh\). Optionen für IdentifyFile werden hinzugefügt, wenn Sie im Dialogfeld Reflection Secure Shell-Einstellungen in der Registerkarte Benutzerschlüssel Schlüssel oder Zertifikate in der Liste auswählen. In den Konfigurationsdateien können mehrere Kennungsdateien angegeben werden, deren Kennungen dann nacheinander ausprobiert werden.

HINWEIS:Setzen Sie den vollständigen Pfad in Anführungszeichen, wenn dieser Leerzeichen enthält.

KbdInteractiveAuthentication

Legt fest, ob die Authentifizierung interaktiv über die Tastatur erfolgen soll. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes". Diese Methode ist empfehlenswert, wenn Sie die SecurID-, PAM- oder eine andere externe Authentifizierungsmethode verwenden, die serverseitige Eingabeaufforderungen sowie Antworten vom Benutzer erfordert. Unter Umständen funktioniert diese Methode sogar besser als PasswordAuthentication für die Kennwortauthentifizierung auf Hosts, für die definierte Kennwörter regelmäßig ablaufen oder bei der ersten Anmeldung geändert werden müssen. Sie kann auch zur Kennwortauthentifizierung erforderlich sein, wenn abgelaufene Kennwörter zurückgesetzt werden müssen, um eine erfolgreiche Authentifizierung zu ermöglichen. Dies gilt nur für SSH-Protokoll 2. Verwenden Sie ChallengeResponseAuthentication für SSH-Protokollversion 1.

KeepAlive

Legt fest, ob das System TCP-Lebenszeichen an die andere Seite senden soll. Wenn diese Meldungen versendet werden, kann der Abbruch einer Verbindung oder der Absturz einer der Rechner erkannt werden. Die Standardeinstellung ist "yes" (Aktivhaltungsmeldungen werden versendet), d. h., der Client kann einen Ausfall des Netzwerks oder Remotehosts feststellen. Das ist besonders bei Skripts von Bedeutung und außerdem sehr hilfreich für die Benutzer. Es bedeutet aber auch, dass die Verbindung jedes Mal getrennt wird, wenn die Route zeitweise nicht verfügbar ist; ein Umstand, der von einigen Benutzern als störend empfunden wird. Um das Versenden dieser Meldungen zu deaktivieren, wählen Sie "no". Dieses Schlüsselwort aktiviert die Windows TCP-Aktivhaltungseinstellung, die standardmäßig alle zwei Stunden Mitteilungen zur Verbindungsüberwachung sendet. Die TCP/IP-Aktivhaltungseinstellung kann mit zwei optionalen Parametern konfiguriert werden, die normalerweise nicht in der Windows-Registrierung vorkommen: KeepAliveTime und KeepAliveInterval. Die Konfiguration dieser Parameter erfolgt in der Teilstruktur HKEY_LOCAL_MACHINE der Registrierung unter:

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Informationen zum Festlegen dieser Parameter finden Sie im Microsoft Knowledge Base-Artikel Nr. 120642.

KerberosAuthentication

Gibt an, ob die Authentifizierung mit Kerberos für Protokoll-1-Verbindungen verwendet wird. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiAuthentication.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

KerberosTgtPassing

Bestimmt, ob ein Kerberos-Teilnehmerticket (TGT) an den Server weitergeleitet wird. Dies funktioniert nur, wenn es sich beim Kerberos-Server um einen AFS-Kaserver handelt. Diese Einstellung gilt nur für die Protokollversion 1. (Die entsprechende Einstellung für Protokollversion 2 ist GssapiDelegateCredentials.) Das Argument für dieses Schlüsselwort ist entweder "yes" oder "no".

KexAlgorithms

Gibt an, welche Schlüsselaustauschalgorithmen der Client unterstützt und in welcher Reihenfolge diese angefordert werden. Die unterstützten Werte sind "diffie-hellman-group1-sha1", "diffie-hellman-group-exchange-sha1" und "diffie-hellman-group14-sha1". Die Standardeinstellung lautet "diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1". Gelegentlich müssen Sie die Reihenfolge der Schlüsselaustauschalgorithmen so umstellen, dass diffie-hellman-group14-sha1 vor den anderen beiden steht. Dies ist nötig, wenn Sie hmac-sha512 MAC verwenden möchten oder wenn beim Schlüsselaustausch der folgende Fehler ausgegeben wird: "fatal: dh_gen_key: group too small: 1024 (2*need 1024)".

HINWEIS:Wenn die GSSAPI-Authentifizierung über den Reflection Kerberos-Client aktiviert ist, werden der Liste automatisch die folgenden Schlüsselaustauschalgorithmen hinzugefügt: gss-group1-sha1 und gss-gex-sha1.

LocalForward

Legt fest, dass ein TCP/IP-Anschluss auf dem lokalen Rechner über den sicheren Kanal an den angegebenen Host und Anschluss des Remotecomputers weitergeleitet wird. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten. Sie können optionale Argumente für die FTP-Weiterleitung, die Konfiguration eines entfernten Desktops und das automatische Starten einer ausführbaren Datei (*.exe) auch konfigurieren, nachdem die Verbindung hergestellt worden ist. Die Syntax für dieses Schlüsselwort lautet wie folgt:

LocalForward localport host:hostport [FTP=0|1] [RDP=0|1] ["ExecutableFile" [args]]

Die Optionen sind:

localport

Nummer eines lokalen Anschlusses.

host: hostport

Ein Remotehost und ein Anschluss, der sich auf diesem Host befindet. (Sie können festlegen, dass localhost Daten an einen anderen Anschluss auf demselben Remotehost weiterleitet, zu dem Sie bereits eine Secure Shell-Verbindung hergestellt haben.) Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port.

FTP

Setzen Sie den Wert auf 1, wenn Sie die FTP-Dateiübertragung über einen Tunnel ausführen.

RDP

Setzen Sie den Wert auf 1, wenn Sie eine Remotedesktopsitzung über einen Tunnel ausführen.

" ExecutableFile "

Geben Sie eine ausführbare Datei (einschließlich der Pfadinformationen, sofern erforderlich) an, damit Reflection eine Anwendung startet, sobald die Secure Shell-Verbindung hergestellt ist. Damit Daten über einen sicheren Tunnel weitergeleitet werden, sollte diese Anwendung so konfiguriert sein, dass eine Verbindung zum localhost (oder zur LOOPBACK-IP-Adresse 127.0.0.1) über den angegebenen lokalen Anschluss localport hergestellt wird.

Logfile

Gibt eine Protokolldatei an, die zur Fehlersuche herangezogen werden kann. Alle während der Sitzung vorgenommenen Eingaben und Ausgaben werden in dieser Datei gespeichert. Verwenden Sie das Schlüsselwort mit der Befehlszeilen-Dienstprogrammoption -o wie im Folgenden beschrieben:

-o Logfile=\Pfad\Name_der_Protokolldatei

HINWEIS:Wenn der Pfad oder Dateiname Leerzeichen enthält, müssen Sie ihn in Anführungszeichen setzen.

Protokollierumfang

Gibt an, wie ausführlich Meldungen vom Secure Shell-Client protokolliert werden. Mögliche Werte sind QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 und DEBUG3. Der Standardwert ist INFO. DEBUG und DEBUG1 sind gleichbedeutend. DEBUG2 und DEBUG3 stehen für eine jeweils ausführlichere Ausgabe.

MACs

Gibt die MAC-Algorithmen (Message Authentication Code, Meldungsauthentifizierungs-Code) in der bevorzugten Reihenfolge an. MAC-Algorithmen werden in der Protokollversion 2 zum Schutz der Datenintegrität verwendet. Mehrere Algorithmen werden durch ein Komma voneinander getrennt. Der Standardwert ist "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512". Wenn die Verbindung für den FIPS-Modus konfiguriert wurde, lautet die Standardeinstellung "hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-sha512, hmac-sha2-512".

MatchHostName

Legt fest, ob bei der Überprüfung der Hostzertifikate ein Hostnamensvergleich erforderlich ist. Wenn dieses Kontrollkästchen auf 'yes' gesetzt ist (Standardeinstellung), muss der für die Sitzung konfigurierte Hostname genau mit einem der Hostnamen übereinstimmen, die im Feld CommonName oder SubjectAltName des Zertifikats eingegeben wurden.

Multihop

Konfiguriert Multi-Hop-Einstellungen, mit denen sichere Verbindungen über eine Reihe von SSH-Servern hergestellt werden können. Dies ist nützlich, wenn Ihre Netzwerkkonfiguration keinen direkten Zugriff auf einen entfernten Server zulässt, der Zugriff über zwischengeschaltete Server jedoch möglich ist.

Die Syntax für dieses Schlüsselwort lautet wie folgt:

Multihop localport host:hostport ["Abschnitt in SSH-Config-Datei"]

Fügen Sie für jeden Server in der Reihe eine neue Multi-Hop-Zeile hinzu. Jede Verbindung in der Liste wird durch den Tunnel gesendet, der durch die Verbindung darüber hergestellt wird.

Im folgenden Beispiel sind SSH-Verbindungen zu ServerC so konfiguriert, dass zunächst eine Verbindung zu ServerA, dann zu ServerB und schließlich zu ServerC hergestellt wird.

  • Host ServerC
  • Multihop 2022 ServerA:22
  • Multihop 3022 ServerB:22

Sie können optional einen Namen der SSH-Konfigurationsdatei angeben, um Secure Shell-Einstellungen für jeden Host in der Kette zu konfigurieren. Beispiel:

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
Nodelay

Diese Einstellung bezieht sich auf eine von Microsoft vorgenommene Änderung, durch die der Nagle-Algorithmus für Windows-TCP-Sockets standardmäßig aktiviert wird, was sich negativ auf die Leistung von Secure Shell-Verbindungen auswirken kann. Indem Sie Nodelay auf "yes" (die Standardeinstellung) setzen, wird dieser Algorithmus deaktiviert und die Leistung auf den meisten Systemen verbessert.

NoShell

Wenn NoShell auf "yes" gesetzt ist, erstellt der Client einen Tunnel, ohne eine Terminalsitzung zu öffnen. Diese Option kann in Verbindung mit der Option "ConnectionReuse" aktiviert werden, um einen Tunnel zu erstellen, der von anderen SSH-Verbindungen erneut verwendet werden kann. Hinweis: Diese Option wirkt sich auf die Verbindungen aus, die mit dem Befehlszeilenprogramm hergestellt wurde; sie ist nicht für die Verwendung mit der Benutzeroberfläche vorgesehen.

NumberOfPasswordPrompts

Gibt an, wie oft zur Eingabe des Kennworts aufgefordert wird, bevor abgebrochen wird. Für dieses Schlüsselwort muss das Argument eine ganze Zahl sein. Der Standardwert ist 3.

PasswordAuthentication

Legt fest, ob die Kennwortauthentifizierung verwendet wird. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

Port

Gibt die Anschlussnummer auf dem entfernten Host an. Der Standardwert ist 22.

PreferredAuthentications

Bestimmt die Reihenfolge, in der der Client die Authentifizierungsmethoden von Protokoll 2 testet. Dies entspricht der Reihenfolge (von oben nach unten), in der die Methoden in der Liste Benutzerauthentifizierung der Registerkarte Allgemein (Dialogfeld Reflection Secure Shell-Einstellungen) angezeigt werden. Mit dieser Einstellung wird es dem Client ermöglicht, eine Methode (wie z. B. keyboardinteractive = interaktiv über Tastatur) einer anderen (z. B. password = Kennwort) vorzuziehen. Standardmäßig führt Reflection die Authentifizierung in der folgenden Reihenfolge durch: "publickey,keyboard-interactive,password". Wenn die GSSAPI-Authentifizierung aktiviert ist, ändert sich die Standardreihenfolge folgendermaßen: "gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password".

HINWEIS:

  • Wenn Sie PreferredAuthentications in Ihre Konfigurationsdatei aufnehmen, muss die von Ihnen festgelegte Liste alle Authentifizierungsmethoden enthalten, die Sie ausprobieren möchten. Wenn PreferredAuthentications vorhanden ist, aber eine bestimmte Authentifizierungsmethode fehlt, verwendet Reflection diese Authentifizierungsmethode selbst dann nicht, wenn das Schlüsselwort zur Aktivierung dieser Authentifizierungsmethode richtig konfiguriert ist.

  • Durch das Aufnehmen einer Authentifizierungsmethode in die Liste PreferredAuthentication allein wird die Authentifizierung mit dieser Methode nicht aktiviert. Damit eine nicht voreingestellte Authentifizierungsmethode aktiviert wird, muss das Schlüsselwort für diese Authentifizierungsmethode ebenfalls richtig konfiguriert sein (zur Aktivierung der GSSAPI-Authentifizierung müssen Sie beispielsweise GssapiAuthentication auf "yes" setzen).

PreserveTimestamps

Gibt an, ob Dateiattribute und Zeitstempel bearbeitet werden, wenn Dateien vom und an den Server übertragen werden. Wenn das Schlüsselwort "no" ist (Standardeinstellung), werden Zeitstempel und Attribute geändert. Lautet das Schlüsselwort "yes", behalten die Dateien ihre ursprünglichen Zeitstempel und Attribute.

Protokoll

Gibt die Protokollversionen an, die der Reflection Secure Shell-Client in der angegebenen Reihenfolge unterstützen soll. Die möglichen Werte sind "1" und "2". Mehrere Werte werden durch ein Komma voneinander getrennt. Der Standardwert ist "2 dann 1". Das bedeutet, dass Reflection zuerst Version 2 versucht. Erst wenn diese Version nicht verfügbar ist, greift Reflection auf Version 1 zurück.

Proxy

Legt den Proxytyp für Secure Shell-Verbindungen fest. Die unterstützten Werte lauten "SOCKS" und "HTTP".

HINWEIS:Die Proxyverwendung ist für jeden Host-Abschnitt in der Konfigurationsdatei aktiviert, der diese Einstellung verwendet. Die Adresse des Proxyservers wird in der Windows-Registrierung für jeden Benutzer gespeichert.

PubkeyAlgorithms

Gibt die Schlüsselalgorithmen in der festgelegten Reihenfolge an, in der sie der Client dem Server anzeigt. Wenn der Server nur für einen Algorithmus konfiguriert ist, können Sie dieses Schlüsselwort so festlegen, dass nur die entsprechende Option angezeigt wird.

Verfügbare Werte: x509v3-rsa2048-sha256, x509v3-sign-rsa, x509v3-sign-dss, x509v3-ssh-rsa, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss.

PubkeyAuthentication

Legt fest, ob versucht werden soll, eine Authentifizierung mit öffentlichen Schlüsseln durchzuführen. Diese Option gilt nur für Version 2 des Protokolls. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

RemoteCommand

Legt einen oder mehrere Befehle fest, die auf dem entfernten Server ausgeführt werden sollen. Bei der Herstellung einer Verbindung mit einem UNIX-Server müssen mehrere Befehle durch ein Semikolon (;) abgegrenzt werden. Bei der Herstellung einer Verbindung zu einem Windows-Server müssen Befehle durch ein Und-Zeichen (&) abgegrenzt werden. Wenn die Verbindung aufgebaut ist, führt der Server den bzw. die angegebenen Befehl(e) aus, oder zumindest versucht er es. Danach wird die Sitzung beendet. Der Server muss entsprechend konfiguriert sein, damit er die Befehle, die der Client sendet, zulässt und ausführt.

Befehle müssen in der von Ihrem Server verwendeten Syntax angegeben werden. So sind beispielsweise die folgenden Informationen identisch:

Unter UNIX: ls ; ls -l

Unter Windows: dir/w & dir

RemoteForward

Legt fest, dass ein TCP/IP-Anschluss auf dem externen Rechner über den sicheren Kanal an den angegebenen Host und den angegebenen Anschluss des lokalen Rechners weitergeleitet wird. Das erste Argument muss eine Anschlussnummer sein und das zweite host:port. Für die Angabe der IPv6-Adressen gibt es eine alternative Syntax: host/port. Es können mehrere Weiterleitungen angegeben werden. Nur Benutzer mit Administratorrechten können privilegierte Anschlüsse weiterleiten.

RSAAuthentication

Legt fest, ob die RSA-Authentifizierung verwendet wird. Diese Option gilt nur für Version 1 des Protokolls. Die RSA-Authentifizierung wird nur ausprobiert, wenn die entsprechenden Kennungsdateien vorhanden sind. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "yes".

SendEnv

Gibt eine Umgebungsvariable an, die auf dem Server eingestellt werden muss, bevor Shells oder Befehle ausgeführt werden können. Der Wert muss das folgende Format aufweisen: VAR val. Der Server muss die angegebene Variable unterstützen und so konfiguriert sein, dass er Umgebungsvariablen akzeptiert.

ServerAlive

Legt fest, dass Meldungen zum Aktivhalten des Servers in dem durch ServerAliveInterval angegebenen Intervall an den SSH-Server gesendet werden. Die Secure Shell-Einstellung ServerAlive sendet in festgelegten Intervallen eine SSH-Protokollmeldung an den Server, damit sichergestellt ist, dass dieser noch funktioniert. Wenn diese Einstellung nicht aktiviert ist, wird die SSH-Verbindung nicht getrennt, wenn der Server abstürzt oder die Netzwerkverbindung getrennt wird. Mit dieser Einstellung kann auch verhindert werden, dass Verbindungen, die nur TCP-Sitzungen weiterleiten, aufgrund einer Zeitüberschreitung abgebrochen werden; dies ist möglicherweise der Fall, wenn der Server keinen SSH-Verkehr feststellen kann. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

HINWEIS:Die Secure Shell-Einstellung ServerAlive ist nicht mit der TCP-Einstellung zum Aktivhalten (KeepAlive) zu vergleichen, bei der durch eine entsprechende Einstellung in der Windows-Registrierung verhindert wird, dass TCP/IP-Verbindungen bei Inaktivität durch eine Firewall getrennt werden. Um die TCP-/IP-Aktivhaltungseinstellung anzupassen, müssen Sie die Windows-Registrierung bearbeiten.

ServerAliveInterval

Legt das Intervall (in Sekunden) fest, wenn ServerAlive auf "yes" gesetzt ist. Geben Sie eine ganze Zahl größer als Null an. Der Standardwert ist 30.

ServerKeyFormat

Gibt das zu verwendende Schlüsselformat beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welches Schlüsselformat verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind "OpenSSH" und "SECSH".

ServerStyle

Gibt die Konfigurationseinstellungen des öffentlichen Schlüssels für den Host beim Hochladen von Schlüsseln auf einen Host unter Verwendung der Hochladefunktion auf der Registerkarte "Benutzerschlüssel" an. Das Dienstprogramm ermittelt automatisch, welcher Hoststil verwendet werden soll. Ändern Sie diese Einstellung, falls das entsprechende Format nicht für Ihren Server geeignet ist. Die zulässigen Werte sind "UNIX" und "VMS".

SftpBufferLen

Legt die Anzahl der Bytes fest, die während SFTP-Übertragungen pro Paket angefordert werden. Der Standardwert ist 32768. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Server-Konfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

SftpMaxRequests

Legt die maximale Anzahl ausstehender Datenanforderungen fest, die der Client bei einer SFTP-Übertragung zulässt. Der Standardwert ist 10. Durch Änderung dieses Werts kann unter Umständen die Übertragungsgeschwindigkeit verbessert werden. Es hängt von Ihrem Netzwerk und von Ihrer Server-Konfiguration ab, welcher Wert optimal für Sie ist. Wenn Sie den Wert ändern, kann sich dies auch darauf auswirken, wie schnell eine Übertragung abgebrochen werden kann.

SftpVersion

Gibt die Version an, die der Client für SFTP-Verbindungen verwendet. Gültige Werte sind "3" und "4". Wenn für diese Einstellung der Wert "4" festgelegt ist (Standardwert), wird bei der Verbindung SFTP-Version 4 verwendet, sofern der Server dies unterstützt. Wenn der Server Version 4 nicht unterstützt, wird automatisch Version 3 verwendet. Wenn für diese Einstellung der Wert "3" festgelegt ist, verwendet der Client immer SFTP-Version 3.

StrictHostKeyChecking

Das Argument ist "yes", "no" oder "ask". Voreingestellt ist "ask". Wenn diese Option auf "yes" gesetzt ist, fügt der Secure Shell-Client der Datei "known_hosts" im .ssh-Benutzerordner nie automatisch Hostschlüssel hinzu und stellt keine Verbindung zu Hosts her, deren Schlüssel geändert wurde. Durch diese Option wird der Benutzer gezwungen, alle neuen Hosts manuell hinzuzufügen. Wenn "no" eingestellt ist, stellt Reflection die Verbindung zum Host her, ohne ein Bestätigungsdialogfeld einzublenden, und nimmt den Hostschlüssel nicht in die Liste der registrierten Schlüssel auf. Bei der Einstellung "ask" werden den Dateien der bekannten Hosts neue Hostschlüssel hinzugefügt, sofern der Benutzer diese bestätigt. Die Hostschlüssel bekannter Hosts werden in jedem Fall automatisch verifiziert.

HINWEIS:Diese Einstellung hat keine Auswirkungen, wenn der Host für die Authentifizierung mit x509-Zertifikaten konfiguriert wurde. Wenn der Host ein Zertifikat für die Hostauthentifizierung präsentiert und sich das erforderliche Zertifikat der Zertifizierungsstelle nicht in Ihrem Speicher der zuverlässigen Stammzertifikate befindet, schlägt die Verbindung fehl.

TryEmptyPassword

Wenn "yes" festgelegt ist, startet der Client die Kennwortauthentifizierung mit dem Versuch, ein leeres Kennwort einzugeben. Dieser Versuch wird von den meisten Systemen als Anmeldeversuch gewertet.

Benutzer

Legt den Benutzernamen fest. Dies ist besonders nützlich, wenn auf mehreren Rechnern unterschiedliche Benutzernamen verwendet werden.

UseOCSP

Legt fest, ob der Client das OSCP (Online Certificate Status Protocol) zur Validierung von Hostzertifikaten verwendet. Die zulässigen Werte sind "yes" und "no". Die Standardeinstellung ist "no".

UserKeyCertLast

Legt fest, wie der Client die Signatur für Zertifikate bei der Authentifizierung mit öffentlichen Schlüsseln behandelt. Wenn diese Einstellung auf "yes" gesetzt ist (Standardwert), sendet der Client das Zertifikat zuerst mit einer Standard-ssh-Schlüsselsignatur (ssh-rsa oder ssh-dss). Wenn dies fehlschlägt, unternimmt der Client einen neuen Versuch unter Verwendung einer Zertifikatsignatur (x509-sign-rsa oder x509-sign-dss). In manchen Fällen findet dieser zweite Versuch nicht statt, und die Authentifizierung schlägt fehl. Wenn diese Einstellung auf "no" gesetzt ist, verwendet der Client für den ersten Versuch die Zertifikatsignatur und anschließend die SSH-Schlüsselsignatur.

UserKnownHostsFile

Gibt eine Datei an, die anstelle der Datei known_hosts (im .ssh-Benutzerordner) für die Hostschlüsseldatenbank des Benutzers verwendet werden soll. Sie müssen Anführungszeichen verwenden, wenn die Datei oder der Pfad Leerzeichen enthält.

x509dsasigtype

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten DSA-Schlüsseln nachzuweisen. Mögliche Werte sind "sha1raw" (Standardeinstellung) und "sha1asn1".

x509rsasigtype

Gibt an, welchen Hashalgorithmus der Client verwendet, um die Authentizität von privaten RSA-Schlüsseln nachzuweisen. Mögliche Werte sind "md5", "sha1" (Standardeinstellung) und "sha256".

X11Display

Legt den Anschluss an der lokalen LOOPBACK-Schnittstelle des Rechners fest, an den X11-basierte Kommunikation weitergeleitet wird, wenn die X11-Weiterleitung aktiviert ist.

HINWEIS:Wenn Sie mit Reflection X (Version 12.x, 13.x oder 14.x) arbeiten, muss dieses Schlüsselwort nicht konfiguriert werden. Der Reflection X-Server und der Secure Shell-Client werden automatisch synchronisiert, damit sie den richtigen Anschluss entsprechend den Anzeigeeinstellungen Ihres X-Servers verwenden (Einstellungen > Anzeige > X-Anzeigenummer). In diesem Fall wird das Schlüsselwort X11Display ignoriert. Wenn Sie mit einem anderen PC X Server arbeiten, geben Sie mit diesem Schlüsselwort den empfangenden Anschluss an, der für Ihren PC X Server definiert ist.

Der Standardwert ist 0. Dadurch wird die Weiterleitung an den Anschluss 6000 konfiguriert. Dies ist der Standardempfangsanschluss, der durch das X11-Protokoll definiert ist. Der von Ihnen angegebene Anzeigewert wird 6000 hinzugefügt, um den tatsächlichen Empfangsanschluss zu bestimmen. Legen Sie beispielsweise X11Display auf 20 fest, zeigt dies dem Secure Shell-Client an, dass der PC X Server an Anschluss 6020 empfängt.