Guide de référence des mots clés des fichiers de configuration - Paramètres Secure Shell

Utilisez ce guide si vous modifiez manuellement votre fichier de configuration Secure Shell. Le fichier de configuration s'articule en sections, chacune identifiée par le mot clé Host. Chaque section recense les paramètres Secure Shell à utiliser pour toutes les connexions établies vers l'hôte spécifié ou schéma de configuration SSH.

Le fichier de configuration se compose de mots clés suivis de valeurs. Les options de configuration peuvent être séparées par des espaces, des espaces facultatifs ou des signes égal (=). Les mots clés ne font pas la distinction entre majuscules et minuscules, contrairement aux arguments.

Les lignes commençant par un signe dièse (#) sont des commentaires. Les lignes vides sont ignorées.

REMARQUE :Les éléments de cette liste affectent la configuration des connexions Secure Shell. Il existe des mots clés supplémentaires permettant de configurer l'émulation de terminal des sessions de ligne de commande ssh. Pour plus d'informations sur ces mots clés, reportez-vous à Guide de référence des mots clés des fichiers de configuration - Paramètres de l'émulation de terminal.

AddAuthKeyToAgent

Ce paramètre affecte la manière dont le client gère l'authentification par clé publique lorsque ForwardAgent est défini sur « yes ». Lorsque l'authentification par clé publique auprès du serveur est réussie, et si ForwardAgent et AddAuthKeyToAgent sont tous deux définis sur « yes », la clé ou le certificat utilisé pour l'authentification est automatiquement ajouté à l'agent de gestion des clés de Cette clé n'est pas enregistrée dans l'Agent de gestion des clés, mais reste disponible tant que l'Agent de gestion des clés est en cours d'exécution. Lorsque AddAuthKeyToAgent est défini sur « no » (par défaut), les clés et les certificats ne sont pas automatiquement ajoutés à l'Agent de gestion des clés. Il utilise uniquement les clés qui ont déjà été importées manuellement.

AgentEnumCertsAs

Ce paramètre permet au client de choisir l'option utilisée. Lorsque l'option both est sélectionnée, l'énumération propose le certificat et la clé comme options distinctes. Lorsque l'option certs est sélectionnée, la signature est demandée à l'aide du certificat uniquement. Lorsque l'option keys est sélectionnée, une signature est demandée à l'aide d'une clé contenue dans un certificat. L'agent utilise désormais uniquement la clé. L'ordre dans lequel elle est proposée dépend de la connexion initiale. Par exemple, si je me connecte à l'aide d'une clé uniquement, le transfert d'agent énumère la clé, puis le certificat.

Ces valeurs ont été optimisées pour les types de serveurs en fonction des algorithmes et des types de clés actuellement pris en charge. Valeurs d'optimisation disponibles = sunssh, openvms, openssh, pkix et rsit.

AuthUseAllKeys

Ce paramètre affecte la manière dont le client gère l'authentification par clé publique. Lorsque ce paramètre est défini sur « no » (par défaut), le client tente de s'authentifier uniquement à l'aide de la clé ou des clés que vous avez spécifiées en utilisant le mot clé IdentityFile. Lorsque ce paramètre est défini sur « yes », le client tente de s'authentifier à l'aide de toutes les clés publiques disponibles.

BatchMode

Indique s'il faut désactiver toutes les invites utilisateur, y compris la demande de mot de passe et de phrase de chiffrement. La désactivation est utile pour l'exécution de scripts et les tâches séquentielles. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

REMARQUE :Ce mot clé ne désactive pas les invites utilisateur si le mode d'authentification est clavier interactif, mais les connexions utilisant ce mode échouent si BatchMode est activé.

BindAddress

Indique l'interface de transmission sur les ordinateurs à interfaces multiples ou avec plusieurs alias.

CheckHostIP

Si ce paramètre a la valeur « yes », le client Secure Shell vérifie l'adresse IP de l'hôte dans le fichier known_hosts en plus de la clé publique hôte. La connexion est autorisée uniquement si l'adresse IP hôte répertoriée dans la liste des hôtes connus correspond à l'adresse IP que vous utilisez pour la connexion. La valeur par défaut est « no ». Remarque : Ce paramètre n'a aucun effet si StrictHostKeyChecking = no.

CheckHostPort

Si ce paramètre a la valeur « yes », le client Secure Shell vérifie le port de l'hôte dans le fichier known_hosts en plus de la clé publique hôte. La connexion est autorisée uniquement si le port de l'hôte répertorié dans la liste des hôtes connus correspond au port que vous utilisez pour la connexion. La valeur par défaut est « no ». Remarque : Ce paramètre n'a aucun effet si StrictHostKeyChecking = no.

Ciphers

Indique les codes de chiffrement autorisés pour la version 2 du protocole, par ordre de préférence. Les différents codes sont séparés par des virgules. La valeur par défaut est « aes128-ctr,aes128-cbc,aes192-ctr,aes192-cbc,aes256-ctr,aes256-cbc,3des-cbc,blowfish-cbc,cast128-cbc,arcfour128,arcfour256,arcfour ».

ClearAllForwardings

Efface tout port transféré en local, à distance ou dynamiquement ayant déjà été traité par un fichier de configuration ou une ligne de commande. Remarque : scp et sftp désactivent automatiquement tous les ports redirigés quelle que soit la valeur de ce paramètre. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

Compression

Indique si la compression doit être activée. La compression est souhaitable pour les lignes modem et toute autre connexion lente, mais elles ralentissent le flux de réponse sur les réseaux rapides. Elle rend également les paquets un peu plus aléatoires, ce qui complique la tâche de toute personne mal intentionnée qui tenterait de les déchiffrer. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

ConnectionAttempts

Indique le nombre de tentatives (une par seconde) autorisées avant de quitter. L'argument doit être un entier. Cet argument est utile pour les scripts en cas d'interruption occasionnelle de la connexion. La valeur par défaut est 1.

ConnectionReuse

Indique si les sessions multiples vers le même hôte réutilisent la connexion Secure Shell d'origine, et par conséquent ne nécessitent pas une nouvelle authentification. L'argument est « yes » ou « no ». Si le paramètre a pour valeur « yes », les nouvelles connexions réutilisent le tunnel existant si le nom d'hôte, le nom d'utilisateur et le schéma de configuration SSH (le cas échéant) concordent. Si le paramètre a pour valeur « no », Reflection établit une nouvelle connexion pour chaque session, ce qui signifie le renouvellement de l'authentification pour chaque connexion et l'application de toute modification apportée aux paramètres spécifiques de la connexion (comme le transfert de port ou le code de chiffrement). La valeur par défaut est « yes » pour les connexions établies par la fenêtre Reflection. La valeur est « no » pour les connexions établies par les utilitaires de ligne de commande de Pour plus de détails, reportez-vous à Réutilisation de connexion dans les sessions Secure Shell.

ConnectTimeout

Indique le temps d'attente maximal (en secondes) au bout duquel le client tente d'effectuer la connexion au serveur. L'horloge démarre lorsque la connexion est établie (avant la connexion) et s'exécute lors de la négociation des paramètres, de l'échange de clés d'hôte et de l'authentification. Pour des raisons pratiques, la période de temporisation correspond en fait aux opérations d'authentification. La valeur par défaut est 120.

DisableCRL

Indique si la vérification CRL (Certificate Revocation List) doit avoir lieu lors de la validation des certificats de l'hôte. Lui attribuer la valeur « yes » désactive la vérification CRL. La valeur par défaut de ce paramètre dépend de votre paramètre système actuel pour la vérification CRL. Pour afficher et modifier le paramètre système, lancez Internet Explorer et sélectionnez Outils > Options Internet > Avancé. Sous Sécurité, recherchez Vérifier la révocation du certificat serveur.

DynamicForward

Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé et que le protocole de l'application doit alors être utilisé pour déterminer à quelle destination se connecter à partir de l'ordinateur distant. L'argument doit être un numéro de port. Actuellement, le protocole SOCKS4 étant pris en charge, Reflection Secure Shell agit comme un serveur SOCKS4. Les transferts multiples peuvent être spécifiés et des transferts supplémentaires peuvent être indiqués sur la ligne de commande. Seul un utilisateur ayant des privilèges administratifs peut configurer le transfert de ports avec privilèges.

EscapeChar

Définit le caractère d'échappement (« ~ » par défaut). Peut également être défini sur la ligne de commande. L'argument doit être un caractère unique : le symbole « ^ » suivi d'une lettre ou de la valeur « none » pour désactiver tout caractère d'échappement (ce qui rend la connexion transparente pour les données binaires).

FipsMode

Lorsque ce paramètre a pour valeur « yes », les connexions doivent être établies à l'aide de protocoles et d'algorithmes de sécurité conformes à la norme FIPS (Federal Information Processing Standard) 140-2 de l'administration des États-Unis. Les options qui ne la respectent pas ne sont pas disponibles dans l'onglet Chiffrement.

REMARQUE :Ce paramètre affecte le schéma de configuration SSH spécifié par le mot clé Host et n'a aucun effet sur les sessions Secure Shell suivantes, à moins qu'elles ne soient configurées pour utiliser le même schéma (ou nom d'hôte).

ForwardAgent

Attribuer la valeur « yes » à ce paramètre active le transfert de la connexion de l'Agent de gestion des clés de Le transfert d'agent(s) doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichier sur l'hôte distant (pour atteindre le socket de domaine Unix de l'agent) peuvent accéder à l'agent local par l'intermédiaire de la connexion transférée. Des attaquants ne peuvent pas obtenir d'informations sur la clé auprès de l'agent, mais ils peuvent cependant exécuter certaines opérations sur les clés qui leur permettront de s'authentifier grâce aux identités chargées dans l'agent. Le transfert d'agent(s) doit également être activé sur le serveur. La valeur par défaut est « no ».

ForwardX11

Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. L'argument est « yes » ou « no ». La valeur par défaut est « no ». (Remarque : Si vous configurez Secure Shell via Reflection X, reportez-vous à ForwardX11ReflectionX.)

ForwardX11ReflectionX

Ce paramètre n'est utilisé que si vous configurez des connexions Secure Shell pour Reflection X (à partir de 14.1). Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. Cet argument doit être défini sur « yes » ou « no ». La valeur par défaut est « yes ».

GatewayPorts

Indique si les hôtes distants sont autorisés à se connecter à des ports transférés en local. Par défaut, Reflection Secure Shell lie les transferts de ports locaux aux adresses de bouclage. Ceci empêche les autres ports distants de se connecter aux ports réacheminés. GatewayPorts indique à Reflection Secure Shell de lier les transferts de ports locaux à l'adresse générique, ce qui permet aux hôtes distants de se connecter aux ports transférés. Faites attention lorsque vous décidez d'activer ce paramètre. Son utilisation peut réduire la sécurité de votre réseau et de votre connexion parce qu'il peut autoriser les hôtes distants à utiliser sans authentification le port transféré sur le système. L'argument est « yes » ou « no ». La valeur par défaut est « no ».

GlobalKnownHostsFile

Indique le fichier à utiliser comme base de données des clés hôte globales à la place du fichier ssh_known_hosts par défaut situé dans le dossier des données d'application commun.

REMARQUE :Entrez le nom de fichier entre guillemets si le nom ou le chemin d'accès du fichier comprend des espaces.

GssapiAuthentication

Indique si l'interface GSSAPI doit être utilisée pour l'authentification auprès d'un centre de distribution de clés Ce paramètre n'est applicable qu'avec la version 2 du protocole.

GssapiDelegateCredentials

Spécifie si l'interface GSSAPI doit transférer votre ticket initial Kerberos (krbtgt) à l'hôte. Ce paramètre n'est applicable qu'avec la version 2 du protocole.

GssapiUseSSPI

Indique si l'interface SSPI (Security Support Provider Interface) de Microsoft doit être utilisée pour l'authentification GSSAPI. Ce paramètre s'applique uniquement si l'authentification GSSAPI est activée (en utilisant GssapiAuthentication pour la version 2 du protocole). L'argument de ce mot clé est « yes » ou « no ». Lorsque l'option « no » est définie, le client Secure Shell utilise l'authentification GSSAPI. Lorsqu'il a « yes » pour valeur, le client Secure Shell utilise vos informations d'identification de connexion au domaine Windows (SSPI) pour s'authentifier auprès du serveur Secure Shell. SSPI n'est pris en charge que par la version 2 du protocole et le serveur doit accepter la méthode d'authentification GSSAPI-with-mic. La valeur par défaut est « yes ».

GssServicePrincipal

Indique un nom personnalisé de principal de service à utiliser lorsque le client envoie une demande de ticket de service au Centre de distribution de clés (KDC, Key Distribution Center). Si vous avez sélectionné SSPI comme fournisseur GSSAPI, vous pouvez utiliser ce paramètre pour spécifier un principal de service dans une zone autre que le domaine Windows. Utilisez un nom d'hôte complet suivi du symbole @ et du nom de la zone, par exemple hote.zone.com@ZONE.COM. (Par défaut, le nom d'hôte est le nom du serveur Secure Shell auquel vous vous connectez et la zone dépend de la valeur du paramètre GssapiUseSSPI. Si GssapiUseSSPI a la valeur « no », le nom de la zone est spécifié dans votre profil de principal par défaut. Si GssapiUseSSPI a la valeur « yes », la zone correspond à votre nom de domaine Windows.)

Hôte

Identifie les déclarations qui suivent (jusqu'au prochain mot clé Host) comme faisant partie du schéma de configuration SSH spécifié. Les caractères génériques « * » et « ? » peuvent être utilisés. Juste un astérique (« * ») permet de fournir des paramètres par défaut globaux à tous les hôtes. Une connexion Reflection utilise la première occurrence de toute chaîne Host concordante (caractères génériques inclus). Toutes les concordances suivantes sont ignorées.

REMARQUE :Lorsque vous fermez la boîte de dialogue Paramètres de Secure Shell, les valeurs avec des paramètres par défaut ne sont pas enregistrées dans le fichier de configuration. Si une valeur par défaut a été ajoutée manuellement au fichier, elle est supprimée lorsque vous fermez la boîte de dialogue. Ceci impose des contraintes de design si vous utilisez des strophes de noms d'hôte contenant des caractères génériques en combinaison avec des strophes qui utilisent des noms d'hôte spécifiques. Si vous avez manuellement configuré une valeur par défaut dans une strophe spécifique destinée à remplacer une valeur configurée dans une strophe contenant des caractères génériques, le paramètre par défaut est supprimé lorsque vous ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell pour afficher les paramètres de la section de configuration SSH spécifique de l'hôte. Vous pouvez gérer cette situation en utilisant le fichier de configuration global qui n'est pas mis à jour lorsque les utilisateurs ouvrent et ferment la boîte de dialogue Paramètres de Secure Shell.

HostKeyAlgorithms

Indique, par ordre de préférence, les algorithmes de clé hôte que le client utilise. La valeur par défaut de cette option est la suivante : x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256@attachmate.com, ssh-rsa,ssh-dss.

Ce paramètre est utile lorsque le serveur est configuré pour l'authentification par certificat et par clé hôte standard. La valeur par défaut propose des algorithmes x509 avant les algorithmes de clé SSH classiques. Le protocole SSH n'autorise qu'une seule tentative d'authentification de l'hôte. (Contrairement à l'authentification utilisateur pour laquelle plusieurs méthodes et tentatives sont autorisées.) Si l'hôte présente un certificat et que le client n'est pas configuré pour l'authentification hôte à partir de certificats, la connexion échoue lorsque les algorithmes x509 sont privilégiés. Dans ce cas, vous pouvez configurer le client pour qu'il préfère les clés SSH aux certificats en modifiant l'ordre de préférence comme suit : ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.

Valeurs disponibles : ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.

HostKeyAlias

Indique un alias à utiliser à la place du nom d'hôte réel pour rechercher ou enregistrer la clé hôte dans la base de données des clés hôte. Ce paramètre est utile pour les connexions ssh par tunnel ou pour les serveurs multiples exécutés sur un même hôte.

IdentityFile

Indique la clé privée à utiliser pour l'authentification par clé. Les fichiers se trouvent dans le dossier utilisateur .ssh. (\Users\nom_utilisateur\Documents\Micro Focus\Reflection\.ssh\.) Des éléments sont ajoutés à IdentityFile lorsque vous sélectionnez des clés ou certificats dans la liste de l'onglet Clés utilisateur de la boîte de dialogue Paramètres de Reflection Secure Shell. Il est possible de spécifier plusieurs fichier d'identité dans les fichiers de configuration. Les identités seront essayées les unes après les autres.

REMARQUE :Entrez le chemin d'accès complet entre guillemets s'il comporte des espaces.

KbdInteractiveAuthentication

Indique si l'authentification par clavier interactif doit être utilisée. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ». Cette méthode est recommandée si vous utilisez une authentification externe (telle que SecurID ou PAM) impliquant une invite du serveur et une réponse de l'utilisateur. Elle peut s'avérer plus efficace que la méthode PasswordAuthentication (authentification par mot de passe) sur les hôtes où l'expiration du mot de passe ou la modification du mot de passe à la première ouverture de session sont activées. Elle peut aussi être nécessaire pour l'authentification par mot de passe si les mots de passe expirés doivent être réinitialisés pour que l'authentification aboutisse. Ne s'applique qu'à la version 2 du protocole SSH.

KeepAlive

Indique si le système doit envoyer des messages TCP keepalive à l'autre partie. Si oui, l'interruption de la connexion ou l'arrêt d'un des ordinateurs sont détectés. La valeur par défaut est « yes » (envoi de paquets de supervision) pour permettre au client de détecter toute interruption du réseau ou de l'hôte distant, ce qui est important pour les scripts et utile aux utilisateurs. Toutefois, cela signifie qu'il est mis fin aux connexions en cas d'interruption temporaire de l'itinéraire, ce qui peut agacer certains utilisateurs. Pour désactiver l'envoi de paquets de supervision, attribuez la valeur « no ». Ce mot clé active le paramètre d'envoi de paquets de supervision TCP de Windows qui prévoit par défaut l'envoi de paquets toutes les deux heures. Il est possible de configurer le paramètre TCP/IP à l'aide de deux options facultatives qui n'existent généralement pas dans le registre Windows : KeepAliveTime et KeepAliveInterval. Elles se trouvent dans le sous-arbre HKEY_LOCAL_MACHINE du registre, à l'emplacement suivant :

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

Pour plus d'informations sur la configuration de ces paramètres, reportez-vous à l'article 120642 de la Base de connaissances de Microsoft.

KexAlgorithms

Spécifie par ordre de préférence les algorithmes d'échange de clés pris en charge par le client. Les valeurs prises en charge sont les suivantes : « ecdh-sha2-nistp256 », « ecdh-sha2-nistp384 », « ecdh-sha2-nistp521 », « diffie-hellman-group1-sha1 », « diffie-hellman-group-exchange-sha1 » et « diffie-hellman-group14-sha1 ». L'ordre par défaut est le suivant : « ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 ».

LocalForward

Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur distant. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges. Vous pouvez aussi configurer des arguments facultatifs pour le transfert FTP, le bureau distant et le démarrage automatique d'un fichier exécutable (*.exe) après établissement de la connexion. La syntaxe de ce mot clé est la suivante :

LocalForward portlocal host: porthôte [FTP=0|1] [RDP=0|1] [" FichierExécutable " [args]]

Les options sont les suivantes :

portlocal

Numéro de port local.

host: porthôte

Hôte distant et port sur cet hôte. (Vous pouvez spécifier localhost pour transférer des données vers un port différent sur le même hôte distant auquel vous avez déjà établi une connexion Secure Shell.) Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : hote/port.

FTP

Attribuez la valeur 1 si vous configurez le transfert de fichier FTP par tunnel.

RDP

Attribuez la valeur 1 si vous configurez une session de bureau distant par tunnel.

" FichierExécutable "

Indiquez un fichier exécutable (incluant le chemin d'accès complet, si nécessaire) pour que Reflection démarre une application immédiatement après établissement de la connexion Secure Shell. Pour transférer des données par le tunnel sécurisé, cette application doit être configurée pour se connecter à localhost (ou l'adresse IP de bouclage 127.0.0.1) par le port portlocal spécifié.

Logfile

Indique un fichier journal à utiliser pour le débogage. Toutes les entrées et sorties de session sont consignées dans ce fichier. Utilisez ce mot clé avec l'option de ligne de commande -o comme suit :

-o Logfile=\chemin\nom_fichier_journal

REMARQUE :Entrez le chemin et le nom de fichier entre guillemets s'ils comportent des espaces.

LogLevel

Indique le niveau de détail utilisé pour consigner les messages du client Secure Shell. Les valeurs disponibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 et DEBUG3. La valeur par défaut est INFO. Les valeurs DEBUG et DEBUG1 sont équivalentes. DEBUG2 et DEBUG3 spécifient les niveaux les plus détaillés.

Macs

Indique les algorithmes MAC (code d'authentification de message) à utiliser par ordre de préférence. Les algorithmes MAC sont pris en charge dans la version 2 du protocole pour assurer l'intégrité des données. Les différents algorithmes sont séparés par des virgules. La valeur par défaut est la suivante : « hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512 ».

MatchHostName

Indique si le nom d'hôte correspondant est requis lors de la validation des certificats de l'hôte. Lorsque ce paramètre est activé (par défaut), le nom d'hôte que vous configurez pour votre session doit correspondre exactement au nom d'hôte ou à l'adresse IP saisi dans le champ CommonName ou SubjectAltName du certificat.

Multihop

Configure des connexions à sauts multiples pour établir des connexions sécurisées passant par plusieurs serveurs Secure Shell. Ce paramètre est utile si votre configuration réseau ne permet pas un accès direct à un serveur distant, mais autorise l'accès via des serveurs intermédiaires.

La syntaxe de ce mot clé est la suivante :

Multihop localport host: hostport [" schéma de configuration SSH "]

Ajoutez une ligne Multihop pour chaque serveur de l'itinéraire. Chaque connexion de la liste est envoyée via le tunnel établi par la connexion située au-dessus.

Dans l'exemple suivant, les connexions SSH au serveur C passent par le serveur A, puis B et enfin C.

  • Host ServerC
  • Multihop 2022 ServerA:22
  • Multihop 3022 ServerB:22

Vous pouvez éventuellement indiquer un schéma de configuration SSH pour configurer les paramètres Secure Shell pour n'importe quel hôte de la chaîne. Par exemple :

Multihop 4022 joe@ServerA:22 "Multihop SchemeA"
Nodelay

Ce paramètre permet de résoudre un problème suite à un changement effectué par Microsoft, qui active l'algorithme Nagle par défaut sur des sockets TCP Windows et peut entraver les performances lors de connexions Secure Shell. La définition du paramètre Nodelay sur Oui (l'option par défaut) désactive cet algorithme et améliore les performances sur la plupart des systèmes.

NoShell

Lorsque NoShell a pour valeur « yes », le client crée un tunnel sans ouvrir de session terminal. Il peut être configuré conjointement avec ConnectionReuse pour créer un tunnel pouvant être utilisé par d'autres connexions ssh. Remarque : Ce paramètre affecte les connexions effectuées avec l'utilitaire de ligne de commande ; il n'est pas destiné à être utilisé avec l'interface utilisateur.

NumberOfPasswordPrompts

Indique le nombre d'invites de mot de passe à afficher avant d'abandonner. L'argument de ce mot clé doit être un entier. La valeur par défaut est 3.

PasswordAuthentication

Indique si l'authentification par mot de passe doit être utilisée. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

Port

Spécifie le numéro de port auquel se connecter sur l'hôte distant. La valeur par défaut est 22.

PreferredAuthentications

Indique l'ordre dans lequel le client doit essayer les méthodes d'authentification du protocole version 2. Cela correspond à l'ordre (de haut en bas) dans lequel les méthodes sont affichées dans la liste Authentification utilisateur de l'onglet Configuration générale de la boîte de dialogue Paramètres de Secure Shell. Ce paramètre permet au client d'utiliser une méthode (comme le clavier interactif) de préférence à une autre (le mot de passe, par exemple). Par défaut, Reflection tente l'authentification dans l'ordre suivant : « publickey,keyboard-interactive,password ». Si l'authentification GSSAPI est activée, l'ordre par défaut devient le suivant : « gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password ».

REMARQUE :

  • Si vous ajoutez le mot clé PreferredAuthentications à votre fichier de configuration, la liste spécifiée doit inclure toutes les méthodes d'authentification que vous voulez essayer. Si PreferredAuthentications est présent sans préciser de méthode d'authentification particulière, Reflection n'utilisera pas cette méthode même si le mot clé l'activant est correctement configuré.

  • Inclure une méthode d'authentification dans la liste PreferredAuthentications n'active pas l'authentification à l'aide de cette méthode. Pour activer une méthode d'authentification autre que celle utilisée par défaut, le mot clé de cette méthode doit aussi être correctement configuré (par exemple, pour activer l'authentification GSSAPI, vous devez attribuer la valeur « yes » à GssapiAuthentication.)

PreserveTimestamps

Indique si des attributs de fichier et des horodatages sont modifiés lors du transfert des fichiers vers et depuis le serveur. Si ce mot clé prend la valeur « no » (option par défaut), les horodatages et les attributs sont modifiés. S'il prend la valeur « yes », les fichiers conservent leurs horodatages et attributs initiaux.

Protocole

Le client Secure Shell prend en charge le protocole 2, qui est identifié par la valeur « 2 ».

Proxy

Indique un type de proxy à utiliser pour les connexions Secure Shell. Les valeurs prises en charge sont « SOCKS » et « HTTP ».

REMARQUE :L'utilisation d'un proxy est activée pour chaque section Host du fichier de configuration utilisant ce paramètre. L'adresse du serveur proxy est enregistrée dans la base de registres Windows pour chaque utilisateur.

PubkeyAlgorithms

Spécifie, dans un ordre de préférence, les algorithmes de clé que le client proposera au serveur. Si le serveur est configuré pour n'accepter qu'un seul algorithme, vous pouvez définir ce mot-clé de façon à ne proposer que cette option.

Valeurs disponibles :ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss

PubkeyAuthentication

Indique si l'authentification par clé publique doit être utilisée. Cette option s'applique au protocole version 2. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « yes ».

RemoteCommand

Spécifie une ou plusieurs commandes à exécuter sur le serveur distant. Utilisez un point-virgule (;) pour séparer plusieurs commandes lors de la connexion à un serveur UNIX. Utilisez une esperluette (&) pour séparer plusieurs commandes lors de la connexion à un serveur Windows. Après établissement d'une connexion, le serveur exécute (ou tente d'exécuter) la ou les commandes spécifiées, puis la session prend fin. La configuration du serveur doit autoriser l'exécution des commandes reçues du client.

Vous devez spécifier les commandes au format correspondant au serveur. Les deux lignes ci-après, par exemple, sont équivalentes :

Sous UNIX : ls ; ls -l

Sous Windows : dir/w & dir

RemoteForward

Indique qu'un port TCP/IP de l'ordinateur distant doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur local. Le premier argument doit être un numéro de port, le second doit être host : port. Les adresses IPv6 peuvent également être spécifiées à l'aide de la syntaxe suivante : host / port. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges.

SendEnv

Indique la variable d'environnement à définir sur le serveur avant d'exécuter un shell ou une commande. Le format de cette valeur est le suivant : VAR val. Le serveur doit prendre en charge la variable spécifiée et doit être configuré pour accepter ces variables d'environnement.

ServerAlive

Indique si des paquets de supervision serveur doivent être envoyés au serveur SSH à la fréquence indiquée par le mot clé ServerAliveInterval. Le paramètre ServerAlive Secure Shell envoie au serveur un message de protocole SSH à l'intervalle précisé pour s'assurer que le serveur est opérationnel. Si ce paramètre n'est pas activé, la connexion SSH ne se termine pas si le serveur est en panne ou si la connexion réseau est perdue. Ce paramètre peut également servir à empêcher des connexions qui transfèrent uniquement des sessions TCP d'expirer à cause du serveur. En effet, ce dernier peut y mettre fin du fait qu'il ne détecte aucun trafic SSH. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

REMARQUE :Le paramètre ServerAlive Secure Shell n'est pas lié au paramètre TCP keep alive (envoi de paquets de supervision TCP) qui peut être défini dans le registre Windows pour éviter que le délai de toutes les connexions TCP/IP expire face à un pare-feu. Pour modifier le comportement de l'envoi de paquets de supervision TCP/IP, vous devez modifier le registre Windows.

ServerAliveInterval

Indique l'intervalle (en secondes) à utiliser quand ServerAlive = yes. Utilisez un entier égal ou supérieur à 1. La valeur par défaut est 30.

ServerKeyFormat

Indique le format de clé à utiliser lors du téléchargement des clés vers un hôte à l'aide de l'option Télécharger de l'onglet Clés utilisateur. L'utilitaire détermine automatiquement le format de clé à utiliser. Modifiez ce paramètre si ce format est incorrect pour votre serveur. Les valeurs acceptées sont « OpenSSH » et « SECSH ».

ServerStyle

Indique les paramètres de configuration des clés publiques des hôtes à utiliser lors du téléchargement des clés vers un hôte à l'aide de l'option Télécharger de l'onglet Clés utilisateur. L'utilitaire détermine automatiquement le style d'hôte à utiliser. Modifiez ce paramètre si ce format est incorrect pour votre serveur. Les valeurs acceptées sont « UNIX » et « VMS ».

SftpBufferLen

Indique le nombre d'octets requis dans chaque paquet pendant les transferts SFTP. La valeur par défaut est 32768. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.

SftpMaxRequests

Indique le nombre maximal de requêtes de données en attente acceptées par le client pendant les transferts SFTP. La valeur par défaut est 10. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.

SftpVersion

Spécifie la version utilisée par le client pour les connexions SFTP. Les valeurs valides sont 3 et 4. Lorsque ce paramètre est défini sur 4 (par défaut), la connexion utilise la version 4 de SFTP si le serveur la prend en charge, sinon, il utilise la version 3. Si le paramètre est réglé sur 3, le client utilise toujours SFTP version 3.

StrictHostKeyChecking

L'argument est « yes », « no » ou « ask ». La valeur par défaut est « ask ». Si cette option a pour valeur « yes », le client Secure Shell n'ajoute jamais automatiquement de clés hôte au fichier known_hosts (situé dans le dossier utilisateur .ssh) et refuse de se connecter aux hôtes dont la clé a changé. Cette option oblige l'utilisateur à ajouter manuellement tous les nouveaux hôtes. Si elle a « no » pour valeur, Reflection se connecte à l'hôte sans afficher de boîte de dialogue de confirmation, mais n'ajoute pas la clé hôte à la liste des clés approuvées. Si elle a la valeur « ask », les clés des nouveaux hôtes ne sont ajoutées au fichier de clés approuvées que si l'utilisateur confirme cet ajout. Dans tous les cas, les clés des hôtes connus sont vérifiées automatiquement.

REMARQUE :Ce paramètre n'a aucun effet si l'hôte a été configuré pour l'authentification par certificats x509. Si un hôte présente un certificat pour s'authentifier et que le certificat de l'autorité de certification requis n'est pas configuré comme un certificat approuvé, la connexion échoue.

TryEmptyPassword

Si ce paramètre a « yes » pour valeur, le client commence l'authentification par un mot de passe vide. Notez que cet essai est considéré comme une première tentative sur la plupart des systèmes.

Utilisateur

Indique sous quel utilisateur ouvrir la session. Ce paramètre est utile lorsqu'un nom d'utilisateur différent est utilisé sur plusieurs ordinateurs.

UseOCSP

Indique si le client doit utiliser le protocole OCSP (Online Certificate Status Protocol) lors de la validation des certificats hôte. Les valeurs acceptées sont « yes » et « no ». La valeur par défaut est « no ».

UserKeyCertLast

Indique la méthode utilisée par le client pour le traitement de la signature des certificats lors de l'authentification des clés publiques. Lorsque ce paramètre est défini sur « yes » (valeur par défaut), le client envoie d'abord le certificat à l'aide d'une signature de clé SSH standard. En cas d'échec, le client réessaie à l'aide d'une signature de certificat. Parfois, cette deuxième tentative n'a pas lieu et l'authentification échoue. Lorsque la valeur de ce paramètre est « no », le client fait une première tentative à l'aide de la signature de certificat, puis une deuxième à l'aide de la signature de clé SSH.

UserKnownHostsFile

Indique le fichier à utiliser comme base de données des clés hôte utilisateur à la place du fichier known_hosts (situé dans le dossier utilisateur .ssh). Utilisez des guillemets si le fichier ou le chemin contient des espaces.

x509dsasigtype

Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées DSA. Les valeurs possibles sont « sha1raw » (par défaut) et « sha1asn1 ».

x509rsasigtype

Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées RSA. Les valeurs possibles sont « md5 », « sha1 », « sha256 » et « all » (valeur par défaut).

X11Display

Détermine le port de l'interface de bouclage locale du PC vers lequel les communications de protocole X11 sont transférées lorsque le transfert X11 est activé.

REMARQUE :Si vous utilisez Reflection X (version 12.x, 13.x ou 14.x), vous n'avez pas besoin de configurer ce mot clé. Le serveur  X et le client Reflection Secure Shell sont synchronisés automatiquement de manière à utiliser le port approprié en fonction de votre paramètre d'affichage de serveur X (Paramètres > Affichage > Numéro du serveur X) ; dans ce cas, le mot clé X11Display est ignoré. Si vous utilisez un autre serveur X pour PC, servez-vous de ce mot clé pour indiquer le port d'écoute approprié comme défini pour ce serveur.

La valeur par défaut est 0. Elle permet de configurer le transfert sur le port 6000, port d'écoute par défaut défini par la convention de protocole X11. La valeur d'affichage que vous spécifiez est ajoutée à 6000 pour déterminer le port d'écoute réel. Par exemple, le fait de définir X11Display sur 20 indique au client Secure Shell que le serveur X pour PC écoute sur le port 6020.