Guide de référence des mots clés des fichiers de configuration - Paramètres de Secure Shell
Utilisez ce guide si vous modifiez manuellement votre fichier de configuration Secure Shell. Le fichier de configuration s'articule en sections, chacune identifiée par le mot clé **Host. ** Chaque section recense les paramètres Secure Shell à utiliser pour toutes les connexions établies vers l'hôte spécifié ou schéma de configuration SSH.
Le fichier de configuration se compose de mots clés suivis de valeurs. Les options de configuration peuvent être séparées par des espaces, des espaces facultatifs ou des signes égal (=). Les mots clés ne font pas la distinction entre majuscules et minuscules, contrairement aux arguments.
Les lignes commençant par un signe dièse (#
) sont des commentaires. Les lignes vides sont ignorées.
remarque
Les éléments de cette liste affectent la configuration des connexions Secure Shell. Il existe des mots clés supplémentaires permettant de configurer l'émulation de terminal des sessions de ligne de commande ssh. Pour plus d'informations sur ces mots clés, reportez-vous au Guide de référence des mots clés des fichiers de configuration - Paramètres de l'émulation de terminal.
AddAuthKeyToAgent
Ce paramètre affecte la manière dont le client gère l'authentification par clé publique lorsque ForwardAgent est défini sur « yes ». Lorsque l'authentification par clé publique auprès du serveur est réussie, et si ForwardAgent et AddAuthKeyToAgent sont tous deux définis sur yes, la clé ou le certificat utilisé pour l'authentification est automatiquement ajouté à l'agent de gestion des clés. Cette clé n'est pas enregistrée dans l'agent de gestion des clés, mais reste disponible tant que l'agent de gestion des clés est en cours d'exécution. Lorsque AddAuthKeyToAgent est défini sur no (par défaut), les clés et les certificats ne sont pas automatiquement ajoutés à l'agent de gestion des clés. Il utilise uniquement les clés qui ont déjà été importées manuellement.
AgentEnumCertsAs
Ce paramètre permet au client de choisir l'option utilisée. Lorsque l'option both est sélectionnée, l'énumération propose le certificat et la clé comme options distinctes. Lorsque l'option certs est sélectionnée, la signature est demandée à l'aide du certificat uniquement. Lorsque l'option keys est sélectionnée, une signature est demandée à l'aide d'une clé contenue dans un certificat. L'agent utilise désormais uniquement la clé. L'ordre dans lequel elle est proposée dépend de la connexion initiale. Par exemple, si je me connecte à l'aide d'une clé uniquement, le transfert d'agent énumère la clé, puis le certificat.
Ces valeurs ont été optimisées pour les types de serveurs en fonction des algorithmes et des types de clés actuellement pris en charge. Valeurs d'optimisation disponibles = sunssh, openvms, openssh, pkix et rsit.
AuthUseAllKeys
Ce paramètre affecte la manière dont le client gère l'authentification par clé publique. Lorsque ce paramètre est défini sur no (par défaut), le client tente de s'authentifier uniquement à l'aide de la clé ou des clés que vous avez spécifiées en utilisant le mot clé IdentityFile. Lorsque ce paramètre est défini sur la valeur yes, le client essaie de procéder à l'authentification à l'aide de toutes les clés publiques disponibles.
BatchMode
Indique s'il faut désactiver toutes les invites utilisateur, y compris la demande de mot de passe et de phrase de chiffrement. La désactivation est utile pour l'exécution de scripts et les tâches séquentielles. Les valeurs acceptées sont yes et no. La valeur par défaut est no.
remarque
Ce mot clé ne désactive pas les invites utilisateur si l'authentification Mode clavier interactif est configurée, mais les connexions utilisant ce mode échouent si BatchMode est activé.
BindAddress
Indique l'interface de transmission sur les ordinateurs à interfaces multiples ou avec plusieurs alias.
CheckHostIP
Si ce paramètre est défini sur la valeur yes, le client Secure Shell vérifie l'adresse IP de l'hôte dans le fichier known_hosts
en plus de la clé publique hôte. La connexion est autorisée uniquement si l'adresse IP hôte répertoriée dans la liste des hôtes connus correspond à l'adresse IP que vous utilisez pour la connexion. La valeur par défaut est no. Remarque : ce paramètre n'a aucun effet si StrictHostKeyChecking = no.
CheckHostPort
Si ce paramètre est défini sur la valeur yes, le client Secure Shell vérifie le port de l'hôte dans le fichier known_hosts
en plus de la clé publique hôte. La connexion est autorisée uniquement si le port de l'hôte répertorié dans la liste des hôtes connus correspond au port que vous utilisez pour la connexion. La valeur par défaut est no. Remarque : ce paramètre n'a aucun effet si StrictHostKeyChecking = no.
Ciphers
Indique les codes de chiffrement autorisés pour la version 2 du protocole, par ordre de préférence. Les différents codes sont séparés par des virgules. La valeur par défaut est 'aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr,aes256-cbc,aes192-cbc,aes128-cbc,3des-cbc'.
ClearAllForwardings
Efface tout port transféré en local, à distance ou dynamiquement ayant déjà été traité par un fichier de configuration ou une ligne de commande. Remarque : scp et sftp désactivent automatiquement tous les ports redirigés quelle que soit la valeur de ce paramètre. Les valeurs acceptées sont yes et no. La valeur par défaut est no.
Compression
Indique si la compression doit être activée. La compression est souhaitable pour les lignes modem et toute autre connexion lente, mais elles ralentissent le flux de réponse sur les réseaux rapides. Elle rend également les paquets un peu plus aléatoires, ce qui complique la tâche de toute personne mal intentionnée qui tenterait de les déchiffrer. Les valeurs acceptées sont yes et no. La valeur par défaut est no.
ConnectionAttempts
Indique le nombre de tentatives (une par seconde) autorisées avant de quitter. L'argument doit être un entier. Cet argument est utile pour les scripts en cas d'interruption occasionnelle de la connexion. La valeur par défaut est 1.
ConnectionReuse
Indique si les sessions multiples vers le même hôte réutilisent la connexion Secure Shell d'origine, et par conséquent ne nécessitent pas une nouvelle authentification. L'argument doit être yes ou no. S'il est défini sur yes, les nouvelles connexions réutilisent le tunnel existant si le nom d'hôte, le nom d'utilisateur et le schéma de configuration SSH (le cas échéant) concordent. S'il est défini sur no, le client établit une nouvelle connexion pour chaque session, ce qui implique le renouvellement du processus d'authentification pour chaque connexion et l'application de toute modification apportée aux paramètres spécifiques de la connexion (comme le transfert de port ou le code de chiffrement). La valeur par défaut est yes pour les connexions établies par la fenêtre du client. La valeur est no pour les connexions établies par les utilitaires de ligne de commande. Pour plus d'informations, reportez-vous à la rubrique Réutilisation de connexion dans les sessions Secure Shell.
ConnectTimeout
Indique le temps d'attente maximal (en secondes) au bout duquel le client tente d'effectuer la connexion au serveur. L'horloge démarre lorsque la connexion est établie (avant la connexion) et s'exécute lors de la négociation des paramètres, de l'échange de clés d'hôte et de l'authentification. Pour des raisons pratiques, la période de temporisation correspond en fait aux opérations d'authentification. La valeur par défaut est 120.
DisableCRL
Indique si la vérification CRL (Certificate Revocation List) doit avoir lieu lors de la validation des certificats de l'hôte. La définition de ce paramètre sur la valeur yes désactive la vérification CRL. La valeur par défaut de ce paramètre dépend de votre paramètre système actuel pour la vérification CRL. Pour afficher et modifier les paramètres système, lancez la boîte de dialogue Options Internet à partir du menu Démarrer, puis ouvrez l'onglet Avancé. Dans la section Sécurité, désactivez le paramètre Vérifier la révocation du certificat serveur.
DynamicForward
Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé et que le protocole de l'application doit alors être utilisé pour déterminer à quelle destination se connecter à partir de l'ordinateur distant. L'argument doit être un numéro de port. Actuellement, le protocole SOCKS4 étant pris en charge, Reflection Secure Shell agit comme un serveur SOCKS4. Les transferts multiples peuvent être spécifiés et des transferts supplémentaires peuvent être indiqués sur la ligne de commande. Seul un utilisateur ayant des privilèges administratifs peut configurer le transfert de ports avec privilèges.
EscapeChar
Définit le caractère d'échappement (~ par défaut). Peut également être défini sur la ligne de commande. L'argument doit être un caractère unique, le symbole ^ suivi d'une lettre ou la valeur none pour désactiver tout caractère d'échappement (ce qui rend la connexion transparente pour les données binaires).
FipsMode
Lorsque ce paramètre a pour valeur yes, les connexions doivent être établies à l'aide de protocoles et d'algorithmes de sécurité conformes à la norme FIPS (Federal Information Processing Standard) 140-2 de l'administration des États-Unis. Les options qui ne la respectent pas ne sont pas disponibles dans l'onglet Chiffrement.
remarque
Ce paramètre affecte le schéma de configuration SSH spécifié par le mot clé Host et n'a aucun effet sur les sessions Secure Shell suivantes, à moins qu'elles ne soient configurées pour utiliser le même schéma (ou nom d'hôte).
ForwardAgent
La définition de ce paramètre sur la valeur yes active le transfert de la connexion de l'agent de gestion des clés. Le transfert d'agent(s) doit être activé avec circonspection. En effet, les utilisateurs ayant la capacité de contourner les permissions de fichier sur l'hôte distant (pour atteindre le socket de domaine Unix de l'agent) peuvent accéder à l'agent local par l'intermédiaire de la connexion transférée. Des attaquants ne peuvent pas obtenir d'informations sur la clé auprès de l'agent, mais ils peuvent cependant exécuter certaines opérations sur les clés qui leur permettront de s'authentifier grâce aux identités chargées dans l'agent. Le transfert d'agent(s) doit également être activé sur le serveur. La valeur par défaut est no.
ForwardX11
Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. L'argument doit être yes ou no. La valeur par défaut est no. (Remarque : si vous configurez Secure Shell via Reflection X, reportez-vous à ForwardX11ReflectionX.)
ForwardX11ReflectionX
Ce paramètre n'est utilisé que si vous configurez des connexions Secure Shell pour Reflection X (à partir de 14.1). Indique si les connexions X11 doivent être automatiquement redirigées via le canal sécurisé et si DISPLAY doit être défini. L'argument doit être yes ou no. La valeur par défaut est yes.
GatewayPorts
Indique si les hôtes distants sont autorisés à se connecter à des ports transférés en local. Par défaut, le client Secure Shell lie les transferts de ports locaux aux adresses de bouclage. Ceci empêche les autres ports distants de se connecter aux ports réacheminés. Utilisez GatewayPorts pour indiquer à Secure Shell de lier les transferts de ports locaux à l'adresse générique, ce qui permet aux hôtes distants de se connecter aux ports transférés. Faites attention lorsque vous décidez d'activer ce paramètre. Son utilisation peut réduire la sécurité de votre réseau et de votre connexion parce qu'il peut autoriser les hôtes distants à utiliser sans authentification le port transféré sur le système. L'argument doit être yes ou no. La valeur par défaut est no.
GlobalKnownHostsFile
Indique le fichier à utiliser comme base de données des clés hôte globales à la place du fichier ssh_known_hosts
par défaut situé dans le dossier des données d'application commun Windows.
remarque
Placez le nom de fichier entre guillemets si le nom ou le chemin d'accès du fichier comprend des espaces.
GssapiAuthentication
Indique si l'interface GSSAPI doit être utilisée pour l'authentification auprès d'un centre de distribution de clés Ce paramètre n'est applicable qu'avec la version 2 du protocole.
GssapiDelegateCredentials
Spécifie si l'interface GSSAPI doit transférer votre ticket initial Kerberos (krbtgt) à l'hôte. Ce paramètre n'est applicable qu'avec la version 2 du protocole.
GssapiUseSSPI
Indique si l'interface SSPI (Security Support Provider Interface) de Microsoft doit être utilisée pour l'authentification GSSAPI. Ce paramètre s'applique uniquement si l'authentification GSSAPI est activée (en utilisant GssapiAuthentication pour la version 2 du protocole). L'argument de ce mot clé doit être yes ou no. Lorsque l'option no est définie, le client Secure Shell utilise l'authentification GSSAPI. Lorsque la valeur est yes, le client Secure Shell utilise vos informations d'identification de connexion au domaine Windows (SSPI) pour s'authentifier auprès du serveur Secure Shell. SSPI n'est pris en charge que par la version 2 du protocole et le serveur doit accepter la méthode d'authentification GSSAPI-with-mic. ** La valeur par défaut est yes**.
GssServicePrincipal
Indique un nom personnalisé de principal de service à utiliser lorsque le client envoie une demande de ticket de service au Centre de distribution de clés (KDC, Key Distribution Center). Si vous avez sélectionné SSPI comme fournisseur GSSAPI, vous pouvez utiliser ce paramètre pour spécifier un principal de service dans une zone autre que le domaine Windows. Utilisez un nom d'hôte complet suivi du symbole @ et du nom de la zone, par exemple : hôte.zone.com@ZONE.COM
. (Par défaut, le nom d'hôte est le nom du serveur Secure Shell auquel vous vous connectez et la zone dépend de la valeur du paramètre GssapiUseSSPI. Si GssapiUseSSPI a la valeur no, le nom de la zone est spécifié dans votre profil de principal par défaut. Si GssapiUseSSPI est défini sur la valeur yes, la zone correspond à votre nom de domaine Windows.)
Host
Identifie les déclarations qui suivent (jusqu'au prochain mot clé Host) comme faisant partie du schéma de configuration SSH spécifié. Les caractères génériques « * » et « ? » peuvent être utilisés. Un seul astérisque (« * ») suffit à fournir des paramètres par défaut globaux à tous les hôtes. Une connexion Reflection utilise la première occurrence de toute chaîne Host concordante (caractères génériques inclus). Toutes les concordances suivantes sont ignorées.
remarque
Lorsque vous fermez la boîte de dialogue Paramètres de Secure Shell, les valeurs avec des paramètres par défaut ne sont pas enregistrées dans le fichier de configuration. Si une valeur par défaut a été ajoutée manuellement au fichier, elle est supprimée lorsque vous fermez la boîte de dialogue. Ceci impose des contraintes de design si vous utilisez des strophes de noms d'hôte contenant des caractères génériques en combinaison avec des strophes qui utilisent des noms d'hôte spécifiques.
Si vous avez manuellement configuré une valeur par défaut dans une strophe spécifique destinée à remplacer une valeur configurée dans une strophe contenant des caractères génériques, le paramètre par défaut est supprimé lorsque vous ouvrez la boîte de dialogue Paramètres de Reflection Secure Shell pour afficher les paramètres de la section de configuration SSH spécifique de l'hôte. Vous pouvez gérer cette situation en utilisant le fichier de configuration global qui n'est pas mis à jour lorsque les utilisateurs ouvrent et ferment la boîte de dialogue Paramètres de Secure Shell.
HostKeyAlgorithms
Indique, par ordre de préférence, les algorithmes de clé hôte que le client utilise. La valeur par défaut de cette option est la suivante : x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss, ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256, ssh-rsa-sha2-256\@attachmate.com, ssh-rsa,ssh-dss.
Ce paramètre est utile lorsque le serveur est configuré pour l'authentification par certificat et par clé hôte standard. La valeur par défaut propose des algorithmes x509 avant les algorithmes de clé SSH classiques. Le protocole SSH n'autorise qu'une seule tentative d'authentification de l'hôte. (Contrairement à l'authentification utilisateur pour laquelle plusieurs méthodes et tentatives sont autorisées.) Si l'hôte présente un certificat et que le client n'est pas configuré pour l'authentification hôte à partir de certificats, la connexion échoue lorsque les algorithmes x509 sont privilégiés. Dans ce cas, vous pouvez configurer le client pour qu'il préfère les clés SSH aux certificats en modifiant l'ordre de préférence comme suit : ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.
Valeurs disponibles : ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521,x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.
HostKeyAlias
Indique un alias à utiliser à la place du nom d'hôte réel pour rechercher ou enregistrer la clé hôte dans la base de données des clés hôte. Ce paramètre est utile pour les connexions ssh par tunnel ou pour les serveurs multiples exécutés sur un même hôte.
IdentityFile
Indique la clé privée à utiliser pour l'authentification par clé. Les fichiers se trouvent dans le dossier utilisateur .ssh. ( \Users\nom_utilisateur\Documents\Micro Focus\nom_produit\.ssh\
). Les éléments IdentityFile sont ajoutés lorsque vous sélectionnez des clés ou certificats dans la liste de l'onglet Clés utilisateur de la boîte de dialogue Paramètres de Secure Shell. Il est possible de spécifier plusieurs fichiers d'identité dans les fichiers de configuration. Les identités seront essayées les unes après les autres.
remarque
Placez le chemin d'accès complet entre guillemets s'il comporte des espaces.
KbdInteractiveAuthentication
Indique si l'authentification par clavier interactif doit être utilisée. Les valeurs acceptées sont yes et no. La valeur par défaut est yes. Cette méthode est recommandée si vous utilisez une authentification externe (telle que SecurID ou PAM) impliquant une invite du serveur et une réponse de l'utilisateur. Elle peut s'avérer plus efficace que la méthode PasswordAuthentication (authentification par mot de passe) sur les hôtes où l'expiration du mot de passe ou la modification du mot de passe à la première ouverture de session sont activées. Elle peut aussi être nécessaire pour l'authentification par mot de passe si les mots de passe expirés doivent être réinitialisés pour que l'authentification aboutisse. Ne s'applique qu'à la version 2 du protocole SSH.
KeepAlive
Indique si le système doit envoyer des messages TCP keepalive à l'autre partie. Si oui, l'interruption de la connexion ou l'arrêt d'un des ordinateurs sont détectés. La valeur par défaut est yes (envoi de paquets de supervision) pour permettre au client de détecter toute interruption du réseau ou de l'hôte distant, ce qui est important pour les scripts et utile aux utilisateurs. Toutefois, cela signifie qu'il est mis fin aux connexions en cas d'interruption temporaire de l'itinéraire, ce qui peut agacer certains utilisateurs. Pour désactiver l'envoi de paquets de supervision, attribuez la valeur no. Ce mot clé active le paramètre d'envoi de paquets de supervision TCP de Windows qui prévoit par défaut l'envoi de paquets toutes les deux heures. Il est possible de configurer le paramètre TCP/IP à l'aide de deux options facultatives qui n'existent généralement pas dans le registre Windows : KeepAliveTime et KeepAliveInterval. Elles se trouvent dans le sous-arbre HKEY_LOCAL_MACHINE
du registre, à l'emplacement suivant :
SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Pour plus d'informations sur la configuration de ces paramètres, reportez-vous à l'article 120642 de la Base de connaissances Microsoft.
KexAlgorithms
Spécifie par ordre de préférence les algorithmes d'échange de» clés pris en charge par le client. Les valeurs prises en charge sont les suivantes : « ecdh-sha2-nistp256 », « ecdh-sha2-nistp384 », « ecdh-sha2-nistp521 , « diffie-hellman-group18-sha512 », « diffie-hellman-group16-sha512 », « diffie-hellman-group14-sha256 »,« diffie-hellman-group1-sha1 », « diffie-hellman-group-exchange-sha1 » et « diffie-hellman-group14-sha1 ». L'ordre par défaut est le suivant : « ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 ».
LocalForward
Indique qu'un port TCP/IP de l'ordinateur local doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur distant. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges. Vous pouvez aussi configurer des arguments facultatifs pour le transfert FTP, le bureau distant et le démarrage automatique d'un fichier exécutable (*.exe) après établissement de la connexion. La syntaxe de ce mot clé est la suivante :
LocalForward` port_local host: port_hôte [FTP=0|1] [RDP=0|1] ["fichier_exécutable" [args]]
Les options sont les suivantes :
portlocal | Numéro de port local. |
host: port_hôte | Hôte distant et port sur cet hôte. (Vous pouvez spécifier localhost pour transférer des données vers un port différent sur le même hôte distant auquel vous avez déjà établi une connexion Secure Shell.) Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : hote/port . |
FTP | Attribuez la valeur 1 si vous configurez le transfert de fichier FTP par tunnel. |
RDP | Attribuez la valeur 1 si vous configurez une session de bureau distant par tunnel. |
"fichier_exécutable" | Indiquez le nom d'un fichier exécutable (incluant le chemin d'accès complet, si nécessaire) pour que le client démarre une application immédiatement après l'établissement de la connexion Secure Shell. Pour transférer des données par le tunnel sécurisé, cette application doit être configurée pour se connecter à localhost (ou l'adresse IP de bouclage 127.0.0.1 ) par le port local spécifié. |
Logfile
Indique un fichier journal à utiliser pour le débogage. Toutes les entrées et sorties de session sont consignées dans ce fichier. Utilisez ce mot clé avec l'option de ligne de commande -o comme suit :
-o Logfile=\ path\ nom_fichier_journal
remarque
Placez le chemin et le nom de fichier entre guillemets s'ils comportent des espaces.
LogLevel
Indique le niveau de détail utilisé pour consigner les messages du client Secure Shell. Les valeurs disponibles sont : QUIET, FATAL, ERROR, INFO, VERBOSE, DEBUG, DEBUG1, DEBUG2 et DEBUG3. La valeur par défaut est INFO. Les valeurs DEBUG et DEBUG1 sont équivalentes. DEBUG2 et DEBUG3 spécifient les niveaux les plus détaillés.
Macs
Indique les algorithmes MAC (code d'authentification de message) à utiliser par ordre de préférence. Les algorithmes MAC sont pris en charge dans la version 2 du protocole pour assurer l'intégrité des données. Les différents algorithmes sont séparés par des virgules. La valeur par défaut est la suivante : « hmac-sha256, hmac-sha2-256, hmac-sha1, hmac-md5, hmac-ripemd160, hmac-sha1-96, hmac-md5-96, hmac-sha512, hmac-sha2-512 ».
MatchHostName
Indique si le nom d'hôte correspondant est requis lors de la validation des certificats de l'hôte. Lorsque ce paramètre a la valeur yes (par défaut), le nom d'hôte que vous configurez pour la connexion doit correspondre exactement à celui saisi dans le champ CommonName ou SubjectAltName du certificat.
Multihop
Configure des connexions à sauts multiples pour établir des connexions sécurisées passant par plusieurs serveurs Secure Shell. Ce paramètre est utile si votre configuration réseau ne permet pas un accès direct à un serveur distant, mais autorise l'accès via des serveurs intermédiaires.
La syntaxe de ce mot clé est la suivante :
Multihop port_local host: port_hôte ["schéma_configuration_SSH"]
Ajoutez une ligne Multihop pour chaque serveur de l'itinéraire. Chaque connexion de la liste est envoyée via le tunnel établi par la connexion située au-dessus.
Dans l'exemple suivant, les connexions SSH au serveur C passent par le serveur A, puis B et enfin C.
Host ServeurC
Multihop 2022 ServeurA:22
Multihop 3022 ServeurB:22
Vous pouvez éventuellement indiquer un schéma de configuration SSH pour configurer les paramètres Secure Shell pour n'importe quel hôte de la chaîne. Par exemple :
Multihop 4022 adam@ServeuA:22 "Multihop SchemaA"
Nodelay
Ce paramètre permet de résoudre un problème suite à un changement effectué par Microsoft, qui active l'algorithme Nagle par défaut sur des sockets TCP Windows et peut entraver les performances lors de connexions Secure Shell. La définition du paramètre Nodelay sur Oui (l'option par défaut) désactive cet algorithme et améliore les performances sur la plupart des systèmes.
NoShell
Lorsque NoShell a pour valeur yes, le client crée un tunnel sans ouvrir de session terminal. Il peut être configuré conjointement avec ConnectionReuse pour créer un tunnel pouvant être utilisé par d'autres connexions ssh.
remarque
Ce paramètre affecte les connexions effectuées avec l'utilitaire de ligne de commande ; il n'est pas destiné à être utilisé avec l'interface utilisateur.
NumberOfPasswordPrompts
Indique le nombre d'invites de mot de passe à afficher avant d'abandonner. L'argument de ce mot clé doit être un entier. La valeur par défaut est 3.
PasswordAuthentication
Indique si l'authentification par mot de passe doit être utilisée. Les valeurs acceptées sont yes et no. La valeur par défaut est yes.
Port
Spécifie le numéro de port auquel se connecter sur l'hôte distant. La valeur par défaut est 22.
PreferredAuthentications
Indique l'ordre dans lequel le client doit essayer les méthodes d'authentification du protocole version 2. Cela correspond à l'ordre (de haut en bas) dans lequel les méthodes sont affichées dans la liste Authentification utilisateur de l'onglet Configuration générale de la boîte de dialogue Paramètres de Secure Shell. Ce paramètre permet au client d'utiliser une méthode (comme le clavier interactif) de préférence à une autre (le mot de passe, par exemple). Par défaut, le client tente de procéder à l'authentification dans l'ordre suivant : « publickey, keyboard-interactive, password ». Si l'authentification GSSAPI est activée, l'ordre par défaut devient le suivant : « gssapi-with-mic,external-keyex,gssapi,publickey,keyboard-interactive,password ».
remarque
- Si vous ajoutez le mot clé PreferredAuthentications à votre fichier de configuration, la liste spécifiée doit inclure toutes les méthodes d'authentification que vous voulez essayer. Si PreferredAuthentications est présent sans préciser de méthode d'authentification particulière, le client n'utilisera pas cette méthode même si le mot clé l'activant est correctement configuré.
- Inclure une méthode d'authentification dans la liste PreferredAuthentications n'active pas l'authentification à l'aide de cette méthode. Pour activer une méthode d'authentification autre que celle utilisée par défaut, le mot clé de cette méthode doit aussi être correctement configuré (par exemple, pour activer l'authentification GSSAPI, vous devez attribuer la valeur « yes » à GssapiAuthentication).
PreserveTimestamps
Indique si des attributs de fichier et des horodatages sont modifiés lors du transfert de fichiers avec le serveur. Si ce mot clé a la valeur no (par défaut), les horodatages et les attributs sont modifiés. S'il a la valeur yes, les fichiers conservent leurs horodatages et attributs initiaux.
Protocol
Le client Secure Shell prend en charge le protocole 2, qui est identifié par la valeur 2.
Proxy
Indique un type de proxy à utiliser pour les connexions Secure Shell. Les valeurs prises en charge sont « SOCKS » et « HTTP ».
remarque
L'utilisation d'un proxy est activée pour chaque section Host du fichier de configuration utilisant ce paramètre. L'adresse du serveur proxy est enregistrée dans le Registre Windows pour chaque utilisateur.
PubkeyAlgorithms
Spécifie, dans un ordre de préférence, les algorithmes de clé que le client proposera au serveur. Si le serveur est configuré pour n'accepter qu'un seul algorithme, vous pouvez définir ce mot-clé de façon à ne proposer que cette option.
Valeurs disponibles : ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,rsa-sha2-512,rsa-sha2-256,ssh-rsa-sha2-256@attachmate.com,ssh-rsa,ssh-dss,x509v3-ecdsa-sha2-nistp256,x509v3-ecdsa-sha2-nistp384,x509v3-ecdsa-sha2-nistp521x509v3-rsa2048-sha256,x509v3-sign-rsa,x509v3-ssh-rsa,x509v3-sign-dss.
PubkeyAuthentication
Indique si l'authentification par clé publique doit être utilisée. Cette option s'applique au protocole version 2. Les valeurs acceptées sont yes et no. La valeur par défaut est yes.
RemoteCommand
Spécifie une ou plusieurs commandes à exécuter sur le serveur distant. Utilisez un point-virgule (;) pour séparer plusieurs commandes lors de la connexion à un serveur UNIX. Utilisez une esperluette (&) pour séparer plusieurs commandes lors de la connexion à un serveur Windows. Après établissement d'une connexion, le serveur exécute (ou tente d'exécuter) la ou les commandes spécifiées, puis la session prend fin. La configuration du serveur doit autoriser l'exécution des commandes reçues du client.
Vous devez spécifier les commandes au format correspondant au serveur. Les deux lignes ci-après, par exemple, sont équivalentes :
Sous UNIX : ls ; ls -l
Sous Windows : dir/w et dir
RemoteForward
Indique qu'un port TCP/IP de l'ordinateur distant doit être transféré via un canal sécurisé vers l'hôte et le port spécifiés sur l'ordinateur local. Le premier argument doit être un numéro de port, le second doit être hôte :
port. Les adresses IPv6 peuvent être spécifiées à l'aide de la syntaxe suivante : hôte / port. Les transferts multiples peuvent être spécifiés. Seuls les utilisateurs ayant des privilèges administratifs peuvent configurer le transfert de ports avec privilèges.
SendEnv
Indique la variable d'environnement à définir sur le serveur avant d'exécuter un shell ou une commande. Le format de cette valeur est le suivant : VAR val
. Le serveur doit prendre en charge la variable spécifiée et doit être configuré pour accepter ces variables d'environnement.
ServerAlive
Indique si des paquets de supervision serveur doivent être envoyés au serveur SSH à la fréquence indiquée par le mot clé ServerAliveInterval. Le paramètre ServerAlive Secure Shell envoie au serveur un message de protocole SSH à l'intervalle précisé pour s'assurer que le serveur est opérationnel. Si ce paramètre n'est pas activé, la connexion SSH ne se termine pas si le serveur est en panne ou si la connexion réseau est perdue. Ce paramètre peut également servir à empêcher des connexions qui transfèrent uniquement des sessions TCP d'expirer à cause du serveur. En effet, ce dernier peut y mettre fin du fait qu'il ne détecte aucun trafic SSH. Les valeurs acceptées sont yes et no. La valeur par défaut est no.
remarque
Le paramètre Secure Shell ServerAlive n'est pas lié au paramètre TCP KeepAlive (envoi de paquets de supervision TCP) qui peut être défini dans le Registre Windows pour éviter que le délai de toutes les connexions TCP/IP expire en raison d'un pare-feu. Pour modifier le comportement de l'envoi de paquets de supervision TCP/IP, vous devez modifier le Registre Windows.
ServerAliveInterval
Indique l'intervalle (en secondes) à utiliser lorsque ServerAlive = yes. Utilisez un entier égal ou supérieur à 1. La valeur par défaut est 30.
ServerKeyFormat
Indique le format de clé à utiliser lors du téléchargement des clés vers un hôte à l'aide de l'option Télécharger de l'onglet Clés utilisateur. L'utilitaire détermine automatiquement le format de clé à utiliser. Modifiez ce paramètre si ce format est incorrect pour votre serveur. Les valeurs acceptées sont « OpenSSH » et « SECSH ».
ServerStyle
Indique les paramètres de configuration des clés publiques des hôtes à utiliser lors du téléchargement des clés vers un hôte à l'aide de l'option Télécharger de l'onglet Clés utilisateur. L'utilitaire détermine automatiquement le style d'hôte à utiliser. Modifiez ce paramètre si ce format est incorrect pour votre serveur. Les valeurs acceptées sont « UNIX » et « VMS ».
SftpBufferLen
Indique le nombre d'octets requis dans chaque paquet pendant les transferts SFTP. La valeur par défaut est 32768. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.
SftpMaxRequests
Indique le nombre maximal de requêtes de données en attente acceptées par le client pendant les transferts SFTP. La valeur par défaut est 10. Modifier cette valeur peut améliorer la vitesse de transfert. La valeur optimale dépend de la configuration de votre réseau et de votre serveur. La modification de cette valeur peut également affecter la vitesse à laquelle vous pouvez annuler un transfert.
SftpVersion
Spécifie la version utilisée par le client pour les connexions SFTP. Les valeurs valides sont 3 et 4. Lorsque ce paramètre est défini sur 4 (par défaut), la connexion utilise la version 4 de SFTP si le serveur la prend en charge, sinon, il utilise la version 3*. Si ce paramètre est défini sur *3, le client utilise toujours la version 3 du protocole SFTP.
StrictHostKeyChecking
L'argument doit être yes, no ou « ask ». La valeur par défaut est « ask ». Si cette option est définie sur la valeur yes, le client Secure Shell n'ajoute jamais automatiquement de clés hôtes au fichier known_hosts (situé dans le dossier utilisateur .ssh) et refuse de se connecter aux hôtes dont la clé a changé. Cette option oblige l'utilisateur à ajouter manuellement tous les nouveaux hôtes. Si elle est définie sur la valeur no, le client se connecte à l'hôte sans afficher de boîte de dialogue de confirmation, mais n'ajoute pas la clé hôte à la liste des clés approuvées. Si elle a la valeur ask, les nouvelles clés hôte ne sont ajoutées au fichier de clés approuvées que si l'utilisateur confirme cet ajout. Dans tous les cas, les clés des hôtes connus sont vérifiées automatiquement.
remarque
Ce paramètre n'a aucun effet si l'hôte a été configuré pour l'authentification par certificats x509. Si un hôte présente un certificat pour s'authentifier et que le certificat de l'autorité de certification requis n'est pas configuré comme un certificat approuvé, la connexion échoue.
TryEmptyPassword
Si ce paramètre a yes pour valeur, le client commence l'authentification par un mot de passe vide. Notez que cet essai est considéré comme une première tentative sur la plupart des systèmes.
User
Indique sous quel utilisateur ouvrir la session. Ce paramètre est utile lorsqu'un nom d'utilisateur différent est utilisé sur plusieurs ordinateurs.
UseOCSP
Indique si le client doit utiliser le protocole OCSP (Online Certificate Status Protocol) lors de la validation des certificats hôte. Les valeurs acceptées sont yes et no. La valeur par défaut est no.
UserKeyCertLast
Indique la méthode utilisée par le client pour le traitement de la signature des certificats lors de l'authentification des clés publiques. Lorsque ce paramètre est défini sur « yes » (valeur par défaut), le client envoie d'abord le certificat à l'aide d'une signature de clé SSH standard. En cas d'échec, le client réessaie à l'aide d'une signature de certificat. Parfois, cette deuxième tentative n'a pas lieu et l'authentification échoue. Lorsque la valeur de ce paramètre est « no », le client fait une première tentative à l'aide de la signature de certificat, puis une deuxième à l'aide de la signature de clé SSH.
UserKnownHostsFile
Indique le fichier à utiliser comme base de données des clés hôte utilisateur à la place du fichier known_hosts
(situé dans le dossier utilisateur .ssh). Utilisez des guillemets si le fichier ou le chemin contient des espaces.
x509dsasigtype
Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées DSA. Les valeurs possibles sont sha1raw (par défaut) et sha1asn1.
x509rsasigtype
Spécifie l'algorithme de hachage que le client utilise dans le processus qui lui permet de prouver qu'il est en possession de clés privées RSA. Les valeurs possibles sont md5, sha1, sha256 et all (valeur par défaut).
X11Display
Détermine le port de l'interface de bouclage locale du PC vers lequel les communications de protocole X11 sont transférées lorsque le transfert X11 est activé.
remarque
Si vous utilisez Reflection X (version 12.x, 13.x ou 14.x), vous n'avez pas besoin de configurer ce mot clé. Le serveur X et le client Reflection Secure Shell sont synchronisés automatiquement de manière à utiliser le port approprié en fonction de votre paramètre d'affichage de serveur X (Paramètres > Affichage > Numéro du serveur X) ; dans ce cas, le mot clé X11Display est ignoré. Si vous utilisez un autre serveur X pour PC, servez-vous de ce mot clé pour indiquer le port d'écoute approprié comme défini pour ce serveur.
La valeur par défaut est 0. Elle permet de configurer le transfert sur le port 6000, port d'écoute par défaut défini par la convention de protocole X11. La valeur d'affichage que vous spécifiez est ajoutée à 6000 pour déterminer le port d'écoute réel. Par exemple, le fait de définir X11Display sur 20 indique au client Secure Shell que le serveur X pour PC écoute sur le port 6020.
Informations supplémentaires