Your browser does not allow storing cookies. We recommend enabling them.

SSH Tectia

一般設定の定義

[一般] ページでは、使用する暗号化ライブラリを選択し、SSH Tectia トレイ アイコン設定を定義します。

一般設定

図 4.1. 一般設定

[設定ファイル]

ユーザ固有の Broker 設定ファイルの場所を示します。デフォルトの場所は「%APPDATA%\SSH\ssh-broker-config.xml」です。

設定ファイルを保存するたびに、古い設定のバックアップが「%APPDATA%\SSH\ssh-broker-config-backup.xml」という名前で保存されます。

[暗号化ライブラリ]

SSH Tectia Client は、FIPS モード で、FIPS (Federal Information Processing Standard) 140-2 に従って検証された暗号化ライブラリのバージョンを使用して動作することができます。このモードでは、暗号化動作は FIPS 140-2 規格の規則に従って実行されます。

暗号化ライブラリの [標準] バージョンと [FIPS] 140-2 認定バージョンのどちらを使用するかを選択します。

[注意]注意

FIPS モードを設定しても、暗号化プラグインが他のアルゴリズムを使用できなくなるわけではありません。たとえば、CryptiCore はメインの暗号化ライブラリが FIPS モードに設定されていても使用できます。FIPS 準拠のアルゴリズムだけが使用されるようにするには、非 FIPS アルゴリズムを設定で無効化します。デフォルト設定については暗号の定義項およびMAC の定義項を、プロファイル固有の設定については暗号の定義項およびMAC の定義項を参照してください。

[コネクションブローカー]

Windows のタスクバーで SSH Tectia トレイ アイコンを非表示にするかどうか、またショートカット メニューに [終了] および [構成] オプションを表示するかどうかを選択します。

デフォルト接続の定義

[デフォルト接続] ページでは、認証 (認証の定義項)、暗号 (暗号の定義項)、MAC (MAC の定義項)、サーバ接続 (サーバ接続の定義項)、トンネリング (デフォルトのトンネリング設定の定義項) の各デフォルト設定を編集できます。

新しく作成された接続プロファイルは、ここで定義されたデフォルトの設定を継承します。値はプロファイル別のタブ ページでカスタマイズでき、カスタマイズした値はデフォルト設定より優先されます。認証の定義項暗号の定義項MAC の定義項、およびサーバ接続の定義項を参照してください。

認証の定義

[認証] タブでは、デフォルトのユーザ認証方法を定義できます。

SSH Tectia Client の認証方法

図 4.2. SSH Tectia Client の認証方法

工場出荷時のデフォルトの認証方法を使用する場合は [工場出荷値を使用] チェック ボックスを選択します。カスタムの認証方法リストを定義する場合はチェック ボックスを選択解除します。

SSH Tectia Client 6.0 では、工場出荷時に次の認証方法が次の順序で設定されています。

  • 公開鍵

  • パスワード

  • キーボードインタラクティブ

  • GSSAPI

新しい認証方法をリストに追加するには、[追加] をクリックし、ドロップダウン メニューから方法を選択します。

認証方法を削除するには、リストから方法を選択して [削除] をクリックします。

認証方法の優先順位を入れ替えるには、矢印ボタンを使用します。SecureShell サーバによって許可された最初の方法が使用されます。複数の認証方法で認証されないとサーバでログインできない場合もあります。

使用できるユーザ認証方法には以下のものがあります。

  • [Password]: ユーザは認証のためにパスワードの入力を要求されます。

  • [Public-key]: ユーザは公開鍵認証を使用するよう要求されます。ユーザ認証の定義項も参照してください。

  • [Keyboard-interactive]: キーボードインタラクティブは、RSA SecurID や PAM など、複数の異なる種類の認証方法を SecureShell クライアントでサポートできるようにすることを目的として設計された認証方法です。キーボードインタラクティブ認証の詳細については、キーボードインタラクティブを使用したユーザ認証項を参照してください。

  • [GSSAPI]: GSSAPI (Generic Security Service Application Programming Interface) は、1 つのインターフェイスを介して複数の異なるセキュリティ メカニズムを使用できるようにする共通のセキュリティ サービス インターフェイスです。GSSAPI の詳細については、GSSAPI を使用したユーザ認証項を参照してください。

暗号の定義

[暗号] タブでは、使用する暗号化アルゴリズムを定義できます。

暗号リストの定義

図 4.3. 暗号リストの定義

[工場出荷値を使用] チェック ボックスを選択して工場出荷時のデフォルトのアルゴリズムを使用するか、または矢印ボタンを使用して暗号リストを定義します。暗号はリストに指定された順序で試行されます。

工場出荷時に次の暗号が次の順序で設定されています。

  • CryptiCore

  • AES-128-CBC

  • AES-192-CBC

  • AES-256-CBC

  • AES-128-CTR

  • AES-192-CTR

  • AES-256-CTR

  • 3DES

  • SEED

FIPS モードで機能する暗号は 3DES であり、CBC モードでは AES-128、AES-192、および AES-256 です (カウンタ モードの AES 暗号は FIPS モードでは使用できません)。

MAC の定義

[MAC] タブでは、使用するメッセージ整合性アルゴリズムを設定できます。

MAC リストの定義

図 4.4. MAC リストの定義

[工場出荷値を使用] チェック ボックスを選択して工場出荷時のデフォルトのアルゴリズムを使用するか、または矢印ボタンを使用して MAC リストを定義します。MAC はリストに指定された順序で試行されます。

工場出荷時に次の MAC が次の順序で設定されています。

  • CryptiCore

  • HMAC-MD5

  • HMAC-SHA1

HMAC-SHA1 アルゴリズムは、FIPS モードで動作できます。

サーバ接続の定義

[サーバ] タブでは、詳細なサーバ接続設定を定義できます。

サーバ接続設定の定義

図 4.5. サーバ接続設定の定義

[工場出荷値を使用]

サーバ接続設定のデフォルト値を使用するには、このチェック ボックスを選択します。

[トランスポート数]

SecureShell 接続によって使用されるトランスポート チャネルの数を定義します。複数のトランスポートを使用すると、低帯域幅の接続でスループットが向上する場合があります。現在は、1 ~ 8 のトランスポート数がサポートされています。デフォルトのトランスポート チャネル数は 2 です。

[アイドルタイムアウト]

すべての接続チャネルが閉じられた後、その接続が自動的に閉じられるまでのアイドル時間の長さを指定します。デフォルト設定は 5 秒です。この時間を長く設定することにより、SSH Tectia ターミナル GUI などでセッションが閉じられた後もサーバへの接続を開いたままにしておくことができます。この時間中は、サーバへの新しいセッションを再認証することなく開始できます。この時間を 0 に設定すると、サーバへの最後のチャネルが閉じられた時点でただちに接続が終了します。

[TCP 接続タイムアウト]

SecureShell サーバへの TCP 接続を試みる時間の長さを指定します。タイムアウト (秒単位) を定義すると、リモート サーバがダウンした場合、またはリモート サーバに到達できない場合に、指定したタイムアウト時間の経過後に TCP 接続が解放されます。値を 0 に設定すると、この SSH Tectia 設定は無効になり、システムのデフォルトの TCP タイムアウト設定が使用されます。デフォルトでは、システムのタイムアウト設定が使用されます。

[キープアライブ間隔]

キープアライブ メッセージを SecureShell サーバに送信する間隔を秒単位で指定します。デフォルト設定は 0 秒で、この場合、キープアライブ メッセージは送信されません。

[排他的接続]

現在開いている接続を再利用せず、常に新しい接続を開く場合は、このチェック ボックスを選択します。

[サーバのバナーを表示]

ログイン前にサーバのバナー メッセージ ファイル (存在する場合) をユーザに表示する場合は、このチェック ボックスを選択します。

[認証成功メッセージを表示する]

AuthenticationSuccessMsg メッセージの出力とログへの記録を無効にする場合は、このチェック ボックスを選択解除します。デフォルトではメッセージは有効です。

[SFTP 互換モード]

SFTP によるファイル転送に適したモードを選択します。この設定は、get/mget/sget および put/mput/sput コマンドの動作と、sftpg3 クライアントによって使用される再帰レベルに影響を及ぼします。以下のオプションが利用可能です。

  • tectia (デフォルト) - sftpg3 は、現在のディレクトリとそのすべてのサブディレクトリからファイルを再帰的に転送します。

  • ftp - get/put コマンドが sget/sput として実行されます。この場合、これらのコマンドは単一のファイルを転送し、サブディレクトリはコピーされません。

  • openssh - 指定したディレクトリから通常ファイルとシンボリック リンクのみがコピーされ、サブディレクトリはコピーされません。それ以外に「get」コマンドの動作に変更はありません。

ここで設定したモードは、環境変数 SSH_SFTP_CMD_GETPUT_MODE で上書きできます。

また、再帰の深さは sftpg3 クライアントのコマンド get/put/mget/mput を使用し、コマンドライン オプション --max-depth="LEVEL" を指定することによっても上書きできます。詳細については、sftpg3(1)を参照してください。

[漢字エンコーディング]

リモート ホスト上での日本語エンコーディングの設定を指定します。以下のエンコーディング方式を選択できます。

  • EUC-JP - EUC-JP エンコーディング方式を使用します。

  • JIS - JIS 7 ビット エンコーディング方式を使用します。

  • Shift-JIS - Shift-JIS エンコーディング方式を使用します。

SSH Secure Shell サーバが Windows で実行されている場合、Shift-JIS エンコーディング方式を使用する必要があります。一方多くの UNIX サーバは、デフォルトで EUC-JP エンコーディング方式をサポートします。

[漢字イン]、[漢字アウト]

ドロップダウン メニューからエスケープ シーケンス文字を選択します。エスケープ シーケンスは、全角の漢字文字が、7 ビット JIS エンコーディング方式を使用する場合にテキスト中で使用されます。

[漢字イン] で利用できる値は、ˆ [$@ または ˆ [$B です。

[漢字アウト] で利用できる値は、ˆ [(B または ˆ [(J です。

[半角カタカナに SI/SO を使用]

リモート ホストが、JIS エンコーディングの半角カタカナをサポートしている場合に、このチェックボックスをオンにします。

デフォルトのトンネリング設定の定義

[トンネル] タブでは、X11 接続とエージェント転送 (トンネリング) のデフォルト設定を定義できます。デフォルト設定は新しい接続プロファイルと、独自のトンネリング設定が定義されていない接続プロファイルに適用されます。

デフォルトのトンネリング設定の定義

図 4.6. デフォルトのトンネリング設定の定義

X11 およびエージェント転送に工場出荷時のデフォルト設定を適用するには、[工場出荷値を使用] チェック ボックスを選択します。工場出荷時のデフォルト設定に従い、両方の転送方法は無効 (オフ) になります。

クライアント側で X11 転送を許可するには、[X11 トンネリング] チェック ボックスを選択します。

クライアント側でエージェント転送を許可するには、[エージェント転送を許可] チェック ボックスを選択します。

プロキシ ルールの定義

[プロキシルール] ページでは、接続で使用するプロキシ ルールを定義できます。

プロキシ ルールの定義

図 4.7. プロキシ ルールの定義

新しいプロキシ ルールを追加するには、以下の手順を実行してください。

  1. [追加] をクリックします。[プロキシルール] ダイアログ ボックスが開きます。

  2. ルールの [種類] を選択します。種類は [直接] (プロキシなし)、[Socks4][Socks5]、または [Http] です。

    プロキシ設定の定義

    図 4.8. プロキシ設定の定義

    直接接続以外の種類では、[サーバ] にサーバ アドレス、[ポート番号] にポート番号を入力します。

    プロキシ ルールをすべての接続に適用する場合は [すべて] を、指定したネットワークのみに適用する場合は [ネットワーク指定] を選択します。[ネットワーク指定] フィールドに、1 つまたは複数の条件をカンマ (,) で区切って入力できます。条件では、IP アドレスまたは DNS 名を指定できます。

    IP アドレス/ポートの条件には、アドレス パターンか、またはオプションで、ポートの範囲 (ip_pattern[:port_range]) を指定できます。

    ip_pattern は、以下のいずれかの形式になります。

    • 単一のIP アドレス x.x.x.x

    • x.x.x.x-y.y.y.y の形式の IP アドレス範囲

    • x.x.x.x/y の形式の IP サブネットワーク マスク

    DNS 名の条件は、「*」および「?」文字を含む正規表現で指定可能なホスト名とポート範囲で構成され、name_pattern[:port_range] の形式になります。

    [OK] をクリックします。

プロキシ ルールを編集するには、リストからルールを選択して [編集] をクリックします。

プロキシ ルールを削除するには、リストからルールを選択して [削除] をクリックします。

ルールは上から下に向かって読み取られます。ルールの順序を変更するには、矢印ボタンを使用します。

これらの全般的なプロキシ ルールを接続プロファイルで使用するには、プロファイル設定でそのための設定を行う必要があります。プロキシ設定の定義項を参照してください。

ロギング設定の定義

[ログ] ページでは、イベント ログに記録される情報をカスタマイズできます。

ロギング設定

図 4.9. ロギング設定

各イベントには [動作][種類] が関連付けられています。ロギングの設定が明確に変更されていない限り、適切なデフォルト値が使用されます。

動作には [記録] または [破棄] のいずれかを設定できます。

イベントの種類は以下のいずれかになります。

  • [情報]

  • [警告]

  • [エラー]

  • [セキュリティ成功]

  • [セキュリティ失敗]

イベントがログ (記録) されるかどうかを変更するには、イベントをリストから選択して [記録/破棄] をクリックします。Shift または Ctrl キーを押しながらクリックして複数のイベントを選択できます。

イベントの動作と種類をカスタマイズするには、リストからイベントを選択して [編集] をクリックします。Shift または Ctrl キーを押しながらクリックして複数のイベントを選択できます。[監査編集] ダイアログ ボックスが開きます。イベントの [動作] ([記録] または [破棄]) と [種類] ([情報]、[警告]、[エラー]、[セキュリティ成功][セキュリティ失敗]) を選択し、[OK] をクリックします。