環境変数が定義されている場合は、その値と置き換えられます。変数は、大文字と小文字が区別されることなく照合されます。変数が定義されていない場合は、文字列 '%VARIABLENAME%' がそのまま結果の値になります。

環境変数が定義されている場合は、その値と置き換えられます。変数は、UNIX では大文字と小文字が区別されて、Windows では大文字と小文字が区別されることなく照合されます。変数が定義されていない場合は、空の文字列と置き換えられます。

$VARIABLENAME' に対して定義された値に 'text' が付加された値と置き換えられます。

$VARIABLENAME' に対して定義された値と置き換えられるか、または変数が設定されていない場合は 'default_value' と置き換えられます。

現在ログインしているユーザ名と置き換えられます。

現在ログインしているユーザ名の短い形式、つまり、ドメイン部分がないユーザ名と置き換えられます。Windows で使用できます。

現在ログインしているユーザのグループ名と置き換えられます。

現在ログインしているユーザに対して定義されたホーム ディレクトリと置き換えられます。

現在ログインしているユーザに対して定義されたユーザ識別子と置き換えられます。

現在ログインしているユーザに対して定義されたグループ識別子と置き換えられます。

このエレメントでは、使用される暗号化ライブラリ モードを選択します。標準バージョン (standard) か、または FIPS 140-2 認定バージョン (fips) の暗号化ライブラリが使用できます。ライブラリの名前は、mode 属性の値として指定します。デフォルトでは、標準暗号化ライブラリが使用されます。

FIPS モードは、グローバル設定ファイルとユーザ設定ファイルのいずれか (または両方) で使用が指定されている場合に使用されます。

<crypto-lib mode="standard" /> 

FIPS モードでは、暗号化動作は FIPS 140-2 規格の規則に従って実行されます。FIPS ライブラリには、3des-cbc、aes128-cbc、aes192-cbc、ならびに aes256-cbc 暗号、および hmac-sha1 MAC が含まれています。

	注意
	FIPS モードを設定しても、暗号化プラグインが他のアルゴリズムを使用できなくなるわけではありません。たとえば CryptiCore は、メインの暗号化ライブラリが FIPS モードに設定されていても使用できます。FIPS 準拠のアルゴリズムだけが使用されるようにするには、非 FIPS アルゴリズムを設定で無効化します。cipherおよびmacを参照してください。

FIPS ライブラリが検証またはテストされたプラットフォームのリストについては、『SSH Tectia Client/Server Product Description』 を参照してください。

このエレメントでは、リモート サーバの認証証明書の検証に使用される公開鍵基盤 (PKI) の設定を定義します。このエレメントには、end-point-identity-check、default-domain、http-proxy-url、および socks-server-url 属性を記述できます。

end-point-identity-check 属性では、クライアントがサーバのホスト名または IP アドレスを、サーバのホスト証明書で指定されたサブジェクト名またはサブジェクトの代替名 (DNS アドレス) と照合するかどうかを指定します。デフォルト値は yes です。no に設定されている場合、サーバ ホスト証明書内のフィールドは検証されず、証明書は有効期間と CRL チェックのみに基づいて受け入れられます。

	警告
	end-point-identity-check="no" と設定することはセキュリティ上危険です。無効にすると、サーバ ホスト証明書の発行元と同一の信頼された認証局 (CA) によって発行された証明書を持っている者が、サーバに対して中間者攻撃を実行できることになります。

default-domain 属性は、エンドポイント同一性チェックを有効にする場合に使用できます。この属性は、リモート システム名のデフォルト ドメインの部分を指定し、システム名の基本部分のみが使用可能な場合に使用されます。default-domain は、システム名にドット (.) が含まれていない場合にシステム名に追加されます。

デフォルト ドメインを指定しないと、たとえば、証明書に完全な DNS アドレス「rock.example.com」が指定されているときに、ユーザが短いホスト名で「rock」と指定してホストに接続しようとした場合に、エンドポイント同一性チェックに失敗します。

http-proxy-url 属性は HTTP プロキシを定義し、socks-server-url 属性は SOCKS サーバを定義します。これによって、証明書を検証するための LDAP または OCSP クエリを作成します。

サーバのアドレスは、属性の値として指定します。アドレスの形式は、SOCKS サーバの場合は socks://username@socks_server:port/network/netmask,network/netmask ...、HTTP プロキシの場合は http://username@proxy_server:port/network/netmask,network/netmask ... となります。

たとえば、SOCKS サーバでネットワーク 192.196.0.0 (16 ビット ドメイン) および 10.100.23.0 (8 ビット ドメイン) の外部の接続のためにホスト socks.ssh.com とポート 1080 を使用し、これらのネットワークが直接接続されるようにするには、socks-server-url を以下のように設定します。

"socks://mylogin@socks.ssh.com:1080/192.196.0.0/16,10.100.23.0/24"

cert-validation エレメントには、複数の ldap-server、ocsp-responder、crl-prefetch エレメント、単一の dod-pki エレメント、および複数の ca-certificate、key-store エレメントを記述できます。これらのエレメントは、ここに示した順序で記述する必要があります。

証明書の検証の設定例を以下に示します。

<cert-validation end-point-identity-check="yes" 
                 default-domain="example.com"
                 http-proxy-url="http://proxy.example.com:8080">
  <ldap-server address="ldap://ldap.example.com:389" />
  <ocsp-responder url="http://ocsp.example.com:8090" validity-period="0" /> 
  <crl-prefetch url="file:///full.path.to.crlfile" interval="1800" />
  <dod-pki enable="no" />
  <ca-certificate name="ssh_ca1"
                  file="ssh_ca1.crt"
                  disable-crls="no"
                  use-expired-crls="100" />
</cert-validation>         

このエレメントでは、ユーザ公開鍵と証明書による認証の設定を定義します。

<general> エレメントの下に、1 つの <key-stores> インスタンスを記述できます。このエレメントにはさらに、任意の数の <key-store>、<user-keys>、および <identification> エレメントを記述でき、これらのエレメントの順序は自由です。

エレメントの値を定義する場合は、特殊な変数と環境変数を使用できます。以下の変数が使用でき、以下のように展開されます。

また、環境変数も、それぞれの現在の値と置き換えられます。たとえば、文字列 $HOME または %HOME% を使用して、ユーザのホーム ディレクトリに展開することができます (環境変数 HOME が設定されている場合)。

	注意
	短いエイリアス名 (たとえば、%U) は大文字と小文字が区別され、長いエイリアス名 (たとえば、%USERNAME%) は大文字と小文字が区別されません。

このエレメントでは、厳密なホスト鍵チェックを有効にします。厳密なホスト鍵チェックが有効になっている場合、Connection Broker は、接続時にホスト鍵をユーザの .ssh2/hostkeys ディレクトリに追加することはせず、さらに鍵が変更されたホストへの接続を拒否します。これにより、中間者攻撃に対する最大の保護が実現されます。ただし、新しいホストに頻繁に接続する場合は、多少面倒になることがあります。

strict-host-key-checking エレメントには、yes または no の値を持つ属性 enable を指定します。デフォルトは no で、この場合、ユーザは新しいホスト鍵や変更されたホスト鍵を受け入れるかどうかをたずねられます。

厳密なホスト鍵チェックは、グローバル設定ファイルとユーザ設定ファイルのいずれか (または両方) で使用が指定されている場合に使用されます。グローバル設定とユーザ固有の設定で異なる値が定義されている場合は、よりセキュアな方の値が使用されます。

<strict-host-key-checking enable="yes" /> 

strict-host-key-check が無効になっている場合 (デフォルトの状態)、SSH Tectia Client は、変更されたホスト公開鍵と新しいホスト公開鍵に関する情報を、そのフィンガープリントとともに syslog (UNIX の場合) またはイベント ビューア (Windows の場合) に記録します。

このエレメントでは、既知の鍵であっても、Connection Broker がユーザに、提示されたホスト鍵の受け入れを確認するかどうかを定義します。

enable 属性の値として、値 yes または no を指定します。デフォルトは no です (既知のホスト鍵は確認を求めることなく受け入れられます)。

ホスト鍵の確認を求めるようにグローバル設定ファイルとユーザ設定ファイルのいずれかまたは両方で指定されている場合は、ホスト鍵の確認が常に求められます。

<host-key-always-ask enable="yes" /> 

このエレメントでは、Connection Broker が提示された新しいホスト鍵を自動的に受け入れるかどうかを定義します。このエレメントには、yes または no の値を持つ属性 enable を指定します。デフォルトは no です (不明なホスト鍵が自動的に受け入れられることはありません)。

透過的 FTP トンネリングまたは FTP-SFTP 変換が使用されている場合、ホスト鍵の受け入れをユーザに確認することはできません。この設定を yes に設定するか (推奨されません)、または SecureShell トンネリングおよび SFTP サーバのホスト鍵を事前に取得し、サーバの IP アドレスに基づいて保存する必要があります。

accept-unknown-host-keys が有効になっている場合、新しいホストからの鍵は自動的に受け入れられ、ユーザの確認を求めることなくホスト鍵のデータベースに保存されます。ただし、すでにデータベース内に鍵が存在するホストからの変更されたホスト鍵は保存されず、この接続のために受け入れられます。これは、ホスト鍵の受け入れを確認するすべてのプロンプトに、自動的に [Once] (接続を続行するが、新しいホスト鍵を保存しない) と答えるのと同じ効果があります。

変更されたホスト鍵が提供された場合は警告メッセージが表示され、新しいホスト鍵と変更されたホスト鍵の両方に関する情報がログに記録されます。

このエレメントがグローバル設定ファイルとユーザ設定ファイルのいずれかで no に設定されている場合は、変更されたホスト鍵または新しいホスト鍵について通常通り確認を求めます。このエレメントの yes の設定は、strict-host-key-checking と host-key-always-ask の両方が no に設定されている (または明示的に定義されていない) 場合にのみ有効になります。

<accept-unknown-host-keys enable="no" /> 

	警告
	このオプションを有効にする前に、慎重に検討してください。ホスト鍵チェックを無効にすると、中間者攻撃に対して脆弱になります。

このエレメントを使用して、既知のサーバ ホストのホスト鍵の保存場所、およびその保存形式を指定できます。known-hosts ディレクトリが指定されていない場合は、デフォルトのディレクトリが既知のホスト鍵の保存に使用されます。デフォルトの場所については、ファイル項を参照してください。z/OS の場合のみ、このエレメントに key-store エレメントを記述できます。

このエレメントを使用して、以下のことを行うことができます。

path 属性の値として、known-hosts ファイルまたはディレクトリへのフル パスを入力します。

<known-hosts path="/u/username/.ssh/known_hosts" />
<known-hosts path="/etc/ssh2/hostkeys" />
<known-hosts path="/u/username/.ssh2/hostkeys" />
<known-hosts path="/h/username/hostkeys" filename-format="plain" />

サーバのホスト鍵は、'known-hosts' パス内で、この設定で指定されている順序で検索されます。known-hosts ファイルの設定を定義すると、デフォルトの OpenSSH ファイルは上書きされます。そのため、Connection Broker でデフォルトの OpenSSH の場所と、設定で指定した別の場所の両方を使用するようにする場合は、すべての場所を個別に指定する必要があります。

新しいホスト鍵は常に、最後に指定されたディレクトリに保存されます。ディレクトリが指定されていない場合、新しいホスト鍵はデフォルトの場所に保存されます。

filename-format 属性では、新しいホスト鍵ファイルが保存される形式を定義します。hash (デフォルト) と plain を指定できます。値 hash を指定した場合、ファイル名の形式は keys_<hash> ("keys_182166d2efe5a134d3fb948646e0b48f780bff6c" など) になります。値 plain を指定した場合、ファイル名の形式は key_<port>_<hostname>.pub になります。ここで、<port> は SecureShell サーバが実行されているポートであり、<host> は、そのサーバに接続するときに使用するホスト名 ("key_22_my.example.com.pub" など) です。

ホスト鍵の保存形式については、ホスト鍵の保存形式項を参照してください。

このエレメントは、将来の使用のために予約されています。

このエレメントでは、クライアントがサーバに提示する暗号を定義します。ciphers エレメントには、複数の cipher エレメントを記述できます。

暗号はリストに指定された順序で試行されます。

SSH Tectia Server for Linux on IBM System z では、3DES および AES アルゴリズムによる暗号化動作で、クライアント ツールはハードウェア アクセラレータ (CPACF) を自動的に使用します (CPACF が使用可能な場合)。

<ciphers>
  <cipher name="aes128-cbc" />
  <cipher name="3des-cbc" />
</ciphers>

このエレメントでは、クライアントがサーバに提示する MAC を定義します。macs エレメントには、複数の mac エレメントを記述できます。

SSH Tectia Server for Linux on IBM System z では、HMAC-SHA1 アルゴリズムによる暗号化動作で、クライアント ツールはハードウェア アクセラレータ (CPACF) を自動的に使用します (CPACF が使用可能な場合)。

MAC はリストに指定された順序で試行されます。

<macs>   <mac name="hmac-sha1" /> </macs> 

この設定では、SecureShell 接続によって使用されるトランスポート チャネルの数を定義します。複数のトランスポートを使用すると、低帯域幅の接続でスループットが向上する場合があります。

トランスポートの数は、num-transports 属性の値として指定します。現在は、1 ～ 8 のトランスポート数がサポートされています。UNIX では、デフォルトは 1 つのトランスポートです。Windows では、デフォルトは 2 つのトランスポートです。

<transport-distribution num-transports="1" /> 

このエレメントでは、鍵の交換が再度実行されるまでに転送されるデータ量を bytes 属性の値として指定します。値が "0" の場合、鍵の変更要求は無効になります。ただし、サーバからの鍵の変更要求は無効になりません。デフォルトは 1000000000 (1 GB) です。

<rekey bytes="1000000000" />

このエレメントでは、SSH Tectia クライアント コンポーネントによって要求される認証方法を指定します。authentication-methods エレメントには、auth-hostbased、auth-password、auth-publickey、auth-gssapi、auth-keyboard-interactive のそれぞれ一つを記述できます。または、複数の authentication-method エレメントを指定できます。これらのエレメントの順序は自由です。

これらの認証方法は、auth-* または authentication-method エレメントが記述されている順序で試行されます。つまり、最も非対話的な方法を最初に記述する必要があります。

<authentication-methods>
  <auth-hostbased>
          <local-hostname name="host.example.com" />
  </auth-hostbased>
  <auth-gssapi />
  <auth-publickey>
    <key-selection policy="interactive-shy">
      <public-key type="plain" />
    </key-selection>
  </auth-publickey>
  <auth-keyboard-interactive />
  <auth-password />
</authentication-methods>

このエレメントでは、ホストのデフォルト ドメイン名を name として指定します。このエレメントは、ホストベースのユーザ認証を使用するときに、クライアント ホストの完全修飾ドメイン名 (FQDN) がサーバに確実に転送されるようにするために使用されます。

デフォルト ドメイン名は、短いホスト名がサーバに送信される前にその短いホスト名に追加されます。これが必要なのは、一部のプラットフォーム (Solaris など) ではホスト名の短い形式が使用され、それによって署名を作成できないためです。

デフォルト ドメイン名の許可されている形式は、.example.com と example.com (先頭のドットはなし) です。たとえば以下のようになります。

<hostbased-default-domain name=".example.com" /> 

このエレメントでは、すべてのトラフィックに対して圧縮を使用するかどうかを指定します。有効になっている場合は、転送されるすべてのデータにその場で圧縮が適用されます。これは、転送中のファイルの圧縮とは異なることに注意してください。

圧縮アルゴリズムの名前と圧縮レベルを属性として指定できます。name 属性は、none (圧縮を使用しない) または、現在サポートされている唯一のアルゴリズムである zlib として定義できます。デフォルトでは、圧縮は使用されません。

level 属性は、0 ～ 9 の整数で指定できます。圧縮が有効でレベルが指定されなかった場合のデフォルトの圧縮レベルは 6 です。

例: 最大レベルで圧縮を有効にするには、以下の設定を行います。

<compression name="zlib" level="9"/> 

圧縮は、コマンドライン ツールを使用して接続ごとに有効にすることもできます。詳細については、sshg3(1)、sftpg3(1)、およびscpg3(1)の man ページを参照してください。

このエレメントでは、クライアントが接続に使用する HTTP プロキシまたは SOCKS サーバのルールを定義します。このエレメントでは、1 つの属性 ruleset を指定します。

属性値の形式は、セミコロン (;) で区切られた一連のルールです。各ルールの形式は、URL の形式と似ています。ルールでは、接続の種類が最初に記載されます。種類は direct、socks、socks4、socks5、http-connect のいずれかです。ここで socks は、socks4 と同義です。これに続いて、サーバのアドレスおよびポート番号が記載されます。ポート番号が設定されていない場合、デフォルトでは SOCKS の場合は 1080、HTTP の場合は 80 のポートがそれぞれ使用されます。

アドレスの後に、ゼロまたはそれ以上の条件が、カンマ (,) で区切られて設定されます。条件では、IP アドレスまたは DNS 名を指定できます。

direct:///[cond[,cond]...]
socks://server/[cond[,cond]...]
socks4://server/[cond[,cond]...]
socks5://server/[cond[,cond]...]
http-connect://server/[cond[,cond]...]

IP アドレス/ポートの条件にはアドレス パターンのほかに、以下のようにオプションでポートの範囲を記載することもできます。

ip_pattern[:port_range]

ip_pattern は、以下のいずれかの形式になります。

DNS 名の条件は、正規表現の "*" と "?" を含むホスト名とポート範囲で構成されます。

name_pattern[:port_range]

proxy エレメントの例を以下に示します。これによってサーバはコールバック アドレスおよび ssh.com ドメインに直接アクセスします。*.example には HTTP CONNECT でアクセスし、その他すべての宛先には、SOCKS4 でアクセスします。

<proxy ruleset="direct:///127.0.0.0/8,*.ssh.com;
                http-connect://http-proxy.ssh.com:8080/*.example;
                socks://fw.ssh.com:1080/" />

このエレメントでは、すべての接続チャネルが閉じられた後、その接続が自動的に閉じられるまでのアイドル時間の長さを指定します。time は秒単位で指定します。type は常に接続です。

デフォルト設定は 5 秒です。この時間を長く設定することにより、セッション (sshg3 など) が閉じられた後もサーバへの接続を開いたままにすることができます。この時間中は、サーバへの新しいセッションを再認証することなく開始できます。この時間を 0 に設定すると、サーバへの最後のチャネルが閉じられた時点でただちに接続が終了します。

<idle-timeout time="5" />

このエレメントでは、TCP 接続のタイムアウトを指定します。この設定が指定されていると、リモート ホストがダウンまたは利用不可の場合、定義された時間が経過した後 SecureShell サーバへの接続試行が停止します。このタイムアウトによって、デフォルトのシステム TCP タイムアウトが上書きされます。また、profiles 設定で接続プロファイルごとに、またはコマンドラインで接続ごとに tcp-connect-timeout 設定を定義することによって、このタイムアウトの設定を上書きできます。

time は秒単位で指定します。工場出荷時のデフォルト設定は 5 秒です。値 0 を指定するとこの機能が無効になり、デフォルトのシステム TCP タイムアウトが使用されます。

<tcp-connect-timeout time="5" />

このエレメントでは、SecureShell サーバにキープアライブ メッセージを送信する間隔を指定します。time 値は秒単位で指定します。デフォルト設定は 0 で、この場合、キープアライブ メッセージは無効になります。

<keepalive-interval time="0" />

exclusive-connection エレメントを使用して、新しいチャネルごとに新しい接続を開くことを指定できます。

enable 属性の値として、値 yes または no を指定します。デフォルトは no で、この場合、開かれている接続がクライアントによって要求された新しいチャネルに再利用されます。

このエレメントでは、サーバ バナー メッセージ ファイル (存在する場合) をログイン前のユーザに表示するかどうかを定義します。visible 属性の値として、値 yes または no を指定します。デフォルト値は yes です。

サーバ バナーを削除するには、以下のようにします。

<server-banners visible="no" />

このエレメントには、クライアント側で X11 またはエージェント転送 (トンネリング) が許可されるかどうかを定義する forward エレメントを記述します。

システム全体で X11 転送を拒否し、エージェント転送を許可する forward 設定の例を以下に示します。

<forwards>
  <forward type="x11" state="denied" />
  <forward type="agent" state="on" />
</forwards>

X11 およびエージェント転送の使用の詳細については、X11 転送項およびエージェント転送項を参照してください。

このエレメントは、将来の使用のために予約されています。

このエレメントを使用して、サーバの認証で Connection Broker が特定の方法のみを使用するよう強制できます。このエレメントには、最大 2 つの authentication-method エレメントを記述できます。

この設定では、AuthenticationSuccessMsg メッセージを出力するかどうかを定義します。authentication-success-message エレメントには、yes または no の値を持つ属性 enable を指定します。デフォルトは yes で、この場合、メッセージは出力され、ログにも記録されます。

この設定では、ファイルを転送するときの sftpg3 クライアントの動作を定義します。sftpg3-mode エレメントには、以下の値を持つ compatibility-mode 属性を指定します。

ここで設定したモードは、環境変数 SSH_SFTP_CMD_GETPUT_MODE で上書きできます。

また、再帰の深さは sftpg3 クライアントのコマンド get/put/mget/mput を使用し、コマンドライン オプション --max-depth="LEVEL" を指定することによっても上書きできます。詳細については、sftpg3(1)を参照してください。

このエレメントには、クライアント側からサーバに渡される環境変数を定義する environment エレメントを記述します。環境変数はその後、コマンド、シェル、またはサブシステムを要求するときにサーバ上で設定されます。

サーバで環境変数の設定を制限できることに注意してください。

コマンドライン クライアントで、sshg3 コマンドに引数 --remote-environment または --remote-environment-format を使用すると、設定ファイルで行われたリモート環境の設定を上書きできます。

コマンドライン オプションについては、sshg3(1)を参照してください。

profile エレメントでは、接続プロファイルを定義します。このエレメントには、id、name、host、port、protocol、connect-on-startup、user、および gateway-profile 属性を指定できます。

プロファイルの id は、そのプロファイルが存在する間は変更されない一意識別子である必要があります。

プロファイルの名前を name 属性で指定できます。これは自由形式のテキスト文字列です。コマンドラインでこの名前を使用して、プロファイルを使って接続できます。そのため、プロファイルごとに一意の名前を定義します。

host 属性は、SecureShell サーバ ホストのアドレスを定義するものであり、必須の設定です。このアドレスは、IP アドレスでもドメイン名でもかまいません。値 host="*" を使用すると、セッションを開始するときに、ユーザにホスト アドレスを入力するよう求めることができます。

プロファイルが透過的 TCP または透過的 FTP トンネリングあるいは FTP-SFTP 変換で使用され、ホスト名がアプリケーションから取得される (filter-engine/rule[@hostname-from-app="yes"]) 場合は、空の値 host="" を使用できます。詳細については、ruleを参照してください。

port は必須の設定です。この属性では、SecureShell サーバ リスナーのポート番号を定義します。デフォルトのポートは 22 です。

protocol は必須の設定です。この属性では、使用する通信プロトコルを定義します。現在許可されている値は secsh2 だけです。

Connection Broker が起動するときに、プロファイルに定義された接続が自動的に開始されるようにする場合は、connect-on-startup 属性の値を yes に設定します。この場合は、user 属性 (接続のために使用されるユーザ名) も指定します。また、接続のための何らかの形式の非対話的な認証も設定する必要があります。

user 属性では、接続を開くために使用するユーザ名を指定します。値 "%USERNAME%" を使用すると、ユーザ名を現在のユーザに設定できます。値 user="*" を使用すると、ログインするときに、ユーザにユーザ名を入力するよう求めることができます。

gateway-profile 属性を使用して、ネストされたトンネルを作成できます。プロファイルの local-tunnel エレメントで定義されたトンネルと、プロファイルを参照する filter-engine および static-tunnels で定義されたトンネルをネストできます。属性の値として、接続を確立するために使用するプロファイル名を指定します。最初のトンネルはゲートウェイ ホストのプロファイルを使用して作成され、そこから、このプロファイルで定義されたホストまでの 2 番目のトンネルが作成されます。

接続プロファイルの例を以下に示します。

<profile name="rock"
         id="id1"
         host="rock.example.com"
         port="22"
         connect-on-startup="no"
         user="doct">

  <hostkey file="key_22_rock.pub">
  </hostkey>

  <authentication-methods>
    <authentication-method name="publickey" />
    <authentication-method name="password" />
  </authentication-methods>

  <server-banners visible="yes" />

  <forwards>
    <forward type="agent" state="on" />
    <forward type="x11" state="on" />
  </forwards>

  <tunnels>
    <local-tunnel type="tcp"
                  listen-port="143"
                  dst-host="imap.example.com"
                  dst-port="143"
                  allow-relay="no" />
  </tunnels>

  <remote-environment>
    <environment name="FOO" value="bar" />
    <environment name="QUX" value="%Ubaz" format="yes" />
    <environment name="ZAPPA" value="%Ubaz" />
  </remote-environment>

</profile>

tunnel エレメントでは、静的トンネルを指定します。このエレメントには、type、listen-port、listen-address、dst-host、dst-port、allow-relay、および profile 属性を指定できます。

type 属性では、トンネルの種類を定義します。tcp と ftp のいずれかを指定できます。

listen-port 属性では、ローカル クライアント上のリスナー ポート番号を定義します。

listen-address 属性を使用して、リッスンする必要のあるクライアント上のネットワーク インターフェイスを定義できます。値には、ローカル ホスト上のインターフェイスに属する IP アドレスを指定できます。値 0.0.0.0 を指定すると、すべてのインターフェイスがリッスンされます。デフォルトは 127.0.0.1 (クライアント上の localhost ループバック アドレス) です。他の値を設定するには、allow-relay="yes" を設定する必要があります。

dst-host および dst-port 属性では、接続先ホストのアドレスとポートを定義します。dst-host の値は、IP アドレスでもドメイン名でもかまいません。デフォルトは 127.0.0.1 (localhost = サーバ ホスト) です。

allow-relay 属性では、クライアント ホストの外部からリッスンされるポートへの接続が許可されるかどうかを定義します。デフォルトは no です。

profile 属性では、トンネルに使用される接続プロファイル ID を指定します。

network エレメントでは、SSH Tectia Client/ConnectSecure が実行されている「場所」を指定します。network エレメントを使用すると、SSH Tectia Client/ConnectSecure の場所を認識する機能を実現できます。このエレメントには、id、address、domain、ip-generate-start の 4 つの属性があります。

id 属性では、network エレメントの一意識別子を指定します。address 属性では、ネットワークのアドレスを指定します。値が存在しないか、または空の場合は使用されません。domain 属性では、コンピュータのドメイン名を指定します。値が存在しないか、または空の場合は使用されません。ip-generate-start 属性では、疑似 IP 領域の開始アドレスを定義します。この属性がここに定義されている場合、これによって filter-engine エレメントの ip-generate-start 属性が上書きされます。

	注意
	dns エレメントは、下位互換性のために存在します。現在は、rule エレメントが同じ設定に使用されます。

dns エレメントでは、フィルタ エンジンの DNS ルールを作成します。このエレメントには、id、network-id、application、host、ip-address、pseudo-ip の 6 つの属性があります。それらの説明については、下のruleを参照してください。

	注意
	filter エレメントは、下位互換性のために存在します。現在は、rule エレメントが同じ設定に使用されます。

filter エレメントでは、接続の動作を指定します。このエレメントには、dns-id、ports、action、profile-id、destination、destination-port、fallback-to-plain の各属性があります。

dns-id 属性は、dns エレメントへの参照です。

他の属性の説明については、下のruleを参照してください。

rule エレメントでは、フィルタ処理された接続の処理方法を指定します。このエレメントには、application、host、ip-address、pseudo-ip、ports、action、profile-id、destination、destination-port、username、hostname-from-app、username-from-app、fallback-to-plain の各属性があります。

application 属性を使用して、ルールが適用される 1 つまたは複数のアプリケーションを指定できます。この属性には、egrep 構文を使用した正規表現を指定できます。構文については、付録 D を参照してください。

host 属性では、対象のホスト名を指定します。この属性には、egrep 構文を使用した正規表現を指定できます。

ip-address 属性では、対象のホスト IP アドレスを指定します。この属性には、egrep 構文を使用した正規表現を指定できます。ホスト名と IP アドレスの両方が定義されている場合は、host 属性が優先され、ip-address 属性は無視されます。

ip-address が空のままで、host が一致する場合、pseudo-ip 設定には以下の効果があります。

ports 属性には、単一のポートまたは範囲を指定できます。範囲を指定するには、2 つの整数の間にハイフンを付けます ("21-25" など)。

	注意
	FTP-SFTP 変換で、フォールバック モードが設定されている場合は、常にポートを明確に指定してください。平文の FTP サーバに接続されているときにパッシブ モードのファイル転送で問題が発生する可能性があるため、アスタリスク (*) は使用しないでください。

action 属性では、フィルタが一致したときに実行される動作を指定します。値には、DIRECT、BLOCK、TUNNEL、FTP-TUNNEL、または FTP-PROXY を指定できます。

profile-id 属性を使用して、接続設定を定義する接続プロファイルを指定できます。

profile-id 属性が空のままで、hostname-from-app="yes" が指定されている場合は、クライアント アプリケーションによって指定されたサーバへの SecureShell 接続がデフォルト設定を使用して確立されます。profile-id が指定され、さらに hostname-from-app="yes" も指定されている場合、または参照されるプロファイルの host 属性の値が * (アスタリスク) または空の場合は、クライアント アプリケーションによって指定されたサーバへの SecureShell 接続がプロファイル設定を使用して確立されます。

destination および destination-port 属性を使用して、アプリケーションによって指定された元のアドレスとポートの代わりに接続のエンド ポイントとして使用される静的な接続先アドレスとポート番号を定義できます。

username 属性を使用して、SecureShell サーバに接続するために使用されるユーザ名を定義できます。または、Connection Broker がユーザ名を取得するパスを定義できます。

hostname-from-app 属性では、Connection Broker がアプリケーションによって送信されたデータから SecureShell サーバのホスト名を抽出するか、または profile-id にある接続プロファイルで定義された SecureShell サーバを使用するかを定義します。値は yes または no で、デフォルトは no です。

hostname-from-app="no" の場合は、profile-id 属性で参照されている接続プロファイルで指定された SecureShell サーバまでのトンネルが作成されます。透過的トンネリングでは、SecureShell サーバから最終的な接続先アプリケーションまでの接続がセキュアではなく、平文であることに注意してください。エンドツーエンドのセキュリティを実現するには、SecureShell サーバがアプリケーションと同じホスト上に存在している必要があります。

hostname-from-app="yes" の場合は、アプリケーションによって指定された接続先サーバまでのトンネルが作成されます。この設定は、FTP および TCP トンネリングと FTP-SFTP 変換の両方で使用できます。hostname-from-app="yes" を使用する場合は、接続先ホストごとに個別の接続プロファイルを作成する必要はありません。それには、各接続先サーバに SecureShell サーバがインストールされている (または、SecureShell がインストールされていないサーバへの直接接続を許可するために fallback-to-plain が有効になっている) 必要があることに注意してください。

username-from-app 属性では、FTP トンネリングまたは FTP-SFTP 変換で、FTP アプリケーションによって送信されたデータからユーザ名を抽出するかどうかを定義します。値は yes または no です。デフォルトは no です。

username-from-app="yes" の場合は、FTP クライアント アプリケーションから受信されたユーザ名が使用されます。この設定は、FTP トンネリングと FTP-SFTP 変換で使用できます。この設定によって、関連する接続プロファイルで作成されたユーザ名の設定がすべて上書きされます。username-from-app="no" の場合は、profile-id 属性で定義されている接続プロファイルからユーザ名が取得されます。

fallback-to-plain 属性を使用して、トンネルの作成が失敗した場合や SecureShell サーバへの接続が失敗した場合に、セキュアではない直接接続を使用するかどうかを定義できます。デフォルト値は no です。通常、フィルタ ルールの適用中にセキュアな接続が失敗した場合、Connection Broker は「host not reachable」(ホスト到達不能) エラーを返します。UNIX 上の FTP-SFTP 変換で fallback-to-plain を指定するには、ssh-capture コマンドでオプション -F を使用する必要があります。

	注意
	fallback-to-plain オプションと pseudo-ip オプションを同時に有効にしないでください。この両方が有効になっているときにセキュアな接続が失敗した場合、アプリケーションは疑似 IP を使用して直接接続を試行しますが、これはうまく行きません。

このエレメントでは、さまざまなロギング イベントの重大性および用途を設定します。特に明確にロギング設定を変更しない限り、イベントでは適切なデフォルト値が使用されます。この設定によって、デフォルト値をカスタマイズできます。

イベントでは、facility および severity を属性として設定できます。イベント自体は、log-events エレメント内に記述する必要があります。

用途 (facility) は、normal、daemon、user、auth、local0、local1、local2、local3、local4、local5、local6、local7、または discard に設定できます。用途を discard に設定すると、サーバは指定されたログ イベントを無視します。

Windows では、用途として normal および discard だけが使用できます。

重大性 (severity) は、informational、notice、warning、error、critical、security-success、または security-failure に設定できます。

設定ファイルで明確に定義されていないイベントでは、すべてデフォルト値が使用されます。デフォルト値は、空の log-events エレメントで以降のイベントに関するすべての値、およびその重大性の値を設定することによって上書きできます。

ログ イベントの完全なリストについては、付録 E を参照してください。