4. The Authentication Protocol Framework (認証プロトコルフレームワーク)

サーバーは、任意の時点で交換を継続するために使用できる認証方法をクライアントに通知することで、認証を駆動します。クライアントは、サーバーによってリストされた方法を任意の順序で試す自由があります。これにより、必要に応じてサーバーが認証プロセスを完全に制御できますが、サーバーが複数の方法を提供する場合、クライアントがサポートする方法やユーザーにとって最も便利な方法を使用するのに十分な柔軟性も提供されます。

認証方法は、[SSH-ARCH] で定義されているように、その名前によって識別されます。"none" 方法は予約されており、サポートされているものとしてリストしてはなりません。ただし、クライアントによって送信される可能性があります。サーバーは、クライアントが認証なしでアクセスを許可される場合を除き、このリクエストを常に拒否しなければなりません。その場合、サーバーはこのリクエストを受け入れなければなりません。このリクエストを送信する主な目的は、サーバーからサポートされている方法のリストを取得することです。

サーバーは認証のタイムアウトを設定し、タイムアウト期間内に認証が受け入れられない場合は切断する必要があります。推奨されるタイムアウト期間は10分です。さらに、実装は、クライアントが単一のセッションで実行できる失敗した認証試行の回数を制限する必要があります（推奨される制限は20回の試行です）。しきい値を超えた場合、サーバーは切断する必要があります。

認証タイムアウトと再試行に関する追加の考察は、[ssh-1.2.30] にあります。