Hi Albert,<div><br></div><div>Have you tried putting that command in the public key for the user in freeipa and setting the user shell to /sbin/nologin or the equivalent?<br><div class="gmail_extra"><br><br><div class="gmail_quote">
On 15 December 2012 02:09, Albert Adams <span dir="ltr"><<a href="mailto:biteoag@gmail.com" target="_blank">biteoag@gmail.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
In our environment we have several systems where users require access to the system to setup an SSH tunnel but should not have a shell on the system.  Prior to rolling out IPA we accomplished this with the authorized_keys file as follows:<br>

<br>command="/usr/bin/perl -e '$|=1; print \"Tunnel created, use your webbrowser to connect to the tool\n\";while(1) { print localtime(time) . \"\n\"; sleep 60}'",permitopen="localhost:8834",no-agent-forwarding,no-X11-forwarding<br>

<br>Is there a way to accomplish this in IPA?<br><br>Regards,<br>Albert<br>
<br>_______________________________________________<br>
Freeipa-users mailing list<br>
<a href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" target="_blank">https://www.redhat.com/mailman/listinfo/freeipa-users</a><br></blockquote></div><br></div></div>