<p><br>
>> Would it be possible to deny ssh access per host without pulling a host off<br>
>> FreeIPA management?<br>
><br>
> from-host part of the rule is not enforced by default due to the fact<br>
> that it is pretty easy to fake that one on connection.<br>
><br>
> You can try to create more specific rules allowing access to the<br>
> systems. With allow_all rule disabled these would help -- when there is<br>
> no rule for that user to access an SSH service on the host, it will not<br>
> be able to do so.<br>
><br>
> Are you using allow_all rule right now?<br>
><br>
Yes, the all_allow rule was in place. I didn't see the allow all from the browser though and wasn't aware of it either.</p>
<p>After I disabled it, I was able to achieve selective access.  Thank you very much.<br>
> <a href="http://www.freeipa.org/page/Howto/HBAC_and_allow_all">http://www.freeipa.org/page/Howto/HBAC_and_allow_all</a><br>
> -- <br>
> / Alexander Bokovoy<br>
William </p>