<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Hi,<br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">We are planning to roll out FreeIPA for our AWS infrastructure to be the central authentication service. Initially we plan to use the SSH publi keys, user and group management by FreeIPA. We are looking at rolling out the SSS on clients a little later. <br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Two questions. <br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">1. We need to be able to ensure that a user is limited only 2-3 SSH keys.  <br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">2. We need some way of forcing these key rotation once in say 90 days. <br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">In our existing setup we use a SSH CA based authentication. It has its own issues. But the rotation is handled by cert expiry every 90 days. <br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">Any suggestions/help would be appreciated. <br><br>Thanks in advance. <br><br></div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">--Prashant<br></div></div>