<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <br>
    -----BEGIN PGP SIGNED MESSAGE-----<br>
    Hash: SHA1<br>
    <br>
    <br>
    <br>
    On 04/06/12 18:28, Kline, Sara wrote:<br>
    <span style="white-space: pre;">><br>
      > Some of my users have expressed concerns about moving to
      FreeIPA because they prefer to use SSH. The main reason behind
      that is because they can use agent forwarding and only have to
      sign on once. I did find information on forwardable Kerberos
      tickets, kinit ?f. Has anyone used this in place of SSH keys, or
      do you have other suggestions? There are a few service accounts
      scripted to work with SSH keys so we may have to leave a few local
      accounts on the servers. I don?t particularly like that idea.<br>
      ></span><br>
    Hi Sara<br>
    <br>
    The big difference here is your users will see this as you taking
    something away from them. Yes kerberos tickets will work perfectly
    in this situation, I do this myself. The issue you need to be aware
    of is that they will expire, as they should. An SSH key is nothing
    more than bypassing an authentication process.<br>
    <br>
    I would recommend using centralized service accounts in place of
    more local accounts, as this way you will always be able to manage
    them in the future.<br>
    <br>
    Does this help?<br>
    <br>
    <span style="white-space: pre;">> <br>
      ><br>
      > Sara Kline<br>
      ><br>
      > System Administrator<br>
      ><br>
      > Transaction Network Services, Inc<br>
      ><br>
      > 4501 Intelco Loop, Lacey WA 98503<br>
      ><br>
      > Wk: (360) 493-6736<br>
      ><br>
      > Cell: (360) 280-2495<br>
      ><br>
      > <br>
      ><br>
      ><br>
      > -------------------------<br>
      > This e-mail message is for the sole use of the intended
      recipient(s)and may<br>
      > contain confidential and privileged information of
      Transaction Network Services.<br>
      > Any unauthorised review, use, disclosure or distribution is
      prohibited. If you<br>
      > are not the intended recipient, please contact the sender by
      reply e-mail and destroy all copies of the original message.<br>
      ><br>
      ><br>
      ><br>
      > _______________________________________________<br>
      > Freeipa-users mailing list<br>
      > <a class="moz-txt-link-abbreviated" href="mailto:Freeipa-users@redhat.com">Freeipa-users@redhat.com</a><br>
      > <a class="moz-txt-link-freetext" href="https://www.redhat.com/mailman/listinfo/freeipa-users">https://www.redhat.com/mailman/listinfo/freeipa-users</a></span><br>
    -----BEGIN PGP SIGNATURE-----<br>
    Version: GnuPG v1.4.12 (GNU/Linux)<br>
    Comment: Using GnuPG with Mozilla - <a class="moz-txt-link-freetext" href="http://enigmail.mozdev.org/">http://enigmail.mozdev.org/</a><br>
    <br>
    iQIcBAEBAgAGBQJPzPItAAoJEAJsWS61tB+qtfEP/irmelW0sGNW9l2W80DX4piY<br>
    E209XSH6/F6/5Duj6LpY3ISELjJdwS/eRikeG+49oivOZWbvEzZ9VSl3TE6TuI7U<br>
    wnrpvMt6kdxcgeeTZ31f97nPRwYv50xO9iWU+4ymzW3tzWQt96Er1LXxO8UP++KN<br>
    LQ5eUF2gxe0f5WMtKpWwJkTSZlqlCztco5red7Xadze4phUWt3y2OfzLJV3DUqig<br>
    /Y44kgtrQfI+Qm8mjrNfZFTnqSALW6kgZ3Ad7hh+1SuNn7D6WyOOkedn5169fYlf<br>
    UiDr28G2MM2wdWoh0l9ldqQN3acMDYFDdT0vHXeIq9ygbO1NfTBVC4iRnICCAc+O<br>
    GWnmVPY2qGM6/qA7BY11YRNG5Y7PVgEjB6P/zAkMgTds9m87VLpH4QjiifT77R5h<br>
    Gt/FNqnT/h9fTF2eoK9RjSdFHcPmplqCUDzfgoLrpDsscyS0RccG6O9z8QCKyeI5<br>
    wNl6NtSIb8yqGNN9wfZd3UAbGE5omaofDchMAOV7pcDnenYEju2bXXX9GU4VB09i<br>
    GSloEpXRyK189B+oRgd/kmb1DlUuDDMoevHZ/161QI6TuriORyQkqtAq9dOl1Xwl<br>
    H7RbwtW0iDxcYfslN3NlF+NOEXOemagQLb7uZU0ARPDbMFobJMdrVHSFTcDsa+Zg<br>
    L85opgHXJxOWs0nBERcc<br>
    =dvkx<br>
    -----END PGP SIGNATURE-----<br>
    <br>
  </body>
</html>