<div dir="ltr">So I want a user "bob" to ssh into server1 as the username of "support" with support@server1, but not let Bob ssh into support@server2. I have Bob's ssh public key added to the support user. I can block Bob from server1 or server2 with HBAC, but I have to add support to both servers and since Bob's keys are added to Support. The support account is able to ssh into both servers. <div><br></div><div>I've looked into ID view, but I'm having troubles find a good document on how to setup ID views. </div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Apr 10, 2017 at 2:17 AM, Jakub Hrozek <span dir="ltr"><<a href="mailto:jhrozek@redhat.com" target="_blank">jhrozek@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On Mon, Apr 10, 2017 at 12:04:58AM -0400, Tym Rehm wrote:<br>
> Hey all, New user here.<br>
><br>
> I have a user "user1" that I want to allow a couple of different users<br>
> "userX and userY" to be allowed to ssh into "server1" and "server2", but<br>
> not both servers using ssh-keys.<br>
><br>
> So as an example. UserX will ssh user1@server2 with ssh-key, but I don't<br>
> want userY to be able to successfully run the same command.<br>
><br>
> I currently have userX and userY's public ssh-key attached to user1 and I<br>
> have created a HBAC rule to allow user1 to connect with ssh on both server1<br>
> and server2. This is allowing user1 to connect to both servers fine,<br>
> without a password. It also is allowing users (X & Y) to ssh user1@server1<br>
> and user1@server2.<br>
><br>
> How can stop that to restrict userX to be able to ssh as user1 on server1,<br>
> but not server2?<br>
><br>
> Do I need to do something with the keytabs or add the ssh-keys for userX to<br>
> the server1 host only?<br>
<br>
I'm honestly not sure if I understand the problem well, but would it be<br>
helpful to add SSH keys to an ID view that is attached to one of the<br>
servers only?<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Manage your subscription for the Freeipa-users mailing list:<br>
<a href="https://www.redhat.com/mailman/listinfo/freeipa-users" rel="noreferrer" target="_blank">https://www.redhat.com/<wbr>mailman/listinfo/freeipa-users</a><br>
Go to <a href="http://freeipa.org" rel="noreferrer" target="_blank">http://freeipa.org</a> for more info on the project<br>
</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">--<br>Do not meddle in the affairs of dragons cause you are crunchy and good with ketchup.<br></div>
</div>