<html><body><div style="font-family: times new roman, new york, times, serif; font-size: 10pt; color: #000000"><div>Hi,</div><div><br></div><div>Replying to an old post..</div><div>If you're using Freenx you can set up the following:</div><div>ENABLE_SU_AUTHENTICATION="1"</div><div><br></div><div>Then you should edit /etc/ssh/sshd_config and add the following string: AllowGroups sshadm</div><div>sshadm:x:90:root,nx</div><div><br></div><div>This means that users can use the shared key to log into the server as the "nx" users, and then NX will "su" to their user.</div><div>Users will however not be able to ssh into the server with their account.</div><div>They can still log into the server as the "nx" user via ssh, but they would not get a usable shell (only the internal nx shell).</div><div><br></div><div><br></div><div>Unfortunately I'm right now in the situation where we bought a licence for the commercial Nomachine NX server, and it seems that the "su authentication" feature is not enabled there, so I don't know how to prevent user logins to the server via ssh.</div><div><br></div><div><br></div><div><br></div><hr id="zwchr"><div style="color:#000;font-weight:normal;font-style:normal;text-decoration:none;font-family:Helvetica,Arial,sans-serif;font-size:12pt;" data-mce-style="color: #000; font-weight: normal; font-style: normal; text-decoration: none; font-family: Helvetica,Arial,sans-serif; font-size: 12pt;"><b>From: </b>"Mark Christian" <MCHRISTI@altera.com><br><b>To: </b>"freenx-knx@kde.org" <freenx-knx@kde.org><br><b>Sent: </b>Friday, 1 February, 2013 7:41:20 PM<br><b>Subject: </b>[FreeNX-kNX] preventing data transfers over SSH,        yet still allow NX sessions.<br><div><br></div><title>[FreeNX-kNX] preventing data transfers over SSH, yet still allow NX sessions.</title><p><span size="2" data-mce-style="font-size: small;" style="font-size: small;">I was wondering if it is possible to configure sshd_config, possibly using the ForceCommand keyword, to prevent arbitrary command execution/data transfers on the same host which is providing the NX sessions.  For example I can configure sshd_config with:<br> <br> ForceCommand /bin/bash<br> <br> ..which subsequently prevents, scp, rsync over ssh, and even something like "ssh remoteHost 'cat /etc/passwd'", but still allows interactive ssh sessions with a bash shell.<br> <br> Does anyone have any ideas on how I can provide NX sessions to a remoteHost, yet prevent any data transfers to/from that sameHost over ssh?  Using the example above can I ForceCommand the NX tunneling bits, and if so what are they?  Or can NX be configured not to use ssh?<br> <br> Thank you for your time.<br> <br> Mark Christian<br> <br> Confidentiality Notice.<br> This message may contain information that is confidential or otherwise protected from disclosure. If you are not the intended recipient, you are hereby notified that any use, disclosure, dissemination, distribution,  or copying  of this message, or any attachments, is strictly prohibited.  If you have received this message in error, please advise the sender by reply e-mail, and delete the message and any attachments.  Thank you.<br> <br> ________________________________________________________________<br>      Were you helped on this list with your FreeNX problem?<br>     Then please write up the solution in the FreeNX Wiki/FAQ:<br> <br> <a href="http://openfacts2.berlios.de/wikien/index.php/BerliosProject:FreeNX_-_FAQ" target="_blank" data-mce-href="http://openfacts2.berlios.de/wikien/index.php/BerliosProject:FreeNX_-_FAQ">http://openfacts2.berlios.de/wikien/index.php/BerliosProject:FreeNX_-_FAQ</a><br> <br>          Don't forget to check the NX Knowledge Base:<br>                  <a href="http://www.nomachine.com/kb/" target="_blank" data-mce-href="http://www.nomachine.com/kb/">http://www.nomachine.com/kb/</a><br> <br> ________________________________________________________________<br>        FreeNX-kNX mailing list --- FreeNX-kNX@kde.org<br>       <a href="https://mail.kde.org/mailman/listinfo/freenx-knx" target="_blank" data-mce-href="https://mail.kde.org/mailman/listinfo/freenx-knx">https://mail.kde.org/mailman/listinfo/freenx-knx</a><br> ________________________________________________________________<br> </span></p></div><div><br></div></div></body></html>