Dla kontroli dostępu opartej na hostach, można zezwolić lub zabronić dostępu z hostów poprzez wprowadzenie listy nazw hostów (np. www.foo.com), adresów IP lub wzorców nazw hostów (np. *.foo.com). Ten rodzaj kontroli dostępu nie jest jednakże obsługiwany przez wszystkie wersje serwerów SSH.

Dla kontroli dostępu opartej na użytkownikach i grupach, nazwami użytkowników mogą być zarówno lokalne konta (np. jcameron), jak też wzorce kont (np. jcam*), czy kombinacje loginu i nazwy hosta klienta (np. jcameron@www.foo.com). Dozwolone i zabronione grupy mogą również być czystymi nazwami grup lub wzorcami dla grup, ale nie mogą zawierać nazw hostów.