Configurando a reautenticação RADIUS para assinantes DHCP
Você pode configurar a reautenticação como uma alternativa às mensagens RADIUS CoA como um meio de alterar as características da sessão do assinante, como ativar ou alterar planos de serviço ou alterar atributos de assinante DHCP. Quando configurada, a reautenticação é disparada quando o servidor local DHCP recebe uma mensagem de renovação, reassociação, descoberta ou solicitação de um cliente DHCP. A mensagem aciona o jdhcpd para solicitar a reautenticação do authd, que por sua vez reemite a solicitação de acesso RADIUS para uma segunda autenticação de assinante. A reautenticação está disponível para assinantes DHCPv4, DHCPv6 e dual-stack.
A partir do Junos OS Release 18.1R1, a reautenticação pode ser desencadeada por mensagens de descoberta e solicitação, além das mensagens de renovação e religação anteriormente suportadas. A versão também introduz o suporte à reautenticação para assinantes de pilha dupla e sessão única.
Você pode usar a instrução para configurar a reauthenticate reautenticação para ocorrer em resposta a todas as mensagens de renovação, reassociação, descoberta ou solicitação de DHCP ou apenas em resposta a essas mensagens quando elas incluem um ID Remoto do Agente diferente para o cliente DHCP. A ID remota do agente carrega informações sobre o plano de serviço do assinante, portanto, uma alteração no valor da ID corresponde a uma alteração no plano de serviço do assinante. O ID remoto do agente é transmitido na opção 82, subopção 2 para clientes DHCPv4 e na opção 37 para clientes DHCPv6.
Você também pode usar o Juniper Networks VSA, Reauthentication-On-Renew (26-206) como uma alternativa à configuração da CLI para habilitar a reautenticação. O VSA é transmitido na mensagem RADIUS Access-Accept no login do assinante e deve ser configurado em seu servidor RADIUS. A reauthenticate instrução substitui o VSA quando o VSA está presente com um valor de desabilitar.
Configure a reautenticação para assinantes DHCP de sessão única e não dual-stack:
(Opcional) Especificar que a reautenticação é disparada pelo recebimento de cada mensagem de renovação, reassociação, descoberta e solicitação.
Para assinantes do DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
Para assinantes do DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(Opcional) Especificar que a reautenticação é acionada somente quando a ID remota do agente é alterada na mensagem de descoberta ou solicitação recebida.
Para assinantes do DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
Para assinantes do DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
Configure a reautenticação para assinantes DHCP de sessão única e pilha dupla:
Uma alteração na ID Remota do Agente também pode iniciar uma alteração de serviço durante as operações de renovação e religação quando a remote-id-mismatch instrução é configurada. Você não pode configurar a remote-id-mismatch declaração e a reauthenticate declaração no nível global, [edit system services dhcp-local-server]. No entanto, as regras de precedência do DHCP permitem que você configure ambas as instruções quando elas estão em níveis diferentes. Por exemplo, você pode configurar reauthenticate no nível global e remote-id-mismatch para DHCPv6 no nível de [edit system services dhcp-local-server dhcpv6] hierarquia ou para um grupo específico no nível de [edit system services dhcp-local-server group name] hierarquia e assim por diante.
Tabela de histórico de alterações
A compatibilidade com recursos é determinada pela plataforma e versão utilizada. Use o Explorador de recursos para determinar se um recurso é compatível com sua plataforma.