为 DHCP 订阅者配置 RADIUS 重新身份验证
您可以将重新身份验证配置为 RADIUS CoA 消息的替代方法,作为更改订阅者会话特征的一种方式,例如激活或更改服务计划或更改 DHCP 订阅者属性。配置后,当 DHCP 本地服务器收到来自 DHCP 客户端的续订、重新绑定、发现或请求消息时,将触发重新身份验证。该消息会触发 jdhcpd 向 authd 请求重新身份验证,而 athd 又会重新发出 RADIUS Access-Request 以进行第二次订阅者身份验证。重新认证可用于 DHCPv4、DHCPv6 和双协议栈订阅者。
从 Junos OS 18.1R1 版开始,除了之前支持的续订和重新绑定消息外,还可以通过发现和请求消息来触发重新身份验证。该版本还引入了对双堆栈、单会话订阅者的重新身份验证支持。
您可以使用该 reauthenticate 语句将重新身份验证配置为在响应所有 DHCP 续订、重新绑定、发现或请求消息时进行,或者仅在这些消息包含 DHCP 客户端的不同代理远程 ID 时进行响应。代理远程 ID 携带有关订阅者服务计划的信息,因此 ID 值的更改对应于订阅者服务计划的更改。代理远程 ID 在 DHCPv4 客户端的 option 82 子选项 2 和 DHCPv6 客户端的 option 37 中传递。
您还可以使用瞻博网络 VSA,续订时重新验证 (26-206) 作为 CLI 配置的替代选项,以启用重新身份验证。VSA 在订阅者登录时在 RADIUS 访问-接受消息中传达,并且必须在 RADIUS 服务器上配置。 reauthenticate 当 VSA 存在且值为 disable 时,该语句将覆盖 VSA。
为非双堆栈、单会话 DHCP 订阅者配置重新身份验证:
(选答)指定重新身份验证由收到每个续订、重新绑定、发现和请求消息触发。
对于 DHCPv4 订阅者:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
对于 DHCPv6 订阅者:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(选答)仅当收到的发现或请求消息中的代理远程 ID 发生更改时,才会触发指定重新身份验证。
对于 DHCPv4 订阅者:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
对于 DHCPv6 订阅者:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
为双堆栈、单会话 DHCP 订阅者配置重新身份验证:
代理远程 ID 的更改还可以在配置语句时remote-id-mismatch的续订和重新绑定操作期间启动服务更改。您不能在全局级别[edit system services dhcp-local-server]同时配置remote-id-mismatch语句和reauthenticate语句。但是,DHCP 优先级规则允许您在这两个语句处于不同级别时对其进行配置。例如,您可以在全局级别remote-id-mismatch配置 DHCPv6,也可以在[edit system services dhcp-local-server dhcpv6]层次结构级别为 DHCPv6 进行配置,或者在[edit system services dhcp-local-server group name]层次结构级别上为特定组进行配置reauthenticate,依此类推。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能浏览器 查看您使用的平台是否支持某项功能。