为 DHCP 订阅者配置 RADIUS 重新身份验证
您可以将重新身份验证配置为 RADIUS CoA 消息的替代方法,以此来更改用户会话的特征,例如激活或更改服务计划或更改 DHCP 用户属性。配置后,当 DHCP 本地服务器收到来自 DHCP 客户端的续订、重新绑定、发现或请求消息时,将触发重新验证。该消息会触发 jdhcpd 请求从 authd 重新进行身份验证,进而重新发出 RADIUS 访问请求以进行第二个订阅者身份验证。DHCPv4、DHCPv6 和双堆栈订阅者可进行重新身份验证。
从 Junos OS 18.1R1 版开始,除了之前支持的续订和重新绑定消息外,还可以通过发现和请求消息触发重新身份验证。该版本还为双堆栈、单会话订阅者引入了重新身份验证支持。
您可以使用该 reauthenticate 语句配置重新验证,以响应所有 DHCP 更新、重新绑定、发现或请求消息,或者仅在这些消息包含 DHCP 客户端不同的代理远程 ID 时才响应这些消息。代理远程 ID 携带有关订阅者服务计划的信息,因此 ID 值的更改对应于订阅者服务计划的更改。代理远程 ID 在 DHCPv4 客户端的选项 82 子选项 2 和 DHCPv6 客户端的选项 37 中传送。
您还可以使用瞻博网络 VSA,续订时重新验证 (26-206) 作为 CLI 配置的替代方法,以启用重新验证。VSA 在订阅者登录时以 RADIUS Access-Accept 消息的形式传送,并且必须在 RADIUS 服务器上进行配置。当 VSA 存在时,该 reauthenticate 语句将覆盖 VSA,其值为 disable。
为非双堆栈、单会话 DHCP 订阅者配置重新身份验证:
(选答)指定通过收到每个续订、重新绑定、发现和请求消息来触发重新认证。
对于 DHCPv4 用户:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
对于 DHCPv6 用户:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(选答)指定仅当收到的发现或请求消息中的代理远程 ID 发生更改时,才会触发重新认证。
对于 DHCPv4 用户:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
对于 DHCPv6 用户:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
为双堆栈、单会话 DHCP 订阅者配置重新身份验证:
配置语句时remote-id-mismatch,代理远程 ID 的更改还可以在续订和重新绑定作期间启动服务更改。您不能在remote-id-mismatch全局级别[edit system services dhcp-local-server]同时配置语句和reauthenticate语句。但是,DHCP 优先规则允许您在这两个语句处于不同级别时对其进行配置。例如,您可以在全局级别进行配置,remote-id-mismatch在层次结构级别为 [edit system services dhcp-local-server dhcpv6] DHCPv6 进行配置,或者在[edit system services dhcp-local-server group name]层次结构级别为特定组进行配置reauthenticate,依此类推。
变更历史表
是否支持某项功能取决于您使用的平台和版本。使用 功能资源管理器 确定您的平台是否支持某个功能。