Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der RADIUS-Neuauthentifizierung für DHCP-Abonnenten

Sie können die erneute Authentifizierung als Alternative zu RADIUS-CoA-Nachrichten konfigurieren, um Merkmale der Abonnentensitzung zu ändern, z. B. das Aktivieren oder Ändern von Dienstplänen oder das Ändern von DHCP-Abonnentenattributen. Bei der Konfiguration wird die erneute Authentifizierung ausgelöst, wenn der lokale DHCP-Server eine Nachricht zum Erneuern, erneuten Binden, Ermitteln oder Anfordern von einem DHCP-Client empfängt. Die Nachricht veranlasst jdhcpd, eine erneute Authentifizierung von authd anzufordern, was wiederum den RADIUS Access-Request für eine zweite Teilnehmerauthentifizierung neu ausstellt. Die erneute Authentifizierung ist für DHCPv4-, DHCPv6- und Dual-Stack-Abonnenten verfügbar.

Ab Junos OS Version 18.1R1 kann die erneute Authentifizierung zusätzlich zu den zuvor unterstützten Erneuerungs- und Neubindungsnachrichten durch Discover- und Request-Nachrichten ausgelöst werden. Die Version bietet außerdem Unterstützung für die erneute Authentifizierung für Dual-Stack-Abonnenten mit einer Sitzung.

Sie können die Anweisung verwenden, um die reauthenticate erneute Authentifizierung so zu konfigurieren, dass sie als Reaktion auf alle DHCP-Nachrichten zum Erneuern, erneuten Binden, Ermitteln oder Anfordern oder nur als Reaktion auf diese Nachrichten erfolgt, wenn sie eine andere Remote-Agenten-ID für den DHCP-Client enthalten. Die Remote-ID des Agenten enthält Informationen über den Serviceplan des Abonnenten, sodass eine Änderung des ID-Werts einer Änderung des Abonnentenserviceplans entspricht. Die Remote-ID des Agenten wird in Option 82, Unteroption 2 für DHCPv4-Clients und in Option 37 für DHCPv6-Clients übermittelt.

Sie können auch die VSA von Juniper Networks, Reauthentication-On-Renew (26-206) als Alternative zur CLI-Konfiguration verwenden, um die erneute Authentifizierung zu aktivieren. Der VSA wird in der RADIUS-Access-Accept-Nachricht bei der Anmeldung des Abonnenten übermittelt und muss auf Ihrem RADIUS-Server konfiguriert werden. Die reauthenticate Anweisung überschreibt den VSA, wenn der VSA mit dem Wert disable vorhanden ist.

Konfigurieren Sie die erneute Authentifizierung für Nicht-Dual-Stack-DHCP-Abonnenten mit einer Sitzung:

  • (Optional) Geben Sie an, dass die erneute Authentifizierung durch den Empfang jeder Nachricht zum Erneuern, erneuten Binden, Ermitteln und Anfordern ausgelöst wird.

    Für DHCPv4-Abonnenten:

    Für DHCPv6-Abonnenten:

  • (Optional) Geben Sie an, dass die erneute Authentifizierung nur ausgelöst wird, wenn sich die Remote-ID des Agenten in der empfangenen Ermittlungs- oder Anforderungsnachricht geändert hat.

    Für DHCPv4-Abonnenten:

    Für DHCPv6-Abonnenten:

Konfigurieren Sie die erneute Authentifizierung für Dual-Stack-DHCP-Abonnenten mit einer Sitzung:

  1. Konfigurieren Sie Adressen, die bei Bedarf für Abonnenten in der Dual-Stack-Gruppe zugewiesen werden sollen.
  2. (Optional) Geben Sie an, dass die erneute Authentifizierung für jeden Abonnenten in der Dual-Stack-Gruppe ausgelöst wird, wenn jede Nachricht zum Erneuern, erneuten Binden, Ermitteln und Anfordern empfangen wird.
  3. (Optional) Geben Sie an, dass die erneute Authentifizierung für jeden Abonnenten in der Dual-Stack-Gruppe nur dann ausgelöst wird, wenn sich die Remote-ID des Agenten in der empfangenen Ermittlungs- oder Anforderungsnachricht geändert hat.

Eine Änderung an der Remote-ID des Agenten kann auch eine Dienständerung während der Erneuerungs- und Neubindungsvorgänge initiieren, wenn die Anweisung remote-id-mismatch konfiguriert ist. Sie können nicht gleichzeitig die remote-id-mismatch Anweisung und die reauthenticate Anweisung auf globaler Ebene konfigurieren. [edit system services dhcp-local-server] DHCP-Rangfolgenregeln ermöglichen es Ihnen jedoch, beide Anweisungen zu konfigurieren, wenn sie sich auf unterschiedlichen Ebenen befinden. Sie können reauthenticate z. B. auf globaler Ebene und remote-id-mismatch für DHCPv6 auf der [edit system services dhcp-local-server dhcpv6] Hierarchieebene oder für eine bestimmte Gruppe auf der [edit system services dhcp-local-server group name] Hierarchieebene usw. konfigurieren.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie Funktionen entdecken , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Loslassen
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 kann die erneute Authentifizierung zusätzlich zu den zuvor unterstützten Erneuerungs- und Neubindungsnachrichten durch Discover- und Request-Nachrichten ausgelöst werden. Die Version bietet außerdem Unterstützung für die erneute Authentifizierung für Dual-Stack-Abonnenten mit einer Sitzung.