Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Konfigurieren der erneuten RADIUS-Authentifizierung für DHCP-Abonnenten

Sie können die erneute Authentifizierung als Alternative zu RADIUS-CoA-Nachrichten konfigurieren, um Merkmale der Anwender-Sitzung zu ändern, z. B. Aktivieren oder Ändern von Serviceplänen oder Ändern von DHCP-Anwender-Attributen. Nach der Konfiguration wird eine erneute Authentifizierung ausgelöst, wenn der lokale DHCP-Server eine Nachricht zum Erneuern, erneuten Binden, Ermitteln oder Anfordern von einem DHCP-Client empfängt. Die Nachricht löst jdhcpd aus, um eine erneute Authentifizierung von authd anzufordern, was wiederum den RADIUS Access-Request für eine zweite Authentifizierung des Anwenders erneut ausgibt. Eine erneute Authentifizierung ist für DHCPv4-, DHCPv6- und Dual-Stack-Abonnenten verfügbar.

Ab Junos OS Version 18.1R1 kann eine erneute Authentifizierung zusätzlich zu den zuvor unterstützten Nachrichten zum erneuten Erneuern und erneuten Binden durch Discover- und Solicit-Nachrichten ausgelöst werden. Die Version führt auch Unterstützung für die erneute Authentifizierung für Dual-Stack-Abonnenten mit einer Sitzung ein.

Sie können die Anweisung verwenden, um die reauthenticate erneute Authentifizierung so zu konfigurieren, dass sie als Reaktion auf alle DHCP-Nachrichten zum Erneuern, erneuten Binden, Erkennen oder Anfordern oder nur als Reaktion auf diese Nachrichten erfolgt, wenn sie eine andere Remote-ID des Agenten für den DHCP-Client enthalten. Die Remote-ID des Agenten enthält Informationen über den Serviceplan des Anwenders, sodass eine Änderung des ID-Werts einer Änderung des Serviceplans des Anwenders entspricht. Die Remote-ID des Agenten wird in Option 82, Unteroption 2 für DHCPv4-Clients und in Option 37 für DHCPv6-Clients übermittelt.

Sie können auch die Juniper Networks VSA, Reauthentication-On-Renew (26-206) als Alternative zur CLI-Konfiguration verwenden, um eine erneute Authentifizierung zu aktivieren. Der VSA wird in der RADIUS Access-Accept-Nachricht bei der Anmeldung des Anwenders übermittelt und muss auf Ihrem RADIUS-Server konfiguriert werden. Die reauthenticate Anweisung überschreibt den VSA, wenn der VSA mit dem Wert disable vorhanden ist.

Konfigurieren Sie die erneute Authentifizierung für Nicht-Dual-Stack-Single-Session-DHCP-Abonnenten:

  • (Optional) Geben Sie an, dass die erneute Authentifizierung durch den Empfang jeder Nachricht zum Erneuern, erneuten Binden, Ermitteln und Anfordern ausgelöst wird.

    Für DHCPv4-Abonnenten:

    Für DHCPv6-Abonnenten:

  • (Optional) Geben Sie an, dass die erneute Authentifizierung nur ausgelöst wird, wenn sich die Remote-ID des Agenten in der empfangenen Discover- oder Solicit-Nachricht geändert hat.

    Für DHCPv4-Abonnenten:

    Für DHCPv6-Abonnenten:

Konfigurieren Sie die erneute Authentifizierung für Dual-Stack-DHCP-Abonnenten mit einer einzigen Sitzung:

  1. Konfigurieren Sie Adressen, die bei Bedarf für Abonnenten in der Dual-Stack-Gruppe zugewiesen werden sollen.
  2. (Optional) Geben Sie an, dass die erneute Authentifizierung für jeden Anwender in der Dual-Stack-Gruppe durch den Empfang jeder Nachricht zum erneuten Erneuern, erneuten Binden, Ermitteln und Anfordern ausgelöst wird.
  3. (Optional) Geben Sie an, dass eine erneute Authentifizierung für jeden Anwender in der Dual-Stack-Gruppe nur ausgelöst wird, wenn sich die Remote-ID des Agenten in der empfangenen Erkennungs- oder Anfragennachricht geändert hat.

Eine Änderung der Remote-ID des Agenten kann auch eine Dienständerung während der Erneuerungs- und Neubindungsvorgänge initiieren, wenn die remote-id-mismatch Anweisung konfiguriert ist. Sie können nicht sowohl die remote-id-mismatch Anweisung als auch die reauthenticate Anweisung auf globaler Ebene konfigurieren. [edit system services dhcp-local-server] DHCP-Rangfolgeregeln erlauben es Ihnen jedoch, beide Anweisungen zu konfigurieren, wenn sie sich auf unterschiedlichen Ebenen befinden. Sie können z. B. auf globaler Ebene und remote-id-mismatch für DHCPv6 auf Hierarchieebene [edit system services dhcp-local-server dhcpv6] oder für eine bestimmte Gruppe auf Hierarchieebene [edit system services dhcp-local-server group name] usw. konfigurierenreauthenticate.

Zugehörige Dokumentation

Tabellarischer Änderungsverlauf

Die Unterstützung der Funktion hängt von der Plattform und der Version ab, die Sie benutzen. Verwenden Sie den Feature-Explorer , um festzustellen, ob eine Funktion auf Ihrer Plattform unterstützt wird.

Veröffentlichung
Beschreibung
18.1R1
Ab Junos OS Version 18.1R1 kann eine erneute Authentifizierung zusätzlich zu den zuvor unterstützten Nachrichten zum erneuten Erneuern und erneuten Binden durch Discover- und Solicit-Nachrichten ausgelöst werden. Die Version führt auch Unterstützung für die erneute Authentifizierung für Dual-Stack-Abonnenten mit einer Sitzung ein.