DHCP加入者向けのRADIUS再認証の設定

サービスプランのアクティブ化や変更、DHCP加入者属性の変更など、加入者セッションの特性を変更する手段として、RADIUS CoAメッセージの代替として再認証を設定できます。設定されている場合、DHCPローカルサーバーがDHCPクライアントから更新、再バインド、検出、または送信請求のメッセージを受信すると、再認証がトリガーされます。このメッセージにより、jdhcpdがauthdに再認証を要求するようになり、authdは2人目の加入者認証のためにRADIUS Access-Requestを再発行します。再認証は、DHCPv4、DHCPv6、およびデュアルスタックの加入者が利用できます。

Junos OSリリース18.1R1以降、以前サポートされた更新および再バインドメッセージに加えて、検出メッセージと送信請求メッセージによって再認証をトリガーできるようになりました。このリリースでは、デュアルスタック、シングルセッション加入者に対する再認証サポートも導入されています。

reauthenticateステートメントを使用して、すべてのDHCP更新、再バインド、検出、または要求メッセージに応答して、またはDHCPクライアントの異なるエージェントリモートIDが含まれている場合にそれらのメッセージに応答してのみ再認証が発生するように設定できます。エージェントリモートIDは、加入者のサービスプランに関する情報を伝えるため、ID値の変更は加入者サービスプランの変更に対応します。エージェントリモートIDは、DHCPv4クライアントの場合はオプション82、サブオプション2、DHCPv6クライアントの場合はオプション37で伝えられます。

また、ジュニパーネットワークスVSA、Reauthentication-On-Renew(26-206)をCLI設定の代わりに使用して、再認証を有効にすることもできます。VSAは、加入者ログイン時のRADIUS Access-Acceptメッセージで伝達され、RADIUSサーバーで設定する必要があります。 reauthenticate ステートメントは、VSAが存在する場合、値disableでVSAを上書きします。

非デュアルスタック、シングルセッションDHCP加入者の再認証を設定します。

• (オプション)指定 再認証は、すべての更新、再バインド、検出、および要求メッセージの受信によってトリガーされます。

  DHCPv4加入者の場合:

  DHCPv6加入者の場合:

• (オプション)指定 再認証は、受信した検出メッセージまたは送信依頼メッセージでエージェントリモートIDが変更された場合にのみトリガーされます。

  DHCPv4加入者の場合:

  DHCPv6加入者の場合:

デュアルスタック、シングルセッションDHCP加入者に対する再認証の設定: