DHCP 加入者の RADIUS 再認証の設定
サービスプランのアクティブ化や変更、DHCP加入者属性の変更など、加入者セッションの特性を変更する手段として、RADIUS CoAメッセージの代替として再認証を設定できます。構成されている場合、再認証は、DHCP ローカル サーバーが DHCP クライアントから更新、再バインド、検出、または要求メッセージを受信したときにトリガーされます。このメッセージにより、jdhcpd が認証からの再認証を要求するトリガーとなり、2 回目の加入者認証に対する RADIUS アクセス要求が再発行されます。DHCPv4、DHCPv6、デュアルスタックの加入者は、再認証を利用できます。
Junos OS リリース 18.1R1 以降では、以前にサポートされていた更新および再バインド メッセージに加えて、メッセージの検出と要求によって再認証をトリガーできます。このリリースでは、デュアルスタックのシングルセッション加入者に対する再認証のサポートも導入されています。
ステートメントを reauthenticate
使用して、すべてのDHCPの更新、再バインド、検出、またはメッセージに応答する、またはDHCPクライアント用の異なるエージェントリモートIDが含まれている場合にのみ、これらのメッセージに応答して再認証が発生するように設定することができます。エージェントリモートIDは加入者のサービスプランに関する情報を伝送するため、ID値の変更は加入者サービスプランの変更に対応します。エージェントリモートIDは、オプション82、DHCPv4クライアントのサブオプション2、DHCPv6クライアントのオプション37で搬送されます。
また、ジュニパーネットワークスの VSA、再認証-On-Renew(26-206)を、CLI 構成の代替として使用して、再認証を有効にすることもできます。VSAは、加入者ログイン時にRADIUS Access-Acceptメッセージで伝達され、RADIUSサーバー上で設定する必要があります。ステートメントは reauthenticate
、VSA が無効の値で存在する場合、VSA を上書きします。
非デュアルスタック、シングルセッションDHCP加入者の再認証を設定します。
(オプション)再認証の指定は、すべての更新、再バインド、検出、要求メッセージを受信することによりトリガーされます。
DHCPv4 加入者の場合:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
DHCPv6 加入者の場合:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(オプション)再認証の指定は、受信した検出または要求メッセージでエージェントリモートIDが変更された場合にのみトリガーされます。
DHCPv4 加入者の場合:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
DHCPv6 加入者の場合:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
デュアルスタック、シングルセッションDHCP加入者の再認証を設定します。
エージェントリモートIDを変更すると、ステートメントが設定されている場合、更新および再バインド操作中にサービス変更をremote-id-mismatch
開始することもできます。ステートメントと reauthenticate
ステートメントの両方をremote-id-mismatch
グローバルレベル[edit system services dhcp-local-server]
で設定することはできません。ただし、DHCP の優先度ルールでは、両方のステートメントが異なるレベルにある場合は、両方のステートメントを設定できます。例えば、 グローバルレベルで、 階層remote-id-mismatch
レベルでDHCPv6に[edit system services dhcp-local-server dhcpv6]
、または 階層レベルの特定の[edit system services dhcp-local-server group name]
グループに対して などを設定reauthenticate
できます。