Configuración de la reautenticación de RADIUS para suscriptores de DHCP
Puede configurar la reautenticación como una alternativa a los mensajes CoA de RADIUS como un medio para cambiar las características de la sesión del suscriptor, como activar o cambiar planes de servicio o cambiar atributos de suscriptor DHCP. Cuando se configura, la reautenticación se activa cuando el servidor local DHCP recibe un mensaje de renovación, revinculación, descubrimiento o solicitud de un cliente DHCP. El mensaje activa jdhcpd para solicitar la reautenticación de authd, que a su vez vuelve a emitir la solicitud de acceso de RADIUS para una segunda autenticación de suscriptor. La reautenticación está disponible para suscriptores de DHCPv4, DHCPv6 y de doble pila.
A partir de Junos OS versión 18.1R1, la reautenticación se puede desencadenar mediante mensajes de detección y solicitud, además de los mensajes de renovación y revinculación admitidos anteriormente. La versión también presenta soporte de reautenticación para suscriptores de doble pila y sesión única.
Puede utilizar la instrucción para configurar la reauthenticate reautenticación para que se produzca en respuesta a todos los mensajes de renovación, revinculación, detección o solicitud de DHCP, o solo en respuesta a esos mensajes cuando incluyan un ID remoto de agente diferente para el cliente DHCP. El ID remoto del agente contiene información sobre el plan de servicio del suscriptor, por lo que un cambio en el valor del ID corresponde a un cambio en el plan de servicio del suscriptor. El ID remoto del agente se transmite en la opción 82, subopción 2 para clientes DHCPv4 y en la opción 37 para clientes DHCPv6.
También puede usar VSA de Juniper Networks, Reauthentication-On-Renew (26-206) como alternativa a la configuración de la CLI para habilitar la reautenticación. El VSA se transmite en el mensaje de aceptación de acceso de RADIUS al iniciar sesión del suscriptor y debe configurarse en el servidor de RADIUS. La reauthenticate instrucción anula el VSA cuando el VSA está presente con un valor de disable.
Configure la reautenticación para suscriptores de DHCP de sesión única que no sean de doble pila:
(Opcional) Especifique que la reautenticación se activa al recibir cada mensaje de renovación, revinculación, descubrimiento y solicitud.
Para suscriptores de DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
Para suscriptores de DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(Opcional) Especifique que la reautenticación solo se activa cuando el ID remoto del agente ha cambiado en el mensaje de detección o solicitud recibido.
Para suscriptores de DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
Para suscriptores de DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
Configure la reautenticación para suscriptores de DHCP de doble pila y sesión única:
Un cambio en el ID remoto del agente también puede iniciar un cambio de servicio durante las operaciones de renovación y reenlazación cuando se configura la remote-id-mismatch instrucción. No puede configurar tanto la remote-id-mismatch instrucción como la reauthenticate instrucción a nivel global, [edit system services dhcp-local-server]. Sin embargo, las reglas de precedencia de DHCP permiten configurar ambas instrucciones cuando se encuentran en niveles diferentes. Por ejemplo, puede configurar reauthenticate a nivel global y remote-id-mismatch para DHCPv6 en el [edit system services dhcp-local-server dhcpv6] nivel de jerarquía o para un grupo específico en el [edit system services dhcp-local-server group name] nivel de jerarquía, y así sucesivamente.
Tabla de historial de cambios
La compatibilidad de la función depende de la plataforma y la versión que utilice. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.