Configuración de la reautenticación RADIUS para suscriptores DHCP
Puede configurar la reautenticación como una alternativa a los mensajes RADIUS CoA como un medio para cambiar las características de la sesión del suscriptor, como activar o cambiar planes de servicio o cambiar atributos de suscriptor DHCP. Cuando se configura, la reautenticación se activa cuando el servidor local DHCP recibe un mensaje de renovación, reenlace, descubrimiento o solicitud de un cliente DHCP. El mensaje activa jdhcpd para solicitar la reautenticación de authd, que a su vez vuelve a emitir la solicitud de acceso RADIUS para una segunda autenticación de suscriptor. La reautenticación está disponible para suscriptores de DHCPv4, DHCPv6 y de doble pila.
A partir de Junos OS versión 18.1R1, la reautenticación se puede activar mediante mensajes de detección y solicitud, además de los mensajes de renovación y reenlace admitidos anteriormente. La versión también introduce soporte de reautenticación para suscriptores de doble pila y sesión única.
Puede utilizar la instrucción para configurar la reauthenticate
reautenticación para que se produzca en respuesta a todos los mensajes de renovación, reenlace, descubrimiento o solicitud de DHCP, o sólo en respuesta a esos mensajes cuando incluyan un identificador remoto de agente diferente para el cliente DHCP. El ID remoto del agente contiene información sobre el plan de servicio del suscriptor, por lo que un cambio en el valor del ID corresponde a un cambio en el plan de servicio del suscriptor. El ID remoto del agente se transmite en la opción 82, subopción 2 para clientes DHCPv4 y en la opción 37 para clientes DHCPv6.
También puede usar el VSA de Juniper Networks, Reauthentication-On-Renew (26-206) como alternativa a la configuración de CLI para habilitar la reautenticación. El VSA se transmite en el mensaje de aceptación de acceso RADIUS al iniciar sesión del suscriptor y debe configurarse en el servidor RADIUS. La reauthenticate
instrucción reemplaza el VSA cuando el VSA está presente con el valor de deshabilitar.
Configure la reautenticación para suscriptores DHCP de sesión única que no sean de pila doble:
(Opcional) Especificar que la reautenticación se activa al recibir cada mensaje de renovación, revinculación, descubrimiento y solicitud.
Para suscriptores de DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate lease-renewal
Para suscriptores de DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate lease-renewal
(Opcional) Especificar que la reautenticación solo se activa cuando el ID remoto del agente ha cambiado en el mensaje de descubrimiento o solicitud recibido.
Para suscriptores de DHCPv4:
[edit system services dhcp-local-server] user@host# set reauthenticate remote-id-mismatch
Para suscriptores de DHCPv6:
[edit system services dhcp-local-server dhcpv6] user@host# set reauthenticate remote-id-mismatch
Configure la reautenticación para suscriptores DHCP de sesión única y pila doble:
Un cambio en el ID remoto del agente también puede iniciar un cambio de servicio durante las operaciones de renovación y reenlace cuando se configura la remote-id-mismatch
instrucción. No puede configurar tanto la instrucción como la remote-id-mismatch
reauthenticate
instrucción en el nivel global, [edit system services dhcp-local-server]
. Sin embargo, las reglas de precedencia DHCP permiten configurar ambas instrucciones cuando se encuentran en niveles diferentes. Por ejemplo, puede configurar reauthenticate
en el nivel global y remote-id-mismatch
para DHCPv6 en el nivel de [edit system services dhcp-local-server dhcpv6]
jerarquía o para un grupo específico en el nivel de [edit system services dhcp-local-server group name]
jerarquía, etc.
Tabla de historial de cambios
La compatibilidad con las funciones viene determinada por la plataforma y la versión que esté utilizando. Utilice el Explorador de características para determinar si una característica es compatible con su plataforma.