Segurança : Cisco Identity Services Engine

Configurar o email da versão 1.4 ISE e as notificações de SMS

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (21 Abril 2016) | Feedback

Introdução

O documento descreve como configurar a versão 1.4 do Cisco Identity Services Engine (ISE) a fim apoiar o email e notificações curtos do serviço de mensagem (SMS) para serviços múltiplos.

Contribuído por Michal Garcarz e por Artem Tkachov, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

Cisco recomenda que você tem um conhecimento básico de Cisco ISE e de serviços do convidado.

Componentes Utilizados

As informações neste documento são baseadas nas seguintes versões de hardware e software:

  • Versão 7 de Microsoft Windows com Cliente de mobilidade Cisco AnyConnect Secure, versão 3.1

  • Cisco Catalyst 3750X Series Switch que executa as versões de software 15.0.2 e mais atrasado

  • Versões 1.3 e mais recente de Cisco ISE

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Configurar

Esta seção descreve como configurar o ISE a fim apoiar o email e as notificações de SMS para vários serviços.

Ajustes S TP

Antes que possa usar todos os serviços de e-mail, o ISE deve ter um server do relé do protocolo simple message transfer (S TP) configurado. A fim configurar o server, navegue à administração > ao sistema > aos ajustes > ao servidor SMTP:

Este server deve ter a capacidade para aceitar todos os email do ISE sem autenticação ou criptografia.

Nota: Para a configuração do servidor do relé S TP, Cisco recomenda que você adiciona o endereço IP de Um ou Mais Servidores Cisco ICM NT ISE às exceções alista (nenhum ou autenticação anônima) e exige a autenticação de todos anfitriões restantes.

Ajustes de SMS

Para que os serviços de SMS trabalhem com o ISE, você deve configurar um gateway específico de SMS. O ISE apoia gateways Smtp2SMS e Http2SMS. À revelia, há nove gateways que preconfigured para fornecedores conhecidos (você pôde necessidade do poder de ajustar estes). A fim configurar estes, navegue à administração > ao sistema > aos ajustes > ao gateway de SMS:

Gateway de SMS através do S TP

Quando você configura o gateway S TP SMS, o único campo requerido é o campo do domínio de provedor, conforme os ajustes do gateway de SMS para a seção do gateway de e-mail de SMS do guia do administrador do Cisco Identity Services Engine, a liberação 1.4.

Com as configurações padrão (vazias), o valor do campo de gabarito do corpo S TP API é igual ao valor $message$.

O valor da mensagem do padrão depende do serviço que é usado. Para Serviços de notificação (quando você cria uma conta do convidado), é configurável da página portal da personalização do patrocinador (notifique a notificação Guest/SMS). Este é o valor padrão:

O valor do campo de gabarito do corpo S TP API pode igualmente ser personalizado. As substituições dinâmicas apoiadas para o valor padrão são $mobilenumber$ e $message$. Por exemplo, quando você configura o valor do molde $message$ do teste, estes dados são enviados no payload S TP:

Após a corda do molde do teste, o valor do $message$ será substituído (neste exemplo, para o serviço de notificação de SMS).

Um outro exemplo do valor do campo de gabarito do corpo S TP API é o teste template2 $mobilenumber$. Este é o payload que é enviado quando este valor é usado:

É importante observar uma pequena diferença entre o $mobilenumber$ e variáveis $message$. Normalmente, todos os caráteres do whitespace (espaços) são escapados e substituídos pelo + caráter. Quando a variável $message$ é usada, aqueles caráteres do whitespace estão mantidos.

Há um exemplo de um gateway S TP SMS (ClickatellViaSMTP) que seja configurado com valores múltiplos no campo de gabarito do corpo S TP API. Todos estes valores são estáticos (exceto os valores $message$ e $mobilenumber$). Os valores são fornecidos a fim mostrar que é possível ajustar esse payload e fornecer os dados adicionais, que puderam ser exigidos pelo fornecedor S TP. Os valores que são indicados em maiúsculo devem ser substituídos com os valores corretos, que são fornecidos pelo fornecedor (e por eles serão os mesmos para todos os email que são enviados através deste fornecedor).

Aqui está um exemplo:

Gateway de SMS através do HTTP

Para o gateway HTTP2SMS, entre em SMS HTTP API a fim usar um HTTP obtêm o método do pedido:

Geralmente, o fornecedor de SMS deve indicar os atributos que são imperativos para enviar e aqueles que são opcionais, assim como o tipo da corda que deve ser enviado e do número de porta (se é a não ser 80).

Está aqui um exemplo que seja baseado no provedor de serviços de AwalJawaly SMS, e esta é a estrutura URL que é usada: http://awaljawaly.awalservices.com.sa:8001/Send.aspx.

Estes são os parâmetros imperativos:

  • Tipo do pedido (SMSSubmitReq)

  • Username

  • Senha

  • Número móvel

  • Mensagem

Estes são os parâmetros opcionais

  • Endereço da origem

  • Tipo

  • Prazo de entrega

  • Período de validade

  • Piscamento

  • Reconhecimento

  • Créditos máximos

  • Mensagem de cliente ID

  • Encabeçamento dos dados do usuário (UDH)

Esta é a URL que é usada neste exemplo:

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

Nota: Todos os campos imperativos são incluídos na URL precedente. Os campos opcionais puderam ser adicionados à corda se necessários.

Estão aqui algumas notas sobre os campos opcionais:

  1. O nome de usuário e senha deve ser incluído neste link (infelizmente, o texto claro é usado).

  2. O número móvel é tomado automaticamente do campo de número de telefone durante o exercício da criação do convidado do portal do patrocinador.

  3. O campo da mensagem é enchido automaticamente deste lugar: O portal do patrocinador > personalização portal da página > notifica convidados > notificação > texto de mensagem de SMS.

Depois que você permite o método do CARGO do uso HTTP para a porção de dados, o pedido do CARGO HTTP está usado:

Se você usa o método do CARGO, especifique o tipo de conteúdo, tal como a planície/texto ou o aplicativo/xml. Toda informação restante deve ser compartilhada pelo provedor de serviços de SMS.

O campo de dados é usado na maior parte com o método do CARGO. Toda a informação que for usada no campo de dados para o método GET é adicionada na extremidade do identificador de recurso uniforme (URI) para o pedido do HTTP GET.

Está aqui um exemplo do URI para o pedido do HTTP GET:

Quando a variável $message$ não está usada no link URL, mas a informação está entrada no campo de dados, esta informação é visível perto do começo (campo da mensagem) do URI para o pedido do HTTP GET:

Está aqui um exemplo do URI para o pedido do HTTP GET:

Estão aqui algumas notas sobre a codificação:

  • Campo URL – Este campo URL-não é codificado. O número móvel da conta do convidado é substituído na URL. As substituições dinâmicas apoiadas são $mobilenumber$ e $message$.

  • Campo de dados – Este campo URL-é codificado pelo sistema application/x-www-form-urlencoded. 

  • Espaço – Há dois tipos de codificação URL, que diferem na maneira que tratam espaços. O primeiro (especificado pelo RFC 1738) trata um espaço como apenas um outro caráter ilegal em uma URL e codifica-o como %20. O segundo (quando o sistema application/x-www-form-urlencoded é executado) codifica um espaço como a + caráter e é usado a fim construir as cordas da pergunta. A segunda opção usa o urlencode () e as funções do urldecode () que diferem de suas contrapartes cruas (RFC 1738) somente que codificam os espaços como mais sinais (+) em vez como da sequência %20. Porque o ISE usa o sistema application/x-www-form-urlencoded para a criptografia do campo de dados, um espaço é cifrado como a + caráter.

Nota: Se a variável $message$ está usada em um link URL diretamente ou a variável $message$ está usada no campo de dados somente, a informação está tomada do texto de mensagem sob a notificação de SMS (página portal da personalização > notificação de SMS). Todos os dados no campo do texto de mensagem URL-são codificados.

Estão aqui dois exemplos:

Está aqui um exemplo do URI para o pedido do HTTP GET:

Nota: O método GET não apoia HTTPS (é somente pelo método do CARGO).

Notificação do convidado com credenciais através do email

O usuário que cria contas do convidado através do portal do patrocinador tem a opção para enviar notificações de Email com credenciais a esse usuário específico:

Este email é enviado ao endereço email do convidado através do relé previamente configurado S TP. O patrocinador pode fornecer todo o email de que for usado como. Se o patrocinador não fornece o endereço email do convidado durante a criação de conta, o ISE retorna este erro da interface gráfica de usuário (GUI):

Unable to send email.

As políticas do servidor SMTP decidem se aceitar ou deixar cair tal email. Por exemplo, o server pode ser configurado a fim aceitar email somente do domínio example.com.

Notificação do convidado com credenciais através de SMS

Para que esta opção trabalhe, o patrocinador deve estar no grupo do patrocinador que permitiu o privilégio:

Send SMS notifications with guests' credentials

O grupo do patrocinador do padrão (ALL_ACCOUNTS) tem que o privilégio desabilitou. A fim mudar isto, navegue ao acesso do convidado > configuram > patrocinador agrupa > ALL_ACCOUNTS:

Quando você escolhe uma notificação através de SMS, à revelia não há nenhuma opção para escolher um fornecedor específico de SMS, assim que um padrão um é usado. A fim mudar isto, você pode personalizar o portal do patrocinador. 

A fim personalizar o portal do patrocinador, navegue ao acesso do convidado > configuram > portais do patrocinador > portal do patrocinador. Você pode então escolher a opção de personalização portal da página e para enrolar para baixo para criar esclareça convidados conhecidos:

Dentro do painel correto, mude o valor de precedente aos ajustes e selecione (múltiplo) o fornecedor desejado de SMS para essa página:

Uma vez que o portal do convidado cria esclarece sabido que página do convidado está personalizado, o patrocinador que usa o portal tem a opção para selecionar um fornecedor de SMS durante a criação de uma conta do convidado. Este mesmo fornecedor é usado para umas notificações mais adicionais de SMS:

Quando o gateway de SMS não é alcançável nem retorna um erro, o ISE GUI envia uma notificação:

Unable to send SMS.

Nota: SMS não está enviado quando o usuário está criado, mas quando o botão da notificação está clicado depois que a criação do usuário está completa.

Usuários convidado (Auto-registrados)

As contas dos convidados podem ser criadas automaticamente através do portal Auto-registrado do convidado. Os usuários convidado podem criar suas próprias contas:

São fornecidos (à revelia) com as credenciais no mesmo página da web:

Estas credenciais podem igualmente ser entregadas através do email ou do SMS.

Navegue ao acesso do convidado > configuram > portais do convidado > composição registradas auto do registro do portal > do auto do convidado a fim permitir gateways múltiplos de SMS para convidados auto-registrados específico:

Os convidados podem selecionar um fornecedor de SMS durante a criação de conta. Isto é usado a fim entregar credenciais a seus telefones celulares:

Depois que o registro está completo, uma senha está apresentada na página seguinte. Se isto não é desejado, você pode desabilitá-lo da seção da página do sucesso do registro do auto do portal. Da mesma página, você pode igualmente permitir que o convidado entregue manualmente a notificação através do email ou do SMS:

A fim entregar automaticamente as credenciais através do email ou o SMS (ou ambos), personalize a última seção das composição do registro do auto:

Neste caso, um endereço email e um número de telefone devem ser entrados durante a criação de conta do convidado.

Este é o único fluxo do convidado onde as notificações podem ser enviadas automaticamente (imediatamente depois que o usuário se registrou). Quando a conta de usuário convidado é criada por um patrocinador, esta opção não está disponível, e uma notificação é enviada somente depois que o patrocinador clica manualmente o botão da notificação.

Aprovação do convidado através do email

Como descrito na seção anterior, os convidados podem registrar-se e ter uma conta registrada automaticamente. Contudo, é igualmente possível permitir a aprovação do patrocinador para este processo.

Neste caso, o patrocinador recebe um email que deva ser aprovado (um link específico no email é clicado). Somente é então a conta do convidado ativada. A fim configurar esta característica (é desabilitada à revelia) navegue ao acesso do convidado > configuram > portais do convidado > composição registradas auto do registro do portal > do auto do convidado e permitem os convidados auto-registrados Require de ser opção aprovada:

Você deve igualmente fornecer os endereços email dos patrocinadores que podem aprovar a conta do convidado.

Estão aqui alguns ajustes adicionais que podem ser configurados da página dos ajustes do email do convidado:

Estes ajustes aplicam-se a todos os tipos de notificações do convidado (não somente patrocinador-aprovadas).

Expiração da conta do convidado através de Email/SMS

Os usuários dos convidados podem ser informados quando a conta é logo expirar. A fim configurar isto (pelo tipo do convidado), navegue ao acesso do convidado > ao convidado datilografa > contratante:

Todos os convidados que são contratantes receberão uma notificação três dias antes da expiração da conta. Esta notificação pode ser entregada através de SMS e/ou do email. O fornecedor SMS-específico pode ser selecionado e será usado para todos os convidados (mesmo se permitido ao convidado específico auto-é registrado e usar um fornecedor diferente de SMS).

Na mesma seção, há-me um email do teste da emissão na opção. Isto torna possível testar a Disponibilidade e a configuração do servidor SMTP. Depois que você fornece um endereço email, este mensagem de Email está entregado então:

Alarmes entregados através do email

O ISE pode enviar email para alertas detectados do sistema. A fim permitir esta capacidade, navegue à administração > ao sistema > aos ajustes > à notificação de alarme de alarme e forneça e aos endereços email:

Assegure-se de que um alarme específico esteja permitido da seção de configuração do alarme:

Uma vez que permitido e provocado, um email será enviado quando o alarme for provocado. Está aqui um exemplo do alerta típico que é enviado:

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

Envie SMS através do RESTO API

O ISE permite que o uso de um RESTO API do convidado a fim criar usuários convidado. Uma vez que um usuário convidado é criado com o fornecedor correto de SMS, é possível enviar SMS com o RESTO API do convidado. Aqui está um exemplo:

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

Neste exemplo, 444 são o usuário convidado - a identificação e a corda longa (ff2d99e0-2101-11e4-b5cf-005056bf2f0a) são o portal ID (portal do patrocinador).

Nota: A autorização básica HTTP para um usuário correto do patrocinador é exigida. Para mais detalhes, refira o guia de referência API.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.

Informações Relacionadas



Document ID: 119213