Sécurité : Logiciel Cisco Identity Services Engine

Configurez l'email de version 1.4 ISE et les notifications SMS

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (21 avril 2016) | Commentaires

Introduction

Le document décrit comment configurer la version 1.4 du Logiciel Cisco Identity Services Engine (ISE) afin de prendre en charge l'email et les notifications courtes du service de messagerie (SMS) pour des plusieurs services.

Contribué par Michal Garcarz et Artem Tkachov, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Cisco recommande que vous ayez une connaissance de base de Cisco ISE et des services d'invité.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Version 7 de Microsoft Windows avec le Client à mobilité sécurisé Cisco AnyConnect, version 3.1

  • La gamme de Cisco Catalyst 3750X commute que les versions de logiciel 15.0.2 de passages et plus tard

  • Versions 1.3 et ultérieures de Cisco ISE

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Configurez

Cette section décrit comment configurer l'ISE afin de prendre en charge l'email et les notifications SMS pour de divers services.

Configurations de SMTP

Avant qu'il puisse utiliser tous les services de messagerie électronique, l'ISE doit avoir un serveur simple de relais de Protocol de transfert des messages (SMTP) configuré. Afin de configurer le serveur, naviguez vers la gestion > le système > les configurations > le serveur SMTP :

Ce serveur devrait avoir la capacité de recevoir tous les emails de l'ISE sans authentification ou cryptage.

Remarque: Pour la configuration du serveur de relais de SMTP, Cisco recommande que vous ajoutiez l'adresse IP ISE aux exceptions répertoriiez (aucun ou authentification anonyme) et ayez besoin de l'authentification de tous autres hôtes.

Configurations SMS

Pour que les services SMS fonctionnent avec l'ISE, vous devez configurer une passerelle de la particularité SMS. L'ISE prend en charge des passerelles Smtp2SMS et Http2SMS. Par défaut, il y a neuf passerelles qui sont préconfigurées pour les fournisseurs réputés (vous pourriez le besoin de force d'accorder ces derniers). Afin de configurer ces derniers, naviguez vers la gestion > le système > les configurations > la passerelle SMS :

Passerelle SMS par l'intermédiaire de SMTP

Quand vous configurez la passerelle du SMTP SMS, le seul champ requis est le champ Domain de fournisseur, selon les paramètres de passerelle SMS pour la section de passerelle d'email SMS du guide de l'administrateur de Logiciel Cisco Identity Services Engine, version 1.4.

Avec les valeurs par défaut (vides), la valeur du gisement de modèle de corps du SMTP API est égale à la valeur $message$.

La valeur de message par défaut dépend du service qui est utilisé. Pour des Services de notification (quand vous créez un compte d'invité), il est configurable de la page portaile de personnalisation de sponsor (informez la notification Guest/SMS). C'est la valeur par défaut :

La valeur de gisement de modèle de corps du SMTP API peut également être personnalisée. Les substitutions dynamiques prises en charge pour la valeur par défaut sont $mobilenumber$ et $message$. Par exemple, quand vous configurez la valeur du modèle $message$ de test, ces données sont introduites la charge utile de SMTP :

Après que la chaîne de modèle de test, la valeur du $message$ soit substituée (dans cet exemple, pour le service de notification SMS).

Un autre exemple de la valeur de gisement de modèle de corps du SMTP API est le test template2 $mobilenumber$. C'est la charge utile qui est envoyée quand cette valeur est utilisée :

Il est important de noter une légère différence entre le $mobilenumber$ et les variables $message$. Normalement, tous les caractères de whitespace (les espaces) sont échappés et remplacés par + caractère. Quand la variable $message$ est utilisée, ces caractères de whitespace sont gardés.

Il y a un exemple d'une passerelle du SMTP SMS (ClickatellViaSMTP) qui est configurée avec de plusieurs valeurs dans le domaine de modèle de corps du SMTP API. Toutes ces valeurs sont statiques (excepté les valeurs $message$ et $mobilenumber$). Les valeurs sont fournies afin de prouver qu'il est possible d'ajuster cette charge utile et de fournir les informations supplémentaires, qui pourraient être eues besoin par le fournisseur de SMTP. Les valeurs qui sont affichées en majuscules devraient être remplacées par les valeurs correctes, qui sont fournies par le fournisseur (et elles seront identiques pour tous les emails qui sont envoyés par l'intermédiaire de ce fournisseur).

Voici un exemple :

Passerelle SMS par l'intermédiaire de HTTP

Pour la passerelle HTTP2SMS, entrez dans le HTTP API SMS afin d'utiliser un HTTP obtiennent la méthode de demande :

Habituellement, le fournisseur SMS devrait indiquer les attributs il est obligatoire envoyer qu'et ceux qui sont facultatifs, aussi bien que le genre de chaîne qui devrait être envoyé et de numéro de port (s'il est autre que 80).

Voici un exemple qui est basé sur le fournisseur de service SMS d'AwalJawaly, et c'est la structure URL qui est utilisée : http://awaljawaly.awalservices.com.sa:8001/Send.aspx.

Ce sont les paramètres obligatoires :

  • Type de requête (SMSSubmitReq)

  • Nom d'utilisateur

  • Mot de passe

  • Numéro du mobile

  • Message

Ce sont les paramètres optionnels

  • Adresse d'origine

  • Type

  • Délai de livraison

  • Période de validité

  • Flasher

  • Remerciement

  • Crédits maximum

  • ID de message de client

  • En-tête de données d'utilisateur (UDH)

C'est l'URL qui est utilisé dans cet exemple :

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

Remarque: Tous les champs obligatoires sont inclus dans l'URL précédent. Les champs facultatifs pourraient être ajoutés à la chaîne si nécessaires.

Voici quelques notes au sujet des champs facultatifs :

  1. Le nom d'utilisateur et mot de passe devrait être inclus dans ce lien (malheureusement, le texte clair est utilisé).

  2. Le numéro du mobile est pris automatiquement du champ Numéro de téléphone pendant l'exercice de création d'invité du portail de sponsor.

  3. Le champ de message est rempli automatiquement à partir de cet emplacement : La personnalisation de portail > de page du portail de sponsor > informent des invités > la notification > le texte du message SMS.

Après que vous activiez la méthode de POST de HTTP d'utilisation pour la partie données, la demande de POST de HTTP est utilisée :

Si vous utilisez la méthode de POST, spécifiez le type satisfait, tel que la brute/texte ou l'application/xml. Toutes autres informations devraient être partagées par le fournisseur de service SMS.

La zone d'information est en grande partie utilisée avec la méthode de POST. N'importe quelles informations qui sont utilisées dans la zone d'information pour la méthode d'OBTENIR sont ajoutées à l'extrémité de l'identifiant de ressource uniforme (URI) pour la demande de HTTP d'OBTENIR.

Voici un exemple de l'URI pour la demande de HTTP d'OBTENIR :

Quand la variable $message$ n'est pas utilisée dans le lien URL, mais les informations sont entrées dans la zone d'information, ces informations sont visibles près du début (champ de message) de l'URI pour la demande de HTTP d'OBTENIR :

Voici un exemple de l'URI pour la demande de HTTP d'OBTENIR :

Voici quelques notes au sujet du codage :

  • Champ URL ? Ce champ URL-n'est pas encodé. Le numéro du mobile de compte d'invité est substitué dans l'URL. Les substitutions dynamiques prises en charge sont $mobilenumber$ et $message$.

  • Zone d'information ? Ce champ URL-est encodé par le système application/x-www-form-urlencoded. 

  • L'espace ? Il y a deux types de codage URL, qui diffèrent de la manière qu'ils traitent les espaces. Le premier (spécifié par RFC 1738) traite un espace en tant que juste autre caractère non-autorisé dans un URL et l'encode en tant que %20. Le deuxième (quand le système application/x-www-form-urlencoded est mis en application) encode un espace en tant qu'a + caractère et est utilisé afin d'établir les chaînes de requête. La deuxième option utilise l'urlencode () et les fonctions d'urldecode () qui diffèrent de leurs homologues crus (RFC 1738) seulement du fait ils encodent les espaces comme plus des signes (+) au lieu de comme ordre %20. Puisque l'ISE utilise le système application/x-www-form-urlencoded pour le cryptage de zone d'information, un espace est chiffré en tant qu'a + caractère.

Remarque: Si la variable $message$ est utilisée dans un lien URL directement ou la variable $message$ est utilisée dans la zone d'information seulement, les informations sont prises du texte du message sous la notification SMS (page portaile de personnalisation > notification SMS). Toutes les données dans le domaine de texte du message URL-sont encodées.

Voici deux exemples :

Voici un exemple de l'URI pour la demande de HTTP d'OBTENIR :

Remarque: La méthode d'OBTENIR ne prend en charge pas HTTPS (elle est seulement par la méthode de POST).

Notification d'invité avec des qualifications par l'intermédiaire d'email

L'utilisateur qui crée des comptes d'invité par l'intermédiaire du portail de sponsor a l'option d'envoyer des notifications électroniques avec des qualifications à cet utilisateur spécifique :

Cet email est envoyé à l'adresse e-mail d'invité par le relais précédemment configuré de SMTP. Le sponsor peut fournir n'importe quel email dont est utilisé comme. Si le sponsor ne fournit pas l'adresse e-mail d'invité pendant la création de compte, l'ISE renvoie cette erreur de l'interface utilisateur graphique (GUI) :

Unable to send email.

Les stratégies de serveur SMTP décident si recevoir ou relâcher un tel email. Par exemple, le serveur peut être configuré afin de recevoir des emails seulement du domaine example.com.

Notification d'invité avec des qualifications par l'intermédiaire de SMS

Pour que cette option fonctionne, le sponsor doit être dans le groupe de sponsor qui a activé le privilège :

Send SMS notifications with guests' credentials

Le groupe par défaut de sponsor (ALL_ACCOUNTS) fait désactiver ce privilège. Afin de changer ceci, naviguez vers l'accès invité > configurent > sponsor groupe > ALL_ACCOUNTS :

Quand vous choisissez une notification par l'intermédiaire du SMS, par défaut il n'y a aucune option de choisir un fournisseur de la particularité SMS, ainsi par défaut est utilisé. Afin de changer ceci, vous pouvez personnaliser le portail de sponsor. 

Afin de personnaliser le portail de sponsor, naviguez vers l'accès invité > configurent > les portails de sponsor > le portail de sponsor. Vous pouvez alors choisir l'option de personnalisation de page du portail et faire descendre l'écran pour créer expliquez les invités connus :

Dans le volet de droite, changez la valeur de précédent aux configurations et sélectionnez (multiple) le fournisseur désiré SMS pour cette page :

Une fois que le portail d'invité créent expliquent su que page d'invité est personnalisé, le sponsor qui utilise le portail a l'option de sélectionner un fournisseur SMS pendant la création d'un compte d'invité. Ce même fournisseur est utilisé pour d'autres notifications SMS :

Quand la passerelle SMS n'est pas accessible ou renvoie une erreur, le GUI ISE envoie une notification :

Unable to send SMS.

Remarque: Un SMS n'est pas envoyé quand l'utilisateur est créé, mais quand le bouton de notification est cliqué sur après que la création d'utilisateur soit complète.

Utilisateurs d'invité (Auto-enregistrés)

Des comptes d'invités peuvent être créés automatiquement par l'intermédiaire du portail Auto-enregistré d'invité. Les utilisateurs d'invité peuvent créer leurs comptes personnels :

Ils sont équipés (par défaut) de qualifications sur la même page Web :

Ces qualifications peuvent également être livrées par l'intermédiaire de l'email ou du SMS.

Naviguez vers l'accès invité > configurent > des portails d'invité > des mises en page d'enregistrement de portail > d'individu d'invité enregistrées par individu afin de permettre de plusieurs passerelles SMS pour les invités auto-enregistrés par particularité :

Les invités peuvent sélectionner un fournisseur SMS pendant la création de compte. Ceci est utilisé afin de livrer des qualifications à leurs téléphones portables :

Après l'enregistrement est complet, un mot de passe est présenté sur la page suivante. Si ceci n'est pas désiré, vous pouvez le désactiver de la section de page de succès d'enregistrement d'individu du portail. De la même page, vous pouvez également permettre à l'invité pour fournir manuellement la notification par l'intermédiaire de l'email ou du SMS :

Afin de livrer automatiquement les qualifications par l'intermédiaire de l'email ou le SMS (ou chacun des deux), personnalisez la dernière section des mises en page d'enregistrement d'individu :

Dans ce cas, une adresse e-mail et un numéro de téléphone doivent être entrés pendant la création de compte d'invité.

C'est le seul écoulement d'invité où des notifications peuvent être envoyées automatiquement (juste après que l'utilisateur s'est enregistré). Quand le compte utilisateur d'invité est créé par un sponsor, cette option n'est pas disponible, et une notification est envoyée seulement après que le sponsor clique sur manuellement le bouton de notification.

Approbation d'invité par l'intermédiaire d'email

Comme décrit dans la section précédente, des invités peuvent s'enregistrer et faire enregistrer automatiquement un compte. Cependant, il est également possible d'activer l'approbation de sponsor pour ce processus.

Dans ce cas, le sponsor reçoit un email qui doit être approuvé (un lien spécifique dans l'email est cliqué sur). Est seulement alors le compte d'invité lancé. Afin de configurer cette caractéristique (par défaut il est désactivé) naviguez vers l'accès invité > configurent > des portails d'invité > des mises en page d'enregistrement de portail > d'individu d'invité enregistrées par individu et permettent aux invités auto-enregistrés Require d'être option approuvée :

Vous devez également fournir les adresses e-mail des sponsors qui peuvent approuver le compte d'invité.

Voici quelques configurations supplémentaires qui peuvent être configurées de la page Settings d'email d'invité :

Ces configurations s'appliquent à tous les types de notifications d'invité (non seulement sponsor-approuvées).

Expiration de compte d'invité par l'intermédiaire d'Email/SMS

Les utilisateurs d'invités peuvent être au courant quand le compte est bientôt d'expirer. Afin de configurer ceci (par type d'invité), naviguez vers l'accès invité > l'invité tape > sous-traitant :

Tous les invités qui sont des sous-traitants recevront une notification pendant trois jours avant l'expiration de compte. Cette notification peut être fournie par l'intermédiaire du SMS et/ou de l'email. Le fournisseur de SMS-particularité peut être sélectionné et sera utilisé pour tous les invités (même si l'invité spécifique auto-est enregistré et est permis pour utiliser un fournisseur différent SMS).

Dans la même section, il y a un email de test d'envoi à moi à l'option. Ceci permet pour tester la Disponibilité et la configuration de serveur SMTP. Après que vous fournissiez une adresse e-mail, ce message électronique est alors fourni :

Alarmes fournies par l'intermédiaire de l'email

L'ISE peut envoyer des emails pour des alertes système détectées. Afin d'activer cette capacité, naviguez vers la gestion > le système > le réglage des alarmes > la notification d'alarme et fournissez et derrière des adresses e-mail :

Assurez-vous qu'une alarme spécifique est activée de la section de configuration d'alarme :

Une fois qu'activé et déclenché, un email sera envoyé quand l'alarme est déclenchée. Voici un exemple de l'alerte typique qui est envoyée :

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

Envoyez le SMS par l'intermédiaire du REPOS API

L'ISE permet à l'utilisation d'un REPOS API d'invité afin de créer des utilisateurs d'invité. Une fois qu'un utilisateur d'invité est créé avec le fournisseur correct SMS, il est possible d'envoyer un SMS avec le REPOS API d'invité. Voici un exemple :

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

Dans cet exemple, 444 est l'user-id d'invité et la longue chaîne (ff2d99e0-2101-11e4-b5cf-005056bf2f0a) est l'ID portail (portail de sponsor).

Remarque: L'autorisation de base de HTTP pour un utilisateur correct de sponsor est exigée. Pour plus de détails, référez-vous au guide de référence API.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Il n'existe actuellement aucune information de dépannage spécifique pour cette configuration.

Informations connexes



Document ID: 119213