安全 : 思科身份服务引擎

配置ISE版本1.4电子邮件和SMS通知

2016 年 10 月 24 日 - 机器翻译
其他版本: PDFpdf | 英语 (2016 年 4 月 21 日) | 反馈

简介

本文描述如何配置思科身份服务引擎(ISE)版本1.4为了支持电子邮件和短消息服务(SMS)通知多个服务的。

贡献用米哈拉Garcarz和Artem Tkachov, Cisco TAC工程师。

先决条件

要求

思科建议您有思科ISE和访客服务的基础知识。

使用的组件

本文档中的信息基于下列硬件和软件版本:

  • 与Cisco AnyConnect安全移动客户端的Microsoft Windows版本7,版本3.1

  • Cisco运行软件版本15.0.2及以后的Catalyst 3750X系列交换机

  • Cisco ISE版本1.3和以上

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

配置

此部分描述如何配置ISE为了支持电子邮件和SMS通知多种服务的。

SMTP设置

在它能使用所有电子邮件服务前, ISE必须有配置的简单消息转发协议(SMTP)中继服务器。为了配置服务器,请导航到管理>System >设置> SMTP服务器

此服务器应该有能力接受从ISE的所有电子邮件,不用验证或加密。

注意:对于SMTP中继服务器配置,思科建议您添加ISE IP地址到例外列出(没有匿名验证)并且需要从其他主机的验证。

SMS设置

为了SMS服务能与ISE一起使用,您必须配置一个特定SMS网关。ISE支持Smtp2SMSHttp2SMS网关。默认情况下,有为著名的供应商的九个网关(您预先配置可能威力需要调整这些)。为了配置这些,请导航到管理>System >设置> SMS网关

SMS网关通过SMTP

当您配置SMTP SMS网关时,唯一的必填字段是运营商域字段,根据SMS电子邮件思科身份服务引擎管理员指南的网关部分的SMS网关设置,版本1.4。

使用默认设置(空), SMTP API正文模板字段的值与$message$值是相等的。

Message值的默认取决于使用的服务。对于通知服务(当您创建访客帐户)时,它从赞助商门户自定义页是可配置(请通知Guest/SMS通知)。这是默认值:

SMTP API正文模板字段值可能也定制。默认值的支持的动态替换法是$mobilenumber$$message$。例如,当您配置测验模板$message$值时,此数据在SMTP有效负载发送:

测验模板字符串, $message$的值将被替代后(在本例中, SMS通知服务的)。

SMTP API正文模板字段值的另一示例是测验template2 $mobilenumber$。发送的这是有效负载,当使用时此值:

注意$mobilenumber$$message$变量之间的一个轻微的区别是重要的。通常,所有空白字符(空间)由退出并且替换+字符。当使用时$message$变量,那些空白字符收留。

有配置与多个值在SMTP API正文模板字段SMTP SMS网关(ClickatellViaSMTP)的一示例。所有这些值是静态的(除了$message$$mobilenumber$值)。提供值为了显示调节该有效负载和提供其它数据是可能的,也许由SMTP供应商要求。用大写字母显示的值应该用正确值替换,供应商(和他们提供将是相同的为通过此供应商被发送)的所有电子邮件。

示例如下:

SMS网关通过HTTP

HTTP2SMS网关,回车SMS HTTP API为了使用HTTP GET请求方法:

通常, SMS供应商应该指示是必须发送的可选的属性和那些,以及应该发送的这字符串和端口号(如果是除80之外)。

这是根据AwalJawaly SMS服务提供商的示例,并且这是使用的URL结构: http://awaljawaly.awalservices.com.sa:8001/Send.aspx

这些是必选参数

  • 请求类型(SMSSubmitReq)

  • 用户名

  • 密码

  • 手机号

  • 消息

这些是可选参数: 

  • 始发地地址

  • 类型

  • 交货时间

  • 有效性周期

  • 闪烁

  • 鸣谢

  • 最大赊帐

  • 客户端消息ID

  • 用户数据报头(UDH)

用于此示例的这是URL :

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

注意:所有必选字段在上一个URL包括。若需要可选字段也许被添加到字符串。

这是关于可选字段的一些笔记:

  1. 在此链路应该包括用户名和密码(不幸地,使用明文)。

  2. 在从赞助商门户的访客创建练习期间移动编号从电话号码字段中自动地被采取。

  3. Message字段从此位置自动地被填装:赞助商门户>入口页面自定义>通知访客> SMS通知>文本

在您启用数据部分的后使用HTTP POST方法,使用HTTP POST请求

如果使用POST方法,请指定内容类型,例如无格式/文本或者应用程序/xml。应该由SMS服务提供商共享其他信息。

数据域主要使用与POST方法。在数据域使用GET方法的所有信息被添加在GET HTTP请求的统一资源识别符(URI)结束时。

这是URI的示例GET HTTP请求的:

$message$变量没有用于URL链路时,但是信息在数据域被输入,此信息在开始是可视(Message字段) GET HTTP请求的URI附近:

这是URI的示例GET HTTP请求的:

这是关于编码的一些笔记:

  • URL字段–此字段没有URL编码。访客帐户移动编号被替代到URL。支持的动态替换法是$mobilenumber$$message$

  • 数据域–此字段由application/x WWW表urlencoded系统URL编码。 

  • 空间–有编码URL的两种的类型,有所不同就象他们对待空间。第一(指定由RFC 1738)对待空间作为在URL的另一个非法字符并且编码它作为%20。第二(当application/x WWW表urlencoded系统实现)时编码空间作为a +字符和使用为了构件查询字符串。第二个选项使用与他们的原始副本的urlencode ()urldecode ()功能(RFC 1738)只有所不同他们编码空间作为加号(+)而不是作为顺序%20。由于ISE使用application/x WWW表urlencoded系统数据域加密,空间加密作为a +字符。

注意:如果$message$变量直接地用于URL链路或$message$变量用于仅数据域,信息从在SMS通知(门户自定义页下的文本被采取> SMS通知)。所有数据在文本领域URL编码。

以下为两个示例:

这是URI的示例GET HTTP请求的:

注意:GET方法不支持HTTPS (仅是用POST方法)。

与凭证的访客通知通过电子邮件

通过赞助商门户创建访客帐户的用户有选项发送与凭证的电子邮件通知对该特定用户:

此电子邮件被发送对访客电子邮件地址通过以前已配置的SMTP中继。赞助商能提供使用和的所有电子邮件。如果赞助商不在帐户创建时提供访客电子邮件地址, ISE返回此图形用户界面(GUI)错误:

Unable to send email.

SMTP服务器策略是否决定接受或丢弃这样电子邮件。例如,服务器可以配置为了接受仅电子邮件从域example.com

与凭证的访客通知通过SMS

为了此选项能工作,赞助商必须是在启用权限的赞助商组中:

Send SMS notifications with guests' credentials

默认赞助商组(ALL_ACCOUNTS)安排该权限禁用。为了更改此,请导航对访客访问>配置>赞助商Groups> ALL_ACCOUNTS

当您通过SMS时选择通知,默认情况下没有选择的选项每特定SMS供应商,因此使用默认一。为了更改此,您能定制赞助商门户。 

为了定制赞助商门户,请导航对访客访问>配置>赞助商门户>赞助商门户。您能然后选择入口页面自定义选项和移动下来创建已知访客的帐户

在右窗格内,请更改从上一个的值到设置并且选择该页的希望的(多个) SMS供应商:

一旦门户创建已知guest页的帐户的访客定制,使用门户的赞助商有中的选项SMS供应商在访客帐户的创建时。此同样供应商使用更加进一步的SMS通知:

当SMS网关不可及的也不返回错误时, ISE GUI发送通知:

Unable to send SMS.

注意:SMS没有发送,当用户创建时,但是,当通知按钮点击时,在用户创建完成后。

来宾用户(赛弗注册)

访客帐户可以通过赛弗注册的访客门户自动地创建。来宾用户能创建他们自己的帐户:

他们带有(默认情况下)凭证在同一个网页:

这些凭证可能通过电子邮件或SMS也传送。

导航对访客访问>配置>访客门户>赛弗注册的访客门户>赛弗注册页定位为了允许多个SMS网关特定赛弗注册的访客:

访客能在帐户创建时选择SMS供应商。这用于为了传送凭证到他们的移动电话:

在注册完成以后,密码在Next页被提交。如果这没有希望,您能从门户的赛弗注册成功页部分禁用它。从同一个页,您能也允许访客通过电子邮件或SMS手工提供通知:

为了通过电子邮件自动地传送凭证或SMS (或两个),请定制赛弗注册页定位的最后一部分:

在这种情况下,必须在访客帐户创建时输入电子邮件地址和电话号码。

这是通知可以自动地发送的唯一的访客流(在用户注册)之后。当来宾用户用户帐号由赞助商时创建,此选项不是可用的,并且通知发送,在赞助商手工单击通知按钮之后。

访客批准通过电子邮件

正如前面部分所描述,访客能注册和安排帐户自动地注册。然而,启用此进程的赞助商批准也是可能的。

在这种情况下,赞助商收到必须审批的电子邮件(在电子邮件的一条特定链路点击)。那时是激活的访客帐户。为了配置此功能(默认情况下禁用)请导航对访客访问>配置>访客门户>赛弗注册的访客门户>赛弗注册页定位并且使Require赛弗注册的访客是审批的选项:

您必须也提供能审批访客帐户赞助商的电子邮件地址。

这是可以从Settings页访客的电子邮件配置的一些另外的设置:

这些设置适用对访客通知的所有类型(不仅赞助商审批)。

访客帐户有效期通过Email/SMS

当帐户很快是超时时,客人身份的用户可以是消息灵通的。为了配置此(每个访客类型),请导航给访客访问>访客键入>承包商

承包商的所有访客将接收通知在帐户有效期之前的三天。此通知可以通过SMS和电子邮件传送。SMS特定供应商可以选择,并且使用所有访客(即使特定访客赛弗注册和允许使用一个不同的SMS供应商)。

在同一个部分,有发送测验电子邮件给我在选项。这使成为可能测试SMTP服务器可用性和配置。在您提供一个电子邮件地址后,此电子邮件消息然后传送:

通过电子邮件传送的报警

ISE能发送检测的系统警报的电子邮件。为了启用此功能,请导航对管理>System >告警设置>告警通知并且提供电子邮件地址:

保证一特定报警从报警配置部分启用:

一旦已启用和触发,电子邮件将被发送,当报警被触发。这是被发送典型的警报的示例:

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

发送SMS通过其余API

ISE允许使用访客其余API为了创建来宾用户。一旦来宾用户创建与正确SMS供应商,发送与访客其余API的一个SMS是可能的。示例如下:

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

在本例中, 444是访客用户ID,并且长串(ff2d99e0-2101-11e4-b5cf-005056bf2f0a)是门户ID (赞助商门户)。

注意:一个正确赞助商用户的基本HTTP授权要求。欲了解更详细的信息,参考API参考指南

验证

当前没有可用于此配置的验证过程。

故障排除

目前没有针对此配置的故障排除信息。

相关信息



Document ID: 119213