Seguridad : Cisco Identity Services Engine

Correo electrónico de la versión 1.4 de la configuración ISE y notificaciones de SMS

18 Junio 2016 - Traducción Automática
Otras Versiones: PDFpdf | Comentarios

Introducción

El documento describe cómo configurar la versión 1.4 del Cisco Identity Services Engine (ISE) para soportar el correo electrónico y las notificaciones del servicio de mensajería del cortocircuito (SMS) para los servicios múltiples.

Contribuido por Michal Garcarz y Artem Tkachov, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

Cisco recomienda que usted tiene un conocimiento básico de Cisco ISE y de los servicios del invitado.

Componentes Utilizados

La información que contiene este documento se basa en estas versiones de software y hardware.

  • Versión 7 de Microsoft Windows con el Cliente de movilidad Cisco AnyConnect Secure, versión 3.1

  • Cisco Catalyst 3750X Series Switch que funciona con las versiones de software 15.0.2 y posterior

  • Versiones 1.3 de Cisco ISE y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Configurar

Esta sección describe cómo configurar el ISE para soportar el correo electrónico y las notificaciones de SMS para los diversos servicios.

Configuraciones S TP

Antes de que pueda utilizar cualquier servicio de correo electrónico, el ISE debe tener un servidor de retransmisión del protocolo simple message transfer (S TP) configurado. Para configurar el servidor, navegue a la administración > al sistema > a las configuraciones > al servidor SMTP:

Este servidor debe tener la capacidad de validar cualquier correo electrónico del ISE sin la autenticación o el cifrado.

Nota: Para la configuración de servidor de retransmisión S TP, Cisco recomienda que usted agrega la dirección IP ISE a las excepciones enumera (ningún o autenticación anónima) y requiere la autenticación del resto de los host.

Configuraciones de SMS

Para que los servicios de SMS trabajen con el ISE, usted debe configurar un gateway específico de SMS. El ISE soporta los gatewayes Smtp2SMS y Http2SMS. Por abandono, hay nueve gatewayes que se preconfiguran para los proveedores bien conocidos (usted pudo necesidad de la fuerza de ajustar éstos). Para configurar éstos, navegue a la administración > al sistema > a las configuraciones > al gateway de SMS:

Gateway de SMS vía el S TP

Cuando usted configura el gateway S TP SMS, el único campo obligatorio es el campo del dominio del proveedor, según las configuraciones del gateway de SMS para la sección de SMS gateway de correo electrónico del guía del administrador del Cisco Identity Services Engine, la versión 1.4.

Con las configuraciones predeterminadas (vacías), el valor del campo Template del cuerpo S TP API es igual al valor $message$.

El valor predeterminado del mensaje depende del servicio se utiliza que. Para los Servicios de notificación (cuando usted crea una cuenta de invitado), es configurable de la página porta del arreglo para requisitos particulares del patrocinador (notifique la notificación Guest/SMS). Éste es el valor predeterminado:

El valor del campo Template del cuerpo S TP API puede también ser personalizado. Las substituciones dinámicas soportadas por el valor predeterminado son $mobilenumber$ y $message$. Por ejemplo, cuando usted configura el valor de la plantilla $message$ de la prueba, estos datos se envían en el payload S TP:

Después de la cadena de la plantilla de la prueba, el valor del $message$ será substituido (en este ejemplo, para el servicio de notificación de SMS).

Otro ejemplo del valor del campo Template del cuerpo S TP API es la prueba template2 $mobilenumber$. El es el payload se envía que cuando se utiliza este valor:

Es importante notar una leve diferencia entre el $mobilenumber$ y las variables $message$. Normalmente, todos los caracteres del whitespace (espacios) son escapados y substituidos por + carácter. Cuando se utiliza la variable $message$, se guardan esos caracteres del whitespace.

Hay un ejemplo de un gateway S TP SMS (ClickatellViaSMTP) que se configure con los valores múltiples en el campo Template del cuerpo S TP API. Todos estos valores son estáticos (excepto los valores $message$ y $mobilenumber$). Los valores se proporcionan para mostrar que es posible ajustar ese payload y proporcionar los datos adicionales, que se pudieron requerir por el proveedor S TP. Los valores que se visualizan con mayúsculas se deben substituir por los valores correctos, que son proporcionados por el proveedor (y ellos serán lo mismo para todos los correos electrónicos que se envíen vía este proveedor).

Aquí tiene un ejemplo:

Gateway de SMS vía el HTTP

Para el gateway HTTP2SMS, ingrese SMS HTTP API para utilizar un HTTP consiguen el método de la petición:

Generalmente, el proveedor de SMS debe indicar los atributos que son obligatorios de enviar y los que sean opcionales, así como la clase de cadena que debe ser enviada y del número del puerto (si está con excepción de 80).

Aquí está un ejemplo que se basa en el proveedor de servicio de AwalJawaly SMS, y ésta es la estructura URL se utiliza que: http://awaljawaly.awalservices.com.sa:8001/Send.aspx.

Éstos son los parámetros obligatorios:

  • Tipo de la petición (SMSSubmitReq)

  • Nombre de usuario

  • Contraseña

  • Número móvil

  • Mensaje

Éstos son los parámetros optativos

  • Direccionamiento del origen

  • Tipo

  • Plazo de expedición

  • Período de validez

  • El contellear

  • Acuse de recibo

  • Créditos máximos

  • Mensaje del cliente ID

  • Encabezado de los datos del usuario (UDH)

Éste es el URL que se utiliza en este ejemplo:

http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$

Nota: Todos los campos obligatorios se incluyen en el URL anterior. Los campos opcionales se pudieron agregar a la cadena si es necesario.

Aquí están algunas notas sobre los campos opcionales:

  1. El nombre de usuario y contraseña se debe incluir en este link (desafortunadamente, se utiliza el texto claro).

  2. El número móvil se toma automáticamente del campo de número telefónico durante el ejercicio de la creación del invitado del portal del patrocinador.

  3. El campo del mensaje se llena automáticamente de esta ubicación: El portal del patrocinador > arreglo para requisitos particulares porta de la página > notifica los invitados > la notificación > el mensaje de texto de SMS.

Después de que usted habilite el método del POSTE del uso HTTP para la porción de datos, se utiliza la petición post HTTP:

Si usted utiliza el método del POSTE, especifique el tipo de contenido, tal como llano/texto o aplicación/xml. El resto de la información se debe compartir por el proveedor de servicio de SMS.

El campo de datos se utiliza sobre todo con el método del POSTE. Cualquier información que se utilice en el campo de datos para el método GET se agrega en el extremo del Identificador de recursos uniformes (URI) para el pedido de HTTP GET.

Aquí está un ejemplo de URI para el pedido de HTTP GET:

Cuando la variable $message$ no se utiliza en el link URL, pero la información se entra en el campo de datos, esta información es visible cerca del comienzo (campo del mensaje) de URI para el pedido de HTTP GET:

Aquí está un ejemplo de URI para el pedido de HTTP GET:

Aquí están algunas notas sobre la codificación:

  • Campo URL – Este campo URL-no se codifica. El número móvil de la cuenta de invitado se substituye en el URL. Las substituciones dinámicas soportadas son $mobilenumber$ y $message$.

  • Campo de datos – Este campo URL-es codificado por el sistema application/x-www-form-urlencoded. 

  • Espacio – Hay dos tipos de codificación URL, que diferencian de la manera que tratan los espacios. El primer (especificado por el RFC 1738) trata un espacio como apenas otro carácter ilegal en un URL y lo codifica como %20. El segundo (cuando se implementa el sistema application/x-www-form-urlencoded) codifica un espacio como a + carácter y se utiliza para construir las cadenas de la interrogación. La segunda opción utiliza el urlencode () y las funciones del urldecode () que diferencian de sus contrapartes sin procesar (RFC 1738) solamente en que codifican los espacios como más las muestras (+) en vez como de la secuencia %20. Porque el ISE utiliza el sistema application/x-www-form-urlencoded para el cifrado del campo de datos, un espacio se cifra como a + carácter.

Nota: Si la variable $message$ se utiliza en un link URL directamente o la variable $message$ se utiliza en el campo de datos solamente, la información se toma del mensaje de texto bajo notificación de SMS (página del arreglo para requisitos particulares > notificación porta de SMS). Todos los datos en el campo del mensaje de texto URL-se codifican.

Aquí están dos ejemplos:

Aquí está un ejemplo de URI para el pedido de HTTP GET:

Nota: El método GET no soporta HTTPS (está solamente por el método del POSTE).

Notificación del invitado con las credenciales vía el correo electrónico

El usuario que crea las cuentas de invitado vía el portal del patrocinador tiene la opción para enviar las notificaciones por correo electrónico con las credenciales a ese usuario específico:

Este correo electrónico se envía a la dirección de correo electrónico del invitado a través de la retransmisión previamente configurada S TP. El patrocinador puede proporcionar cualquier correo electrónico del cual se utilice como. Si el patrocinador no proporciona la dirección de correo electrónico del invitado durante la creación de una cuenta, el ISE vuelve este error de la interfaz gráfica de usuario (GUI):

Unable to send email.

Las directivas del servidor SMTP deciden a si validar o caer tal correo electrónico. Por ejemplo, el servidor se puede configurar para validar los correos electrónicos solamente del dominio example.com.

Notificación del invitado con las credenciales vía SMS

Para que esta opción trabaje, el patrocinador debe estar en el grupo del patrocinador que ha habilitado el privilegio:

Send SMS notifications with guests' credentials

El grupo predeterminado del patrocinador (ALL_ACCOUNTS) hace ese privilegio inhabilitar. Para cambiar esto, navegue al acceso de invitado > a la configuración > al patrocinador agrupa > ALL_ACCOUNTS:

Cuando usted elige una notificación vía SMS, por abandono no hay opción para elegir un proveedor específico de SMS, así que se utiliza predeterminado. Para cambiar esto, usted puede personalizar el portal del patrocinador. 

Para personalizar el portal del patrocinador, navegue al acceso de invitado > a la configuración > a los portales del patrocinador > al portal del patrocinador. Usted puede entonces elegir la opción de personalización porta de la página y navegar hacia abajo para crear explique a los invitados conocidos:

Dentro del panel derecho, cambie el valor de anterior a las configuraciones y seleccione (múltiplo) el proveedor deseado de SMS para esa página:

Una vez que el portal del invitado crea explica sabido que página personalizan del invitado, el patrocinador que utiliza el portal tiene la opción para seleccionar un proveedor de SMS durante la creación de una cuenta de invitado. Este mismo proveedor se utiliza para notificaciones más futuras de SMS:

Cuando el gateway de SMS no es accesible ni vuelve un error, el ISE GUI envía una notificación:

Unable to send SMS.

Nota: SMS no se envía cuando crean al usuario, pero cuando se hace clic el botón de la notificación después de que la creación del usuario sea completa.

Usuarios invitados (Uno mismo-registradoes)

Las cuentas de los invitados se pueden crear automáticamente vía el portal Uno mismo-registrado del invitado. Los Usuarios invitados pueden crear sus propias cuentas:

Les proporcionan (por abandono) las credenciales en la misma página web:

Estas credenciales se pueden también entregar vía el correo electrónico o SMS.

Navegue al acceso de invitado > a la configuración > a los portales del invitado > a las paginaciones registradoas uno mismo del registro del portal > del uno mismo del invitado para permitir los gatewayes múltiples de SMS para los invitados uno mismo-registradoes específico:

Los invitados pueden seleccionar un proveedor de SMS durante la creación de una cuenta. Esto se utiliza para entregar las credenciales a sus teléfonos móviles:

Después de que el registro sea completo, una contraseña se presenta en la página siguiente. Si esto no se desea, usted puede inhabilitarlo de la sección de la página del éxito del registro del uno mismo del portal. De la misma página, usted puede también permitir que el invitado entregue manualmente la notificación vía el correo electrónico o SMS:

Para entregar automáticamente las credenciales vía el correo electrónico o SMS (o ambos), personalice la sección más reciente de las paginaciones del registro del uno mismo:

En este caso, una dirección de correo electrónico y un número de teléfono se deben entrar durante la creación de la cuenta de invitado.

Éste es el único flujo del invitado donde las notificaciones pueden ser enviadas automáticamente (inmediatamente después que el usuario se ha registrado). Cuando la cuenta de Usuario invitado es creada por un patrocinador, esta opción no está disponible, y se envía una notificación solamente después que el patrocinador hace clic manualmente el botón de la notificación.

Aprobación del invitado vía el correo electrónico

Según lo descrito en la sección anterior, los invitados pueden registrarse y hacer una cuenta registrar automáticamente. Sin embargo, es también posible habilitar la aprobación del patrocinador para este proceso.

En este caso, el patrocinador recibe un correo electrónico que deba ser aprobado (un link específico en el correo electrónico se hace clic). Entonces está solamente la cuenta de invitado activada. Para configurar esta característica (por abandono se inhabilita) navegue al acceso de invitado > a la configuración > a los portales del invitado > a las paginaciones registradoas uno mismo del registro del portal > del uno mismo del invitado y permita a los invitados uno mismo-registradoes Require para ser opción aprobada:

Usted debe también proporcionar las direcciones de correo electrónico de los patrocinadores que pueden aprobar la cuenta de invitado.

Aquí están algunas configuraciones adicionales que se pueden configurar de la página Configuración del correo electrónico del invitado:

Estas configuraciones se aplican a todos los tipos de notificaciones del invitado (no sólo patrocinador-aprobadas).

Expiración de la cuenta de invitado vía Email/SMS

Los usuarios de los invitados pueden ser informados cuando la cuenta es pronto expirar. Para configurar esto (por el tipo del invitado), navegue al acceso de invitado > al invitado teclea > contratista:

Todos los invitados que son contratistas recibirán una notificación tres días antes de la expiración de la cuenta. Esta notificación se puede entregar vía SMS y/o el correo electrónico. El proveedor SMS-específico se puede seleccionar y será utilizado para todos los invitados (incluso si uno mismo-registran y se permiten al invitado específico utilizar un diverso proveedor de SMS).

En la misma sección, hay un correo electrónico de la prueba del envío a mí en la opción. Esto permite probar la Disponibilidad y la configuración del servidor SMTP. Después de que usted proporcione una dirección de correo electrónico, este correo electrónico entonces se entrega:

Alarmas entregadas vía el correo electrónico

El ISE puede enviar los correos electrónicos para las alertas detectadas del sistema. Para habilitar esta capacidad, navegue a la administración > al sistema > a las configuraciones > a la notificación de alarma de alarma y proporcione y a las direcciones de correo electrónico:

Asegúrese de que una alarma específica esté habilitada de la sección de configuración de la alarma:

Una vez que es habilitado y accionado, un correo electrónico es enviado cuando se acciona la alarma. Aquí está un ejemplo de la alerta típica se envía que:

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

Envíe SMS vía el RESTO API

El ISE permite que el uso de un RESTO API del invitado para crear a los Usuarios invitados. Una vez que crean a un Usuario invitado con el proveedor correcto de SMS, es posible enviar SMS con el RESTO API del invitado. Aquí tiene un ejemplo:

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

En este ejemplo, 444 es la identificación del usuario del invitado y la cadena larga (ff2d99e0-2101-11e4-b5cf-005056bf2f0a) es el ID porta (portal del patrocinador).

Nota: La autorización básica HTTP para un usuario correcto del patrocinador se requiere. Para más detalles, refiera al guía de referencia API.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

Actualmente, no hay información específica de troubleshooting disponible para esta configuración.

Información Relacionada


Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.