Безопасность : Платформа Cisco Identity Services Engine

Настройте почтовые уведомления версии 1.4 ISE и уведомления SMS-сообщением

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (21 апреля 2016) | Отзыв

Введение

Документ описывает, как настроить платформу Cisco Identity Services Engine (ISE) Версия 1.4 для поддержки уведомлений почтовой и Службы коротких сообщений (SMS) для множественного обслуживания.

Внесенный Михалом Гаркарзом и Артемом Ткачовым, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Cisco рекомендует иметь базовые знания о гостевых сервисах и Cisco ISE.

Используемые компоненты

Сведения в документе приведены на основе данных версий аппаратного и программного обеспечения:

  • Версия 7 Microsoft Windows с защищенным мобильным клиентом Cisco AnyConnect Secure Mobility, версия 3.1

  • Коммутатор Cisco Catalyst серии 3750X, который выполняет версии программного обеспечения 15.0.2 и позже

  •  Версии Cisco ISE 1.3 и позже

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Настройка

В этом разделе описывается настроить ISE для поддержки почтовых уведомлений и уведомлений SMS-сообщением для различных сервисов.

Параметры настройки SMTP

Прежде чем это сможет использовать любые сервисы электронной почты, ISE нужно было настроить сервер ретрансляции Протокола передачи простого сообщения (SMTP). Для настройки сервера перейдите к администрированию> Система> Параметры настройки> Сервер SMTP:

Этот сервер должен иметь способность принять любые электронные почты от ISE без аутентификации или шифрования.

Примечание: Для конфигурации сервера ретрансляции SMTP Cisco рекомендует, чтобы вы добавили IP-адрес ISE к списку исключений (никакая или анонимная аутентификация) и потребовали аутентификации от всех других хостов.

Параметры настройки СМ

Для сервисов СМ для работы с ISE необходимо настроить определенный шлюз СМ. ISE поддерживает Smtp2SMS и шлюзы Http2SMS. По умолчанию существует девять шлюзов, которые предварительно сконфигурированы для известных поставщиков (вы, сила, возможно, должна была бы настроить их). Для настройки их перейдите к администрированию> Система> Параметры настройки> шлюз СМ:

СМ шлюз через SMTP

При настройке шлюза СМ SMTP единственное обязательное поле является полем Provider Domain, согласно Настройкам шлюза СМ для Электронной почты СМ раздел шлюза Руководства администратора платформы Cisco Identity Services Engine, Выпуска 1.4.

С (пустыми) настройками по умолчанию значение поля шаблона тела API SMTP равно значению $message$.

Значение сообщения по умолчанию зависит от сервиса, который используется. Для сервисов уведомлений (при создании гостевой учетной записи), это конфигурируемо от страницы кастомизации портала спонсора (Уведомьте ГОСТЯ/УВЕДОМЛЕНИЕ SMS-СООБЩЕНИЕМ). Это значение используется по умолчанию:

Значение поля шаблона тела API SMTP может также быть настроено. Поддерживаемые динамические замены на значение по умолчанию являются $mobilenumber$ и $message$. Например, при настройке тестового значения $message$ шаблона эти данные передаются в информационном наполнении SMTP:

После тестовой строки шаблона значением $message$ заменят (в данном примере для сервиса уведомления SMS-сообщением).

Другим примером значения поля шаблона тела API SMTP является тест template2$mobilenumber$. Это - информационное наполнение, которое передается, когда используется это значение:

Важно заметить небольшое различие между переменными $mobilenumber$ и $message$. Обычно, всех пробельных символов (пробелы) оставляют и заменяют + символ. Когда переменная $message$ используется, те пробельные символы сохранены.

Существует один пример шлюза СМ SMTP (ClickatellViaSMTP), который настроен со множественными значениями в поле шаблона тела API SMTP. Все эти значения статичны (кроме значений $message$ и $mobilenumber$). Значения предоставлены, чтобы показать, что возможно отрегулировать то информационное наполнение и предоставить дополнительные данные, которые могли бы требоваться поставщиком SMTP. Значения, которые отображены в прописных буквах, должны быть заменены правильными значениями, которые предоставлены поставщиком (и они будут тем же для всех электронных писем, которые посланы через этого поставщика).

Например:

СМ шлюз через HTTP

Для шлюза HTTP2SMS введите API HTTP СМ для использования HTTP, Получают метод запроса:

Обычно, поставщик СМ должен указать на атрибуты, которые являются обязательными для передачи и те, которые являются дополнительными, а также вид строки, которая должна быть передана и номер порта (если это отличается 80).

Вот пример, который основывается на поставщике услуг СМ AwalJawaly, и это - структура URL, которая используется: http://awaljawaly.awalservices.com.sa:8001/Send.aspx.

Это обязательные параметры:

  • Тип запроса (SMSSubmitReq)

  • Имя пользователя

  • Password

  • Номер мобильного телефона

  • Сообщение

Это дополнительные параметры

  • Адрес происхождения

  • Введите

  • Время доставки

  • Период достоверности

  • Мигание

  • Подтверждение

  • Максимальные кредиты

  • ID сообщения клиента

  • Заголовок пользовательских данных (UDH)

Это - URL, который используется в данном примере:

http://awaljawaly.awalservices.com.sa:8001/Send.aspx? $mobilenumber$ REQUESTTYPE=SMSSubmitReq&Username =&Test&&Password=123456&MOBILENO= &MESSAGE= $message$

Примечание: Все Обязательные поля включены в предыдущий URL. Необязательные поля могли бы быть добавлены к строке в случае необходимости.

Вот некоторые примечания о необязательных полях:

  1. Имя пользователя и пароль должно быть включено в эту ссылку (к сожалению, открытый текст используется).

  2. Номер мобильного телефона взят автоматически от Поля номера телефона во время гостевого осуществления создания от портала Спонсора.

  3. Поле сообщения заполнено автоматически от этого местоположения: Спонсируйте портал>, Кастомизация Страницы портала> Уведомляет Гостей> уведомление SMS-сообщением> Текстовое сообщение.

После включения метода POST HTTP Использования для блока данных запрос POST HTTP используется:

При использовании метода POST задайте тип содержимого, такой как плоскость/текст или приложение/xml. Всей другой информацией должен поделиться поставщик услуг СМ.

Поле данных главным образом используется с методом POST. Любая информация, которая используется в Поле данных для метода GET, добавлена в конце Унифицированного идентификатора ресурса (URI) для запроса HTTP GET.

Вот пример URI для запроса HTTP GET:

Когда переменная $message$ не используется в ссылке URL, но информацией является ввод в Поле данных, эта информация видима около запуска (поле сообщения) URI для запроса HTTP GET:

Вот пример URI для запроса HTTP GET:

Вот некоторые примечания о кодировании:

  • Поле URL – Это поле не закодировано URL. Гостевым номером мобильного телефона учетной записи заменяют в URL. Поддерживаемые динамические замены являются $mobilenumber$ и $message$.

  • Поле данных – Это поле закодировано URL application/x-www-form-urlencoded системой. 

  • Пространство – существует два типа кодирования URL, которые отличаются по способу, которым они рассматривают пробелы. Первое (заданный RFC 1738) рассматривает пространство так же просто другой запрещенный символ в URL и кодирует его как %20. Второе (когда application/x-www-form-urlencoded система внедрена) кодирует пространство + символ и используется для построения строк запроса. Вторая опция использует urlencode () и urldecode () функции, которые отличаются от их необработанных дубликатов (RFC 1738) только в этом, они кодируют пробелы знаками "плюс" (+) вместо как последовательность %20. Поскольку ISE использует application/x-www-form-urlencoded систему для шифрования Поля данных, пространство зашифровано как + символ.

Примечание: Если переменная $message$ используется в ссылке URL непосредственно, или переменная $message$ используется в Поле данных только, информация взята от Текстового сообщения в соответствии с уведомлением SMS-сообщением (Портэл Кастомизэйшн Пэйдж> уведомление SMS-сообщением). Все данные в поле Текстового сообщения закодированы URL.

Вот два примера:

Вот пример URI для запроса HTTP GET:

Примечание: Метод GET не поддерживает HTTPS (это только методом POST).

Гостевое уведомление с учетными данными по электронной почте

 У пользователя, который создает гостевые учетные записи через портал Спонсора, есть опция для передачи почтовых уведомлений с учетными данными тому определенному пользователю:

Это электронное письмо послано гостевому адресу электронной почты через ранее настроенное реле SMTP. Спонсор может предоставить любую электронную почту, которая используется в качестве От. Если спонсор не вводит гостевой адрес электронной почты во время создания учетной записи, ISE возвращает эту ошибку Графического интерфейса пользователя (GUI):

Unable to send email.

Политика сервера SMTP решает, принять ли или отбросить такую электронную почту. Например, сервер может быть настроен для принятия электронных почт только от домена example.com.

Гостевое уведомление с учетными данными через СМ

Для этой опции для работы спонсор должен быть в группе спонсора, которая включила привилегию:

Send SMS notifications with guests' credentials

Группе спонсора по умолчанию (ALL_ACCOUNTS) действительно отключали ту привилегию. Для изменения этого перейдите к Гостевому доступу>, Настраивают> Sponsor Groups> ALL_ACCOUNTS:

При выборе уведомления через СМ по умолчанию нет никакой опции для выбора определенного поставщика СМ, таким образом, используется по умолчанию. Для изменения этого можно настроить портал Спонсора. 

Для настройки портала Спонсора перейдите к Гостевому доступу>, Настраивают> Порталы Спонсора> Портал Спонсора. Можно тогда выбрать Portal Page Customization option и прокрутить вниз для Создания Учетной записи на Известных Гостей:

В правой панели измените значение от До Параметров настройки и выберите желаемого (множественного) поставщика СМ для той страницы:

Однажды Гостевой портал Создают Учетную запись на страницу Known Guest, настроен, у спонсора, который использует портал, есть опция для выбора поставщика SMS во время создания гостевой учетной записи. Этот тот же поставщик используется для дальнейших уведомлений SMS-сообщением:

Когда шлюз СМ не достижим или возвращает ошибку, GUI ISE передает уведомление:

Unable to send SMS.

Примечание: СМ не передаются, когда пользователь создан, но когда кнопка Notification нажата после того, как пользовательское создание завершено.

(Самозарегистрированные) гости

Гостевые учетные записи могут быть созданы автоматически через Самозарегистрированный Гостевой портал. Гости в состоянии создать свои собственные учетные записи:

Они предоставлены (по умолчанию) с учетными данными на той же веб-странице:

Эти учетные данные могут также быть отправлены по электронной почте или СМ.

Перейдите к Гостевому доступу>, Настраивают> Гостевые Порталы> Сам Зарегистрированный Гостевой Портал> Сам Регистрационные Параметры настройки Страницы для разрешения множественных шлюзов СМ для определенных самозарегистрированных гостей:

Гости в состоянии выбрать поставщика SMS во время создания учетной записи. Это используется для отправки учетных данных их мобильным телефонам:

После того, как регистрация завершена, пароль представлен на следующей странице. Если это не желаемо, можно отключить его от Сам Регистрационный раздел Страницы Успеха портала. От той же страницы можно также позволить гостю вручную отправлять уведомление по электронной почте или СМ:

Для автоматической отправки учетных данных по электронной почте или СМ (или оба), настройте последний раздел Сам Регистрационные Параметры настройки Страницы:

В этом случае адрес электронной почты и номер телефона должны быть вводом во время гостевого создания учетной записи.

Это - единственный гостевой поток, куда уведомления могут быть переданы автоматически (сразу после того, как пользователь зарегистрировался). Когда учетная запись гостя создана спонсором, эта опция не доступна, и уведомление передается только после того, как спонсор вручную нажимает кнопку Notification.

Гостевое утверждение по электронной почте

Как описано в предыдущем разделе, гости могут зарегистрировать себя и регистрировать учетную запись автоматически. Однако также возможно включить утверждение спонсора для этого процесса.

В этом случае спонсор получает электронное письмо, которое должно быть утверждено (по определенной ссылке на электронной почте щелкают). Только тогда гостевая активированная учетная запись. Для настройки этой функции (по умолчанию, она отключена), перешли к Гостевому доступу>, Настраивают> Гостевые Порталы> Сам Зарегистрированный Гостевой Портал> Сам Регистрационные Параметры настройки Страницы и включают Требовать, чтобы самозарегистрированные гости были утвержденной опцией:

Необходимо также ввести адреса электронной почты спонсора (спонсоров), которые в состоянии утвердить гостевую учетную запись.

Вот некоторые дополнительные параметры настройки, которые могут быть настроены от Гостевой Страницы настроек Электронной почты:

Эти параметры настройки применяются ко всем типам гостевых уведомлений (не только утвержденный спонсорами).

Гостевое истечение учетной записи через электронную почту/СМ

Когда учетная запись должна скоро истечь, гостевым пользователям можно сообщить. Для настройки этого (на Гостевой Тип), перейдите к Гостевому доступу> Гостевые Типы> Подрядчик:

Все гости, которые являются подрядчиками, получат уведомление три дня до истечения учетной записи. Это уведомление может быть отправлено через СМ и/или электронную почту. СПЕЦИФИЧНЫЙ ДЛЯ СМ поставщик может быть выбран и будет использоваться для всех гостей (даже если определенного гостя саморегистрируют и разрешают использовать другого поставщика СМ).

В том же разделе существует Послать тестовое электронное письмо мне в опции. Это позволяет протестировать доступность сервера SMTP и конфигурацию. После того, как вы введете адрес электронной почты, это сообщение электронной почты тогда отправлено:

Сигналы тревоги, отправленные по электронной почте

ISE в состоянии послать электронные письма для обнаруженных системных предупреждений. Для включения этой возможности перейдите к администрированию> Система> Настройки аварийных сигналов> Аварийное оповещение и предоставьте От и До адресов электронной почты:

Гарантируйте, что определенный сигнал тревоги включен от раздела Конфигурации аварийных сигналов:

Когда сигнал тревоги будет инициирован, после того, как включенный и инициированный, электронное письмо будет послано. Вот пример типичного предупреждения, которое передается:

ISE Alarm : Warning : No Accounting messages in the last 15 mins

No Accounting Start

Details :
No Accounting messages in the last 15 mins

Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes

Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization

*** This message is generated by Cisco Identity Services Engine (ISE) ***

Sent By Host : ise13

Передайте СМ через API REST

ISE позволяет использование гостевого API REST для создания гостей. Как только гость создан с корректным поставщиком СМ, возможно передать СМ с гостевым API REST. Например:

PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml

В данном примере, 444 ID гостя, и длинная строка (ff2d99e0-2101-11e4-b5cf-005056bf2f0a) является портала ID (спонсируйте портал).

Примечание: Основная авторизация HTTP для корректного пользователя спонсора требуется. Для получения дополнительной информации обратитесь к Справочному руководству API.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

Для этой конфигурации в настоящее время нет сведений об устранении проблем.

Дополнительные сведения



Document ID: 119213