Introduzione
In questo documento viene descritto come configurare il server SMTP su Cisco ISE per supportare le notifiche e-mail per più servizi.
Prerequisiti
Requisiti
Cisco raccomanda una conoscenza di base delle funzionalità del server Cisco Identity Services Engine (ISE) e Simple Mail Transfer Protocol (SMTP).
Componenti usati
Il documento può essere consultato per tutte le versioni software o hardware. ISE versione 3.0 supporta connessioni protette e non protette al server SMTP.
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Configurazione
In questa sezione viene descritta la configurazione dell'ISE per il supporto delle notifiche e-mail utilizzate per:
- Inviare notifiche di allarme via e-mail a tutti gli utenti amministratori interni con l'opzione di inclusione degli allarmi di sistema nelle e-mail abilitata. L'indirizzo e-mail del mittente a cui inviare le notifiche di allarme è hardcoded come ise@<hostname>.
- Consentire agli sponsor di inviare una notifica via e-mail agli ospiti con le credenziali di accesso e le istruzioni per la reimpostazione della password.
- Consentire agli utenti guest di ricevere automaticamente le credenziali di accesso dopo la registrazione e le azioni da eseguire prima della scadenza degli account guest.
- Inviare un promemoria via e-mail agli utenti amministratori di ISE o agli utenti della rete interna configurati sull'ISE prima della data di scadenza della password.
Impostazioni SMTP
Per poter utilizzare i servizi e-mail, ISE deve disporre di un Relay Server SMTP configurato. Per aggiornare i dettagli del server SMTP, selezionare Amministrazione > Sistema > Impostazioni > Proxy > Server SMTP.
La tabella mostra il nodo di un ambiente ISE distribuito che invia un'e-mail.
Scopo e-mail |
Nodo che invia l'e-mail |
Scadenza account Guest |
PAN principale |
Allarmi |
MnT attivo |
Notifiche di account sponsor e guest dai rispettivi portali |
PSN |
Scadenze password |
PAN principale |
Configurare il server SMTP in modo da poter accettare qualsiasi e-mail dall'ISE con o senza autenticazione o crittografia in base alle proprie esigenze.
Impostazioni di comunicazione SMTP non sicure senza autenticazione o crittografia
- Definire il nome host del server SMTP (server SMTP in uscita).
- Porta SMTP (questa porta deve essere aperta nella rete per la connessione al server SMTP).
- Timeout connessione (immettere il tempo massimo in cui Cisco ISE attende una risposta dal server SMTP).
- Fare clic su Test connessione e Salva.
![Unsecure SMTP Communication Settings without Authentication or Encryption](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-00.png)
Packet Capture mostra la comunicazione ISE con il server SMTP senza autenticazione o crittografia:
![Packet Capture Shows ISE Communication with teh SMTP Server](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-01.png)
Impostazioni di comunicazione SMTP sicura
La connessione protetta può essere effettuata in due modi:
- Basato su SSL
- Basato su nome utente/password
Il server SMTP utilizzato deve supportare l'autenticazione SSL e basata su credenziali. È possibile utilizzare la comunicazione SMTP protetta con una delle due opzioni o con entrambe abilitate contemporaneamente.
Comunicazione SMTP sicura con crittografia abilitata
- Importare il certificato CA radice del certificato server SMTP nei Certificati attendibili ISE con uso: Trust for authentication within ISE and Trust for client authentication and Syslog.
- Configurare il server SMTP, la porta configurata sul server SMTP per la comunicazione crittografata e selezionare l'opzione Usa crittografia TLS/SSL.
![Secure SMTP communication with Encryption Enabled](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-02.png)
Test connessione: connessione al server SMTP riuscita.
![Test Connection after a Successful Connection to the SMTP Server](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-03.png)
Le acquisizioni dei pacchetti mostrano che il server ha accettato l'opzione STARTTLS come richiesto da ISE.
![Server has Accepted the STARTTLS Option](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-04.png)
Comunicazione SMTP sicura con impostazioni di autenticazione abilitate
- Configurare il server SMTP e la porta SMTP.
- In Authentication Settings (Impostazioni di autenticazione), selezionare l'opzione Use Password Authentication (Usa autenticazione password) e fornire il nome utente e la password.
Test della connessione completato quando l'autenticazione basata su password funziona:
![Secure SMTP Communication with Authentication Settings Enabled](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-05.png)
Esempio di acquisizione di pacchetti con autenticazione riuscita e credenziali:
![Response is Shown](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-06.png)
Verifica
Per verificare che la configurazione funzioni correttamente, consultare questa sezione.
- Utilizzare l'opzione Test connessione per verificare la connettività al server SMTP configurato.
- Invia un messaggio di prova dal portale per gli utenti guest nei centri di lavoro > Accesso guest > Portali e componenti > Portali per gli utenti guest > Portale per gli utenti guest con registrazione automatica (impostazione predefinita) > Personalizzazione pagina portale > Notifiche > Posta elettronica > Impostazioni finestra di anteprima. Immettere un indirizzo e-mail valido e inviare l'e-mail di prova. Il destinatario deve ricevere l'e-mail dall'indirizzo e-mail configurato in Impostazioni e-mail guest.
Esempio di notifica tramite posta elettronica inviata per le credenziali dell'account guest:
![Sample Email Notification sent for Guest Account Credentials](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-07.png)
Notifica di esempio tramite posta elettronica ricevuta dal destinatario:
![Guest Account Credentials](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-08.png)
Risoluzione dei problemi
Le informazioni contenute in questa sezione permettono di risolvere i problemi relativi alla configurazione:
Problema: il test della connessione indica: "Impossibile connettersi al server SMTP. Errore SSL. Verificare i certificati protetti".
![Error - Could not connect to SMTP Server](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-09.png)
Packet Capture indica che il certificato presentato dal server SMTP non è attendibile:
![Certificate Presented by SMTP Server is not Trusted](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-10.png)
Soluzione: importare il certificato CA radice del server SMTP nei certificati ISE Trusted e se il supporto TLS è configurato sulla porta.
Problema: durante la verifica della connessione viene visualizzato il messaggio "Errore di autenticazione: impossibile connettersi al server SMTP. Il nome utente o la password non sono corretti".
![Authentication Failure: Could not Connect to SMTP Server, Username or Password is Incorrect](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-11.png)
L'acquisizione di un pacchetto di esempio mostra che l'autenticazione non è riuscita.
![Response Code Shown](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-12.png)
Soluzione: convalidare il nome utente o la password configurati nel server SMTP.
Problema: la verifica della connessione indica che la connessione al server SMTP non è riuscita.
![Error- Connection to SMTP Server Failed](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-13.png)
Soluzione: verificare la configurazione della porta del server SMTP. Verificare se il nome del server SMTP può essere risolto dal server DNS configurato su ISE.
Nell'esempio viene mostrato come il server SMTP invii una reimpostazione su una porta 587 che non è configurata per il servizio SMTP.
![587 Port not Configured to SMTP Service](/c/dam/en/us/support/docs/security/identity-services-engine/216187-configure-secure-smtp-server-on-ise-14.png)
Informazioni correlate