ISE에서 보안 SMTP 서버 구성

소개

이 문서에서는 여러 서비스에 대한 이메일 알림을 지원하기 위해 Cisco ISE(Identity Services Engine)에서 SMTP(Simple Mail Transfer Protocol) 서버를 구성하는 방법에 대해 설명합니다.ISE 버전 3.0은 SMTP 서버에 대한 보안 및 비보안 연결을 모두 지원합니다.

기고자: Poonam Garg, Cisco TAC 엔지니어

사전 요구 사항

요구 사항

Cisco는 Cisco ISE 및 SMTP 서버 기능에 대한 기본 지식을 가지고 있는 것을 권장합니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

이 섹션에서는 다음에 사용되는 이메일 알림을 지원하기 위해 ISE의 컨피그레이션에 대해 설명합니다.

• Include of system alarms in emails(이메일에 시스템 경보 포함) 옵션이 활성화된 내부 관리자 사용자에게 이메일 경보 알림을 보냅니다.경보 알림을 보낼 발신자의 이메일 주소는 ise@<hostname>으로 하드코딩됩니다.
• 스폰서가 게스트에게 로그인 자격 증명 및 비밀번호 재설정 지침을 사용하여 이메일 알림을 보낼 수 있도록 합니다.
• 게스트가 성공적으로 등록한 후 자동으로 로그인 자격 증명을 수신하고 게스트 계정이 만료되기 전에 취해야 할 조치를 취할 수 있습니다.
• 암호 만료 날짜 전에 ISE에 구성된 ISE 관리자 사용자/내부 네트워크 사용자에게 알림 이메일을 보냅니다.

SMTP 설정

ISE에서 이메일 서비스를 사용하려면 먼저 SMTP 릴레이 서버를 구성해야 합니다.SMTP 서버 세부 정보를 업데이트하려면 Administration(관리) > System(시스템) > Settings(설정) > Proxy(프록시) > SMTP server(SMTP 서버)로 이동합니다.

이 표에서는 분산 ISE 환경의 어떤 노드가 이메일을 전송하는지 보여줍니다.

이메일 용도	이메일을 보내는 노드
게스트 계정 만료	기본 PAN
경보	활성 MnT
각 포털의 스폰서 및 게스트 계정 알림	PSN
비밀번호 만료	기본 PAN

요구 사항에 따라 인증 또는 암호화를 사용하거나 사용하지 않고 ISE의 이메일을 수락할 수 있도록 SMTP 서버를 구성합니다.

인증 또는 암호화 없이 SMTP 통신 설정 비보안

1. SMTP 서버 호스트 이름(아웃바운드 SMTP 서버)을 정의합니다.
2. SMTP 포트(SMTP 서버에 연결하려면 네트워크에서 이 포트가 열려 있어야 함).
3. Connection Timeout(연결 시간 제한) (Cisco ISE가 SMTP 서버의 응답을 기다리는 최대 시간 입력).
4. 연결 테스트 및 저장을 클릭합니다.

패킷 캡처는 인증 또는 암호화 없이 SMTP 서버와의 ISE 통신을 표시합니다.

보안 SMTP 통신 설정

보안 연결은 두 가지 방법으로 만들 수 있습니다.

1. SSL 기반
2. 사용자 이름/비밀번호 기반

사용된 SMTP 서버는 SSL 및 자격 증명 기반 인증을 지원해야 합니다.보안 SMTP 통신은 두 옵션 중 하나 또는 두 옵션 모두 동시에 활성화된 옵션과 함께 사용할 수 있습니다.

암호화를 사용하는 보안 SMTP 통신

1. ISE의 신뢰할 수 있는 인증서 사용 시 SMTP 서버 인증서의 루트 CA 인증서 가져오기:ISE 내에서 인증을 위한 신뢰 및 클라이언트 인증 및 Syslog를 위한 신뢰.
2. SMTP 서버를 구성하고, 암호화된 통신을 위해 SMTP 서버에 구성된 포트를 구성하고, Use TLS/SSL encryption(TLS/SSL 암호화 사용) 옵션을 선택합니다.

Test Connection(연결 테스트)은 SMTP 서버에 대한 성공적인 연결을 표시합니다.

패킷 캡처는 서버가 ISE에서 요청한 STARTTLS 옵션을 수락했음을 보여줍니다.

인증 설정과의 보안 SMTP 통신 사용

1. SMTP 서버 및 SMTP 포트를 구성합니다.
2. Authentication Settings(인증 설정)에서 Use Password Authentication(비밀번호 인증 사용) 옵션을 선택하고 사용자 이름과 비밀번호를 입력합니다.

비밀번호 기반 인증이 작동할 때 연결 테스트 성공:

자격 증명을 사용한 성공적인 인증을 보여 주는 샘플 패킷 캡처:

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

1. 구성된 SMTP 서버에 대한 연결을 확인하려면 Test Connection 옵션을 사용합니다.
2. 게스트 포털에서 Work Centers(작업 센터) > Guest Access(게스트 액세스) > Portals & Components(포털 및 구성 요소) > Guest Portals(게스트 포털) > Self-Registered Guest Portal(기본값) > Portal Page Customization(포털 페이지 사용자 맞춤화) > Notifications(알림) > Email(이메일) > Preview window Settings(미리 보기 창 설정)에서 유효한 이메일 주소를 입력하고 Send Test Email(테스트 이메일 보내기)를 입력합니다.수신자는 Guest Email Settings(게스트 이메일 설정) 아래의 구성된 이메일 주소에서 이메일을 받아야 합니다.

게스트 계정 자격 증명에 대해 전송된 샘플 이메일 알림:

이메일 수신자가 수신한 샘플 이메일 알림:

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

문제/장애:테스트 연결에는 다음이 표시됩니다."SMTP 서버에 연결할 수 없습니다. SSL 오류입니다.신뢰할 수 있는 인증서를 확인하십시오."

패킷 캡처는 SMTP 서버에서 제공하는 인증서를 신뢰할 수 없음을 보여줍니다.

해결책:ISE Trusted Certificates(ISE 신뢰할 수 있는 인증서)에서 SMTP 서버의 루트 CA 인증서를 가져오고 TLS 지원이 포트에 구성되어 있는 경우

문제/장애:테스트 연결에는 다음이 표시됩니다.인증 실패:SMTP 서버에 연결할 수 없습니다. 사용자 이름 또는 암호가 잘못되었습니다.

샘플 패킷 캡처는 인증이 실패했음을 보여줍니다.

해결책:SMTP 서버에 구성된 사용자 이름 또는 비밀번호 검증

문제/장애:테스트 연결에는 다음이 표시됩니다.SMTP 서버에 연결하지 못했습니다.

해결책:SMTP 서버 포트 컨피그레이션을 확인하고 ISE의 구성된 DNS 서버에서 SMTP 서버 이름을 확인할 수 있는지 확인합니다.

이 예에서는 SMTP 서비스에 대해 구성되지 않은 587 포트에서 SMTP 서버가 재설정을 전송한 것을 보여줍니다.

관련 정보

• https://www.cisco.com/c/en/us/td/docs/security/ise/3-0/admin_guide/b_ISE_admin_3_0/b_ISE_admin_30_basic_setup.html#id_121735

• 기술 지원 및 문서 − Cisco Systems