Inleiding
Dit document beschrijft hoe u de Simple Mail Transfer Protocol (MTP) Server op Cisco Identity Services Engine (ISE) kunt configureren om e-mailberichten voor meerdere services te ondersteunen. ISE versie 3.0 ondersteunt zowel beveiligde als onbeveiligde verbindingen naar MGT-server.
Bijgedragen door Poonam Garg, Cisco TAC Engineer.
Voorwaarden
Vereisten
Cisco raadt u aan een basiskennis van de functionaliteit van Cisco ISE en MTP-server te hebben.
Gebruikte componenten
Dit document is niet beperkt tot specifieke software- en hardware-versies.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk levend is, zorg er dan voor dat u de mogelijke impact van om het even welke opdracht begrijpt.
Configuratie
In dit deel wordt de configuratie van de ISE beschreven ter ondersteuning van e-mailberichten die worden gebruikt om:
- Bericht per e-mail sturen naar alle interne gebruikers van de beheerder met de optie Systeemalarmen in e-mails ingeschakeld. Het e-mailadres van de afzender om alarm te sturen is hard gecodeerd als ise@<hostname>.
- Inschakelen van sponsors om een e-mailbericht naar de gasten te sturen met hun inloggegevens en instructies voor het opnieuw instellen van een wachtwoord.
- Laat gasten in om automatisch hun logboek in geloofsbrieven te ontvangen nadat zij zich met succes registreren en met acties te ondernemen vóór hun gastrekeningen verlopen.
- Verzend herinneringse-mails naar ISE admingebruikers/interne netwerkgebruikers die op ISE zijn ingesteld voordat hun wachtwoord vervalt.
TCP-instellingen
Voordat ISE e-maildiensten kan gebruiken, moet het een MTP relaisserver hebben ingesteld. Om de serverdetails te bijwerken, navigeer naar Beheer > Systeem > Instellingen > Proxy > MTP server.
In deze tabel wordt aangegeven welk knooppunt in een gedistribueerde ISE-omgeving een e-mail verstuurt.
E-maildoel |
Knooppunt dat e-mail verstuurt |
Aflopen van gistaccount |
Primair PAN |
alarmen |
Active MnT |
Meldingen van sponsor- en Guest-account uit respectieve portalen |
PSN |
Wachtwoordverloop |
Primair PAN |
Configureer de MTP-server zodat deze alle e-mails van de ISE kan accepteren met of zonder verificatie of encryptie op basis van uw behoeften.
Onveilige TCP-communicatie-instellingen zonder verificatie of encryptie
- Defineert de hostname van de MTP-server (uitgaande MTP-server).
- MTP-poort (deze poort moet in het netwerk geopend zijn om verbinding te maken met de MTP-server).
- Time-out bij verbinding (Voer de maximale tijd in dat Cisco ISE wacht op een reactie van de MTP-server).
- Klik op Test Connection en Save.

De pakketvastlegging toont de ISE-communicatie met de MTP-server zonder verificatie of encryptie:

Beveiligingsinstellingen MTP-communicatie
De beveiligde verbinding kan op twee manieren tot stand worden gebracht:
- SSL-gebaseerd
- Gebruikersnaam/wachtwoord
De gebruikte MTP-server moet SSL- en Credentials-gebaseerde verificatie ondersteunen. Een beveiligde MTP-communicatie kan worden gebruikt met een van de opties of met beide opties die tegelijkertijd zijn ingeschakeld.
Beveiligde MTP-communicatie met encryptie
- Importeer Root CA-certificaat van het MTP-servercertificaat in het ISE Trusted Certificates met gebruik: Vertrouwen voor authenticatie binnen ISE en vertrouwen op cliëntauthentieverklaring en Syslog.
- Configureer de MTP-server, poort ingesteld op de MTP-server voor versleutelde communicatie en controleer de optie Gebruik TLS/SSL-encryptie.

De verbinding van de test toont een succesvolle verbinding met de Server MTP.

Packet Captures tonen aan dat de Server de optie STARTTLS heeft geaccepteerd zoals gevraagd door ISE.

Beveiligde communicatie MTP met verificatie-instellingen
- Configureer de MTP-server en de MTP-poort.
- Controleer onder Verificatie-instellingen de optie Wachtwoordverificatie gebruiken en voer de gebruikersnaam en het wachtwoord in.
Succesvolle Test Connection wanneer op een wachtwoord gebaseerde verificatie werkt:

Steekproef pakketopname die succesvolle authenticatie met geloofsbrieven toont:

Verifiëren
Gebruik dit gedeelte om te bevestigen dat de configuratie correct werkt.
- Gebruik de optie Test Connection om de connectiviteit aan de geconfigureerde MTP-server te verifiëren.
- Verzend een test-e-mail van het portaal Guest in Workcenters > Gasttoegang > Portals & Componenten > Guest Portals > Zelfgeschreven Guest Portal (standaard) > Portal Pagina-aanpassing > Aanmeldingen > E-mail > Instellingen venster van voorbeeld, voer een geldig e-mailadres in en Verzend Test-e-mail. De ontvanger moet de e-mail ontvangen van het geconfigureerde e-mailadres onder Instellingen voor e-mail van de gast.
Bericht per e-mail verzonden voor Guest Account Credentials:

E-mailbericht per e-mail ontvangen door e-mail ontvanger:

Problemen oplossen
Dit gedeelte bevat de informatie die u kunt gebruiken om problemen met uw configuratie op te lossen:
Probleem: Testverbinding: "Kan geen verbinding maken met de MTP Server, SSL fout. Controleer de vertrouwde certificaten".

Uit de pakketvastlegging blijkt dat het certificaat dat door de MTP-server wordt aangeboden, niet betrouwbaar is:

Oplossing: Importeer Root CA certificaatcertificaat van de MTP-server in de ISE Trusted Certificates en indien TLS-ondersteuning op de poort is ingesteld.
Probleem: Test Connection toont: Verificatiefout: Kan geen verbinding maken met de TCP-server, gebruikersnaam of wachtwoord is onjuist.

Hier bewijst de pakketheader van de steekproef dat de authenticatie niet succesvol was.

Oplossing: bevestig gebruikersnaam of wachtwoord dat op de TCP server is ingesteld.
Probleem: Test Connection toont: Verbinding met een MTP-server is mislukt.

Oplossing: Controleer de configuratie van de MTP-serverpoort of de naam van de MTP-server kan worden opgelost door de geconfigureerde DNS-server op ISE.
Het voorbeeld hier toont een reset wordt verzonden door de MTP-server op 587 poorten die niet is ingesteld voor de MTP-service.

Gerelateerde informatie