在ISE上配置安全SMTP服务器
目录
简介
本文档介绍如何在思科身份服务引擎(ISE)上配置简单邮件传输协议(SMTP)服务器,以支持多个服务的邮件通知。ISE版本3.0支持与SMTP服务器的安全连接和不安全连接。
作者:思科TAC工程师Poonam Garg。
先决条件
要求
思科建议您对思科ISE和SMTP服务器功能有基本的了解。
使用的组件
本文档不限于特定的软件和硬件版本。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
配置
本节介绍ISE的配置,以支持用于以下目的的电子邮件通知:
- 在启用“在邮件中包含系统警报”选项的情况下,向任何内部管理员用户发送电子邮件警报通知。发送警报通知的发件人的电子邮件地址硬编码为ise@<hostname>。
- 使发起人能够向访客发送电子邮件通知及其登录凭证和密码重置说明。
- 使访客能够在成功注册自己并在访客帐户到期之前采取操作后自动接收其登录凭证。
- 在密码到期日期之前,向ISE上配置的ISE管理员用户/内部网络用户发送提醒电子邮件。
SMTP设置
ISE必须配置SMTP中继服务器,才能使用任何电子邮件服务。要更新SMTP服务器详细信息,请导航至Administration > System > Settings > Proxy > SMTP server。
此表显示分布式ISE环境中哪个节点发送电子邮件。
| 电子邮件用途 |
发送电子邮件的节点 |
| 访客帐户过期 |
主PAN |
| 警报 |
活动MnT |
| 来自各个门户的发起人和访客帐户通知 |
PSN |
| 密码到期 |
主PAN |
配置SMTP服务器,以便能够根据您的要求接受来自ISE的任何具有或不具有身份验证或加密的邮件。
不使用身份验证或加密的不安全SMTP通信设置
- 定义SMTP服务器主机名(出站SMTP服务器)。
- SMTP端口(此端口必须在网络中打开才能连接到SMTP服务器)。
- 连接超时(输入Cisco ISE等待SMTP服务器响应的最长时间)。
- 单击Test Connection并保存。
数据包捕获显示与SMTP服务器的ISE通信(无身份验证或加密):
安全SMTP通信设置
安全连接可通过两种方式建立:
- 基于SSL
- 基于用户名/密码
使用的SMTP服务器必须支持基于SSL和凭证的身份验证。安全SMTP通信可与同时启用的选项之一或两个选项一起使用。
启用加密的安全SMTP通信
- 在ISE受信任证书中导入SMTP服务器证书的根CA证书(使用):在ISE中信任身份验证,在客户端身份验证和系统日志中信任。
- 配置SMTP服务器、在SMTP服务器上配置的用于加密通信的端口,并选中选项使用TLS/SSL加密。
测试连接显示与SMTP服务器的连接成功。
数据包捕获显示服务器已接受ISE请求的STARTTLS选项。
启用身份验证设置的安全SMTP通信
- 配置SMTP服务器和SMTP端口。
- 在Authentication Settings下,选中Use Password Authentication选项并提供用户名和密码。
基于密码的身份验证工作时测试连接成功:
数据包捕获示例,显示使用凭证成功进行身份验证:
验证
使用本部分可确认配置能否正常运行。
- 使用Test Connection(测试连接)选项验证与已配置SMTP服务器的连接。
- 从访客门户发送测试电子邮件,从工作中心>访客接入>门户和组件>访客门户>自注册访客门户(默认)>门户页面自定义>通知>邮件>预览窗口设置,输入有效的电子邮件地址并发送测试电子邮件。收件人必须从“访客电子邮件设置”下配置的电子邮件地址接收电子邮件。
为访客帐户凭证发送的电子邮件通知示例:
电子邮件收件人收到的电子邮件通知示例:
故障排除
本节提供可用于排除配置故障的信息:
问题:测试连接显示:"无法连接到SMTP服务器,SSL错误。请检查受信任证书”。
数据包捕获显示SMTP服务器提供的证书不受信任:
解决方案:导入ISE受信任证书中SMTP服务器的根CA证书(如果端口上配置了TLS支持)。
问题:测试连接显示:身份验证失败:无法连接到SMTP服务器,用户名或密码不正确。
此处的数据包捕获示例显示身份验证失败。
解决方案:验证在SMTP服务器上配置的用户名或密码。
问题:测试连接显示:连接SMTP服务器失败。
解决方案:验证SMTP服务器端口配置,检查SMTP服务器名称是否可由ISE上配置的DNS服务器解析。
此示例显示SMTP服务器在587端口上发送重置,该端口未配置SMTP服务。
反馈