在ISE上配置安全SMTP服务器

下载选项

  • PDF     (1.4 MB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2025 年 1 月 13 日
文档 ID:216187

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在Cisco ISE上配置SMTP服务器以支持多个服务的邮件通知。

    先决条件

    要求

    思科建议您了解思科身份服务引擎(ISE)和简单邮件传输协议(SMTP)服务器功能的基本知识。 

    使用的组件

    本文档不限于特定的软件和硬件版本。ISE版本3.0支持与SMTP服务器的安全和不安全连接。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    配置

    本节介绍ISE的配置,以支持用于以下目的的邮件通知:

    • 在启用邮件中包含系统警报选项的情况下,向任何内部管理员用户发送邮件警报通知。发送警报通知的发件人电子邮件地址硬编码为ise@<hostname>
    • 使发起人能够向访客发送包含其登录凭证和密码重置说明的电子邮件通知。
    • 使访客在成功注册自身后自动接收其登录凭证,并在访客帐户过期之前执行操作。
    • 在密码到期日期之前,向ISE上配置的ISE管理员用户/内部网络用户发送提醒电子邮件。

    SMTP设置

    在ISE可以使用任何邮件服务之前,必须配置SMTP中继服务器。要更新SMTP服务器详细信息,请导航到管理>系统>设置>代理> SMTP服务器

    下表显示分布式ISE环境中的哪个节点发送电子邮件:

    电子邮件用途

    发送电子邮件的节点

    访客帐户过期

    主PAN

    警报

    活动MnT

    发起人和访客帐户通知从各自的门户

    PSN

    密码过期

    主PAN

    配置SMTP服务器,以便能够根据您的要求接受来自ISE的任何邮件,无论是否进行身份验证或加密。

    不进行身份验证或加密的不安全SMTP通信设置

    1. 定义SMTP服务器主机名(出站SMTP服务器)。
    2. SMTP端口(此端口必须在网络中打开才能连接到SMTP服务器)。
    3. 连接超时(输入思科ISE等待SMTP服务器响应的最长时间)。
    4. 单击Test ConnectionSave

    Unsecure SMTP Communication Settings without Authentication or Encryption

    数据包捕获显示ISE与SMTP服务器之间的通信,而不进行身份验证或加密:

    Packet Capture Shows ISE Communication with teh SMTP Server

    安全SMTP通信设置

    可通过两种方式建立安全连接:

    1. 基于SSL
    2. 基于用户名/密码

    使用的SMTP服务器必须支持基于SSL和凭证的身份验证。安全SMTP通信可与同时启用的两个选项之一或同时启用的两个选项一起使用。

    启用了加密的安全SMTP通信

    1. 在ISE受信任证书中导入SMTP服务器证书的根CA证书,使用率:信任用于ISE中的身份验证,信任用于客户端身份验证和系统日志。
    2. 配置SMTP服务器,在SMTP服务器上为加密通信配置的端口,并选中使用TLS/SSL加密选项。

    Secure SMTP communication with Encryption Enabled

    测试连接时显示SMTP服务器连接成功。

    Test Connection after a Successful Connection to the SMTP Server

    数据包捕获显示服务器已接受ISE请求的STARTTLS选项。

    Server has Accepted the STARTTLS Option

    已启用身份验证设置的安全SMTP通信

    1. 配置SMTP服务器和SMTP端口。
    2. 在Authentication Settings下,选中Use Password Authentication选项并提供用户名和密码。

    当基于密码的身份验证工作正常时,测试连接成功:

    Secure SMTP Communication with Authentication Settings Enabled

    示例数据包捕获,显示使用凭证成功进行身份验证:

    Response is Shown

    验证

    使用本部分可确认配置能否正常运行。

    1. 使用测试连接选项验证与已配置的SMTP服务器的连接。
    2. 从访客门户发送测试电子邮件,其地址为:Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal(default)> Portal Page Customization > Notifications > Email > Preview window Settings。请输入有效的电子邮件地址并发送测试电子邮件。收件人必须收到来自“访客邮件设置”(Guest Email Settings)下已配置邮件地址的邮件。

    针对访客帐户凭证发送的示例电子邮件通知:

    Sample Email Notification sent for Guest Account Credentials

    电子邮件收件人接收的示例电子邮件通知:

    Guest Account Credentials

    故障排除

    本部分提供了可用于对配置进行故障排除的信息。

    问题:测试连接显示“无法连接到SMTP服务器,SSL错误。”(Could not connect to SMTP Server, SSL Error.)请检查受信任证书”。

    Error - Could not connect to SMTP Server

    数据包捕获显示SMTP服务器提供的证书不受信任:

    Certificate Presented by SMTP Server is not Trusted

    解决方案:在ISE受信任证书中导入SMTP服务器的根CA证书,并且如果端口上配置了TLS支持。

    问题:测试连接显示“身份验证失败:无法连接到SMTP服务器,用户名或密码不正确”。

    Authentication Failure: Could not Connect to SMTP Server, Username or Password is Incorrect

    此处的示例数据包捕获显示身份验证未成功:

    Response Code Shown

    解决方案:验证SMTP服务器上配置的用户名或密码。

    问题:测试连接显示“连接到SMTP服务器失败”:

    Error- Connection to SMTP Server Failed

    解决方案:验证SMTP服务器端口配置。检查SMTP服务器名称是否可由ISE上配置的DNS服务器解析。

    示例显示SMTP服务器在端口587上发送重置,该端口未配置用于SMTP服务:

    587 Port not Configured to SMTP Service

    相关信息

    修订历史记录

    版本 发布日期 备注
    3.0
    13-Jan-2025
    标点符号,语法。
    2.0
    28-Nov-2023
    添加了Alt文本。更新的简介、使用的组件、SEO、样式要求和格式。
    1.0
    29-Oct-2020
    初始版本
    TAC Authored

    由思科工程师提供

    • 波南加格
      思科TAC工程师

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品