ISEでのセキュアSMTPサーバの設定
はじめに
このドキュメントでは、複数のサービスの電子メール通知をサポートするためにCisco ISEでSMTPサーバを設定する方法について説明します。
前提条件
要件
Cisco Identity Services Engine(ISE)およびシンプルメール転送プロトコル(SMTP)サーバ機能に関する基本的な知識があることが推奨されます。
使用するコンポーネント
このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 ISEバージョン3.0は、SMTPサーバへのセキュアな接続と非セキュアな接続の両方をサポートしています。
このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。
コンフィギュレーション
このセクションでは、次の目的で使用される電子メール通知をサポートするためのISEの設定について説明します。
- Eメールオプションにシステムアラームを含めることを有効にした状態で、すべての内部管理ユーザにEメールアラーム通知を送信します。アラーム通知を送信する送信者の電子メールアドレスは、ise@<hostname>としてハードコードされています。
- スポンサーが、ログイン資格情報とパスワードのリセット手順を記載した電子メール通知をゲストに送信できるようにします。
- ゲストが正常に登録した後、ゲストアカウントの有効期限が切れる前に実行するアクションを使用して、ログイン資格情報をゲストが自動的に受け取れるようにします。
- パスワードの有効期限が切れる前に、ISEで設定されたISE管理ユーザ/内部ネットワークユーザにリマインダメールを送信します。
SMTP 設定
ISEが電子メールサービスを使用するには、SMTPリレーサーバが設定されている必要があります。SMTPサーバの詳細を更新するには、Administration > System > Settings > Proxy > SMTP serverの順に移動します。
次の表に、分散型ISE環境のどのノードが電子メールを送信するかを示します。
| 電子メールの目的 |
電子メールを送信するノード |
| ゲストアカウントの有効期限 |
プライマリPAN |
| アラーム |
アクティブMnT |
| 各ポータルからのスポンサーおよびゲストアカウント通知 |
PSN |
| パスワードの有効期限 |
プライマリPAN |
要件に基づいて、認証または暗号化の有無に関係なく、ISEからの電子メールを受け入れるようにSMTPサーバを設定します。
認証または暗号化を使用しない非セキュアなSMTP通信設定
- SMTPサーバのホスト名(アウトバウンドSMTPサーバ)を定義します。
- SMTPポート(このポートは、SMTPサーバに接続するためにネットワークで開いている必要があります)。
- 接続タイムアウト(Cisco ISEがSMTPサーバからの応答を待機する最大時間を入力します)。
- Test Connectionをクリックし、Saveをクリックします。
パケットキャプチャは、認証または暗号化なしでSMTPサーバとのISE通信を示します。
SMTP通信のセキュリティ設定
セキュアな接続は、次の2つの方法で確立できます。
- SSLベース
- ユーザ名/パスワードベース
使用するSMTPサーバは、SSLおよびクレデンシャルベースの認証をサポートしている必要があります。セキュリティ保護されたSMTP通信は、いずれかのオプションまたは両方のオプションを同時に有効にした状態で使用できます。
暗号化を有効にしてSMTP通信を保護する
- SMTPサーバ証明書のルートCA証明書をISEの信頼できる証明書にインポートします。次の方法で行います。ISE内の認証の信頼、クライアント認証とsyslogの信頼。
- SMTPサーバと、暗号化された通信を行うためにSMTPサーバに設定されたポートを設定し、Use TLS/SSL encryptionオプションにチェックマークを付けます。
接続をテストすると、SMTPサーバへの接続が成功したことが示されます。
パケットキャプチャは、サーバがISEの要求に応じてSTARTTLSオプションを受け入れたことを示しています。
認証設定を有効にしてSMTP通信を保護する
- SMTPサーバとSMTPポートを設定します。
- Authentication Settingsで、Use Password Authenticationオプションにチェックマークを入れて、ユーザ名とパスワードを入力します。
パスワードベースの認証が機能する場合の接続テストの成功(デフォルト):
クレデンシャルを使用した認証の成功を示すサンプルパケットキャプチャ:
確認
このセクションでは、設定が正常に動作していることを確認します。
- Test Connectionオプションを使用して、設定されたSMTPサーバへの接続を確認します。
- Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal(default) > Portal Page Customization > Notifications > Email > Preview window Settingsの順に選択して、ゲストポータルからテスト電子メールを送信します。 有効な電子メールアドレスを入力し、テスト電子メールを送信します。受信者は、ゲストの電子メール設定で設定された電子メールアドレスから電子メールを受信する必要があります。
ゲストアカウントのクレデンシャルに送信される電子メール通知のサンプル:
電子メール受信者が受信した電子メール通知のサンプル:
トラブルシュート
ここでは、設定のトラブルシューティングに使用できる情報を示します。
問題:テスト接続で「Could not connect to SMTP Server, SSL Error.Please check the trusted certificates」というメッセージが表示されます。
パケットキャプチャは、SMTPサーバによって提示された証明書が信頼されていないことを示しています。
解決策:SMTPサーバのルートCA証明書をISEの信頼できる証明書にインポートします。また、ポートでTLSサポートが設定されている場合は、インポートします。
問題:テスト接続で「Authentication failure: Could not connect to SMTP Server, User Name or Password is incorrect」と表示される。
次のパケットキャプチャ例は、認証が失敗したことを示しています。
解決方法: SMTPサーバーで構成されているユーザー名またはパスワードを確認してください。
問題:テスト接続で「Connection to SMTP server failed」が表示される:
解決方法: SMTPサーバーのポート構成を確認してください。SMTPサーバ名がISE上の設定済みDNSサーバで解決可能かどうかを確認します。
この例では、SMTPサーバによってSMTPサービス用に設定されていないポート587でリセットが送信されることを示しています。
関連情報
更新履歴
| 改定 | 発行日 | コメント |
|---|---|---|
3.0 |
13-Jan-2025 |
句読点、文法。 |
2.0 |
28-Nov-2023 |
代替テキストが追加されました。
「概要」、「使用するコンポーネント」、「SEO」、「スタイル要件」、および「フォーマット」を更新。 |
1.0 |
29-Oct-2020 |
初版 |
フィードバック