ISEでのセキュアSMTPサーバの設定

ダウンロード オプション

  • PDF     (1.4 MB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (1.2 MB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (707.6 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2023 年 11 月 28 日
Document ID:216187

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、複数のサービスの電子メール通知をサポートするためにCisco ISEでSMTPサーバを設定する方法について説明します。

    前提条件

    要件

    Cisco Identity Services Engine(ISE)およびシンプルメール転送プロトコル(SMTP)サーバ機能に関する基本的な知識があることが推奨されます。 

    使用するコンポーネント

    このドキュメントの内容は、特定のソフトウェアやハードウェアのバージョンに限定されるものではありません。 ISEバージョン3.0は、SMTPサーバへのセキュアな接続と非セキュアな接続の両方をサポートしています。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    コンフィギュレーション

    このセクションでは、次の目的で使用される電子メール通知をサポートするためのISEの設定について説明します。

    • Eメールオプションにシステムアラームを含めて、すべての内部管理者ユーザにEメールアラーム通知を送信します。アラーム通知を送信する送信者の電子メールアドレスは、ise@<hostname>としてハードコードされています。
    • スポンサーが、ログイン資格情報とパスワードのリセット手順を記載した電子メール通知をゲストに送信できるようにします。
    • ゲストが正常に登録した後に、ゲストアカウントが期限切れになる前に実行するアクションを使用して、ログイン資格情報を自動的に受け取れるようにします。
    • パスワードの有効期限が切れる前に、ISEで設定されたISE管理者ユーザまたは内部ネットワークユーザにリマインダ電子メールを送信します。

    SMTP 設定

    ISEが電子メールサービスを使用するには、SMTPリレーサーバが設定されている必要があります。SMTPサーバの詳細を更新するには、Administration > System > Settings > Proxy > SMTP serverの順に移動します。

    次の表に、分散型ISE環境のどのノードが電子メールを送信するかを示します。

    電子メールの目的

    電子メールを送信するノード

    ゲストアカウントの有効期限

    プライマリPAN

    アラーム

    アクティブMnT

    各ポータルからのスポンサーおよびゲストアカウント通知

    PSN

    パスワードの有効期限

    プライマリPAN

    要件に基づいて、認証または暗号化の有無にかかわらずISEからの電子メールを受け入れることができるよう、SMTPサーバを設定します。

    認証または暗号化を使用しない非セキュアSMTP通信設定

    1. SMTPサーバのホスト名(送信SMTPサーバ)を定義します。
    2. SMTPポート(このポートは、SMTPサーバに接続するためにネットワークで開いている必要があります)。
    3. 接続タイムアウト(Cisco ISEがSMTPサーバからの応答を待機する最大時間を入力します)。
    4. Test Connectionをクリックし、Saveをクリックします。

    Unsecure SMTP Communication Settings without Authentication or Encryption

    パケットキャプチャは、認証または暗号化を使用しないSMTPサーバとのISE通信を示します。

    Packet Capture Shows ISE Communication with teh SMTP Server

    SMTP通信のセキュリティ設定

    セキュアな接続は、次の2つの方法で行うことができます。

    1. SSLベース
    2. ユーザ名/パスワードベース

    使用するSMTPサーバは、SSLおよびクレデンシャルベースの認証をサポートしている必要があります。セキュリティ保護されたSMTP通信は、いずれかのオプションまたは両方のオプションを同時に有効にして使用できます。

    暗号化が有効なセキュアSMTP通信

    1. SMTPサーバ証明書のルートCA証明書をISEの信頼できる証明書にインポートします。使用法:ISE内の認証の信頼、クライアント認証とSyslogの信頼。
    2. SMTPサーバと、暗号化された通信を行うためにSMTPサーバに設定されたポートを設定し、Use TLS/SSL encryptionオプションにチェックマークを付けます。

    Secure SMTP communication with Encryption Enabled

    「Test Connection」は、SMTPサーバへの接続が正常に行われたことを示しています。

    Test Connection after a Successful Connection to the SMTP Server

    パケットキャプチャは、サーバがISEの要求に応じてSTARTTLSオプションを受け入れたことを示します。

    Server has Accepted the STARTTLS Option

    認証設定を有効にしてSMTP通信を保護する

    1. SMTPサーバとSMTPポートを設定します。
    2. Authentication SettingsでUse Password Authenticationオプションにチェックマークを入れて、ユーザ名とパスワードを入力します。

    パスワードベースの認証が機能する場合の接続テストの成功(TCN):

    Secure SMTP Communication with Authentication Settings Enabled

    クレデンシャルを使用した認証の成功を示すパケットキャプチャの例:

    Response is Shown

    確認

    このセクションでは、設定が正常に動作していることを確認します。

    1. 設定したSMTPサーバへの接続を確認するには、Test Connectionオプションを使用します。
    2. Work Centers > Guest Access > Portals & Components > Guest Portals > Self-Registered Guest Portal(default) > Portal Page Customization > Notifications > Email > Preview window Settingsで、ゲストポータルからテスト電子メールを送信します。 有効な電子メールアドレスを入力し、テスト電子メールを送信します。受信者は、ゲストの電子メール設定で設定された電子メールアドレスから電子メールを受信する必要があります。

    ゲストアカウントのクレデンシャルに送信される電子メール通知の例:

    Sample Email Notification sent for Guest Account Credentials

    電子メール受信者が受信した電子メール通知の例:

    Guest Account Credentials

    トラブルシュート

    このセクションでは、設定のトラブルシューティングに役立つ情報を提供しています。

    問題:テスト接続で「Could not connect to SMTP Server, SSL Error.Please check the trusted certificates」というメッセージが表示されます。

    Error - Could not connect to SMTP Server

    パケットキャプチャは、SMTPサーバによって提示された証明書が信頼されていないことを示しています。

    Certificate Presented by SMTP Server is not Trusted

    解決方法:SMTPサーバのルートCA証明書をISEの信頼できる証明書にインポートします。また、ポートでTLSサポートが設定されている場合はインポートします。

    問題:テスト接続で、「認証エラー: SMTPサーバに接続できませんでした。ユーザ名またはパスワードが正しくありません」と表示されます。

    Authentication Failure: Could not Connect to SMTP Server, Username or Password is Incorrect

    次のパケットキャプチャ例は、認証が失敗したことを示しています。

    Response Code Shown

    解決方法: SMTPサーバーで構成されているユーザー名またはパスワードを確認します。

    問題:テスト接続で「Connection to SMTP server failed」と表示される。

    Error- Connection to SMTP Server Failed

    解決方法: SMTPサーバーポートの構成を確認します。SMTPサーバ名がISE上の設定済みDNSサーバで解決可能かどうかを確認します。

    この例は、SMTPサービスが設定されていない587ポートのSMTPサーバからリセットが送信されたことを示しています。

    587 Port not Configured to SMTP Service

    関連情報

    更新履歴

    改定 発行日 コメント
    2.0
    28-Nov-2023
    代替テキストが追加されました。 「概要」、「使用するコンポーネント」、「SEO」、「スタイル要件」、および「フォーマット」を更新。
    1.0
    29-Oct-2020
    初版
    TAC Authored

    シスコ エンジニア提供

    • プーナム・ガルグ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています