配置ISE版本1.4电邮和SMS通知
目录
简介
本文档介绍如何配置思科身份服务引擎(ISE) 1.4版以支持多个服务的电邮和短信服务(SMS)通知。
先决条件
要求
思科建议您对Cisco ISE和访客服务有基本的了解。
使用的组件
本文档中的信息基于下列硬件和软件版本:
- 带Cisco AnyConnect安全移动客户端的Microsoft Windows版本7,版本3.1
- 运行软件版本15.0.2及更高版本的Cisco Catalyst 3750X系列交换机
- Cisco ISE版本1.3及以上版本
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
配置
本节介绍如何配置ISE以支持各种服务的电邮和SMS通知。
SMTP设置
ISE必须配置简单邮件传输协议(SMTP)中继服务器,然后才能使用任何邮件服务。要配置服务器,请导航到管理>System >设置> SMTP服务器:
此服务器应能够接受来自ISE的任何邮件,而无需身份验证或加密。
SMS设置
为了使SMS服务与ISE配合使用,您必须配置特定SMS网关。ISE支持Smtp2SMS和Http2SMS网关。默认情况下,为已知提供程序预配置了9个网关(您可能需要调整这些网关)。要进行配置,请导航到管理>System >设置> SMS网关:
通过SMTP的SMS网关
配置SMTP SMS网关时,根据思科身份服务引擎管理员指南,版本1.4的SMS网关设置适用于SMS电子邮件网关部分,只需要字段是Provider Domain字段。
使用默认设置(空)时,SMTP API正文模板字段的值等于$message$值。
默认消息值取决于所使用的服务。对于通知服务(创建访客帐户时),可从发起人门户自定义页面(通知访客/SMS通知)进行配置。这是默认值:
SMTP API正文模板字段值也可以自定义。默认值的支持的动态替换为$mobilenumber$和$message$。例如,在配置test template $message$值时,以下数据将以SMTP负载发送:
在测试模板字符串之后,$message$的值将被替换(在本示例中,用于SMS通知服务)。
SMTP API正文模板字段值的另一个示例是test template2 $mobilenumber$。这是使用此值时发送的负载:
请注意$mobilenumber$和$message$变量之间的细微差别,这一点很重要。通常,所有空格字符(空格)都会转义并替换为+字符。使用$message$变量时,将保留这些空白字符。
在SMTP API正文模板字段中配置了多个值的SMTP SMS网关(ClickatellViaSMTP)示例。所有这些值都是静态的(除了$message$和$mobilenumber$值)。提供这些值的目的是显示调整该负载并提供额外数据,而SMTP提供程序可能需要这些数据。以大写字母显示的值应替换为提供商提供的正确值(对于通过此提供商发送的所有邮件,这些值相同)。
例如:
通过HTTP的SMS网关
对于HTTP2SMS网关,输入SMS HTTP API以使用HTTP Get请求方法:
通常,SMS提供程序应指示必须发送和可选的属性,以及应发送的字符串类型和端口号(如果不是80)。
以下示例基于AwalJawaly SMS服务提供商,使用的是此URL结构:http://awaljawaly.awalservices.com.sa:8001/Send.aspx。
以下是强制参数:
- 请求类型(SMSSubmitReq)
- 用户名
- 密码
- 手机号
- 邮件
以下是可选参数:
- 源地址
- 类型
- 交货时间
- 有效期
- 闪烁
- 确认
- 最大积分
- 客户端消息ID
- 用户数据报头(UDH)
以下是此示例中使用的URL:
http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$
以下是有关可选字段的一些说明:
- 用户名和密码应包含在此链接中(很遗憾,使用的是明文)。
- 在发起人门户中进行访客创建练习期间,会自动从Phone number字段获取移动号码。
- 消息字段将自动从此位置填充:Sponsor portal > Portal Page Customization > Notify Guests > SMS notification > Message text。
对数据部分启用Use HTTP POST方法后,将使用HTTP POST请求:
如果使用POST方法,请指定内容类型,例如plain/text或application/xml。所有其他信息应由SMS服务提供商共享。
“数据”字段大多与POST方法一起使用。在GET方法的Data字段中使用的任何信息都会添加到GET HTTP请求的统一资源标识符(URI)的末尾。
以下是GET HTTP请求的URI示例:
当$message$变量未在URL链接中使用,但信息输入到Data字段中时,此信息在GET HTTP请求的URI的开始(消息字段)附近可见:
以下是GET HTTP请求的URI示例:
下面是关于编码的一些注释:
- URL字段ââ此字段不是URL编码的。访客帐户移动号码将替换为URL。支持的动态替换为$mobilenumber$和$message$。
- 数据字段âaAâ此字段由application/x-www-form-urlencoded系统进行URL编码。
- 空间 âAAâURL编码有两种类型,它们处理空间的方式不同。第一个(由RFC 1738指定)将空格视为URL中的另一个非法字符,并将其编码为%20。第二个(当application/x-www-form-urlencoded系统实现时)将空间编码为+字符并用于构建查询字符串。第二个选项使用 urlencode()和urldecode()函数,这两个函数与原始对应函数(RFC 1738)的不同之处仅在于它们将空格编码为加号(+)而不是序列%20。由于ISE使用application/x-www-form-urlencoded系统进行数据字段加密,因此空间将作为+字符进行加密。
以下为两个示例:
以下是GET HTTP请求的URI示例:
通过电邮发送凭证访客通知
通过发起人门户创建访客帐户的用户可以选择向特定用户发送包含凭证的邮件通知:
此邮件通过之前配置的SMTP中继发送到访客邮件地址。发起人可以提供所有用作发件人的邮件。如果发起人在帐户创建期间不提供访客邮件地址,则ISE会返回以下图形用户界面(GUI)错误:
Unable to send email.
SMTP服务器策略决定是接受还是丢弃此类邮件。例如,可对服务器进行配置以仅接受来自域example.com的电子邮件。
通过SMS发送凭证访客通知
要使用此选项,发起人必须处于启用该权限的发起人组中:
Send SMS notifications with guests' credentials
默认发起人组(ALL_ACCOUNTS)已禁用该权限。要更改此权限,请导航到Guest Access > Configure > Sponsor Groups > ALL_ACCOUNTS:
当您选择通过SMS发送通知时,默认情况下没有选择特定SMS提供商的选项,因此会使用默认选项。要更改此内容,您可以自定义发起人门户。
要自定义发起人门户,请导航到访客接入>配置>发起人门户>发起人门户。然后,可以选择Portal Page Customization选项并向下滚动到Create Account for Known Guests:
在右侧窗格中,将值从Previous更改为Settings,并为该页面选择所需的(多个)SMS提供程序:
自定义访客门户Create Account for Known Guest页面后,使用该门户的发起人在创建访客帐户时可以选择选择SMS提供程序。此同一提供商用于进一步的SMS通知:
当SMS网关无法访问或返回错误时,ISE GUI会发送通知:
Unable to send SMS.
访客用户(自助注册)
访客帐户可以通过自助注册访客门户自动创建。访客用户可以创建自己的帐户:
它们在(默认情况下)同一网页上提供凭证:
这些凭证还可以通过电邮或SMS传送。
导航到Guest Access > Configure > Guest Portals > Self Registered Guest Portal > Self Registration Page Settings以允许特定自注册访客使用多个SMS网关:
访客可以在帐户创建期间选择SMS提供商。用于向其移动电话发送凭证:
注册完成后,密码将显示在下一页中。如果不希望出现这种情况,您可以在门户的自助注册成功页部分禁用它。在同一页面中,您还可以允许访客通过电邮或SMS手动传送通知:
要通过邮件或SMS(或两者)自动传送凭据,请自定义自助注册页面设置的最后部分:
在这种情况下,在创建访客帐户时必须输入电邮地址和电话号码。
这是可以自动发送通知(在用户注册后立即)的唯一访客流。访客用户帐户由发起人创建时,此选项不可用,并且仅在发起人手动单击Notification按钮后发送通知。
通过电邮审批访客
如上一节所述,访客可以自行注册并自动注册帐户。但是,也可以为此流程启用发起人批准。
在这种情况下,发起人收到必须批准的邮件(点击邮件中的特定链接)。只有到那时,访客帐户才会激活。为配置此功能(默认情况下已禁用),请导航到访客接入>配置>访客门户>自注册访客门户>自注册页面设置,并启用要求自注册访客获得批准选项:
您还必须提供能够批准访客帐户的发起人的邮件地址。
下面是可以从访客邮件设置页面配置的一些其他设置:
这些设置适用于所有类型的访客通知(不仅限于发起人批准)。
访客帐户通过邮件/SMS到期
当帐户即将到期时,访客用户可以收到通知。要配置此功能(针对每个访客类型),请导航到访客接入>访客类型>承包商:
承包商的所有访客将在帐户到期前三天收到通知。此通知可以通过短信和/或电子邮件发送。可以选择特定于SMS的提供商,并将其用于所有访客(即使特定访客是自行注册的,并允许使用其他SMS提供商)。
在同一部分,可选择向我发送测试邮件。这使测试SMTP服务器可用性和配置成为可能。提供电邮地址后,该电邮将发送至:
通过邮件传送的警报
ISE能够发送邮件以通知检测到的系统警报。为了启用此功能,请导航到管理>系统>警报设置>警报通知,然后提供发件人和收件人邮件地址:
确保从警报配置部分启用特定警报:
启用并触发警报后,系统将发送一封邮件。下面是发送的典型警报的示例:
ISE Alarm : Warning : No Accounting messages in the last 15 mins
No Accounting Start
Details :
No Accounting messages in the last 15 mins
Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes
Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization
*** This message is generated by Cisco Identity Services Engine (ISE) ***
Sent By Host : ise13
通过REST API发送SMS
ISE允许使用访客REST API创建访客用户。使用正确的SMS提供程序创建访客用户后,即可通过访客REST API发送SMS。例如:
PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml
在本示例中,444是访客用户ID,而长字符串(ff2d99e0-2101-11e4-b5cf-005056bf2f0a)是门户ID(发起人门户)。
验证
当前没有可用于此配置的验证过程。
故障排除
目前没有针对此配置的故障排除信息。
相关信息
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
03-Aug-2015 |
初始版本 |
反馈