配置ISE版本1.4電郵和SMS通知
目錄
簡介
本文檔介紹如何配置思科身份服務引擎(ISE)版本1.4以支援多個服務的電子郵件和簡訊服務(SMS)通知。
必要條件
需求
思科建議您瞭解Cisco ISE和訪客服務的基本知識。
採用元件
本文件中的資訊是以下列硬體與軟體版本為依據:
- 帶Cisco AnyConnect安全移動客戶端的Microsoft Windows版本7,版本3.1
- 運行軟體版本15.0.2及更高版本的Cisco Catalyst 3750X系列交換機
- Cisco ISE版本1.3及更高版本
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
設定
本節介紹如何配置ISE以支援各種服務的電子郵件和SMS通知。
SMTP設定
ISE必須先配置簡單郵件傳輸協定(SMTP)中繼伺服器,然後才能使用任何郵件服務。要配置伺服器,請導航到管理>系統>設定> SMTP伺服器:
此伺服器應能夠接受來自ISE的任何電子郵件,而無需身份驗證或加密。
簡訊設定
為了使SMS服務與ISE配合使用,您必須配置特定的SMS網關。ISE支援Smtp2SMS和Http2SMS網關。預設情況下,為知名提供商預先配置了9個網關(您可能需要調整這些網關)。要配置這些功能,請導航到管理>系統>設定> SMS網關:
透過SMTP的SMS閘道
配置SMTP SMS網關時,根據Cisco身份服務引擎管理員指南1.4版的SMS網關設定部分,只需要欄位Provider Domain即可。
使用預設設定(空),SMTP API正文模板欄位的值等於$message$值。
預設訊息值取決於使用的服務。對於通知服務(建立訪客帳戶時),可從發起人門戶自定義頁面(通知訪客/SMS通知)進行配置。這是預設值:
還可以自定義SMTP API正文模板欄位值。預設值的支援的動態替換為$mobilenumber$和$message$。例如,當您配置test template $message$值時,以下資料將以SMTP負載傳送:
在測試模板字串之後,$message$的值將被替換(在本示例中,用於SMS通知服務)。
SMTP API正文模板欄位值的另一個示例是test template2 $mobilenumber$。這是使用此值時傳送的負載:
請注意$mobilenumber$和$message$變數之間的細微差別,這一點很重要。通常,所有空白字元(空格)都會轉義,並由+字元取代。使用$message$變數時,將保留這些空白字元。
在SMTP API正文模板欄位中有一個使用多個值配置的SMTP SMS網關(ClickatellViaSMTP)示例。所有這些值都是靜態的(除了$message$和$mobilenumber$值)。提供這些值是為了表明可以調整該負載並提供其他資料,而SMTP提供程式可能需要這些資料。以大寫字母顯示的值應替換為提供商提供的正確值(對於透過此提供商傳送的所有電子郵件,這些值將相同)。
以下是範例:
透過HTTP的SMS閘道
對於HTTP2SMS網關,輸入SMS HTTP API以使用HTTP Get請求方法:
通常,SMS提供程式應指示必須傳送的屬性和可選屬性,以及應傳送的字串型別和埠號(如果不是80)。
以下示例基於AwalJawaly SMS服務提供商,使用的是此URL結構:http://awaljawaly.awalservices.com.sa:8001/Send.aspx。
以下是必要引數:
- 請求型別(SMSSubmitReq)
- 使用者名稱
- 密碼
- 行動電話號碼
- 訊息
以下是可選引數:
- 原始地址
- 類型
- 交貨時間
- 有效期
- 閃爍
- 確認
- 最大積分
- 客戶端消息ID
- 使用者資料標頭(UDH)
以下是此範例中使用的URL:
http://awaljawaly.awalservices.com.sa:8001/Send.aspx?REQUESTTYPE=SMSSubmitReq&Username=&Test&&Password=123456&MOBILENO=$mobilenumber$&MESSAGE=$message$
以下是有關可選欄位的一些說明:
- 使用者名稱和密碼應包含在此連結中(很遺憾,使用的是純文字檔案)。
- 在發起人門戶進行訪客建立練習期間,將自動從Phone number欄位獲取移動號碼。
- 消息欄位將自動從以下位置填充:Sponsor portal > Portal Page Customization > Notify Guests > SMS notification > Message text。
為資料部分啟用Use HTTP POST 方法後,將使用HTTP POST請求:
如果使用POST方法,請指定內容型別,例如plain/text 或application/xml。所有其他資訊應由SMS服務提供商共用。
「資料」欄位主要搭配POST方法使用。在GET方法的Data欄位中使用的任何資訊都會增加到GET HTTP請求的統一資源識別符號(URI)的末尾。
以下是GET HTTP請求的URI示例:
在URL連結中未使用$message$變數,但在Data欄位中輸入資訊時,此資訊在GET HTTP請求的URI的開始(消息欄位)附近可見:
以下是GET HTTP請求的URI示例:
以下是有關編碼的一些註釋:
- URL欄位ââ此欄位不是URL編碼的。訪客賬戶行動電話號碼將替換為URL。支援的動態替換為$mobilenumber$和$message$。
- 資料欄位ââ此欄位由application/x-www-form-urlencoded系統進行URL編碼。
- 空間ââURL編碼有兩種型別,它們在處理空間的方式上有所不同。第一個(由RFC 1738指定)將空格視為URL中的另一個非法字元,並將其編碼為%20。第二個(當實現application/x-www-form-urlencoded系統時)將空間編碼為+字元,並用於構建查詢字串。第二個選項使用urlencode()和urldecode()函式,這些函式與原始對應函式(RFC 1738)的不同之處僅在於它們將空格編碼為加號(+)而不是序列%20。由於ISE使用application/x-www-form-urlencoded系統進行資料欄位加密,因此空間會加密為+字元。
以下是兩個範例:
以下是GET HTTP請求的URI示例:
透過電子郵件傳送憑證的訪客通知
透過發起人門戶建立訪客帳戶的使用者可以選擇向特定使用者傳送帶有憑據的電子郵件通知:
此郵件透過之前配置的SMTP中繼傳送到訪客郵件地址。發起人可以提供作為發件人使用的所有電子郵件。如果發起人在建立帳戶期間不提供訪客電子郵件地址,ISE會返回此圖形使用者介面(GUI)錯誤:
Unable to send email.
SMTP伺服器策略決定是接受還是丟棄此類電子郵件。例如,可以配置伺服器以便僅接受來自域example.com的電子郵件。
透過SMS使用憑證進行訪客通知
要使用此選項,保證人必須位於已啟用許可權的保證人組中:
Send SMS notifications with guests' credentials
預設發起人組(ALL_ACCOUNTS)已停用該許可權。要更改此設定,請導航到Guest Access > Configure > Sponsor Groups > ALL_ACCOUNTS:
當您透過SMS選擇通知時,預設情況下沒有選擇特定SMS提供商的選項,因此使用預設的SMS提供商。要更改此內容,您可以自定義發起人門戶。
要自定義發起人門戶,請導航到訪客接入>配置>發起人門戶>發起人門戶。然後,您可以選擇Portal Page Customization選項並向下滾動到Create Account for Known Guests:
在右窗格中,將值從上一個更改為設定,然後為該頁面選擇所需的(多個) SMS提供程式:
自定義訪客門戶Create Account for Known Guest頁面後,使用該門戶的發起人在建立訪客帳戶期間可選擇性地選擇SMS提供程式。此相同提供者用於進一步的SMS通知:
當SMS網關不可達或返回錯誤時,ISE GUI會傳送通知:
Unable to send SMS.
訪客使用者(自行註冊)
訪客帳戶可透過自助註冊訪客門戶自動建立。訪客使用者可以建立自己的帳戶:
在相同的網頁上(依預設)會提供身份證明給他們:
這些憑證也可以透過電子郵件或簡訊傳送。
導航到Guest Access > Configure > Guest Portals > Self Registered Guest Portal > Self Registration Page Settings,為特定自行註冊的訪客允許多個SMS網關:
訪客可以在建立帳戶期間選擇SMS提供程式。這是為了將憑證傳送至其行動電話:
註冊完成後,下一頁會顯示密碼。如果不需要執行此操作,您可以從門戶的自助註冊成功頁部分停用它。在同一頁面中,您還可以允許訪客透過電郵或SMS手動傳送通知:
要透過郵件或SMS(或兩者)自動傳遞憑據,請自定義自助註冊頁面設定的最後部分:
在這種情況下,建立訪客帳戶期間必須輸入電子郵件地址和電話號碼。
這是唯一可以自動傳送通知的訪客流(在使用者註冊後立即傳送)。當保證人建立訪客使用者帳戶時,此選項不可用,並且僅當保證人手動按一下Notification按鈕時才傳送通知。
透過電郵的訪客審批
如上一節所述,訪客可以自行註冊,並自動註冊帳戶。但是,也可以啟用此流程的發起人審批。
在這種情況下,發起人收到必須批准的電子郵件(點選郵件中的特定連結)。然後才會啟用訪客帳戶。要配置此功能(預設情況下為停用功能),請導航到訪客接入>配置>訪客門戶>自行註冊訪客門戶>自行註冊頁面設定,並啟用要求自行註冊的訪客獲得批准選項:
您還必須提供能夠批准訪客帳戶的發起人的電子郵件地址。
下面是一些可以從訪客郵件設定頁面進行配置的其他設定:
這些設定適用於所有型別的訪客通知(不僅限於由發起人批准)。
透過電子郵件/簡訊的訪客帳戶過期
當帳戶即將到期時,可以通知來賓使用者。要配置此功能(根據訪客型別),請導航到訪客接入>訪客型別>約聘人員:
承包商的所有訪客將在帳戶到期前三天收到通知。此通知可透過簡訊和/或電子郵件傳送。可以選擇特定於SMS的提供程式,並將用於所有訪客(即使特定訪客是自行註冊的,並且允許使用其他SMS提供程式)。
在同一部分中,有一個Send test email to me at選項。這樣就可以測試SMTP伺服器的可用性和配置。提供電子郵件地址後,系統隨即會傳送此電子郵件訊息:
透過電子郵件傳送警報
ISE能夠傳送電子郵件以通知檢測到的系統警報。為啟用此功能,請導航到管理>系統>警報設定>警報通知,然後提供從和到電子郵件地址:
確保從警報配置部分啟用特定警報:
啟用並觸發警報後,將傳送電子郵件。以下是傳送的典型警示範例:
ISE Alarm : Warning : No Accounting messages in the last 15 mins
No Accounting Start
Details :
No Accounting messages in the last 15 mins
Description :
No Accounting messages have been received from Network Device(s) in the past 15 minutes
for any of the session(s) authorized by ISE Policy Service Nodes
Suggested Actions :
Ensure RADIUS accounting is configured on the Network Device(s), Check Network Device(s)
configuration for local Authorization
*** This message is generated by Cisco Identity Services Engine (ISE) ***
Sent By Host : ise13
透過REST API傳送簡訊
ISE允許使用訪客REST API建立訪客使用者。使用正確的SMS提供程式建立訪客使用者後,即可使用訪客REST API傳送SMS。以下是範例:
PUT https://<ISE-ADMIN-NODE>:9060/ers/config/guestuser/sms/444/portalId/
ff2d99e0-2101-11e4-b5cf-005056bf2f0a
Authorization: Basic xxxxxxxxxxxxxxxxxxx
Accept:a pplication/vnd.com.cisco.ise.identity.guestuser.2.0+xml
在本示例中,444是訪客使用者ID,長字串(ff2d99e0-2101-11e4-b5cf-005056bf2f0a)是門戶ID(發起人門戶)。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
目前尚無適用於此組態的具體疑難排解資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
03-Aug-2015 |
初始版本 |
意見