Sécurité : Cisco Secure Access Control Server pour Windows

Migration de la base de données Secure Access Control Server (ACS)

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document décrit comment migrer la base de données d'un serveur de contrôle d'accès (ACS) ces passages sur des Windows Server vers des ACS Solution Engine de Cisco (expert en logiciel ACS) ou des Windows Server différents.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur le Cisco Secure Access Control Server (ACS) cette version de logiciel 3.x de passages ou plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Transfert de base de données ACS

Migrez la base de données ACS pour Windows vers des ACS Solution Engine

Le transfert d'ACS pour Windows aux ACS Solution Engine utilise les caractéristiques de sauvegarde ACS et de restauration. ACS pour Windows produit les fichiers de sauvegarde qui sont compatibles avec des ACS Solution Engine, à condition que chacun des deux utilisent la même version du logiciel ACS.

Le procédé de transfert dépend de quelle version d'ACS pour Windows vous utiliser-et le système d'exploitation sur lequel il fonctionne. Par exemple, si ACS fonctionne sur le Windows NT 4.0, la procédure dans cette section vous informe quand il est nécessaire d'améliorer au Windows 2000 Server. Puisque l'utilisation des caractéristiques de sauvegarde et de restauration est prise en charge seulement entre les applications ACS de la même version, vous devez employer ACS pour la version 4.0 de Windows afin de transférer des données d'ACS pour Windows vers des ACS Solution Engine. ACS pour la version 4.0 de Windows prend en charge le Windows 2000 Server et les Windows Server 2003, mais pas le Windows NT 4.0.

Remarque: Avant que vous amélioriez ou transfériez des données, sauvegardez votre original ACS et sauvegardez le fichier de sauvegarde dans un emplacement sur un lecteur qui n'est pas local à l'ordinateur qui exécute ACS.

Terminez-vous ces étapes afin de migrer d'une version de Windows d'ACS vers des ACS Solution Engine :

  1. Terminez-vous les étapes du guide d'installation et configuration pour l'engine 4.0 de solution de Cisco Secure ACS afin d'installer l'appliance.

  2. Mise à jour ACS pour Windows à la version 4.0.

    • Si vous n'avez pas un permis pour la version 4.0, vous pouvez utiliser la version d'essai, qui est fournie par le téléchargement logiciel de Cisco (clients enregistrés seulement).

    • Si vous exécutez ACS sur le Windows NT 4.0, améliorez à la version 3.0 ACS, et puis migrez vers le Windows 2000 Server avant que vous amélioriez à la version 4.0 ACS. La version 4.0 ACS ne prend en charge pas le Windows NT 4.0. La version 3.0 ACS est la version la plus récente d'ACS qui prend en charge le Windows NT 4.0. Pour des informations sur la façon améliorer à la version 3.0 ACS et la façon migrer vers le Windows 2000 Server, voyez installer des serveurs du Cisco Secure ACS 3.0 pour Windows 2000/NT. Vous pouvez télécharger la version test du téléchargement logiciel de Cisco (clients enregistrés seulement).

  3. Dans l'interface HTML d'ACS pour la version 4.0 de Windows, employez la fonction de sauvegarde ACS afin de sauvegarder la base de données. Le pour en savoir plus, se rapportent à la section de sauvegarde ACS du guide utilisateur pour le Cisco Secure ACS pour Windows 4.0.

  4. Copiez le fichier de sauvegarde à partir de l'ordinateur qui exécute ACS pour la version 4.0 de Windows à un répertoire sur un ftp server. Le répertoire doit être accessible à partir du répertoire racine de FTP. Les ACS Solution Engine doivent pouvoir entrer en contact avec le ftp server. Tous les périphériques de passerelle doivent permettre la transmission de FTP entre l'appliance et le ftp server.

  5. Dans l'interface HTML des ACS Solution Engine, employez la caractéristique de restauration ACS afin de restaurer la base de données. Le pour en savoir plus, se rapportent à la section de restauration de système ACS du guide utilisateur pour l'engine 4.0 de solution de Cisco Secure ACS.

    Les ACS Solution Engine contiennent la configuration d'origine de la version de Windows d'ACS duquel vous avez migré.

  6. Dans l'interface HTML des ACS Solution Engine, vérifiez les configurations sont corrects pour l'entrée (par défaut) dans la table de distribution du proxy. Choisissez la configuration réseau > (par défaut), et assurez-vous que l'en avant au répertorier contient l'entrée pour l'appliance.

  7. Si vous voulez remplacer l'ordinateur qui exécute ACS pour Windows avec des ACS Solution Engine, vous devez changer l'adresse IP de l'appliance à l'adresse IP de l'ordinateur qui exécute ACS pour Windows.

    Remarque: Si vous ne changez pas l'adresse IP des ACS Solution Engine à l'adresse de l'ordinateur qui exécute ACS pour Windows, vous devez modifier tous les clients d'AAA pour utiliser l'adresse IP des ACS Solution Engine.

    Afin de changer l'adresse IP des ACS Solution Engine, terminez-vous ces étapes :

    1. Enregistrez l'adresse IP de l'ordinateur qui exécute ACS pour Windows.

    2. Changez l'adresse IP de l'ordinateur qui exécute ACS avec Windows à une adresse IP différente.

    3. Changez l'adresse IP des ACS Solution Engine à l'adresse IP précédemment utilisée par l'ordinateur qui exécute ACS pour Windows. C'est l'adresse IP que vous avez enregistrée dans l'étape A.

Migrez la base de données ACS pour Windows vers des autres Windows Server

Dans cette procédure, vous migrez la base de données d'ACS 3.0.4 qui fonctionne sur serveur windows nt à un autre ACS 3.3.3 qui fonctionne sur le serveur Windows 2003.

  1. Dans l'interface HTML d'ACS pour la version 3.0.4 de Windows, employez la fonction de sauvegarde ACS afin de sauvegarder la base de données.

  2. Copiez le fichier de sauvegarde du serveur qui exécute ACS pour la version 3.0.4 de Windows à un répertoire sur un ftp server. Le répertoire doit être accessible à partir du répertoire racine de FTP. ACS 3.3.3 pour Windows doit pouvoir entrer en contact avec le ftp server. Tous les périphériques de passerelle doivent permettre la transmission de FTP entre l'appliance et le ftp server.

  3. Améliorez le système d'exploitation (SYSTÈME D'EXPLOITATION) de Windows NT dans le Windows 2000 SP4 sur cet ordinateur.

  4. Installez de nouveau ACS 3.0.4 sur cet ordinateur.

  5. Restaurez la configuration de sauvegarde sur cet ordinateur de Windows 2000.

  6. Améliorez à ACS 3.3.3 sur le même serveur. Assurez-vous le contrôle la conservation l'option de configuration existante.

  7. Après que vous amélioriez à ACS 3.3.3 sur ce serveur, sauvegarde de nouveau la configuration en cours.

  8. Si vous avez la version exacte d'ACS 3.3.3 s'exécutant sur l'autre serveur, restaurez la sauvegarde sur le nouveau serveur.

    Remarque: Les données de sauvegarde et de restauration, les deux serveurs doivent exécuter la même version d'ACS.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

  • Si vous voulez que l'expert en logiciel ACS emploie une base de données externe, telle que la base de données de Microsoft Windows ou le Répertoire actif (AD), afin d'authentifier l'accès client aux clients d'AAA, tels que des Routeurs, des Commutateurs, et des dispositifs de sécurité, installez l'agent distant ACS dans le mappage de groupe de serveur et d'enable d'AD par l'ACS.

    Pour plus d'informations sur la façon installer l'agent distant, référez-vous à installer l'agent distant de Cisco Secure ACS pour la section de Windows du guide d'installation et de configuration pour les agents distants 4.1 de Cisco Secure ACS.

    Pour plus d'informations sur la façon configurer le mappage de groupe, référez-vous à la section de mappage et de spécification de groupe d'utilisateurs du guide utilisateur pour le Cisco Secure Access Control Server 4.1.

    Remarque: La version de logiciel sur le serveur ACS et l'agent distant doit être identique. Par exemple, si votre ACS SE exécute la version 4.1 du logiciel, vous devez utiliser la version 4.1 de l'agent distant dans l'AD. Si les versions de logiciel ne sont pas identiques, la configuration ne fonctionnera pas, et vous pouvez recevoir ce message d'erreur : External DB user invalid or bad password.

  • Problème : L'agent distant ne peut pas authentifier des comptes d'utilisateurs Windows. Vous recevez ce message d'erreur dans le log distant d'agent :

    NTLIB: Windows authentication FAILED (error 6L)

    Cause : Privilèges insuffisants pour que l'agent distant exécute l'authentification.

    Résolution : L'agent distant doit donné les bonnes autorisations (droites locales choisies d'admin) afin de communiquer avec ACS. Dans la plupart des cas, vous pouvez installer l'agent distant dans le serveur membre au lieu du contrôleur de domaine afin de résoudre ce problème.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 98760