セキュリティ : Cisco Secure Access Control Server for Windows

Secure Access Control Server(ACS)データベースの移行

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2013 年 5 月 17 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、Windows サーバで稼働する Access Control Server(ACS)を Cisco ACS Solution Engine(ACS SE)または別の Windows サーバに移行する方法について説明します。

前提条件

要件

このドキュメントに関する特別な要件はありません。

使用するコンポーネント

このドキュメントの情報は、ソフトウェア バージョン 3.x 以降を実行する Cisco Secure Access Control Server(ACS)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

ACS データベースの移行

Windows 用 ACS データベースから ACS Solution Engine への移行

Windows 用 ACS から ACS Solution Engine への移行では、ACS バックアップおよび復元機能を使用します。 Windows 用 ACS は、ACS Solution Engine と互換性があるバックアップ ファイルを生成します。ただし、両方で同じバージョンの ACS ソフトウェアを使用している必要があります。

移行プロセスは、使用する WIndows 用 ACS のバージョンおよび稼働するオペレーティング システムにより異なります。 たとえば、ACS が Windows NT 4.0 で稼働している場合、Windows 2000 Server へのアップグレードがいつ必要かについては、このセクションの手順を参照してください。 バックアップおよび復元機能の使用は、同じバージョンの ACS アプリケーションだけでサポートされているので、Windows 用 ACS から ACS Solution Engine にデータを転送するには、Windows 用 ACS バージョン 4.0 を使用する必要があります。 Windows 用 ACS バージョン 4.0 は、Windows 2000 Server および Windows Server 2003 をサポートしていますが、Windows NT 4.0 はサポートしていません。

注: アップグレードやデータの転送を行う前に、元の ACS のバックアップを作成し、そのバックアップ ファイルを、ACS を実行しているコンピュータのローカル ドライブ以外の場所に保存します。

Windows 用 ACS から ACS Solution Engine に移行するには、次の手順を実行します。

  1. アプライアンスをセットアップするには、『Cisco Secure ACS Solution Engine 4.0 のインストールおよびセットアップ ガイド』の手順を完了します。

  2. Windows 用 ACS をバージョン 4.0 にアップグレードします。

    • バージョン 4.0 のライセンスがない場合、Cisco Software Download登録ユーザ専用)から使用できる、最終バージョンを使用できます。

    • ACS を Windows NT 4.0 で実行する場合、ACS バージョン 3.0 にアップグレードします。次に、Windows 2000 Server に移行して、ACS バージョン 4.0 にアップグレードします。 ACS バージョン 4.0 は、Windows NT 4.0 をサポートしていません。 ACS バージョン 3.0 は、Windows NT 4.0 をサポートする ACS の最新バージョンです。 ACS バージョン 3.0 にアップグレードする方法および Windows 2000 Server にアップグレードする方法については、『Cisco Secure ACS 3.0 for Windows 2000/NT Server のインストール』を参照してください。 Cisco Software Download登録ユーザ専用)からトライアル バージョンをダウンロードできます。

  3. WIndows 用 ACS バージョン 4.0 の HTML インターフェイスで、ACS バックアップ機能を使用して、データベースをバックアップします。 詳細については、『Cisco Secure ACS for Windows 4.0 ユーザ ガイド』の『ACS バックアップ』セクションを参照してください。

  4. Windows 用 ACS バージョン 4.0 を実行しているコンピュータから FTP サーバ上のディレクトリにバックアップ ファイルをコピーします。 このディレクトリは FTP のルート ディレクトリからアクセス可能である必要があります。 ACS Solution Engine は、この FTP サーバに接続可能である必要があります。 ゲートウェイ デバイスでは、アプライアンスと FTP サーバとの間の FTP 通信が許可されていることが必要です。

  5. ACS Solution Engine の HTML インターフェイスで、ACS 復元機能を使用して、データベースを復元します。 詳細については、『Cisco Secure ACS Solution Engine 4.0 ユーザ ガイド』の『ACS システム復元』セクションを参照してください。

    ACS Solution Engine に、移行元となった Windows バージョンの ACS の元の構成が含まれます。

  6. ACS Solution Engine の HTML インターフェイスで、[Proxy Distribution Table] の [(Default)] エントリが正しく設定されていることを確認します。 [Network Configuration] > [(Default)] を選択し、[Forward To] リストにそのアプライアンスのエントリが含まれるようにします。

  7. Windows 用 ACS を実行するコンピュータを ACS Solution Engine に置換する場合、アプライアンスの IP アドレスを、Windows 用 ACS を実行するコンピュータの IP アドレスに変更する必要があります。

    注: ACS Solution Engine の IP アドレスを、Windows 用 ACS を実行するコンピュータのアドレスに変更しない場合、ACS Solution Engine の IP アドレスを使用するには、すべての AAA クライアントの再設定が必要になります。

    ACS Solution Engine の IP アドレスを変更するには、次の手順を完了します。

    1. Windows 用 ACS を実行するコンピュータの IP アドレスを記録します。

    2. Windows 上で ACS を実行するコンピュータの IP アドレスを別の IP アドレスに変更します。

    3. ACS Solution Engine の IP アドレスを、ACS for Windows を実行するコンピュータが以前使用していた IP アドレスに変更します。 これは、手順 a で記録した IP アドレスです。

Windows 用 ACS データベースから別の Windows Server への移行

この手順では、Windows NT Server で稼働する ACS 3.0.4 のデータベースを、Windows 2003 Server で稼働する別の ACS 3.3.3 に移行します。

  1. WIndows 用 ACS バージョン 3.0.4 の HTML インターフェイスで、ACS バックアップ機能を使用して、データベースをバックアップします。

  2. Windows 用 ACS バージョン 3.0.4 を実行しているサーバから FTP サーバ上のディレクトリにバックアップ ファイルをコピーします。 このディレクトリは FTP のルート ディレクトリからアクセス可能である必要があります。 Windows 用 ACS 3.3.3 は、FTP サーバにアクセスできる必要があります。 ゲートウェイ デバイスでは、アプライアンスと FTP サーバとの間の FTP 通信が許可されていることが必要です。

  3. このマシンでオペレーティング システム(OS)を Windows NT から Windows 2000 SP4 にアップグレードします。

  4. このマシンに ACS 3.0.4 を再インストールします。

  5. この Windows 2000 マシンでバックアップ設定を復元します。

  6. 同じサーバで ACS 3.3.3 にアップグレードします。 [keep the existing configuration] オプションを選択していることを確認します。

  7. このサーバで ACS 3.3.3 にアップグレードしたら、現在の設定を再びバックアップします。

  8. 他のサーバで稼働する ACS 3.3.3 のバージョンが同じ場合、新しいサーバでバックアップを復元できます。

    注: データをバックアップおよび復元するには、両方のサーバで、同じバージョンの ACS を実行している必要があります。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

  • ACS SE で Microsoft Windows データベースや Active Directory(AD)などの外部データベースを使用して、ルータ、スイッチ、セキュリティ アプライアンスなど、AAA クライアントへのユーザ アクセスを認証する場合、ACS リモート エージェントを AD サーバにインストールし、ACS を介してグループ マッピングをイネーブルにします。

    リモート エージェントをインストールする方法の詳細については、『Cisco Secure ACS Remote Agents 4.1 のインストールおよび設定ガイド』の『Cisco Secure ACS Remote Agent for Windows のインストール』セクションを参照してください。

    グループ マッピングを設定する方法の詳細については、『Cisco Secure Access Control Server 4.1 ユーザ ガイド』の『ユーザ グループ マッピングおよび指定』セクションを参照してください。

    注: ACS サーバとリモート エージェントのソフトウェア バージョンは同じでなければなりません。 たとえば、ACS SE で実行しているソフトウェアのバージョンが 4.1 の場合、AD ではリモート エージェント バージョン 4.1 を使用する必要があります。 ソフトウェア バージョンが同じでないと、設定が正常に動作せず、次のエラー メッセージが表示されることがあります。 External DB user invalid or bad password

  • 問題: リモート エージェントが Windows ユーザ アカウントを認証できません。 リモート エージェント ログに次のエラー メッセージが表示されます。

    NTLIB: Windows authentication FAILED (error 6L)

    原因: リモート エージェントで認証を実行できる権限がありません。

    解決策: ACS と通信するには、リモート エージェントに適切な権限(ローカル Admin 権限の選択)が必要です。 通常、ドメイン コントローラではなく、メンバ サーバにリモート エージェントをインストールすることで、この問題を解決できます。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 98760