Cisco Secure Access Control System 5.2 ユーザ ガイド
ACS 4.x から ACS 5.2 への移行
ACS 4.x から ACS 5.2 への移行
発行日;2012/02/07 | 英語版ドキュメント(2011/09/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ACS 4.x から ACS 5.2 への移行

移行プロセスの概要

移行の要件

移行サポート バージョン

始める前に

移行ファイルのダウンロード

ACS 4.x から ACS 5.2 への移行

ACS 4.x から ACS 5.2 への機能マッピング

移行の一般的なシナリオ

CSACS 1120 の ACS 4.2 から ACS 5.2 への移行

ACS 3.x から ACS 5.2 への移行

他の AAA サーバから ACS 5.2 へのデータの移行

ACS 4.x から ACS 5.2 への移行

ACS 4.x では、TACACS+ コマンド セットなどのポリシーおよび認証情報は、ユーザおよびユーザ グループ レコードに格納されます。ACS 5.2 では、ポリシーおよび認証情報は独立した共有コンポーネントであり、ポリシーを設定するときに、構築ブロックとして使用します。

新しいポリシー モデルの構築ブロック、つまりポリシー要素を使用してポリシーを再構築すると、新しいポリシー モデルを最大限かつ効率的に活用できます。この方法を使用すると、適切な ID グループ、ネットワーク デバイス グループ(NDG)、条件、認可プロファイル、およびルールを作成することが必要となります。

ACS 5.2 には、ACS 4.x の移行サポート バージョンから ACS 5.2 マシンにデータを転送する、移行ユーティリティが備えられています。ACS 5.2 移行プロセスでは、ACS 5.2 にデータをインポートする前に、手動でデータを解決する管理的介入が必要となる場合があります。

このプロセスは、バージョン ACS 3.x から ACS 4.x へのアップグレード プロセスとは異なります。ACS 3.x から ACS 4.x へのアップグレード プロセスでは、ACS 4.x システムが ACS 3.x と同じ方法で動作するため、管理的介入は不要です。

ACS 5.2 の移行ユーティリティでは、配置されているすべての ACS 4.x サーバを ACS 5.2 に移行する複数インスタンスの移行がサポートされています。複数インスタンスの移行の詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/migration/
guide/Migration_Book.html

アップグレードは、ACS 5.1 サーバから ACS 5.2 へのデータ転送プロセスです。アップグレード プロセスの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access
_control_system/5.2/installation/guide/csacs_upg.html

この章は、次の内容で構成されています。

「移行プロセスの概要」

「始める前に」

「移行ファイルのダウンロード」

「ACS 4.x から ACS 5.2 への移行」

「ACS 4.x から ACS 5.2 への機能マッピング」

「移行の一般的なシナリオ」

移行プロセスの概要

移行ユーティリティは、次の 2 つのフェーズでデータ移行プロセスを完了します。

分析およびエクスポート

インポート

分析およびエクスポート フェーズでは、5.2 にエクスポートするオブジェクトを指定します。移行ユーティリティではこれらのオブジェクトを分析し、データを集約してエクスポートします。

分析およびエクスポート フェーズが完了すると、移行ユーティリティによって、すべてのデータ互換性エラーを示すレポートが生成されます。これらのオブジェクトを正常に 5.2 にインポートするには、これらのエラーを手動で解決します。

分析およびエクスポート フェーズは反復的なプロセスであり、インポートされるデータに確実にエラーがなくなるまで複数回繰り返すことができます。分析およびエクスポート フェーズが完了すると、インポート フェーズを実行してデータを ACS 5.2 にインポートできるようになります。

ここでは、次の内容について説明します。

「移行の要件」

「移行サポート バージョン」

移行の要件

移行ユーティリティを実行するには、次のマシンを配置する必要があります。

移行元の ACS 4.x マシン:このマシンには、ACS 4.x Solution Engine または ACS for Windows 4.x マシンのいずれかを使用できます。移行元のマシンでは、移行サポート バージョンの ACS が稼動している必要があります。詳細については、「移行サポート バージョン」を参照してください。

移行マシン:このマシンは、移行元のマシンと同じバージョンの ACS(パッチを含む)が稼動している Windows プラットフォームである必要があります。ACS 運用マシンまたは ACS アプライアンス マシンは、移行マシンとして使用できません。ACS for Windows が稼動している Windows サーバである必要があります。移行マシンには 2 GB RAM が必要です。

移行先の ACS 5.2 マシン:インポート プロセスを開始する前に、ACS 5.2 設定データをバックアップし、ACS 5.2 で移行インターフェイスがイネーブルになっていることを確認します。新しい ACS 5.2 データベースにデータをインポートすることを推奨します。移行インターフェイスをイネーブルにするには、ACS CLI から次のように入力します。

acs config-web-interface migration enable

移行サポート バージョン

ACS 5.2 では、次の ACS 4.x バージョンからの移行がサポートされています。

ACS 4.1.1.24

ACS 4.1.4

ACS 4.2.0.124

ACS 4.2.1


) ここに記載されている移行サポート バージョンに対して、最新のパッチをインストールしておく必要があります。また、他のバージョンの ACS 4.x がインストールされている場合は、ACS 5.2 に移行する前に、サポート対象バージョンのいずれかにアップグレードして、そのバージョンの最新パッチをインストールする必要があります。


始める前に

ACS 4.x から ACS 5.2 にデータを移行する前に、次のことを確認します。

ACS 4.x 移行元マシンにデータベース破損の問題がないこと。

移行元マシンと移行マシンに、同じ ACS バージョン(パッチを含む)がインストールされていること。

移行マシンに単一の IP アドレスが設定されていること。

移行元の ACS 4.x データがバックアップしてあること。

移行マシンと ACS 5.2 サーバの間に完全なネットワーク接続があること。

ACS 5.2 サーバで移行インターフェイスがイネーブルになっていること。

移行ユーティリティの実行中は、ACS 5.2 のデフォルトのスーパー管理者アカウント acsadmin だけを使用すること。

移行ファイルのダウンロード

ACS 5.2 の移行アプリケーション ファイルおよび移行ガイドをダウンロードするには、次の手順を実行します。


ステップ 1 [System Administration] > [Downloads] > [Migration Utility] を選択します。

[Migration from 4.x] ページが表示されます。

ステップ 2 [Migration application files] をクリックして、移行ユーティリティを実行する場合に使用するアプリケーション ファイルをダウンロードします。

ステップ 3 [Migration Guide] をクリックして、『 Migration Guide for the Cisco Secure Access Control System 5.2 』をダウンロードします。


 

ACS 4.x から ACS 5.2 への移行

ACS 4.x の任意の移行サポート バージョンから ACS 5.2 にデータを移行できます。移行ユーティリティによって、次の ACS 4.x データ エンティティが移行されます。

ネットワーク デバイス グループ(NDG)

AAA クライアントおよびネットワーク デバイス

内部ユーザ

(Interface Configuration セクションの)ユーザ定義フィールド

ユーザ グループ

共有シェル コマンド認可セット

(ユーザ アトリビュートに移行される)ユーザ TACACS+ Shell Exec アトリビュート

(シェル プロファイルに移行される)グループ TACACS+ Shell Exec アトリビュート

ユーザ TACACS+ コマンド認可セット

グループ TACACS+ コマンド認可セット

共有ダウンロード可能 ACL

EAP-FAST マスターキー

共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)

RADIUS VSA


) 移行ユーティリティでは、Public Key Infrastructure(PKI; 公開キーインフラストラクチャ)設定データは移行されず、証明書の移行もサポートされていません。


ACS 4.x から ACS 5.2 にデータを移行するには、次の手順を実行します。


ステップ 1 ACS 4.x サーバで、現在、移行サポート バージョンのいずれも稼動していない場合は、ACS 4.x バージョンを移行サポート バージョンにアップグレードします。

ACS の移行サポート バージョンのリストについては、「移行サポート バージョン」を参照してください。

ステップ 2 移行マシン(Windows サーバ)に同じ移行サポート バージョンの ACS をインストールします。

ステップ 3 ACS 4.x データをバックアップして、移行マシンで復元します。

ステップ 4 移行マシンに移行ユーティリティを保存します。

移行ユーティリティは、Installation and Recovery DVD から取得できます。

ステップ 5 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。

ステップ 6 分析およびエクスポート フェーズで発生した問題を解決します。

ステップ 7 移行マシンで、移行ユーティリティのインポート フェーズを実行します。

インポート フェーズでは、データを 5.2 サーバにインポートします。


 


) 大規模な内部データベースがある場合、スタンドアロンの 5.x プライマリ サーバにデータをインポートし、複数のセカンダリ サーバに接続しているサーバにはデータをインポートしないことを推奨します。データの移行が完了すると、セカンダリ サーバをスタンドアロンの 5.x プライマリ サーバに登録できるようになります。


移行ユーティリティの使用方法の詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/
net_mgmt/cisco_secure_access_control_system/5.2/migration/guide/Migration_Book.html

データを移行したあと、移行されたオブジェクトを使用してポリシーを再構築できます。

ACS 4.x から ACS 5.2 への機能マッピング

ACS 5.2 では、認可、シェル プロファイル、アトリビュート、およびその他のポリシー要素を、ユーザまたはグループ定義の一部としてではなく、独立した再利用可能なオブジェクトとして定義します。

表 2-1 に、ACS 5.2 での ID、ネットワーク リソース、およびポリシー要素の設定場所を示します。この表を使用して、移行したデータ ID を表示または変更します。ACS 5.2 ポリシー モデルの概要については、「ACS 5.x ポリシー モデル」を参照してください。

 

表 2-1 ACS 4.x から ACS 5.2 への機能マッピング

設定内容
ACS 4.x での選択
ACS 5.2 での選択
5.2 の追加情報

ネットワーク デバイス グループ

[Network Configuration] ページ

[Network Resources] > [Network Device Groups]

「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。

NDG はポリシー ルール内の条件として使用できます。

(ACS 5.2 では NDG 共有パスワードがサポートされていません。移行後は、メンバー デバイスに NDG 共有パスワード情報が格納されます。)

ネットワーク デバイスおよび AAA クライアント

[Network Configuration] ページ

[Network Resources] > [Network Devices and AAA Clients]

「ネットワーク デバイスおよび AAA クライアント」を参照してください。

RADIUS キー ラップのキー(KEK および MACK)は、ACS 4.x から ACS 5.2 に移行されます。

ユーザ グループ

[Group Setup] ページ

[Users and Identity Stores] > [Identity Groups]

「ID アトリビュートの管理」を参照してください。

ID グループはポリシー ルール内の条件として使用できます。

内部ユーザ

[User Setup] ページ

[Users and Identity Stores] > [Internal Identity Stores] > [Users]

「内部 ID ストアの管理」を参照してください。

ACS 5.2 は、内部 ID ストアに対してだけ内部ユーザを認証します。

認証に外部データベースを使用していた移行済みユーザには、最初のアクセス時に変更が必要なデフォルトの認証パスワードが割り当てられます。

内部ホスト

[Network Access Profiles] > [Authentication]

[Users and Identity Stores] > [Internal Identity Stores] > [Hosts]

「ID ストアでのホストの作成」を参照してください。

内部ホストは、[Host Lookup] の ID ポリシーで使用できます。

ID アトリビュート(ユーザ定義フィールド)

[Interface Configuration] > [User Data Configuration]

[System Administration] > [Configuration] > [Dictionaries] > [Identity] > [Internal Users]

「ディクショナリの管理」を参照してください。

定義済みの ID アトリビュート フィールドが [User Properties] ページに表示されます。これらをアクセス サービス ポリシーの条件として使用できます。

コマンド セット(コマンド認可セット)

次のいずれかを選択します。

[Shared Profile Components] > [Command Authorization Set]

[User Setup] ページ

[Group Setup] ページ

[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Set]

「管理デバイス用のコマンド セットの作成、複製、および編集」を参照してください。

デバイス管理アクセス サービスの認可ポリシー ルールの結果として、コマンド セットを追加できます。

Shell exec パラメータ

[User Setup] ページ

[System Administration] > [Dictionaries] > [Identity] > [Internal Users]

「ディクショナリの管理」を参照してください。

定義済みの ID アトリビュート フィールドが [User Properties] ページに表示されます。

これらをアクセス サービス ポリシーの条件として使用できます。

シェル プロファイル(shell exec パラメータまたはシェル コマンド認可セット)

[Group Setup] ページ

[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profile]

「デバイス管理用のシェル プロファイルの作成、複製、および編集」を参照してください。

デバイス管理アクセス サービスの認可ポリシー ルールの結果として、シェル プロファイルを追加できます。

日時条件(時間帯アクセス)

(注) 日時条件は移行できません。ACS 5.2 で再作成する必要があります。

[Group Setup] ページ

[Policy Elements] > [Session Conditions] > [Date and Time]

「日付と時刻の条件の作成、複製、および編集」を参照してください。

日時条件は、サービス セレクション ポリシーのポリシー ルールまたはアクセス サービスの認可ポリシーに追加できます。

RADIUS アトリビュート

次のいずれかを選択します。

[Shared Profile Components] > [RADIUS Authorization Component]

[User Setup] ページ

[Group Setup] ページ

ユーザおよびグループ設定の RADIUS アトリビュートは移行できません。ACS 5.2 で再作成する必要があります。

[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [Common Tasks] タブ

または

[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [RADIUS Attributes] タブ

「ネットワーク アクセス用の認可プロファイルの作成、複製、および編集」を参照してください。

RADIUS アトリビュートは、ネットワーク アクセス認可プロファイルの一部として設定できます。

ネットワーク アクセス サービスの認可ポリシーの結果として認可プロファイルを追加できます。

ダウンロード可能 ACL

共有プロファイル コンポーネント

[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs]

「ダウンロード可能 ACL の作成、複製、および編集」を参照してください。

ネットワーク アクセス認可プロファイルに Downloadable ACL(DACL; ダウンロード可能 ACL)を追加できます。

認可プロファイルを作成したあと、ネットワーク アクセス サービスの認可ポリシーの結果としてこれを追加できます。

RADIUS VSA

[Interface Configuration]

[System Administration] > [Configuration] > [Dictionaries] > [Protocols] > [RADIUS] > [RADIUS VSA]

「RADIUS ベンダー固有アトリビュートの作成、複製、および編集」を参照してください。

RADIUS VSA アトリビュートは、ネットワーク アクセス認可プロファイルの一部として設定します。

ネットワーク アクセス サービスの認可ポリシーの結果として認可プロファイルを追加できます。

移行の一般的なシナリオ

次に、ACS 5.2 への移行時に発生する一般的なシナリオを示します。

「CSACS 1120 の ACS 4.2 から ACS 5.2 への移行」

「ACS 3.x から ACS 5.2 への移行」

「他の AAA サーバから ACS 5.2 へのデータの移行」

CSACS 1120 の ACS 4.2 から ACS 5.2 への移行

配置されている CSACS 1120 の ACS 4.2 を ACS 5.2 に移行する場合、次の手順を実行する必要があります。


ステップ 1 移行マシンに Cisco Secure Access Control Server 4.2 for Windows をインストールします。

ステップ 2 CSACS 1120 で ACS 4.2 データをバックアップします。

ステップ 3 移行マシンでデータを復元します。

ステップ 4 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。

ステップ 5 CSACS 1120 に ACS 5.2 をインストールします。

ステップ 6 移行マシンのデータを、ACS 5.2 がインストールされている CSACS 1120 にインポートします。


 

各ステップの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/migration/guide/Migration_Book.html

ACS 3.x から ACS 5.2 への移行

使用環境に ACS 3.x を配置している場合、ACS 5.2 への直接移行はできません。次の手順を実行する必要があります。


ステップ 1 ACS 4.x の移行サポート バージョンにアップグレードします。移行サポート バージョンのリストについては、「移行サポート バージョン」を参照してください。

ステップ 2 ACS 3.x のアップグレード パスを確認します。

ACS Solution Engine については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for
_solution_engine/4.1/installation/guide/solution_engine/upgap.html#wp1120037

ACS for Windows については、次の URL を参照してください。

http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for
_windows/4.2/installation/guide/windows/install.html#wp1102849

ステップ 3 ACS 3.x サーバを ACS 4.x の移行サポート バージョンにアップグレードします。

アップグレード後、ACS 4.x から ACS 5.2 への移行方法を示した手順を実行します。詳細については、『 Migration Guide for the Cisco Secure Access Control System 5.2 』を参照してください。


 

他の AAA サーバから ACS 5.2 へのデータの移行

ACS 5.2 では、ACS Web インターフェイスおよび CLI を使用して、さまざまな ACS オブジェクトの一括インポートを実行できます。インポートできる ACS オブジェクトは次のとおりです。

ユーザ

ホスト

ネットワーク デバイス

ID グループ

NDG

ダウンロード可能 ACL

コマンド セット

ACS では、カンマ区切り形式(.csv)ファイルを使用して、データの一括インポートを実行できます。データは、ACS が要求する形式で .csv ファイルに入力する必要があります。ACS には、ACS 5.2 にインポート可能なそれぞれのオブジェクト用に .csv テンプレートが用意されています。このテンプレートは Web インターフェイスからダウンロードできます。

他の AAA サーバから ACS 5.2 にデータを移行するには、次の手順を実行します。


ステップ 1 .csv ファイルにデータを入力します。

.csv テンプレートの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255

ステップ 2 ACS 5.2 アプライアンスを設定します。

ステップ 3 ACS 5.2 に対してデータの一括インポートを実行します。

ACS オブジェクトの一括インポートの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/
cli_imp_exp.html#wp1052831

これで、他の AAA サーバのデータを ACS 5.2 で使用できます。