Cisco Secure ACS 5.1/5.2 用 Cisco Identity Services Engine Release 1.1.x 移行ガイド
Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 のデータ構造マッピング
Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 のデータ構造マッピング
発行日;2012/09/24 | 英語版ドキュメント(2012/07/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 のデータ構造マッピング

移行されるデータ オブジェクト

移行されないデータ オブジェクト

一部が移行されるデータ オブジェクト

一般的な移行ルール

移行ポリシー

サポート対象属性およびデータ型

データ情報マッピング

Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 のデータ構造マッピング

この付録では、以下の移行関連のトピックについて説明します。

「移行されるデータ オブジェクト」

「移行されないデータ オブジェクト」

「一部が移行されるデータ オブジェクト」

「一般的な移行ルール」

「移行ポリシー」

「サポート対象属性およびデータ型」

「データ情報マッピング」

移行されるデータ オブジェクト

以下のデータ オブジェクトは、Cisco Secure Access Control System(ACS)5.1/5.2 から Cisco Identity Services Engine(ISE)1.1 へ移行されます。

ネットワーク デバイス グループ(NDG)タイプと階層

ネットワーク デバイス

デフォルト ネットワーク デバイス

外部 RADIUS サーバ

ID グループ

内部ユーザ

内部エンドポイント(ホスト)

Lightweight Directory Access Protocol(LDAP)

Microsoft Windows Active Directory(AD)

RSA(一部サポート、 表 A-25 を参照)

RADIUS トークン( 表 A-24 を参照)

証明書認証プロファイル

日付と時間の条件(一部サポート、 移行ポリシーを参照)

RADIUS 属性およびベンダー固有属性(VSA)の値( 表 A-5 および 表 A-6 を参照)

RADIUS ベンダー ディクショナリ( 表 A-5 および 表 A-6 の注釈を参照)

内部ユーザ属性( 表 A-1 および 表 A-2 を参照)

内部エンドポイント属性(「一般的な移行ルール」 を参照)

許可プロファイル

ダウンロード可能アクセス コントロール リスト(DACL)

ID(認証)ポリシー

ネットワーク アクセスの許可ポリシー

ネットワーク アクセスの許可例外ポリシー

ネットワーク アクセスのサービス選択ポリシー

RADIUS プロキシ サービス

ユーザ パスワードの複雑度

ID 順序および RSA プロンプト

UTF-8 データ(「UTF-8 のサポート」 を参照)

移行されないデータ オブジェクト

以下のデータ オブジェクトは、Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されません。

モニタリング レポート

スケジュール バックアップ

リポジトリ

管理者、ロール、および管理者の設定

カスタマー/デバッグ ログ設定

展開情報(セカンダリ ノード)

証明書(認証局およびローカル証明書)

Security Group Access Control List(SGACL)

Security Group(SG)

サポートされている Security Group Access(SGA)デバイスの AAA サーバ

SG マッピング

Network Device Admission Control(NDAC)ポリシー

SGA 出力マトリクス(SGA)

ネットワーク デバイス内の SGA データ

SGA 許可ポリシー結果のセキュリティ グループ タグ(SGT)

ネットワーク条件(エンド ステーション フィルタ、デバイス フィルタ、デバイス ポート フィルタ)

デバイス管理認証および許可ポリシー

一部が移行されるデータ オブジェクト

以下のデータ オブジェクトは、Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ一部が移行されます。

日付型の ID およびホスト属性は移行されない。

RSA sdopts.rec ファイルおよびセカンダリ情報は移行されない。

RADIUS ID サーバ属性(属性 CiscoSecure-Group-Id のみ移行される)。

一般的な移行ルール

Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へデータを移行する場合に、以下の移行ルールを考慮します。

特殊文字は移行されない。

enum 型の属性(RADIUS、VSA、ID、およびホスト)は、使用可能な値を持つ整数として移行される。

(属性のデータ型に関係なく)すべてのエンドポイント属性は String データ型として移行される。

ISE ログに追加される RADIUS 属性および VSA 値をフィルタすることはできない。

移行ポリシー

認証および許可ポリシーは、Cisco Secure ACS から Cisco ISE へ移行されます。ACS と ISE には簡易認証およびルールベースの認証の両方のパラダイムがありますが、ACS と ISE は別のポリシー モデルに基づいています。ACS と ISE のポリシー モデルが異なるために、すべての ACS ポリシーおよびルールを移行することはできません。主な理由は以下のとおりです。

ポリシーで使用されている属性がサポートされていない

構造がサポートされていない、または条件付きである(大半は、以前に複雑な条件が設定されている)

演算子がサポートされていない(「begin with」など)

ルールを移行できない場合は、ポリシー全体は移行されず、その理由と詳細が Policy Gap Analysis レポートに記載されます。レポートを表示して、問題のあるルールを削除または修正することができます。Policy Gap Analysis レポートの詳細については、「レポート」を参照してください。


) サポート対象外のルールを修正または削除しない場合、ポリシーは Cisco ISE へ移行されません。


Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への移行ポリシーのガイドラインは以下のとおりです。

データ型が「string」以外のユーザ属性を含む条件付きルールは移行されません。

条件でホスト属性を参照している場合、認証は失敗します。

ホスト(エンドポイント)属性を持つ条件が含まれている許可ポリシーは、Cisco ISE 許可ポリシーへ移行されません。

反復的な週次設定を持つ許可ポリシー内の日時条件は、Cisco ISE へ移行されません。結果として、ルールも移行されません。

認証ポリシー内の日時条件は Cisco ISE へ移行されません。結果として、ルールも移行されません。

以下のオペランドは、条件内ではサポートされていません。

String :start with、end with、contains、not contains

Date and time :not in

Identity group :not in

条件内でこれらのオペランドを使用しているルールも移行されません。

a || b || c || .. や a && b && c && .. 以外の論理式((a || b) && c など)を持つ複合条件が含まれている認証ポリシーは移行されません。a && b && c && 以外のローカル式を持つ複合条件が含まれている許可ポリシーは、ルール条件の一部として移行されません。代わりに、いくつかの高度な論理式に対してライブラリ複合条件を手動で使用することができます。

ネットワーク条件のみが含まれているルールは移行されません。条件にネットワーク条件、およびサポート対象の他の条件が含まれている場合、ネットワーク条件は無視され、ルール条件の一部として移行されません。

Cisco ISE は TACACS をサポートしていません。このため、TACACS 属性を使用しているすべての ACS ルールは移行されません。


) エクスポート フェーズ中に、Cisco ACS 5.1/5.2-ISE 1.1 Migration Tool が、(このセクションに記載されている移行ガイドラインのいずれかと照合して)認証ポリシーと許可ポリシー間の差異を認識した場合は、Policy Gap Analysis レポートに記載されます。差異が認識された場合、移行の実施管理者は、責任を持ってルールの修正または削除を行う必要があります。このようなルールが修正または削除されない場合、ポリシーは Cisco ISE へ移行されません。


サポート対象属性およびデータ型

以下の表に、移行されるサポート対象の属性、およびそのターゲット データ型を記載しています。

 

表 A-1 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されるユーザ属性

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

String

String

UI32

未サポート

IPv4

未サポート

Boolean

未サポート

Date

未サポート

Enum

未サポート

 

表 A-2 ユーザ属性:ユーザとの関連

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

String

サポート

UI32

--

IPv4

--

Boolean

--

Date

--

 

表 A-3 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されるホスト属性

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

String

String

UI32

UI32

IPv4

IPv4

Boolean

Boolean

Date

未サポート

Enum

使用可能な値の整数

 

表 A-4 ホスト属性:ホストとの関連

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

String

サポート

UI32

サポート(値は String に変換される)

IPv4

サポート(値は String に変換される)

Boolean

サポート(値は String に変換される)

Date

サポート(値は String に変換される)

Enum

サポート(値は String に変換される)

 

表 A-5 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行される RADIUS 属性

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

UI32

UI32

UI64

UI64

IPv4

IPv4

Hex String

Octect String

String

String

Enum

使用可能な値の整数

 

表 A-6 RADIUS 属性:RADIUS サーバとの関連

Cisco Secure ACS 5.1/5.2
Cisco ISE 1.1

UI32

サポート

UI64

サポート

IPv4

サポート

Hex String

サポート(Hex string は Octet String に変換される)

String

サポート

Enum

サポート(Enum は使用可能な値の整数)

データ情報マッピング

このセクションでは、エクスポート中にマッピングされるデータ情報が記載されている一連の表を提供します。これらの表には、各オブジェクトについて Cisco Secure ACS 5.1/5.2 のカテゴリ、および Cisco ISE 1.1 におけるそれらと同等のカテゴリが含まれています。このセクションのデータ マッピング表には、移行プロセスのエクスポート ステージ中のデータ移行でマップされるデータ オブジェクトのステータス(有効または無効)が記載されています。

表 A-7(ネットワーク デバイス プロパティ マッピング)

表 A-8(Active Directory プロパティ マッピング)

表 A-9(外部 RADIUS サーバ プロパティ マッピング)

表 A-10(ホスト/エンドポイント プロパティ マッピング)

表 A-11(ID ディクショナリ プロパティ マッピング)

表 A-12(ID グループ プロパティ マッピング)

表 A-13(LDAP プロパティ マッピング)

表 A-14(NDG タイプ マッピング)

表 A-15(NDG 階層マッピング)

表 A-16(RADIUS ディクショナリ ベンダー マッピング)

表 A-17(RADIUS ディクショナリ属性マッピング)

表 A-18(ユーザ マッピング)

表 A-19(証明書認証プロファイル)

表 A-20(許可プロファイル マッピング)

表 A-21(DACL マッピング)

表 A-22(外部 RADIUS サーバ マッピング)

表 A-23(ID 属性ディクショナリ マッピング)

表 A-24(RADIUS トークン マッピング)

表 A-25(RSA マッピング)

表 A-26(RSA プロンプト)

表 A-27(ID ストア順序)

表 A-28(デフォルト ネットワーク デバイス)


) エクスポート レポートおよびインポート レポートには、情報、警告、エラー メッセージが含まれており、インポート プロセスとエクスポート プロセスの検証として機能します。


 

表 A-7 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのネットワーク デバイス マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

そのまま移行

Description

そのまま移行

Network device group

そのまま移行

Single IP address

そのまま移行

Single IP and subnet address

そのまま移行

Collection of IP and subnet addresses

そのまま移行

TACACS information

TACACS は Cisco ISE 1.1 でサポート対象外のため移行されません。

RADIUS shared secret

そのまま移行

CTS

そのまま移行

SNMP

SNMP データは Cisco ISE でのみ使用できるため、移行されたデバイス用の SNMP 情報はありません。

Model name

これは Cisco ISE でのみ有効なプロパティです(値はデフォルトで「unknown」)。

Software version

これは Cisco ISE でのみ有効なプロパティです(値はデフォルトで「unknown」)。

 


) TACACS としてのみ設定されているネットワーク デバイスは移行に対してサポートされていません。これらのデバイスは移行されないデバイスとして記載されます。


 

表 A-8 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への Active Directory マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Domain name

そのまま移行

User name

そのまま移行

Password

そのまま移行

Allow password change

そのまま移行

Allow machine access restrictions

そのまま移行

Aging time

そのまま移行

User attributes

そのまま移行

Groups

そのまま移行


) Cisco Secure ACS-Cisco ISE Migration Tool は、Active Directory データが移行された後で join コマンドを発行します。ドメイン名、ユーザ名、およびパスワードが不正な場合、この「join」動作は失敗することがあります。また、Cisco ISE アプライアンスが AD のサーバ時間と正確に同期していることが重要です。同期していない場合は、「join」動作中に失敗することがあります。


 

表 A-9 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への外部 RADIUS サーバ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

そのまま移行

Description

そのまま移行

Server IP address

そのまま移行

Shared secret

そのまま移行

Authentication port

そのまま移行

Accounting port

そのまま移行

Server timeout

そのまま移行

Connection attempts

そのまま移行

 

表 A-10 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのホスト(エンドポイント)マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

MAC address

そのまま移行

Status

移行されない

Description

そのまま移行

Identity group

エンドポイント グループとの関連を移行します。

Attribute

エンドポイント属性が移行されます。

Authentication state

これは Cisco ISE で有効なプロパティです(値は固定値「Authenticated」)。

Class name

これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。

Endpoint policy

これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。

Matched policy

これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。

Matched value

これは Cisco ISE でのみ有効なプロパティです(値は固定値「0」)。

NAS IP address

これは Cisco ISE でのみ有効なプロパティです(値は固定値「0.0.0.0」)。

OUI

これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。

Posture status

これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。

Static assignment

これは Cisco ISE でのみ有効なプロパティです(値は固定値「False」)。

 

表 A-11 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID ディクショナリ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Attribute

Attribute name

Description

Description

Internal name

Internal name

Attribute type

Data type

Maximum length

移行されない

Default value

移行されない

Mandatory fields

移行されない

User

ディクショナリ プロパティはこの値(「user」)を承認します。

 

表 A-12 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID グループ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Parent

このプロパティは、階層の詳細の一部として移行されます。


) Cisco ISE にはエンドポイント グループおよび ID グループが含まれています。Cisco Secure ACS 5.1/5.2 の ID グループは Cisco ISE へ、エンドポイント グループおよび ID グループとして移行されます。これは、ユーザを ID グループに割り当て、エンドポイントをエンドポイント グループに割り当てる必要があるためです。


 

表 A-13 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への LDAP マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Server connection information

そのまま移行([サーバ接続(Server Connection)] タブ、図 A-1 を参照)。

Directory organization information

そのまま移行([ディレクトリ構成(Directory Organization)] タブ、図 A-2 を参照)

Directory groups

そのまま移行

Directory attributes

移行は(Cisco Secure ACS-Cisco ISE Migration Tool を使用して)手動で行われます。

図 A-1 [サーバ接続(Server Connection)] タブ

 

図 A-2 [ディレクトリ構成(Directory Organization)] タブ

 

 

表 A-14 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への NDG タイプ マッピング

Cisco Secure ACS 5.1/5.2 のプロパティ
Cisco ISE 1.1 のプロパティ

Name

Name

Description

Description


) Cisco Secure ACS 5.1/5.2 は、同じ名前の複数のネットワーク デバイス グループ(NDG)の所有をサポートすることができます。Cisco ISE は、この命名規則をサポートしていません。したがって、定義されている名前の最初の NDG タイプのみが移行されます。


 

表 A-15 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への NDG 階層マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Parent

このプロパティには特別なプロパティは関連付けられません。この値は、NDG 階層名の一部としてのみ入力されるためです(NDG タイプはこのオブジェクト名のプレフィックスです)。

 


) コロン(:)を持つルート名が含まれている NDG は移行されません。これは、Cisco ISE 1.1 で、コロンを有効な文字として認識しないためです。


 

表 A-16 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RADIUS ディレクトリ(ベンダー)マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Vendor ID

Vendor ID

Attribute prefix

このプロパティは移行する必要ありません。

Vendor length field size

Vendor attribute type field length.

Vendor type field size

Vendor attribute size field length.


) Cisco Secure ACS 5.1/5.2 インストールの一部ではない、これらの RADIUS ベンダーのみ移行する必要があります(これはユーザ定義ベンダーにのみ影響します)。


 

表 A-17 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RADIUS ディクショナリ(属性)マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Attribute ID

この値には特定のプロパティを関連付けられません。この値は、NDG 階層名の一部としてのみ入力されるためです。(NDG タイプはこのオブジェクト名のプレフィックスです)。

Direction

Cisco ISE ではサポート対象外

Multiple allowed

Cisco ISE ではサポート対象外

Attribute type

そのまま移行

Add policy condition

Cisco ISE ではサポート対象外

Policy condition display name

Cisco ISE ではサポート対象外


) Cisco Secure ACS 5.1/5.2 インストールの一部ではない、これらの RADIUS 属性のみ移行する必要があります(ユーザ定義属性のみ移行する必要があります)。


 

表 A-18 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのユーザ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Status

このプロパティは移行する必要ありません。(このプロパティは Cisco ISE には存在しません)。

Identity group

Cisco ISE の ID グループへ移行します。

Password

Password

Enable password

このプロパティは移行する必要ありません。(このプロパティは Cisco ISE には存在しません)。

Change password on next login

このプロパティは移行する必要ありません。

User attributes list

ユーザ属性は Cisco ISE からインポートされ、ユーザに関連付けられます。

 

表 A-19 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への証明書認証プロファイル マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Principle user name(X.509 属性)

Principle user name(X.509 属性)

Binary certificate comparison with certificate from LDAP or AD

Binary certificate comparison with certificate from LDAP or AD

AD - LDAP name for certificate fetching

AD - LDAP name for certificate fetching

 

表 A-20 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への許可プロファイル マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

DACLID(ダウンロード可能 ACL ID)

そのまま移行

Attribute type(静的および動的)

静的属性の場合はそのまま移行されます。

動的属性の場合は、Dynamic VLAN は除き、そのまま移行されます。

Attributes(静的タイプに対してのみフィルタされる)

RADIUS attributes

 

表 A-21 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのダウンロード可能 ACL マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

DACL content

DACL content

 

表 A-22 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への外部 RADIUS サーバ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Server IP address

Hostname

Shared secret

Shared secret

Authentication port

Authentication port

Accounting port

Accounting port

Server timeout

Server timeout

Connection attempts

Connection attempts

 

表 A-23 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID 属性ディクショナリ マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Attribute

Attribute name

Description

Internal name

Name

そのまま移行

Attribute type

Data type

該当プロパティなし

Dictionary(ユーザ ID 属性の場合は値「InternalUser」で設定し、ホスト ID 属性の場合は「InternalEndpoint」で設定します)。

Cisco Secure ACS からまだエクスポートまたは抽出されていない

使用可能な値 = display name

Cisco Secure ACS からまだエクスポートまたは抽出されていない

使用可能な値 = internal name

Cisco Secure ACS からまだエクスポートまたは抽出されていない

使用可能な値はデフォルトです。

Maximum length

なし

Default value

なし

Mandatory field

なし

Add policy condition

なし

Policy condition display name

なし

 

表 A-24 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 RADIUS へのトークン マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Safeword server

Safeword server

Enable secondary appliance

Enable secondary appliance

Always access primary appliance first

Always access primary appliance first

Fallback to primary appliance in minutes

Fallback to primary appliance in minutes

Primary appliance IP address

Primary appliance IP address

Primary shared secret

Primary shared secret

Primary authentication port

Primary authentication port

Primary appliance TO (timeout)

Primary appliance TO

Primary connection attempts

Primary connection attempts

Secondary appliance IP address

Secondary appliance IP address

Secondary shared secret

Secondary shared secret

Secondary authentication port

Secondary authentication port

Secondary appliance TO

Secondary appliance TO

Secondary connection attempts

Secondary connection attempts

Advanced > treat reject as authentication flag fail

Advanced > treat reject as authentication flag fail

Advanced > treat rejects as user not found flag

Advanced > treat rejects as user not found flag

Advanced > enable identity caching and aging value

Advanced > enable identity caching and aging value

Shell > prompt

Authentication > prompt

Directory attributes

Authorization > attribute name(Cisco Secure ACS のディクショナリ属性リストに属性「CiscoSecure-Group-Id」が含まれている場合は、この属性に移行されます。それ以外の場合はデフォルト値は「CiscoSecure-Group-Id」になります)。

 

表 A-25 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RSA マッピング

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name は常に RSA

Description

移行されない

Realm configuration file

Realm configuration file

Server TO

Server TO

Reauthenticate on change to PIN

Reauthenticate on change to PIN

RSA instance file

移行されない

Treat rejects as authentication fail

Treat rejects as authentication fail

Treat rejects as user not found

Treat rejects as user not found

Enable identity caching

Enable identity caching

Identity caching aging time

Identity caching aging time

 

表 A-26 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RSA プロンプト

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Passcode prompt

Passcode prompt

Next Token prompt

Next Token prompt

PIN Type prompt

PIN Type prompt

Accept System PIN prompt

Accept System PIN prompt

Alphanumeric PIN prompt

Alphanumeric PIN prompt

Numeric PIN prompt

Numeric PIN prompt

 

表 A-27 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID ストア順序

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Name

Name

Description

Description

Certificate based, certificate authentication profile

Certificate based, certificate authentication profile

Password based

Authentication search list

Advanced options > if access on current IDStore fails than break sequence

Do not access other stores in the sequence and set the "AuthenticationStatus" attribute to "ProcessError."

Advanced options > if access on current IDStore fails then continue to next

Treated as "User Not Found" and proceed to the next store in the sequence.

Attribute retrieval only > exit sequence and treat as "User Not Found"

未サポート(無視される)

表 A-28 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのデフォルト ネットワーク デバイス

Cisco Secure ACS のプロパティ
Cisco ISE のプロパティ

Default network device status

Default network device status

Network device group

移行されない

Authentication Options - Tacacs+

移行されない

RADIUS - shared secret

Shared Secret

RADIUS - CoA port

移行されない

RADIUS - Enable keywrap

Enable keyWrap

RADIUS - Key encryption key

Key encryption key

RADIUS - Message authenticator code key

Message authenticator code key

RADIUS - Key input format

Key input format