Cisco Secure Access Control System 5.3 移行ガイド
移行ユーティリティを使用した、ACS 4.x か ら ACS 5.3 へのデータ移行
移行ユーティリティを使用した、ACS 4.x から ACS 5.3 へのデータ移行
発行日;2012/03/14 | 英語版ドキュメント(2012/01/31 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

移行ユーティリティを使用した、ACS 4.x から ACS 5.3 へのデータ移行

概要

移行ユーティリティの実行

移行スクリプト セクション

ACS 4.x オブジェクトの移行

AAA クライアント/ネットワーク デバイス

データ マッピング

分析およびエクスポート

インポート

複数インスタンスのサポート

NDG

データ マッピング

分析およびエクスポート

インポート

複数インスタンスのサポート

内部ユーザ

基本ユーザ定義

複数インスタンスのサポート

ユーザ データ設定およびユーザ マッピング

ユーザ シェル コマンド認可

Shell exec パラメータ

ユーザ グループ

分析およびエクスポート

インポート

複数インスタンスのサポート

ユーザ グループ ポリシーのコンポーネント

グループ コマンド セット

グループ Shell Exec

MAC アドレスと内部ホスト

共有シェル コマンド認可セット

共有 DACL オブジェクト

データ マッピング

分析およびエクスポート

インポート

複数インスタンスのサポート

共有 RAC

データ マッピング

分析およびエクスポート

インポート

複数インスタンスのサポート

RADIUS VSA

データ マッピング

分析およびエクスポート

インポート

EAP-Fast マスター キーおよび認証局 ID

データ マッピング

分析およびエクスポート

インポート

複数インスタンスのサポート

ACS 4.x データの分析およびエクスポート

データの統合

分析およびエクスポート フェーズの結果の問題

ACS 5.3 への ACS 4.x データのインポート

複数のインスタンスの移行

移行によるメモリおよびパフォーマンスへの影響

レポートの印刷とレポート タイプ

分析レポートとエクスポート要約レポート

分析レポートとエクスポート フル レポート

インポート要約レポート

インポート フル レポート

インポートの検証

要約レポート

フル レポート

エラーと例外の処理

移行の確認

ユーザおよびユーザ グループ

コマンド シェルの移行

コマンド セットの移行

NDG の移行

ネットワーク デバイスの移行

DACL の移行

MAB の移行

共有 RAC

RADIUS VSA

KEK キーと MACK キー

概要

この章では、ACS 4.x から ACS 5.3 にデータを移行する方法を説明します。開始する前に、「移行ユーティリティのセットアップとインストール」に記載されているセットアップ、バックアップ、インストールの手順に従う必要があります。

移行を開始する前に、ACS 5.3 サーバで移行インターフェイスがイネーブルになっていることを確認してください。

コマンドライン インターフェイスから、次のように入力します。

acs config-web-interface migration enable

ACS 5.3 サーバで移行インターフェイスがイネーブルになっていることを確認するには、コマンドライン インターフェイスから次のように入力します。

show acs-config-web-interface

詳細については、『 Command Line Interface Reference Guide for the Cisco Secure Access Control System 5.3 』を参照してください。

移行ユーティリティの実行

移行ユーティリティを実行するには、次の手順を実行します。


ステップ 1 コマンド プロンプトを開き、ディレクトリを C:\Migration Utility\migration\bin に変更します。

移行ユーティリティをインストールするディレクトリを指定できます。この例では、移行ユーティリティをルート ディレクトリとして使用します。

ステップ 2 コマンド プロンプトに、 migration.bat と入力します。


 

例 6-1 に、移行ユーティリティの実行時に表示されるプロンプトを示します。

例 6-1 移行スクリプト(ユーザ入力)

Copyright (c) 2008-2009 Cisco Systems, Inc.
All rights reserved.
---------------------------------------------------------------------------------------
This utility migrates data from ACS 4.x to ACS 5. You can migrate directly from the following ACS versions:
 
- ACS 4.1.1.24
- ACS 4.1.4
- ACS 4.2.0.124
- ACS 4.2.1
 
Data migration involves the following:
a. The migration utility analyzes the ACS 4.x data, exports any data from ACS 4.x that can be migrated automatically, and imports the data into ACS 5.
b. Before the import stage, you can manually consolidate and resolve data according to the analysis report, to maximize the amount of data that the utility can migrate.
c. After migration, use the imported data to recreate your policies in ACS 5.
---------------------------------------------------------------------------------------
 
Make sure that the database is running.
Enter ACS 5 IP address or hostname:[nn.nn.nnn.nnn]
Enter ACS 5 administrator username:[test]
Enter ACS 5 password:
Change user preferences?[no]
yes
 
User Groups
--------------------------------------------------------------------------------
Existing user groups will be migrated to the Identity Group.
Enter new Root name:[Migrated Group]
 
Network Device Groups
--------------------------------------------------------------------------------
 
Existing network device groups will be migrated to the Network Device Group.
Enter new Root name:[Migrated NDGs]
 
Consolidation Prefix
--------------------------------------------------------------------------------
Identical objects found will be consolidated into one object.
Enter a prefix to add to the consolidated object:[cons]
 
Users
--------------------------------------------------------------------------------
ACS 5 supports authentication for internal users against the internal database only.
ACS 4.x users who were configured to use an external database for authentication will be migrated with a default authentication password.
Specify a default password.
 
Disabled Group Users
--------------------------------------------------------------------------------
ACS 4.x users and hosts that are associated with disabled groups will be migrated as disabled:[yes]
 
 
Configure these users as disabled in ACS 5, or ask for a change of password on a user’s first attempt to access ACS 5.
Select the option:
1 - DisableExternalUser
2 - SetPasswordChange
Selected option:[2]
2
 
Network Devices
--------------------------------------------------------------------------------
TACACS+ and RADIUS network devices with same IP address will be unified.
Select a name to be used for unified devices.
1 - RADIUSName
2 - TACACSName
3 - CombinedName
Selected option:[3]
 
DACL name construction
--------------------------------------------------------------------------------
Existing downloadable ACL will be migrated.
Select a name to be used for the migrated DACL
1 - DaclName_AclName
2 - AclName
Selected option:[1]
 
Save user defaults? [yes]
yes
 
Enter ACS 4.x Server ID:
acs1
 
Add server-specific migration prefixes?[no]
yes
 
You can add a global prefix to all migrated objects from this server.
Enter a global prefix:[]
s1
 
Use special prefixes for specific object types?[no]
yes
 
** To input an empty prefix, enter the keyword EMPTY.
 
User Attributes Prefix: You can add an additional prefix to the user attributes.
Enter a prefix to add to these objects:[s1]
 
Network Device Prefix: You can add an additional prefix to the network devices names.
Enter a prefix to add to these objects:[s1]
 
Users Command Set Prefix: Extracted command sets are migrated to a shared named object with an optional prefix.
Enter a prefix to add to these objects:[s1]
 
Groups Command Set Prefix: Extracted command sets will be given the group name with an optional prefix.
Enter a prefix to add to these objects:[s1]
 
Groups Shell Exec Prefix: Extracted shell profile will be given the group name with an optional prefix.
Enter a prefix to add to these objects:[s1]
 
Shared Command Sets Prefix: Extracted command sets are migrated to a shared named object with an optional prefix.
Enter a prefix to add to these objects:[s1]
 
Shared Downloadable ACL Prefix: Extracted Downloadable ACL will be given a name with an optional prefix.
Enter the prefix to add to such objects:[s1]
 
RAC Prefix: Existing RAC will be migrated with an optional prefix.
Enter the prefix to add to such objects:[s1]
 
User Groups Root Prefix: You can add a prefix to the user groups root.
Enter a prefix to add to the user groups root:[s1
 
Network Device Groups Root Prefix: You can add a prefix to the network device groups root.
Enter a prefix to add to the network device groups root:[s1]
 
Save server migration prefixes?[yes]
yes
 
Show full report on screen?[yes]
yes
 
--------------------------------------------------------------------------------
 
Select the ACS 4.x Configuration groups to be migrated:[1]
1 - ALLObjects
2 - AllUsersObjects
3 - AllDevicesObjects
4 - SharedCommandSet
5 - SharedDACLObject
6 - MasterKeys
7 - SharedRACObjectWithVSA
--------------------------------------------------------------------------------
 
6
--------------------------------------------------------------------------------
 
The following object types will be extracted:
--------------------------------------------------------------------------------
 
EAP FAST - Master Keys
--------------------------------------------------------------------------------
 
Choose one of the following:
1 - AnalyzeAndExport
2 - Import
3 - CreateReportFiles
4 - Exit
--------------------------------------------------------------------------------
 
4
--------------------------------------------------------------------------------
Would you like to migrate another ACS4.x server? [no]
yes
 
--------------------------------------------------------------------------------
Enter ACS 4.x Sever ID:

移行スクリプト セクション

移行スクリプトは、次のセクションで構成されます。

移行環境情報。表 6-1を参照してください。

移行ユーザ プリファレンス。表 6-2を参照してください。

移行グループ。表 6-3を参照してください。

移行フェーズ。表 6-4を参照してください。

 

表 6-1 移行スクリプト環境情報。

スクリプトの要素
説明
Use saved user defaults?[yes]

このプロンプトは、移行ユーティリティを再実行して複数のインスタンスを移行する場合に表示されます。デフォルトは yes です。ACS 5.3 ターゲット マシンに別の IP アドレスおよび資格情報を入力する場合は、 no と入力します。

Make sure that the database is running.
 

情報メッセージ。次の内容を確認してください。

ACS 4.x サービスがアクティブになっていること。

ACS 4.x 移行元マシンでデータベースをバックアップしていること。

IP アドレス接続を設定していること。

ACS 4.x 移行マシンから ACS 5.3 ターゲット マシンにアクセスできること。Web インターフェイスにアクセスして、ACS 5.3 マシンが使用可能であることを確認してください。

次のコマンドの実行後に移行インターフェイスがイネーブルになっていること
acs config-web-interface migration enable

Enter ACS 5 IP address or hostname:[nn.nn.nnn.nnn]

ACS 5.3 ターゲット マシンの IP アドレスまたはホスト名を入力します。ACS 4.x データを ACS 5.3 ターゲット マシンに移行します。

Enter ACS 5 administrator username:[test]

ACS 5.3 ターゲット マシンのユーザ名を入力します。ACS 5.3 では、管理ユーザだけがサポートされます。

ACS 5.3 では、デフォルトのスーパー管理者アカウント acsadmin だけがサポートされ、手動によるユーザの介入はサポートされません。

Enter ACS 5 password:

ACS 5.3 ターゲット マシンのパスワードを入力します。

Change user preferences?[no]
yes

デフォルト値は no です。

定義済みの値を保持するには、 no と入力します。移行ユーティリティを再実行する場合、これらは UseDefaults 値になります。

ユーザ プリファレンスを変更するには、yes と入力します。

 

表 6-2 移行スクリプト ユーザ プリファレンス

スクリプトの要素
説明
User Groups
Existing user groups will be migrated to the Identity Group
Enter new Root name:[Migrated Group]

ID グループのデフォルト名は Migrated Group です。たとえば、ユーザ acs_3 は ID グループ All Groups:Migrated Group:ACS_Migrate 2 に属しています。新しい名前を入力して、Enter を押すと、デフォルト名が変更されます。

Network Device Groups
Existing network device groups will be migrated to the Network Device Group.
Enter new Root name:[Migrated NDGs]

ネットワーク デバイス グループ(NDG)のデフォルト名は Migrated NDGs です。新しい名前を入力して、Enter を押すと、デフォルト名が変更されます。

Consolidation Prefix
Identical objects found will be consolidated into one object.
Enter a prefix to add to the consolidated object:[cons]

統合されたオブジェクトに追加するプレフィクスを入力します。

Users
ACS 5 supports authentication for internal users against the internal database only.
ACS 4.x users who were configured to use an external database for authentication will be migrated with a default authentication password.
Specify a default password.

ユーザ オブジェクトの外部ユーザのデフォルト パスワードです。新しいパスワードを入力して、Enter を押すと、デフォルトのパスワードが変更されます。

ACS 5.3 では、内部データベースに対してだけ、内部ユーザの認証がサポートされます。認証に外部データベースを使用していた ACS 4.x ユーザは、デフォルトの認証パスワードで移行されます。

ACS 5.3 では、デフォルトのパスワードを設定することができます。

Disabled Group Users
ACS 4.x users and hosts that are associated with disabled group will be migrated as disabled:[yes]

ディセーブルになっているユーザ グループに関連付けられたユーザおよびホストは、1 つのグループの下にディセーブルとして移行されます。

Configure these users as disabled in ACS 5, or ask for a change of password on a user’s first attempt to access ACS 5.
Select the option:
1 - DisableExternalUser
2 - SetPasswordChange
Selected option:[2]

外部データベースで認証された ACS 4.x ユーザは、スタティック パスワードの内部ユーザとして移行されます。

外部ユーザをディセーブルにするには、オプション 1 を選択します。

移行された外部ユーザのパスワードを変更するには、オプション 2 を選択します。

Network Devices
TACACS+ and RADIUS network devices with same IP address will be unified.
Select the name to be used for unified devices.
1 - RADIUSName
2 - TACACSName
3 - CombinedName
Selected option:[3]

同じ IP アドレスの TACACS+ および RADIUS ネットワーク デバイスを組み合わせて 1 つの名前にします。

たとえば、TACACS+ ネットワーク デバイス名が MyTacacsDev で、RADIUS ネットワーク デバイスが RadiusDev の場合、組み合わせた名前 MyTacacsDev_MyRadiusDev を作成するには、オプション 3 を選択します。

DACL name construction
Existing downloadable ACL will be migrated.
Select the name to be used for the migrated DACL
1 - DaclName_AclName
2 - AclName
Selected option:[1]

移行された ACS 4.x DACL に使用する命名規則を選択します。

1:DACL_ACL 名

2:ACL 名

Save user deafults?[yes]
 

デフォルト値は yes です。このセッションで使用した設定を保持しない場合は、no と入力します。

Enter ACS 4.x Server ID:

データの移行元の ACS 4.x サーバ ID を入力します。

Add server specific migration prefixes?[no]

デフォルトは no です。 yes と入力して、各 4.x サーバ名にプレフィクスを追加します。

You can add a global prefix to all migrated objects from this server.
Enter a global prefix:[]
s1

特定のサーバから移行されるすべてのオブジェクトに追加するプレフィクスを入力します。

Use special prefixes for specific object types?[no]
yes
** To input an empty prefix, enter the keyword EMPTY.

デフォルトは no です。これによって、移行されるすべてのオブジェクト タイプにグローバル プレフィクスが追加されます。移行する特定のオブジェクト タイプに特定のプレフィクスを追加する場合は、 yes と入力します。

User Attributes Prefix: You can add an additional prefix to the user attributes.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのユーザ属性に特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Network Device Prefix: You can add an additional prefix to the network devices names.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのネットワーク デバイスに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Users Command Set Prefix: Extracted command sets are migrated to a shared named object with an optional prefix.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのユーザ コマンド セットに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Groups Command Set Prefix: Extracted command sets will be given the group name with an optional prefix.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのグループ コマンド セットに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Groups Shell Exec Prefix: Extracted shell profile will be given the group name with an optional prefix.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのグループ Shell Exec に特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Shared Command Sets Prefix: Extracted command sets are migrated to a shared named object with an optional prefix.
Enter a prefix to add to these objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべての共有コマンド セットに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Shared Downloadable ACL Prefix: Extracted Downloadable ACL will be given a name with an optional prefix.
Enter the prefix to add to such objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべての共有ダウンロード可能 ACL に特別なプレフィクスを追加する場合は、プレフィクスを入力します。

RAC Prefix: Existing RAC will be migrated with an optional prefix.
Enter the prefix to add to such objects:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべての RAC に特別なプレフィクスを追加する場合は、プレフィクスを入力します。

User Groups Root Prefix: You can add a prefix to the user groups root.
Enter a prefix to add to the user groups root:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのユーザ グループ ルートに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Network Device Groups Root Prefix: You can add a prefix to the network device groups root.
Enter a prefix to add to the network device groups root:[s1]

デフォルトはグローバル プレフィクスに入力される値です。移行するすべてのネットワーク デバイス グループ ルートに特別なプレフィクスを追加する場合は、プレフィクスを入力します。

Save server migration prefixes?[yes]

デフォルトは yes です。サーバ移行プレフィクスを 保存しない 場合は、 no と入力します。

Show full report on screen?[yes]

デフォルト値は yes です。画面上にログ情報を表示しない場合は、no と入力します。

Update RADIUS dictionary cache?[no]

現在の ACS 5.3 RADIUS ディレクトリをキャッシュするために使用されます。すでに ACS 5.3 に移行されて削除されたベンダーを移行する場合、RADIUS ディレクトリ キャッシュを更新する必要があります。

更新しないと、そのベンダーが移行されずに拒否され、すでに存在していることを示すメッセージが表示されます。

表 6-3 移行スクリプト オブジェクト グループ

スクリプトの要素
説明
Select the ACS 4.x Configuration groups to be migrated:
1 - ALLObjects
2 - AllUsersObjects
3 - AllDevicesObjects
4 - SharedCommandSet
5 - SharedDACLObject
6 - MasterKeys
7 - SharedRACObjectsWithVSA
 
The following object types will be extracted:
 
User Attributes
User Attribute Values
Network Device Groups
User Groups
Groups Shell Exec
Groups Command Set
Users Shell Exec
Users Command Set
Shared Command Sets
Network Devices
Users
Shared Downloadable ACL
EAP FAST - Master Keys
MAB
RAC
VSA Vendors
VSA

移行する ACS 要素。次のいずれかのオプションを選択して、移行する ACS 4.x 要素に対して各フェーズを実行します。

1. ALLObjects。サポートされる ACS オブジェクトに対して各移行フェーズを実行できます。

2. AllUsersObjects。ユーザ オブジェクトに対して各移行フェーズを実行できます。

3. AllDevicesObjects。デバイス オブジェクトに対して各移行フェーズを実行できます。

4. SharedCommandSet。共有コマンド セット オブジェクトに対して各移行フェーズを実行できます。

5. SharedDACLObject。共有 DACL オブジェクトに対して各移行フェーズを実行できます。

6. MasterKeys。マスターキー オブジェクトに対して各移行フェーズを実行できます。

7. SharedRACObjectsWithVSA。共有 RAC オブジェクトおよび VSA に対して各移行フェーズを実行できます。

 

表 6-4 移行スクリプト フェーズ

スクリプトの要素
説明
Choose one of the following:
1 - AnalyzeAndExport
2 - Import
3 - CreateReportFiles
4 - Exit

移行ユーティリティ オプションは次のとおりです。

AnalyzeAndExport:ACS 4.x データを分析してエクスポートするには、オプション 1 を選択します。これは反復的なプロセスです。データを分析し、修正し、分析フェーズを再実行して、結果を確認することができます。

データが分析フェーズに合格した場合、後でエクスポートして ACS 5.3 にインポートできます。「ACS 4.x オブジェクトの移行」を参照してください。

必ず ACS 5.3 データベースをバックアップしてください。

Import:外部データ ファイルから ACS 4.x データをインポートするには、オプション 2 を選択します。移行プロセスでデータ エクスポート ファイルが作成された後、データが ACS 5.3 にインポートされます。「ACS 5.3 への ACS 4.x データのインポート」を参照してください。

CreateReportFiles:各フェーズのフル レポートと要約レポートが含まれるカンマ区切り形式(CSV)ファイルを作成するには、オプション 3 を選択します。CSV ファイルを Excel スプレッドシートまたは CSV ファイルをサポートするその他のエディタにアップロードできます。

移行ディレクトリ内の config フォルダに、フル レポートと要約レポートが保存されます。「レポートの印刷とレポート タイプ」を参照してください。

Exit:移行ユーティリティを終了するか、別の ACS 4.x インスタンスを移行する場合、オプション 4 を選択します。

Would you like to migrate another ACS 4.x server? [no]

デフォルト値は no です。別の ACS 4.x インスタンスを移行するには、 yes と入力します。

ACS 4.x オブジェクトの移行

以下の項では、移行手順のさまざまなフェーズと、各オブジェクト タイプの影響と考慮事項について詳しく説明します。

ここで説明する内容は次のとおりです。

「AAA クライアント/ネットワーク デバイス」

「NDG」

「内部ユーザ」

「ユーザ グループ」

「ユーザ グループ ポリシーのコンポーネント」

「共有 DACL オブジェクト」

「共有 RAC」

「RADIUS VSA」

「EAP-Fast マスター キーおよび認証局 ID」

AAA クライアント/ネットワーク デバイス

ACS 4.x では、[Network Configuration] オプションに AAA サーバまたは AAA クライアントを順に含めることができる NDG があります。AAA クライアントの定義は ACS 5.3 の [Network Devices and AAA Clients] オプションで移行および保存されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-5 に、ACS 4.x と ACS 5.3 の AAA クライアントまたはネットワーク デバイスのデータ マッピングについて示します。

 

表 6-5 AAA クライアントまたはネットワーク デバイスのデータ マッピング

4.x 属性名
5.3 属性名
コメント

AAA Client Hostname

Name

--

--

Description

ACS 4.x から取得される説明はありません。「 Migrated 」で事前に定義された説明は、移行されるすべてのデバイスに対して使用されます。

Shared Secret

Shared Secret

ACS 5.3 レコードには RADIUS と TACACS+ の共有秘密のそれぞれのフィールドが含まれます。ACS 5.3 レコードで設定される特定のフィールドは、[Authentication using] フィールドの設定に応じて異なります。

Network Device Group

All migrated NDGs の下の Network device group

--

Authentication using

RADIUS オプションまたは TACACS+ オプションで選択される内容

ACS 4.x には、サポートされるすべての RADIUS ベンダーのリストがあります。この情報は ACS 5.3 では保持されません。RADIUS ベンダーが選択される場合、「Authenticating using RADIUS」とマークされます。

AAA Client IP Address

IP

表示される内容はさまざまです。

Single Connect TACACS+ AAA Client(障害時にレコードのアカウンティングが停止される)

Single Connect Device

--

Legacy TACACS+ Single Connect support for this AAA client

Legacy TACACS+ Single Connect Support

4.2 累積パッチ 1 および 4.1.4.13 パッチ 10 以上でのみ使用可能です。

TACACS+ Draft compliant Single Connect support for this AAA client

TACACS+ Draft Compliant Single Connect Support

ACS 4.2 累積パッチ 1 および ACS 4.1.4.13 パッチ 10 以上でのみ使用可能です。

Log Update/Watchdog Packets from this AAA Client(サーバに対する唯一のオプション)

Log RADIUS Tunneling Packets from this AAA Client

Replace RADIUS Port info with Username from this AAA Client

Match Framed-IP-Address with user IP address for accounting packets from this AAA Client

--

ACS 5.3 ではサポートされません。

Key Encryption Key

keyEncryptionKey

キーの長さは、次の表示タイプによって異なります。

HEX:キーの長さは 32 文字です

ASCII:キーの長さは 16 文字です

Message Authenticator Code Key

messageAuthenticatorCodeKey

キーの長さは、次の表示タイプによって異なります。

HEX:キーの長さは 40 文字です

ASCII:キーの長さは 20 文字です

Key Input Format

Key Input Format

ブール


) グループの Single Connect フラグによって、デバイスの Single Connect フラグが上書きされます。


分析およびエクスポート

AAA クライアント(ACS 4.x)とネットワーク デバイス(ACS 5.3)の定義には、主に次の 3 つの相違点があります。

ACS 5.3 では、RADIUS と TACACS+ の両方を処理する 1 つのネットワーク デバイスを定義できますが、ACS 4.x では、2 つの AAA クライアントが必要です。

ACS 5.3 では、IP アドレスが IP アドレスとマスクからなるペアとして定義され、ACS 4.1 では IP アドレスが正規表現を使用して定義されます。

ACS 5.3 では、各ネットワーク デバイス定義で保存できる IP アドレスが 40 個に制限されます。ACS 4.x では、41 以上の IP アドレスを定義できます。

ここでは、次の内容について説明します。

「デバイス名でサポートされない文字」

「IP アドレスのオーバーラップ」

「IP アドレス変換」

「IP サブネットの制限」

デバイス名でサポートされない文字

エクスポート時は、デバイス名に一部の特殊文字を使用できません。次の文字がデバイス名に使用されている場合は、分析中にエラー メッセージが表示され、エクスポートは処理されません。

{} " '

IP アドレスのオーバーラップ

ACS 4.x では、ネットワーク デバイスの一部として、IP アドレスがオーバーラップした定義を作成でき、最初の IP アドレスが TACACS+ を利用し、2 番目の IP アドレスが RADIUS を利用します。

ACS 5.3 では、TACACS+ と RADIUS が 1 つのネットワーク デバイス定義に統合されます。ただし、TACACS+ と RADIUS が ACS 4.x のそれぞれ別個の NDG の一部である場合は、統合することができません。

移行分析フェーズでは、ネットワーク グループおよび IP アドレスのオーバーラップが識別されて管理者に報告されるため、ACS 5.3 の要件に準拠するようにこれらの定義を変更できます。

例を示します。

Network device AA: IP address = 23.8.23.*, 45.67.*.8 , protocol = RADIUS , group = HR

Network device BB: IP address = 45.*.6.8, 1.2.3.4 , protocol = TACACS , group = Admin

この例では、 AA ネットワーク デバイス リストの 2 番目の IP アドレスが BB ネットワーク デバイス リストの最初の IP アドレスとオーバーラップし、各ネットワーク デバイスがそれぞれ別個の NDG の一部です。

この例では、RADIUS ネットワーク デバイスと TACACS+ ネットワーク デバイスのそれぞれのエントリの統合は、IP アドレスが同一で、両方のネットワーク デバイスが同じ NDG の一部である場合にのみ可能です。すべての統合が分析レポートで報告されます。

IP アドレス変換

ACS 5.3 では、ワイルドカードおよび範囲をサポートします。ACS 4.x と同様に IP アドレスを指定する場合、ACS 4.x のすべての既存の IP アドレスが ACS 5.3 に移行されます。

たとえば、次の IP アドレス パターンを変換できます。

1.*.*.10 ~ 15

1.2.3.13 ~ 17

IP サブネットの制限

移行分析プロセスでは、41 以上の IP サブネットがあるネットワーク デバイスが識別され、これらのデバイスを移行できないことが報告されます。移行を可能にするには、ACS 5.3 形式に準拠するように、サブネット マスクに変更するか、または複数のネットワーク デバイス定義に分割します。 表 6-6 では、ACS 5.3 の制限に準拠するように変更できる ACS 4.x 属性について説明しています。

キー ラップ属性

次の文字が含まれるキーは、分析フェーズで識別されます。

27 HEX

22 HEX

次のいずれかの文字がネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーに見つかった場合、分析フェーズでエラー メッセージが表示され、エクスポートは処理されません。

' "

表 6-6 では、ACS 5.3 の制限に準拠するように変更できる ACS 4.x 属性について説明しています。

 

表 6-6 属性の変更

4.x の属性名
コメント

Authentication using

特定の RADIUS ベンダーの選択内容が Authenticate Using RADIUS に変換されます。たとえば、RADIUS(Cisco Aironet)は RADIUS に変換されます。

AAA Client IP Address

ACS 5.3 では、ワイルドカードおよび範囲をサポートします。ACS 4.x と同様に IP アドレスを指定する場合、ACS 4.x のすべての既存の IP アドレスが ACS 5.3 に移行されます。

Shared Secret

NDG に共有秘密情報が含まれる NDG に属しているデバイス。

ネットワーク デバイス定義の共有秘密情報の代わりに NDG の共有秘密情報が抽出されてネットワーク デバイス定義に含まれます。

Key Encryption Key

NDG にキー暗号キーが含まれる NDG に属しているデバイス。

ネットワーク デバイス定義のキー暗号キーで定義される代わりに NDG のキー暗号キーが抽出されてネットワーク デバイス定義に含まれます。

Message Authenticator Code Key

NDG にメッセージ オーセンティケータ コード キーが含まれる NDG に属しているデバイス。

NDG のメッセージ オーセンティケータ コード キーが抽出され、ネットワーク デバイス定義のメッセージ オーセンティケータ コード キーで定義される代わりにネットワーク デバイス定義に組み込まれます。

インポート

[Unified Device Name] 設定はネットワーク デバイスのインポート時に使用されます。1 つのネットワーク デバイス定義に統合できる ACS 4.x の個別の RADIUS デバイスや TACACS+ デバイスがある場合、ACS 5.3 では、ACS 5.3 の新しいデバイスの名前を決定するための設定オプションを使用可能です。ACS 5.3 では、次のオプションを使用できます。

RADIUS デバイスの名前

TACACS+ デバイスの名前

ACS 4.x には、ネットワーク デバイスと NDG の間の単一レベルの階層が含まれています。定義済みの各ネットワーク デバイス(AAA クライアント)をいずれかの NDG に含める必要があります。ネットワーク デバイスと NDG の間のこの関連付けを維持するには、ACS 5.3 で最初に NDG をエクスポートしてインポートし、次に NDG に関連付けられたネットワーク デバイスをエクスポートしてインポートします。NDG とネットワーク デバイスは 1 つのオブジェクト グループとして処理されます。

ACS 5.3 に新しいレコードがインポートされると、デフォルトの説明フィールド [Migrated] が作成されます。

複数インスタンスのサポート

ACS 5.3 では、IP アドレスがオーバーラップした複数のネットワーク デバイスを定義できます。ネットワーク デバイス名に特定の(またはグローバル)プレフィクスを定義して、重複を避けることができます。ただし、IP アドレスがオーバーラップしたデバイスは、名前が一意であっても、重複して移行されないと報告されます。また、このような 2 つのインスタンス間の移行はサポートされません。

例を示します。

Instance = X, network device = AA, IP address = 23.8.23.12, protocol = RADIUS, group = HR

Instance = Y, network device = BB, IP address = 23.8.23.12, protocol = TACACS+, group = HR

この例では、ネットワーク デバイス AA がインスタンス X にあり、ネットワーク デバイス BB がインスタンス Y にあるため、統合されたデバイスを作成できません。TACACS+ デバイスと RADIUS デバイスが同じインスタンスにある場合、統合デバイスの作成がサポートされます。

以前の移行インスタンスでインポートされた NDG に関連付けられたデバイスは、ACS 5.3 にすでに存在している NDG に関連付けられます。

NDG

ACS 4.x の NDG 定義の移行を利用するには、ACS 5.3 で追加の NDG 階層が作成されます。

移行プロセスで、ACS 4.x NDG 定義を保存する階層のルートの名前を入力することを要求するプロンプトが表示されます。プロンプトに、移行される NDG のデフォルト名が表示されます。必要に応じて、この名前を変更できます。

ACS 4.x には、どのグループにも属していないすべてのデバイスのための「Not Assigned NDG」という名前の保存されていないグループが含まれています。「Not Assigned NDG」グループは ACS 5.3 へのエクスポート後に作成されます。

ACS 4.x では、NDG に AAA クライアントの共有秘密や Legacy TACACS+ Single Connect Support などの属性が含まれます。ただし、ACS 5.3 では、NDG はネットワーク デバイス定義に添付できるラベルであり、データが含まれていません。値が ACS 4.x の NDG の共有秘密に設定されている場合、グループに関連付けられる各ネットワーク デバイスの値を設定するためにこの値が抽出されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-7 に、ACS 4.x および ACS 5.3 間の NDG のデータのマッピングについて示します。

 

表 6-7 NDG のデータ マッピング

4.x 属性名
5.3 属性名
コメント

Network Device Group Name

Name

--

--

Description

ACS 4.x から取得される説明は
ありません。「 Migrated 」で事前に定義された説明は、移行されるすべてのデバイスに対して使用されます。

Shared Secret

--

グループで定義された値が抽出され、グループに関連付けられた各ネットワーク デバイスに定義されます。

Encryption Key

--

ACS 5.3 ではサポートされません。

Message Authenticator Code Key

--

ACS 5.3 ではサポートされません。

Key Encryption Key

keyEncryptionKey

キーの長さは、次の表示タイプによって異なります。

HEX:キーの長さは 32 文字です

ASCII:キーの長さは 16 文字です

Message Authenticator Code Key

messageAuthenticatorCodeKey

キーの長さは、次の表示タイプによって異なります。

HEX:キーの長さは 40 文字です

ASCII:キーの長さは 20 文字です

Key Input Format

Key Input Format

ブール

分析およびエクスポート

次の項目は、分析フェーズで報告されます。

NDG 名の特殊文字:一部の特殊文字は、エクスポート時に NDG 名に使用できません。次の文字が NDG 名に使用されている場合は、分析中にエラー メッセージが表示され、エクスポートは処理されません。

{} | " = ' :

共有秘密の定義が含まれる NDG:共有秘密の定義によってデバイス レベルで定義された値が上書きされることを示すメッセージ。

キー暗号キーまたはメッセージ オーセンティケータ コード キーのいずれかの定義が含まれる NDG:キー暗号キーまたはメッセージ オーセンティケータ コード キーの定義によってデバイス レベルで定義された値が上書きされることを示すメッセージ。

ネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーの特殊文字:次のいずれかの文字がネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーに見つかった場合、分析フェーズでエラー メッセージが表示され、エクスポートは処理されません。

' "

エクスポート フェーズでは同様の情報が表示されません。

インポート

インポート フェーズで、[User Preferences] で名前が定義された新しい NDG 階層が作成されます。[User Preferences] で名前が付けられ、 All というプレフィクスが付いたルート ノードも作成されます。移行されたすべての NDG がこのルート ノードの下に作成されます。

複数インスタンスのサポート

ACS 5.3 では、階層ルート 1 つに同じ名前の 2 つの NDG(階層ノード)を定義できません。ただし異なる階層であれば定義できます。たとえば Engineers という名前の 2 つのグループをルート SJ とルート NY にそれぞれ定義できます。複数インスタンスをサポートすることで、NDG を移行するために次のいずれかを実行できます。

インスタンスごとに別のルートを定義し、インスタンスのルートにそのインスタンスのすべての NDG をインポートします。

移行されるすべての NDG のための 1 つのルートを定義します。ただし、移行ユーティリティでは、固有の NDG のみがそのルートに追加されます。すでに存在する NDG は、重複していると報告され、インポートされません。ただし、この場合、すでに存在する NDG の ID は、関連付けのために取得されます。

いずれかのオプションを選択するには、[Preferences] > [User Interface] に移動します。選択ごとに、NDG とネットワーク デバイスの間の関連付けが選択のロジックに従って維持されます。

たとえば、NDG SJ に関連付けられたデバイス ABC (一意の名前と IP アドレスがある)が最初の ACS 4.x インスタンスから移行されます。上記の 2 つのオプションのいずれかを選択する場合、 ABC は NDG の SJ に関連付けられますが、 SJ はルート All または指定したルート Engineers のいずれかに定義できます。

内部ユーザ

ACS 5.3 では、ポリシーのコンポーネントは、ポリシーの結果として選択できる再利用可能なオブジェクトです。

内部ユーザに関連する移行アクティビティは、次の内容で構成されます。

「基本ユーザ定義」

「複数インスタンスのサポート」

「ユーザ データ設定およびユーザ マッピング」

「ユーザ シェル コマンド認可」

「Shell exec パラメータ」

ACS 4.x にはダイナミック ユーザを含めることができます。LDAP などの外部データベースはダイナミック ユーザ、その ID、関連するその他のプロパティを管理できます。

ダイナミック ユーザは、外部ソースに対して正常に認証された後で、ACS 内部データベースで作成されます。ダイナミック ユーザは最適化のために作成され、削除しても ACS の機能は影響を受けません。ダイナミック ユーザは移行ユーティリティで無視され、処理されません。

基本ユーザ定義

各ユーザに対して、基本定義にはユーザ名、パスワード、ディセーブルまたはイネーブルのステータス、ID グループが含まれます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

データ マッピング

表 6-8 に、ACS 4.x と ACS 5.3 の内部ユーザのユーザ インターフェイスのデータ マッピングについて示します。

 

表 6-8 内部ユーザのデータ マッピング

4.x 属性名
5.3 属性名
コメント

User Name

Name

--

Account Disabled

Status:

Enabled

Disabled

--

--

Description

ACS 4.x から取得される説明は
ありません。ACS 5.3 で使用される説明は、次のような定義されるユーザの種類に応じて異なります。

移行される内部ユーザ

外部認証の移行されるユーザ

Password

Password

--

Group to which the user is assigned

Identity Group

最初にユーザ グループを移行する必要があります。移行された ID グループとの関連付けは維持されます。

Separate TACACS+ Enable Password

Enable Password

--

分析およびエクスポート

エクスポート時は、ユーザ名に一部の特殊文字と「スペース」を使用できません。次の文字をユーザ名で使用すると、分析レポートで報告されます。

<> " * ?{ }

デフォルトでは、外部パスワード タイプの内部ユーザが、そのパスワード タイプの内部ユーザとして移行されます。内部パスワード タイプのユーザが分析レポートで報告されます。

パスワードが 4 文字未満のユーザはエクスポートされません。


) アポストロフィ(')が含まれるユーザのユーザ コマンド セットは移行されません。


次のオプションは、内部ユーザのパスワード定義には使用できます。

[Internal]:パスワードは ACS 内部に保存されます。

[External Database]:パスワードは外部データベースに保存され、認証はこのデータベースに対して実行されます。

[Empty Password]:VoIP ユーザは [This is a Voice-over-IP (VoIP) group - ] 設定および [all users of this group are VoIP users] 設定が選択されているグループに関連付けると定義できます。この場合、ユーザにパスワードが定義されません。

インポート

ACS 5.3 では、外部認証ユーザはサポートされません。このようなユーザのインポートを定義するために、次の設定オプションを使用できます。

[Default authentication password]:すべての外部認証ユーザにこのパスワードが割り当てられます。

[Disabled or Change password]:このようなユーザが ACS 5.3 でディセーブルとして定義されるか、または次のログイン時にパスワードの変更が必要かを選択できます。

多数のユーザが存在する可能性があるため、このようなユーザには分析の警告が表示されません。


) VoIP は ACS 5.3 ではサポートされません。VoIP がイネーブルになっているユーザ グループに関連付けられたユーザは分析の一部として報告され、エクスポートされません。


複数インスタンスのサポート

複数の ACS 4.x インスタンスに存在している重複した ID のユーザは、ユーザ名に基づいて、インポート レポートで報告されます。一意のユーザのみが移行されます。複数の ACS 4.x インスタンスに存在しているユーザのデータ間の名前のプレフィクスまたは移行はサポートされません。

たとえば、ユーザ Jeff が複数の ACS 4.x インスタンスに存在し、最初に移行されなかったインスタンスだけにイネーブル パスワードが存在している場合、 Jeff にイネーブル パスワードを追加することはできません。

一意のユーザ名を持ち、ユーザ グループに関連付けられたユーザは、ユーザ グループ自体がユーザまたは以前のインスタンスと同じインスタンスで移行される場合でも移行され、関連付けは維持されます。


) また、ユーザが移行をパスしない場合、TACACS+ 属性値や Shell 属性値およびそのユーザから生成されたコマンド セットなどのユーザ属性値やポリシー コンポーネントは、有効な場合でも移行されません。


ユーザ データ設定およびユーザ マッピング

ACS 4.x には、ユーザ レコードに含めるように選択できる最大 5 つのユーザ定義フィールドがあります。各フィールドに、対応するフィールド名を定義できます。ACS 5.3 では、対応するユーザ属性を作成して各ユーザに対して読み込めるように、これらのフィールドを移行します。

これらのフィールドを設定するには、[Interface Configuration] > [User Data Configuration] を選択します。5 つのフィールドのそれぞれに対して、設定を繰り返す必要があります。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-9 に、ACS 4.x と ACS 5.3 のユーザ データ設定およびユーザ マッピングのユーザ インターフェイス データ マッピングについて示します。

 

表 6-9 ユーザ データ設定およびユーザ マッピングのデータ マッピング

4.x 属性名
5.3 属性名
コメント

Display

--

イネーブルの場合、対応するフィールド名が抽出されます。そうでない場合は無視されます。

Field Name

Attribute

--

--

Description

ACS 4.x から取得される説明は
ありません。「 Attribute added as part of the migration process 」で事前に定義された説明は、すべての属性に使用されます。

分析およびエクスポート

次のことを確認するために、フィールド名に対して分析が実行されます。

フィールドの長さが 32 文字を超えていないこと。

フィールドに次の特殊文字が含まれていないこと。

{ } ' "

インポート

ACS 4.x では、同じ名前の複数のフィールド名を定義できます。ただし、ACS 5.3 では、ユーザ定義の属性の名前を一意にする必要があります。複数の属性の名前が同じである場合、最初に検出された属性だけに元の名前が維持されます。その後に検出された属性については、サフィクス「_1」が追加されます。

たとえば、ACS 4.x の 3 つの属性の名前が ACS である場合、ACS 5.3 へのインポート後、属性名は次のようになります。

最初の属性:ACS

2 番目の属性:ACS_1

3 番目の属性:ACS_2

複数インスタンスのサポート

ACS 5.3 では、ID ディクショナリに同じ名前の 2 つのユーザ属性を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスを作成することで、各インスタンスに属性を追加することができます。

次のオプションのいずれかを選択して、ユーザ属性を移行できます。

インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のすべてのユーザ属性をインポートします。

プレフィクスを定義しないでください。これによって、一意の属性だけが移行されます。すでに存在している属性は重複として報告されます。この場合、既存のユーザ属性の ID は、関連付けのために維持されます。

1 つの ACS 4.x インスタンスだけからすべてのユーザのユーザ データが取得されます。同じユーザが別の ACS 4.x インスタンスに存在する場合、そのユーザはインポートされませんが、ユーザ属性はヌル値で移行されます。すべてのユーザに適用される内部ユーザ属性は、1 組あります。

たとえば、最初の ACS 4.x インスタンスからユーザ属性 A 、値 x 、ユーザ属性 B 、値 y のユーザ user1 を移行します。次に、2 番目の ACS 4.x インスタンスから、ユーザ属性 C 、値 z 、ユーザ属性 D 、値 w の同じユーザ user1 を移行します。

ここで、2 番目のインスタンスのユーザ user1 は移行されませんが、ユーザ属性 C D はヌル値で移行されます。ACS 5.3 のユーザ user1 には次の属性が含まれています。

A 、値 x

B 、値 y

C 、2 番目のインスタンスのヌル値。

D 、2 番目のインスタンスのヌル値。

同じユーザに 2 番目のインスタンスの属性を含めることはできますが、属性値を含めることはできません。複数の ACS 4.x インスタンスからユーザ属性を移行することはできません。

たとえば、ユーザが ACS 5.3 にすでに存在している(別の ACS 4.x インスタンスから移行された)場合、属性 Real Name: Jeffrey だけをユーザ jeff に追加することはできません。また、属性 Real Name: Jeffrey は現在の ACS 4.x インスタンスだけに存在します。

ユーザ属性の定義が移行されるときは、現在または以前の移行の実行に関係なく、ユーザとユーザ属性の関連付けが維持されます。ACS 5.3 にすでに存在している(以前の移行の実行で移行された)ユーザ属性に関連付けられた固有のユーザ名を持つ(現在の実行で追加できる)ユーザは、既存のユーザ属性に関連付けられます。

ACS 5.3 では、ディクショナリに追加されるすべての ID 属性が、値が空白の場合でも、すべてのユーザにも追加されます。

たとえば、ACS 4.x の最初のインスタンスでユーザ User1 を作成し、移行ユーティリティを開始します。最初のインスタンス サーバ ID を入力し、サーバに固有の移行プレフィクス global1 を追加します。ユーザ User1 をユーザ属性「city」、「real name」、「description」とともに移行します。

ACS 4.x の 2 番目のインスタンスでユーザ User2 を作成し、移行ユーティリティを開始します。2 番目のインスタンス サーバ ID を入力し、サーバに固有の移行プレフィクス global2 を追加します。ユーザ User2 をユーザ属性「city」、「country」および「state」とともに移行します。

ACS 5.3 に移行した後、 user1 には属性「 global1_city」、「global1_Description」、「global1_Real Name」、「global2_city」、「global2_country」および「global2_state 」が含まれます。

User2 には属性「 global1_city」、「global1_Description」、「global1_Real Name」、「global2_city」、「global2_country」および「global2_state 」が含まれます。

ここで、プレフィクス global1 の属性は User1 に使用され、プレフィクス global2 の属性は User2 に使用されます。

ユーザ シェル コマンド認可

ACS 4.x では、シェル コマンド セットをユーザ レコードに組み込むことができます。移行機能の一部として、このコマンド セットが抽出され、共有オブジェクトとして定義されます。ユーザ属性には、ユーザ レコードから取得したユーザに関連付けられたコマンド名が含まれます。

ユーザ コマンド セットは、ユーザが移行される場合にのみ共有コマンド セットに移行されます。ユーザ名から名前が生成されます。

共有コマンド セットは、対応するユーザが移行された場合にのみ抽出されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-10 に、ACS 4.x と ACS 5.3 のユーザ シェル コマンド認可のユーザ インターフェイス データ マッピングについて示します。

 

表 6-10 ユーザ シェル コマンド認可のデータ マッピング

4.x 属性名
5.3 属性名
コメント

一致しない Cisco IOS コマンド(Permit / Deny)

コマンドのリストに表示されないコマンドを許可します。

--

コマンド、およびそれに続く引数のリスト(次の形式):
permit / deny < arguments >

次の形式のコマンドのリスト:

permit / deny <command> <arguments>

--

--

Description

ACS 4.x から取得される説明は
ありません。「 Attribute added as part of migration process 」で事前に定義された説明は、すべての属性に使用されます。

リストに表示されない引数(Permit / Deny)

特定コマンドで引数の各リストに続く追加のエントリ(次の形式):

permit / deny <command>

--

分析およびエクスポート

ACS 4.x では、ユーザ レコードにデバイス グループ名とコマンド セット名の組み合わせが含まれる場合、NDG ごとにシェル コマンド認可セットを割り当てることができます。ACS 5.3 ではこれに相当する機能がサポートされず、分析中にメッセージが表示されます。

インポート

各ユーザ コマンド セットのインポート時は、次のユーザ設定が使用されます。

コマンド セット名形式のオプション:Add Prefix | User Name のみ。

プレフィクスのテキスト。

以前のプレフィクスに加え、統合オブジェクトで追加されるプレフィクス:デフォルトは空白の文字列。

ユーザ属性 cmd-set は、ユーザ定義から移行される ACS 5.3 コマンド セットの名前を保存するために使用されます。

ユーザ コマンド セットをインポートするには、次の手順を実行します。


ステップ 1 cmd-set ユーザ属性を作成します。

ステップ 2 コマンド セットのユーザごとの定義を持つユーザの場合:

a. コマンド セットが別のレコードに統合されている場合は、次のユーザに進みます。

b. ユーザ名と定義されたプレフィクスの組み合わせとしてコマンド セットの名前を指定します。

c. 移行したコマンド セットを作成します。

ステップ 3 ユーザの cmd-set ユーザ属性に、移行されたコマンド セットの名前を設定します。


 

複数インスタンスのサポート

ACS 5.3 では、同じ名前のコマンド セット 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用してコマンド セットを作成し、ACS 4.x インスタンスごとにコマンド セットを移行できます。

したがって、次のオプションのいずれかを選択して、コマンド セットを移行できます。

インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のすべてのコマンド セットをインポートします。

プレフィクスを定義しないでください。一意のコマンド セットのみが移行されます。(以前のインスタンスで移行した)既存のコマンドセットは、重複していると報告されます。

Shell exec パラメータ

ACS 4.x では、ユーザ レコードに shell(exec)TACACS+ 設定が含まれます。これらの設定はユーザ レコードの属性として ACS 5.3 に移行されます。これらの属性のいずれかが、移行されたユーザ レコードのいずれかに使用される場合、ユーザ属性として作成されます。移行されるユーザ定義で対応する属性に値が設定されます。

ユーザ シェル属性値は、ユーザが移行される場合にだけ移行されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-11 に、ACS 4.x と ACS 5.3 のユーザ シェル属性のデータ マッピングについて示します。Max Privilege 属性以外のすべての属性は、TACACS+ shell(exec)設定から取得されます。

 

表 6-11 ユーザ シェル属性のデータ マッピング

4.x 属性名
5.3 属性名
コメント

TACACS+ Enable Control:任意の AAA クライアントの Max Privilege

Max_priv_lvl(Unsigned Integer 32)

--

Access control list

ACL(文字列)

--

Auto command

Autocmd(文字列)

--

Callback line

Callback-line(文字列)

--

Callback rotary

Callback-rotary(文字列)

--

Idle time

Idle time(Unsigned Integer 32)

--

No callback verify

No callback-verify(ブール)

--

No escape

No escape(ブール)

--

No hangup

No hangup(ブール)

--

Privilege level

Priv_lvl(Unsigned Integer 32)

--

Timeout

Conn-timeout(Unsigned Integer 32)

--

分析およびエクスポート

ACS 5.3 では、数値(0 ~ 9999)による特権レベルをサポートします。ACS 4.x の特権レベルは文字列フィールドですが、有効性のチェックは行われません。特権レベルが有効な範囲にない場合は、管理者に報告されます。

このチェックは、特権レベルを有効リストから選択するイネーブル パスワードには適用されません。ただし、shell exec 設定の特権レベルが最大イネーブル特権を超えていないかどうかが追加の分析で確認されます。ACS 5.3 では、shell exec で定義されるカスタム パラメータがサポートされません。無効なアイドル時間およびタイムアウトの値は、分析レポートで報告されます。

インポート

全ユーザを対象とした shell exec パラメータが収集されます。移行されるユーザ 1 人以上に対して存在するパラメータは、ユーザ属性として移行されます。ACS 4.x で移行される各ユーザに対して shell exec 値が設定されている場合、ACS 5.3 では ACS 5.3 のユーザと関連付けられたユーザ属性にその値が設定されます。属性が ACS 4.x で定義されていない場合、ACS 5.3 ではブランクになります。

複数インスタンスのサポート

シェル属性には、固定名があります。ACS 4.x インスタンスごとの名前プレフィクスを使用してシェル属性を作成することはできません。また、複数の ACS 4.x インスタンスからシェル属性データ(値)をマージすることもできません。

たとえばユーザ jeff が ACS 5.3 に存在していて、シェル属性 Timeout:123 がこのユーザで定義されていない場合、この属性のみをこのユーザに追加することはできません。

シェル属性の定義が移行されるときは、現在または以前の移行の実行に関係なく、ユーザとシェル属性の関連付けが維持されます。

固有のユーザ名を持つユーザ(現在の実行で追加)は、ACS 5.3 ID ディクショナリ内にすでに存在するシェル属性(移行の以前の実行で移行)と関連付けられ、既存のシェル属性に関連付けられます。

同じユーザが別の ACS 4.x インスタンスに存在する場合、そのユーザはインポートされませんが、ユーザ シェル属性はヌル値で移行されます。すべてのユーザに適用される内部ユーザ シェル属性は、1 組あります。ACS 5.3 では、ディクショナリに追加されるユーザ シェル属性のそれぞれがすべてのユーザにも追加されます。

ユーザ グループ

ACS 5.3 では、ID グループはユーザ グループと同等です。ただし ID グループは、規則条件でポリシーの処理と選択を行うために、一連のユーザをグループ化する純粋な論理コンテナです。

ユーザ グループ名は、ID グループ階層に移行およびマージされます。ID 階層のルート ノードの下に新しいノードが作成され、そのノードの下に移行されるすべてのユーザ グループが同一階層に配置されます。このノードの名前を定義するように求められます。デフォルトの名前も表示されます。

ACS 4.x ではデフォルトで 500 ユーザ グループが作成され、管理者はこれらのグループを編集できます。ACS 5.3 では、利用していてユーザまたは MAC 定義から参照されているユーザ グループのみが移行されます。

ユーザとユーザ グループ(ID グループ)との関連付けを維持するには、先にユーザ グループ、次にそれらのユーザ グループと関連付けられている内部ユーザをエクスポート(およびインポート)する必要があります。

ここでは、次の内容について説明します。

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

分析およびエクスポート

内部ユーザまたは MAC 定義を含まないユーザ グループはエクスポートされません。そのようなユーザ グループは移行されなかったことが管理者に報告されます。またエクスポート時は、グループ名に一部の特殊文字を使用できません。次の文字がグループ名に使用されている場合は、分析レポートで報告され、エクスポートは処理されません。

{ } | ' " = :

インポート

インポート時は、新しい ID グループ ノードが ID グループ階層のルート ノードに作成され、[User Preferences] で定義された名前が付けられます。デフォルトの名前は Migrated Group です。移行されるすべてのユーザ グループは、この新しく作成されたノードの下に同一階層で作成されます。

ACS 4.x では、各ユーザが 1 つのグループに関連付けられていました。ユーザとユーザ グループ(ID グループ)との関連付けを維持するには、先にユーザ グループ、次にそのユーザ グループと関連付けられている内部ユーザをインポートします。

複数インスタンスのサポート

ACS 5.3 では、階層ルート 1 つに同じ名前の ID グループ 2 つを定義できません。ただし異なる階層であれば定義できます。

たとえば Engineers という名前の 2 つのグループをルート NY とルート SJ にそれぞれ定義できます。複数インスタンスをサポートすることで、グループを移行するときに次のいずれかのオプションを選択できます。

インスタンスごとに別のルートを定義し、インスタンスのルートにそのインスタンスのユーザ グループすべてをインポートします。

移行されるすべてのグループに対してルート 1 つを定義します。移行ユーティリティでは、固有のグループのみがそのルートに追加されます。すでに存在するグループは、重複していると報告され、インポートされません。ただし、すでに存在するユーザ グループの ID は、関連付けのために取得されます。

いずれかのオプションを選択するには、[User Preferences] に移動します。ユーザ グループとユーザとの関連付けは、選択したロジックに従って維持されます。

たとえばユーザ john (固有のユーザ名)が ACS 4.x インスタンスの前回の実行から移行されたグループ Management に関連付けられているとします。いずれのオプションを選択しても、 john はグループ Management に関連付けられますが、 Management はルート All で定義されるか、特定のルート Engineers で定義されます。

ユーザ グループ ポリシーのコンポーネント

ACS 4.x ではポリシー関連の認可データのほとんどがユーザ グループ定義に埋め込まれますが、ACS 5.3 では共有オブジェクトとして定義されます。

データは、使用中のグループからのみ移行されます。グループ データから抽出されるデータは次のとおりです。

TACACS+ シェル コマンド認可セットは、コマンド セットに移行されます。

TACACS+ shell exec(および最大特権レベル)は、シェル プロファイルに移行されます。

ここでは、次の内容について説明します。

「グループ コマンド セット」

「グループ Shell Exec」

「MAC アドレスと内部ホスト」

「共有シェル コマンド認可セット」

グループ コマンド セット

ユーザから抽出されるコマンド セットの名前は、ユーザ属性に格納されます。データがユーザ グループから抽出されるときは、このようなアクションは実行されません。グループのコマンド セットに対する複数インスタンスのサポートは、ユーザのコマンド セットの場合と同様です。


) グループ コマンド セットは、グループの移行時のみ移行されます。


グループ Shell Exec

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-12 に、グループ データの属性からシェル プロファイルでの属性へのマッピングについて説明します。シェル プロファイルの各フィールドには、プロファイルにそのフィールドが存在するかどうかを示すフラグがあります。グループ レコードでフィールドがイネーブルではない場合、そのフィールドはシェル プロファイルで存在しないとマークされます。

 

表 6-12 グループ Shell Exec のデータ マッピング

4.x 属性名
5.3 属性名
コメント

イネーブル オプション:任意の AAA クライアントの Max Privilege

Maximum Privilege Level

--

Access control list

Access Control List

--

Auto command

Auto Command

--

Callback line

Callback Line

--

Callback rotary

Callback Rotary

--

Idle time

Idle time

--

No callback verify

No Callback Verify

--

No escape

No Escape

--

No hangup

No Hang Up

--

Privilege level

Default Privilege Level

--

Timeout

Timeout

--

分析およびエクスポート

分析は、使用中であると判断されたすべてのグループ、およびユーザまたは MAC アドレスと関連付けられているすべてのグループに対して実行されます。分析では、ACS 4.x で入力された次の値が対応する ACS 5.3 オブジェクトで有効な値であることを検証します。

Timeout:0 ~ 9999

Idle Time:0 ~ 9999

Privilege Level:0 ~ 15

ACS 5.3 では、MAC アドレスにワイルドカードを含めることができますが、ワイルドカードを使用できるのは特定の OID、たとえば「00-00-00-*」で使用する場合だけです。ワイルドカード形式 11-11-11-11-11-* はサポートされていません。

分析では、新しい Default Privilege Level 値が最大値よりも大きくないことも検証します。移行されるグループで定義されたカスタム属性は、ACS 5.3 に移行されず、警告が表示されます。

インポート

グループ shell exec のインポート時は、次のユーザ設定が使用されます。

シェル プロファイル名の形式。次のオプションがあります。

プレフィクスを追加

グループ名のみ

プレフィクスのテキスト。

上記のプレフィクスに加え、統合オブジェクトで追加されるプレフィクス。デフォルトは空の文字列です。

インポート プロセスは、別のオブジェクトに統合されていない各 shell exec で実行されます。ACS 5.3 オブジェクトの名前は、ユーザ設定および作成されるシェル プロファイルに基づいて決まります。


) グループ シェル属性は、グループの移行時のみ移行されます。


複数インスタンスのサポート

グループ シェル属性は、共有シェル プロファイルに移行され、名前はグループ名から生成されます。

ACS 5.3 では、同じ名前のシェル プロファイル 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用してシェル プロファイルを作成できるため、インスタンスごとにシェル プロファイルを追加できます。複数インスタンスをサポートすることで、シェル プロファイルを移行するときに次のいずれかのオプションを選択できます。

インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のシェル プロファイルをすべてインポートします。

プレフィクスを定義しないでください。その結果、固有の名前が付いたシェル プロファイルが移行されます。すでに存在するシェル プロファイルは、重複していると報告されます。

MAC アドレスと内部ホスト

ACS 4.x では、MAC アドレスに基づく認証を次のようにサポートしています。

MAC アドレスを内部ユーザ名、およびユーザ名と同一のパスワード認証プロトコル(PAP)パスワードとして定義します。ユーザは内部ユーザ データベースに移行され、MAC アドレスの追加サポートは必要ありません。

認証ポリシーの一環として NAP テーブルに MAC アドレスを定義します。認証ポリシーでは、ACS 内部データベースを使用して MAC アドレスを認証するように設定できます。その後、MAC アドレスと対応する ID のリストを提供できます。MAC アドレスは、内部ホストのデータベースで対応するレコードに移行されます。

ACS 5.3 では、ユーザに対する場合と同様に、ホストと関連付けられた追加の属性を定義できます。一方、ACS 4.x では MAC 定義と関連付けられた追加データはなく、移行に追加された属性は必要ありません。ただし ID グループの関連付けは維持されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「複数インスタンスのサポート」

データ マッピング

表 6-13 に、ACS 4.x と ACS 5.3 の MAC アドレスと内部ホストのデータ マッピングについて示します。

 

表 6-13 MAC アドレスと内部ホストのデータ マッピング

4.x 属性名
5.3 属性名
コメント

NAP の認証セクションに保管された MAC Addresses

MAC Address

アドレスのリストが含まれることがあります。内部ホスト定義は、定義されたアドレスごとに作成されます。

--

Status

移行されたすべてのエントリはイネーブルであると設定されます。

--

Description

ACS 4.x から取得される説明は
ありません。「 Migrated From ACS 4.x」で事前に定義された説明は、すべての定義に対して使用されます。

User Group

Identity Group

ACS 5.3 ID グループ階層内にある同じ ID グループを参照するように設定されます。

分析およびエクスポート

MAC アドレスは複数の形式で入力できますが、常に 12-34-56-78-90-AB という形式で保管されます。ただし ACS 4.x では、アドレスでワイルドカードを使用できます。たとえば 12-34-56-78* です。

ACS 5.3 では、MAC アドレスにワイルドカードを含めることができます。MAC アドレスの最初の 3 オクテットよりも後だけにワイルドカードが指定されたホストを、関連付けられたユーザ グループと組み合わせて移行できます。ワイルドカードなしのホストも移行できます。

例を示します。

NAP A には次の MAC アドレスがあります:1-2-3-4-5-6 Group 10

NAP B には次の MAC アドレスがあります:1-2-4-* Group 24

ここで、NAP A の MAC アドレス 1-2-3-4-5-6 は、グループ 10 に関連付けられて移行されます。また、NAP B の MAC アドレス 1-2-4-* はグループ 24 との組み合わせで移行されます。

複数インスタンスのサポート

ACS 4.x では、重複した MAC は MAC アドレスに基づいて認識され、インポート レポートで報告されます。固有の MAC アドレスのみが移行されます。名前プレフィクスはサポートされません。ユーザ グループに関連付けられた固有の MAC アドレスが移行されます。

関連付けは維持されます。ユーザ グループ自体が MAC アドレスと同じインスタンス、または以前のインスタンスで移行されたかどうかは関係ありません。

共有シェル コマンド認可セット

ACS 4.x のシェル コマンド認可セットは、デバイスの管理時に共有オブジェクトとして定義できます。そのようなオブジェクトは、コマンド セットへ移行されます。各オブジェクトの名前と説明は、ACS 4.x と同じです。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「複数インスタンスのサポート」

データ マッピング

表 6-14 に、ACS 4.x と ACS 5.3 のシェル コマンド認可セットのデータ マッピングについて示します。

 

表 6-14 共有シェル コマンド認可セットのデータ マッピング

4.x 属性名
5.3 属性名
コメント

Name

Name

--

Description

Description

--

一致しないコマンド

Permit

Deny

[ Permit any command that is not in the table ] というラベルの付いたチェックボックス

--

コマンド、およびそれに続く引数のリスト(次の形式):
permit / deny <arguments>

コマンド テーブル内のエントリ:

Grant: Permit / Deny

コマンド

引数

--

リストでない引数

Permit

Deny

特定コマンドで引数の各リストに続く追加のエントリ(次の形式):

permit / deny <command>

--

分析およびエクスポート

エクスポート時は、シェル コマンド認可セットに一部の特殊文字を使用できません。デバイス名に次の文字が使用される場合は、分析レポートで報告されます。

{ } ' "

複数インスタンスのサポート

ACS 5.3 では、同じ名前のコマンド セット 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用して作成できるため、コマンド セットごとにシェル プロファイルを追加できます。従って複数インスタンスをサポートすることで、共有コマンド セットを移行するときに次のいずれかのオプションを選択できます。

ACS 4.x インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のコマンド セットをすべてインポートします。

プレフィクスを定義しません。その結果、固有の名前が付いたコマンド セットが移行されます。すでに存在するコマンド セットは、重複していると報告されます。

共有 DACL オブジェクト

ACS 4.x では、共有ダウンロード可能アクセス コントロール リスト(DACL)は、アプリケーションから参照される共有オブジェクトとして定義されます。共有 DACL は、一連の ACL コンテンツで構成されます。各 ACL は、特定の Network Access Filtering(NAF; ネットワーク アクセス フィルタリング)選択と関連付けられています。オブジェクトが参照されると、最初に一致する NAF の条件によって使用される実際の ACL が異なります。

ACS 5.3 には、認可プロファイルからの DACL の選択の結果となる認可ポリシーが含まれます。したがって、ACS 4.x 共有 DACL に含まれる各 ACL は ACS 5.3 の別の DACL にマッピングされます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-15 に、ACS 4.x および ACS 5.3 間の共有 DACL のデータのマッピングについて示します。

 

表 6-15 共有 DACL オブジェクトのデータのマッピング

4.x 属性名
5.3 属性名
コメント

Name

Name

名前に使用される値を決定する設定オプションです。

Description

Description

--

ACL Definitions

Downloadable ACL Content

--

 

GenId

この属性は GUI で表示されませんが、ACL 定義の各アップデートでアップデートされます。オブジェクト作成の時間に設定されます。ACL 内の変更を検出するデバイスで使用します。

分析およびエクスポート

次の設定オプションが使用でき、分析およびインポート動作に影響を与えます。

各 ACL に作成されたオブジェクト名は DACL 名および ACL 名または ACL 名だけの組み合わせになります。

以前に説明した名前に加えて、プレフィクスを追加することもできます。

作成されたオブジェクト名は分析され、次の分析の問題がある場合は報告されます。

オブジェクト名が 32 文字を超える場合には、オブジェクト名の最後の部分が 32 文字に切り詰められることを示すレポートが表示されます。

無効な文字を含むすべてのオブジェクト名を次に示します。

{ }' "

無効な文字は、名前の共有 DACL 部分または ACL 部分から取得されることがあります。DACL 名に無効な文字が含まれる場合、レポートはすべての ACL の組み合わせを表示します。


ヒント ACL 名が使用されていると、ACS 5.3 に同じ名前の複数の ACL レコードが作成されることがあります。ACL 名が一意であることや、重複する ACL が存在するが 1 つだけインポートすることを確認している場合のみ、このオプションを使用できます。


ACL 定義に分析は必要ありません。

インポート

同じ名前の複数の DACL を作成することはできません。作成すると、インポート レポートに報告されます。これは、DACL 名に ACL オプションを使用して同じ ACL を含む複数の共有 ACL を移行する場合に起こります。

複数インスタンスのサポート

ACS 5.3 では、同じ名前の 2 つの DACL を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスのある DACL を作成することで各インスタンスに DACL を追加できます。複数インスタンスをサポートすることで、DACL を移行するときに次のいずれかのオプションを選択できます。

インスタンスごとに異なる名前プレフィクスを定義して、異なる名前の DACL をすべてインポートします。

プレフィクスを定義しないでください。固有の名前の DACL だけが移行されます。すでに存在する DACL は重複として報告されます。

共有 RAC

ACS 4.x では、RADIUS 認可コンポーネント(RAC)を含む共有プロファイル コンポーネントの定義および RADIUS 属性のセットと認可応答で返される値を定義することができます。これらの共有オブジェクトは ACS 5.3 で定義される認可プロファイルへの方向をマッピングします。

ACS 4.x では、属性はベンダー名と属性名の組み合わせとして GUI で識別されます。ACS 5.3 では、ディクショナリと属性名の組み合わせとして定義されます。内部では、ベンダーまたはディクショナリと属性は RADIUS 応答を作成する間に使用される ID で識別されます。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-16 に、ACS 4.x および ACS 5.3 間の共有 RACs のデータのマッピングについて示します。

 

表 6-16 共有 RADIUS 認可コンポーネントのデータ マッピング

4.x 属性名
5.3 属性名
コメント

Name

Name

名前に使用される値を決定する設定オプションです。

Description

Description

--

List of vendor / attribute / value triplets

List of dictionary / attribute / value

[Authorization Profile] の [RADIUS Attributes] タブのセクションに手動で入力した属性のリストが表示されます。

分析およびエクスポート

エクスポート時は、共有 RAC に一部の特殊文字を使用できません。共有 RAC に次の文字が使用される場合は、分析レポートで報告されます。

{ } ' "

ACS 4.x では、Microsoft ベンダー属性を RAC に含めることができますが、値はセットできず、 <Value set by ACS> という固定の文字列が表示されます。次の Microsoft ベンダー属性を選択できます。

MS-CHAP-MPPE-Keys (12)

MS-MPPE-Send-Key (16)

MS-MPPE-Recv-Key (17)

ACS 5.3 では、これらの属性は設定できませんが、実行する認証のタイプや対応する必要な応答によっては、必要に応じてプロファイルに追加できます。これらの属性が ACS 4.x で定義されると、属性を含む RAC が移行されているが、属性が移行されていないことが分析レポートに記載されます。

インポート

すべての移行された RAC の名前に、追加する予定のプレフィクスを任意で設定することができます。ACS 5.3 では、属性は認可プロファイルに含まれます(該当するプロパティの次の条件に一致する場合)。

Direction:OUT または BOTH

Available:TRUE

これらの条件を検証するインポート プロセスはプロファイルに含まれるすべての属性に当てはまります。インポート レポートの矛盾はすべて報告されます。

複数インスタンスのサポート

ACS 5.3 では、同じ名前の 2 つの RAC を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスのある RAC を作成することで各インスタンスに RAC を追加できます。複数インスタンスをサポートすることで、RAC を移行するときに次のいずれかのオプションを選択できます。

インスタンスごとに異なる名前プレフィクスを定義して、異なる名前の RAC をすべてインポートします。

プレフィクスを定義しないでください。固有の名前の RAC だけが移行されます。すでに存在する RAC は重複として報告されます。

RADIUS VSA

ディクショナリとそのコンテンツ(属性定義)は ACS 4.x の重要な中心となる部分です。ディクショナリは RADIUS プロトコルの IETF によって指定された属性を定義し、さまざまなデバイス ベンダーによって定義されたベンダー固有属性(VSA)によって増加します。IETF 属性(属性 26)の 1 つの値にある構造化された名前空間が VSA に割り当てられます。

使用される属性の大部分が ACS と一緒に出荷されたディクショナリに事前に定義されています。ただし、ベンダーがデバイスの機能を拡張すると、新しい VSA が追加されます。

ACS の次のリリースよりも前にアップデートされたディクショナリを取得する場合には、コマンド ライン ユーティリティを使用して新しいベンダーの新しいディクショナリ スロットの定義を行い、ディクショナリの既存の属性を追加したり、またはすでに定義された VSA(たとえば、追加の列挙値など)を更新することができます。

移行時には、ディクショナリは各ベンダーの ACS 5.3 の不足した属性の識別を反復して行います。識別プロセスの間に、次の 2 つの状況が起こることがあります。

ACS 5.3 ディクショナリにベンダーが存在しない場合、すべてのベンダー属性が移行されます。

ACS 5.3 ディクショナリにベンダーが存在する場合、ACS 5.3 で定義されていない属性だけが移行されます。

Cisco Airespace 属性 Aire-QoS-Level(2) の場合、列挙値の詳細は ACS 4.1.x および ACS 5 で異なります。数値は移行されているため、この属性を含む RAC を使用して送信した応答には違いがなく、同じ数値が応答に送信されます。ただし、この値に対して ACS の GUI で表示される文字列は異なります。

たとえば、ACS 4.1.x では 1 の値が「 Silver 」と表示され、ACS 5.3 では「 Gold 」と表示されます。

表 6-17 に、ACS 4.1.x および ACS 5.3 間の Aire-QoS-Level (2) 値のマッピングを示します。

 

表 6-17 ACS 4.1.x および ACS 5.3 での Aire-QoS-Level (2) 値

ACS 4.1.x での値
ACS 5.3 での値

Bronze (0)

Silver (0)

Silver (1)

Gold (1)

Gold (2)

Platinum (2)

Platinum (3)

Bronze (3)

Uranium (4)

Uranium (4)

ACS 4.2 および ACS 5.3 間の Cisco Airespace 属性 Aire-QoS-Level(2) の列挙値の詳細は同じです。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

データ マッピング

表 6-18 に、ACS 4.x および ACS 5.3 間の RADIUS ベンダーのデータ フィールドのマッピングについて示します。

 

表 6-18 RADIUS ベンダーのデータ マッピング

4.x 属性名
5.3 属性名
コメント

Vendor Name

Name

--

--

Description

移行時に生成されます。

Vendor ID

Vendor ID

次のキーのサブキーを列挙する間に、キーのパスにある重要性の低い装置を検査して ACS 4.x のベンダー ID が抽出されます。
CiscoACS\Dictionaries\002\026

表 6-19 に、ACS 4.x および ACS 5.3 間の RADIUS VSA のデータ フィールドのマッピングについて示します。

 

表 6-19 RADIUS VSA のデータ マッピング

4.x 属性名
5.3 属性名
コメント

Name

Name

ACS 5.3 の名前の最大長は非常に短いです。

--

Description

移行時に生成されます。

Attribute Number

Attribute Number

ベンダー キーのサブキーを列挙する間に、キーのパスにある重要性の低い装置を検査して ACS 4.x の属性番号が抽出されます。

Profile

Direction

IN:1(インバウンド)

OUT:2(アウトバウンド)

IN OUT:3(両方)

Type

ValueType

構文 ID がマッピングされています。

分析およびエクスポート

RADIUS VSA の分析フェーズでは ACS 4.x のディクショナリ コンテンツの ACS 5.3 のディクショナリ コンテンツへのマージを中心に取り上げます。分析には次の 2 つの例があります

一般的に、ACS 4.x をサポートするベンダーにとって、ACS 5.3 のディクショナリはより最新のものとなります。ただし、新しい VSA を含めたり、既存の VSA を修正するために一部の ACS 4.x ベンダー ディクショナリを修正していることがあります(たとえば、新しい列挙値など)。移行動作は次のようになります。

ACS 5.3 で定義された属性は移行の間は変更されません。そのような属性に対しては警告が表示されます。

ACS 5.3 で定義されていないが、ACS 4.x に存在する属性は移行されます。

ACS 4.x にインポートされたが、ACS 5.3 に存在しないベンダーは分析の警告が出ることなく移行されます。


) ACS 4.x および ACS 5.3 VSA 属性(プロファイル、名前、タイプ)の違いが分析レポートに報告されます。


インポート

エクスポートされたすべての VSA が ACS 5.3 にインポートされます。

EAP-Fast マスター キーおよび認証局 ID

ACS 5.3 では、ACS 4.x で認証されたすべてのオブジェクト(ユーザまたはデバイス)に対するサポートを保存できます。したがって、すべてのマスター キーおよび ACS 4.x からの認証局 ID が移行されます。

ACS 4.x のマスター キーは ACS 5.3 のスキーマとは異なるスキーマを持ち、さまざまな IM オブジェクトに移行されます。ACS 4.x は認証局 ID をノード単位で保存し、ACS 5.3 は認証局 ID をプライマリ データベースの中だけで保存して、展開全体に適用します。

ここでは、次の内容について説明します。

「データ マッピング」

「分析およびエクスポート」

「インポート」

「複数インスタンスのサポート」

データ マッピング

表 6-20 に、ACS 4.x および ACS 5.3 間の EAP-FAST マスター キーおよび認証局 ID のデータのマッピングについて示します。

 

表 6-20 EAP-Fast マスター キーおよび認証局 ID へのデータ マッピング

4.x 属性名
5.3 属性名
コメント

Master Key ID

Identifier

ACS 4.x 内部 ID

Encryption key

EncriptionKey

32 バイト

Authentication key

AuthenticationKey

32 バイト

Cipher suite

Cipher

--

Creation Time

--

--

Expiration Time (TTL)

Expiration Time

有効期限は、現在の時刻と非アクティブなマスター キー TTL を追加して計算されます。

有効期限は次のように計算されます。

1. データベース内のキーのリストから最後のキーを確認して、それが期限切れであるかを判断します。

2. キーの作成時間が現在のキーの KeyCtime として保存されます。

3. Calling Time(NULL) によって現在の時刻が計算されます。

4. TTL は [AuthenConfig] > [EAP-FAST] に保存されたキーのために保存されます。

5. 有効期限は、現在の時刻と非アクティブなマスター キー TTL を追加して計算されます。

マスター キー TTL ユニットは次のように表されます。

分:1、時間:2、日:3、週:4、月:5、年:6

たとえば、アクティブなマスター キー TTL が 1 か月として選択された場合は、1 * 30 * 24 * 3600 と同じです。

分析およびエクスポート

分析は行われません。期限切れのキーは移行されません。

インポート

ACS 5.3 では、オブジェクトはマスター キーの表に追加され、GUI を使用して利用することができません。認証局 ID が EAP-FAST グローバル設定に移行されます。

複数インスタンスのサポート

ACS 5.3 では、同じ ID に 2 つのマスター キーを定義できません。一意のマスター キーだけが ACS 4.x の複数インスタンスから移行できます。

ACS 5.3 では、グローバルな EAP 設定として認証局 ID が保存されますが、ノード単位またはインスタンス単位では保存されません。したがって、1 つのインスタンスだけから移行することができます。

ACS 4.x データの分析およびエクスポート

移行ユーティリティのオプション 1 を選択して AnalyzeAndExport を実行します。 例 6-1(P.6-2) を参照してください。分析およびエクスポート フェーズは ACS 4.x の移行元マシンのバックアップから復元したデータを使用して ACS 4.x 移行マシン上で実行されます。AnalyzeAndExport 要約レポートで次の総数をリストします。

検出されたオブジェクト。

各オブジェクトで報告された問題。

移行されたオブジェクト。

各オブジェクトの問題の情報。

統合するデータ。「データの統合」を参照してください。

分析およびエクスポート フェーズを複数回実行して分析サイクル間の変更を設定できます。たとえば、ネットワーク デバイス用のオーバーラップする IP アドレスがあるとします。ACS 4.x アプリケーションを使用してこの問題を解決します。問題を解決して、分析およびエクスポート フェーズを再度実行し、インポート フェーズに進みます。「IP アドレスのオーバーラップ」を参照してください。

ここでは、次の内容について説明します。

「データの統合」

「分析およびエクスポート フェーズの結果の問題」

例 6-2 に、分析およびエクスポート フェーズの要約レポートの例を示します。この例では、移行ユーティリティで option 3- AllDevicesObjects を選択した場合に生成されるレポートを示しています。

例 6-2 AnalyzeAndExport 要約レポート

--------------------------------------------------------------------------------
Summary Report for phase AnalyzeAndExport
--------------------------------------------------------------------------------
Network Device Groups
--------------------------------------------------------------------------------
Total:3 Successful:3 Reported issues:0
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Network Device
--------------------------------------------------------------------------------
Total:5 Successful:5 Reported Issues:0
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Analysis and Export Report
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Network Device Group
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
INFO: The following objects are password_included
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
1. Name: NDG01 Comment: NDG has shared key password
2. Name: NDG02 Comment: NDG has shared key password
-------------------------------------------------------------------------------
-------------------------------------------------------------------------------
Network Device
-------------------------------------------------------------------------------
 

移行された属性のリストについては、 付録 A「移行ユーティリティでの ACS 5.3 属性サポート」 を参照してください。

データの統合

統合プロセスは分析およびエクスポート フェーズおよび次の場合に実行されます。

作成された共有オブジェクトを分析する。

同一のオブジェクトを識別する。

重複する ACS 4.x オブジェクトが ACS 5.3 に移行された 1 つのオブジェクトに縮小されていることを確認します。次に、このオブジェクトは ACS 5.3 ポリシーによって参照されます。

たとえば、複数のコマンド セットが異なるように見えるが、実際には同じコマンド セットであると分析レポートに表示されることがあります。これは、show または sho のようなコマンド セットのショートカットのことです。ACS 5.3 では、移行したコマンド セットの情報を組み込むようなポリシーを定義することができます。ACS 5.3 のポリシーの詳細については、『User Guide for Cisco Secure Access Control System 5.3』を参照してください。

次の統合を行います。

ユーザおよびユーザ グループ コマンド セットをコマンド セット プロファイルに統合。

グループのシェル実行をシェル プロファイルに統合。

分析およびエクスポート フェーズの結果の問題

すべてのデータ エントリが ACS 4.x から ACS 5.3 へ移行できるわけではありません。分析およびエクスポート フェーズでは、ネットワーク デバイスの IP アドレスのオーバーラップなどの問題を表示します。

ACS 4.x IP アドレス ネットワーク デバイス定義の別の問題として、ワイルドカードおよび範囲が含まれます。ACS 5.3 は標準的なサブネット マスク表現を使用します。したがって、ネットワーク デバイス定義には互換性がありません。

分析およびエクスポートではこれらの問題の詳細を報告します。ACS 4.x アプリケーションのこれらの問題に対応して、あとで分析およびエクスポートを再度実行できます。このプロセスは必要に応じて何度でも再実行できます。これらの問題を解決した後に、エクスポートしたデータを ACS 5.3 マシンにインポートすることができます。

ACS 5.3 への ACS 4.x データのインポート

移行ユーティリティのオプション 2 を選択してインポートを実行します。 例 6-1(P.6-2) を参照してください。このフェーズでは、エクスポート フェーズで作成した ACS 4.x データのエクスポート ファイルがインポートされます。

大規模なデータベースからデータを移行する場合に、インポート プロセスに時間がかかる場合があります。


) ACS 5.3 のインポートが失敗した場合は、ACS 5.3 データベースを復元します。


例 6-3 に、インポート フェーズの進捗レポートの例を示します。このフェーズでは 2 つのレポートを生成します。

例 6-4 にインポート要約レポートを示します。

例 6-5 にインポート レポートを示します。

例 6-3 インポート フェーズの進捗レポートの例

3
Tue Jul 20 14:57:00 EST 2007 Network Device Group 1 / 3 (33%) complete.
Tue Jul 20 14:57:00 EST 2007 Network Device Group 2 / 3 (66%) complete.
Tue Jul 20 14:57:00 EST 2007 Network Device Group 3 / 3 (100%) complete.
Imported 3 items of type: Network Device Group
Imported 2 items of type: User Group
Tue Jul 20 14:57:02 EST 2007 Group Shell Exec 1 / 1 (100%) complete.
Imported 1 items of type: Group Shell Exec
Tue Jul 20 14:57:03 EST 2007 Group Command Set 1 / 1 (100%) complete.
Imported 1 items of type: Group Command Set
Imported 0 items of type: User Shell Exec
Imported 0 items of type: User Command Set
Tue Jul 20 14:57:06 EST 2007 Shared Command Set 1 / 2 (50%) complete.
Tue Jul 20 14:57:24 EST 2007 Shared Command Set 2 / 2 (100%) complete.
Imported 2 items of type: Shared Command Set
Tue Jul 20 14:57:25 EST 2007 User 1 / 5 (20%) complete.
Tue Jul 20 14:57:25 EST 2007 User 2 / 5 (40%) complete.
Tue Jul 20 14:57:25 EST 2007 User 3 / 5 (60%) complete.
Tue Jul 20 14:57:25 EST 2007 User 4 / 5 (80%) complete.
Tue Jul 20 14:57:26 EST 2007 User 5 / 5 (100%) complete.
Imported 5 items of type: User
Tue Jul 20 14:57:26 EST 2007 Network Device 1 / 6 (16%) complete.
Tue Jul 20 14:57:27 EST 2007 Network Device 2 / 6 (33%) complete.
Tue Jul 20 14:57:28 EST 2007 Network Device 3 / 6 (50%) complete.
Tue Jul 20 14:57:28 EST 2007 Network Device 4 / 6 (66%) complete.
Tue Jul 20 14:57:29 EST 2007 Network Device 5 / 6 (83%) complete.
Tue Jul 20 14:57:29 EST 2007 Network Device 6 / 6 (100%) complete.

例 6-4 インポート要約レポート

--------------------------------------------------------------------------------
Summary Report for phase imported
--------------------------------------------------------------------------------
User Attributes
--------------------------------------------------------------------------------
Total:2 Successful:0 Reported issues:2
--------------------------------------------------------------------------------
Network Device Groups
--------------------------------------------------------------------------------
Total:3 Successful:2 Reported issues:1
--------------------------------------------------------------------------------
Groups Shell Exec
--------------------------------------------------------------------------------
Total:1 Successful:0 Reported issues:1
--------------------------------------------------------------------------------
Groups Command Set
--------------------------------------------------------------------------------
Total:1 Successful:1 Reported issues:0
--------------------------------------------------------------------------------
Users Shell Exec
--------------------------------------------------------------------------------
Total:0 Successful:0 Reported issues:0
--------------------------------------------------------------------------------
Users Command Set
--------------------------------------------------------------------------------
Total:0 Successful:0 Reported issues:0
--------------------------------------------------------------------------------
Shared Command Sets
--------------------------------------------------------------------------------
Total:2 Successful:2 Reported issues:0
--------------------------------------------------------------------------------
Network Devices
--------------------------------------------------------------------------------
Total:5 Successful:5 Reported issues:0
--------------------------------------------------------------------------------
Users
--------------------------------------------------------------------------------
Total:6 Successful:6 Reported issues:0
--------------------------------------------------------------------------------
Shared Downloadable ACL
--------------------------------------------------------------------------------
Total:6 Successful:6 Reported issues:0
--------------------------------------------------------------------------------
EAP FAST - Master Keys
--------------------------------------------------------------------------------
Total:6 Successful:6 Reported issues:0
--------------------------------------------------------------------------------
Mab
--------------------------------------------------------------------------------
Total:6 Successful:6 Reported issues:0
--------------------------------------------------------------------------------
 

例 6-5 インポート レポート

---------------------------------------------------------------------------------------
Import Report
---------------------------------------------------------------------------------------
The following User Attributes were not imported:
---------------------------------------------------------------------------------------
1. Name: Real Name Comment: Attribute cannot be added.
2. Name: Description Comment: Attribute cannot be added.
The following Network Device Groups were not imported:
---------------------------------------------------------------------------------------
1. Name: Not Assigned Comment: Error 1: Failure to add object: Migrated NDGs:All Migrated NDGs:Not Assigned in function: createGroup
 
The following User Groups were not imported:
---------------------------------------------------------------------------------------
1. Name: IdentityGroup:All Groups:Migrated Group Comment: Failure to add object: IdentityGroup:All Groups:Migrated Group in function: createGroup
 
The following Group Shell Exec were not imported:
---------------------------------------------------------------------------------------
1. Name: ACS_Migrate_Priv Comment: customError CRUDex002 Object already exist exception
The following Group Command Set failed on import:
---------------------------------------------------------------------------------------
The following User Shell Exec were not imported:
---------------------------------------------------------------------------------------
The following User Command Set were not imported:
---------------------------------------------------------------------------------------
The following Shared Command Set were not imported:
---------------------------------------------------------------------------------------
The following Network Devices were not imported:
---------------------------------------------------------------------------------------
The following Users were not imported:
---------------------------------------------------------------------------------------
The following Shared Downloadable ACL were not imported:
------------------------------------------------------------------------------------------
The following EAP FAST - Master Keys were not imported:
------------------------------------------------------------------------------------------
The following Mab were not imported:
------------------------------------------------------------------------------------------

複数のインスタンスの移行

移行ユーティリティのオプション 4 を選択して、別の ACS 4.x インスタンスをインポートします。 例 6-1(P.6-2) を参照してください。複数の ACS 4.x インスタンスを ACS 5.3 にインポートすることができます。例 6-6 に、複数のインスタンスを移行する場合に表示されるプロンプトを示します。

例 6-6 複数のインスタンスのインポート

Choose one of the following:
1 - AnalyzeAndExport
2 - Import
3 - CreateReportFiles
4 - Exit
--------------------------------------------------------
4
 
Would you like to migrate another ACS4.x server? [no]
yes
Enter ACS 4.x Sever ID:
--------------------------------------------------------
 

別の ACS 4.x インスタンスのサーバ ID またはホスト名を入力した後、移行プロセス全体が再び開始されます。これにより、複数の ACS 4.x インスタンスを ACS 5.3 にインポートすることができます。

移行によるメモリおよびパフォーマンスへの影響

ACS 4.x 移行サーバからデータのエクスポートが実行されます。ACS 4.x 運用サーバまたはソース サーバから直接実行されることはありません。したがって、移行によって ACS 4.x 運用サーバのパフォーマンスが影響を受けることはありません。移行ユーティリティは標準的な PC 環境で実行できます。

移行されたデータのインポート中、ACS 5.3 サーバはアイドルになり、AAA 要求は処理されません。

レポートの印刷とレポート タイプ

移行ユーティリティのオプション 3 を選択して、フル レポートおよび要約レポートを CSV ファイル形式に出力します。 例 6-1(P.6-2) を参照してください。移行ディレクトリ内の config フォルダに、移行ユーティリティ レポートが保存されます。 config フォルダ内に、移行する
ACS 4.x サーバごとにサーバ ID と同じ名前の新しいフォルダが作成されます。

たとえば、サーバ ID が test1 の場合、 test1 config フォルダの下に作成され、移行ユーティリティ レポートが保存されます。レポート名はサーバ ID と同じです。ここでは、次の内容について説明します。

「分析レポートとエクスポート要約レポート」

「分析レポートとエクスポート フル レポート」

「インポート要約レポート」

「インポート フル レポート」

「インポートの検証」

「要約レポート」

「フル レポート」

表 6-21 に、移行フェーズと、各フェーズで生成されるレポートを示します。

 

表 6-21 移行時に生成されるレポート

移行フェーズ
生成されるレポート

分析およびエクスポート

AnalyzeAndExport_ server ID _Summary_report.csv

AnalyzeAndExport_ server ID _full_report.csv

インポート

ImportSummary_ server ID _report.csv

Importfull_ server ID _report.csv

表 6-22 で、移行ユーティリティ レポートについて説明します。

 

表 6-22 移行ユーティリティのレポート

移行レポート
説明

AnalyzeAndExport_Summary_report.csv

分析フェーズおよびエクスポート フェーズの要約レポート。移行できるオブジェクトの総数と関連する問題を示します。

AnalyzeAndExport_full_report.csv

分析フェーズおよびエクスポート フェーズのフル レポート。移行できるオブジェクトの総数と各オブジェクトの説明コメントを示します。

ImportSummary_report.csv

インポート フェーズの要約レポート。インポートされるオブジェクトの総数と関連する問題を示します。

Importfull_report.csv

インポート フェーズのフル レポート。インポートされるオブジェクトの総数と各オブジェクトの説明コメントを示します。

Full_report.csv

移行ユーティリティのすべてのレポートを 1 つのファイルに統合します。

Summary_report.csv

すべての移行フェーズについての要約情報を示します。

分析レポートとエクスポート要約レポート

図 6-1 に、分析レポートとエクスポート要約レポートを示します。表 6-23 に、分析レポートとエクスポート要約レポートのカラムの定義を示します。

図 6-1 分析レポートとエクスポート要約レポート

 

 

表 6-23 分析レポートとエクスポート要約レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

移行する ACS オブジェクト タイプの名前。

Total Elements

要素の合計数。

Total Migratable

移行できる要素の合計数。

Total with Issues

問題がある要素の合計数。

Comment

ACS オブジェクトのステータスを示すメッセージ。

分析レポートとエクスポート フル レポート

図 6-2 に、分析レポートとエクスポート フル レポートを示します。表 6-24 に、分析レポートとエクスポート フル レポートのカラムの定義を示します。

図 6-2 分析レポートとエクスポート フル レポート

 

 

表 6-24 分析レポートとエクスポート フル レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

抽出された ACS オブジェクト タイプの名前。

Name

移行する ACS オブジェクト タイプの名前。

Operation code

分析フェーズおよびエクスポート フェーズのステータス。有効な値は success、error、および info(情報メッセージ)。

Sub Code

動作のステータスに関連付けられたコード。

Comment

ACS オブジェクトのステータスを示すメッセージ。

インポート要約レポート

図 6-3 にインポート要約レポートを示します。表 6-25 に、インポート要約レポートのカラムの定義を示します。

図 6-3 インポート要約レポート

 

 

表 6-25 インポート要約レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

移行する ACS オブジェクト タイプの名前。

Total Elements

要素の合計数。

Total Migratable

移行される要素の合計数。

Total with Issues

問題がある要素の合計数。

Comment

ACS オブジェクトのステータスを示すメッセージ。

インポート フル レポート

図 6-4 にインポート フル レポートを示します。表 6-26 に、インポート フル レポートのカラムの定義を示します。

図 6-4 インポート フル レポート

 

 

表 6-26 インポート フル レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

移行する ACS オブジェクト タイプの名前。

Name

ユーザが指定した名前。

Operation code

動作が成功したかどうか、エラーが発生したかどうかを示します。

Sub Code

動作のステータスに関連付けられたコード。

Comment

ACS オブジェクトのステータスを示すメッセージ。

インポートの検証

インポート フェーズの完了後、インポート要約レポートを手動で分析する必要があります。これによって、次のリストが表示されます。

移行されるオブジェクトの合計数。

正常に移行されたオブジェクトの合計数。

移行に失敗したオブジェクトの合計数。

インポート フル レポートで、移行されなかったオブジェクトの情報を確認できます。これによって、次のリストが表示されます。

オブジェクトの名前。

オブジェクトのステータス。

エラーの原因。

ACS 4.x オブジェクトのいずれかが移行されない場合、次の手順を実行する必要があります。

1. 移行されていないオブジェクトを手動で追加するか、または ACS 4.x アプリケーションでこれらの問題を解決します。

2. 分析フェーズおよびエクスポート フェーズを再実行します。

3. (インポートの前に)ACS 5.3 データベースを以前の状態に復元します。

4. インポート フェーズを再度実行します。


) 移行が完了したことを確認するには、インポート要約レポートを分析してください。レポートにすべてのオブジェクトが正常に移行されたと表示されている場合、移行は完了です。


要約レポート

図 6-5 に、すべての移行フェーズについての要約レポート情報を示します。表 6-27 に、要約レポートのカラムの定義を示します。

図 6-5 要約レポート

 

 

表 6-27 要約レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

移行された ACS オブジェクトの名前。

Total Elements

処理された ACS オブジェクトの合計数。

Total Migratable

移行された ACS オブジェクトの合計数。

Total with Issues

各 ACS オブジェクトの問題の合計数。

Comment

ACS オブジェクトのステータスを示すメッセージ。

フル レポート

図 6-6 に、すべての移行フェーズについてのフル レポート情報を示します。表 6-28 に、フル レポートのカラムの定義を示します。

図 6-6 フル レポート

 

 

表 6-28 フル レポートのカラムの定義

カラム
説明

Server ID

サーバの名前。

Phase

移行フェーズの名前。

Element Name

移行された ACS オブジェクトの名前。

Name

ユーザが指定した名前。

Operation Code

動作が成功したかどうか、エラーが発生したかどうかを示します。

Sub Code

動作のステータスに関連付けられたコード。

Comment

ACS オブジェクトのステータスを示すメッセージ。

エラーと例外の処理

分析フェーズとエクスポート フェーズまたはインポート フェーズで発生したエラー は、それぞれのレポートで報告されます。移行のエラーとその解決手順の詳細については、「移行の問題の解決」を参照してください。

さまざまな ACS オブジェクトの移行時に表示される可能性のあるエラーおよび通知メッセージについては、「移行ユーティリティ メッセージ」を参照してください。

移行の確認

ACS 5.3 ターゲット マシンにログインして、ACS 4.x の要素を正常に移行したことを確認します。移行フェーズで、ACS 4.x で定義された次の ACS 要素が ACS 5.3 に移行されます。

ユーザ属性

ユーザ属性値

NDG

ユーザ グループ

グループ Shell Exec

グループ コマンド セット

ユーザ Shell Exec

ユーザ コマンド セット

共有コマンド セット

ネットワーク デバイス

ユーザ

共有 DACL

EAP-FAST マスター キー

MAB

共有 RAC

カスタマー VSA

ACS 4.x オブジェクトにアクセスするには、『User Guide for Cisco Secure Access Control Server 4.2』に記載されている手順に従います。ACS 5.3 オブジェクトにアクセスするには、『User Guide for Cisco Secure Access Control System 5.3』に記載されている手順に従います。

ここでは、移行の確認について説明します。

「ユーザおよびユーザ グループ」

「コマンド シェルの移行」

「コマンド セットの移行」

「NDG の移行」

「ネットワーク デバイスの移行」

「DACL の移行」

「MAB の移行」

「共有 RAC」

「RADIUS VSA」

「KEK キーと MACK キー」

ユーザおよびユーザ グループ

図 6-7 に、ACS 4.x のユーザとユーザ グループを示し、図 6-8 に ACS 5.3 に移行されたユーザとユーザ グループを示します。[Users and Identity Stores] > [Internal Identity Stores] > [Users] を選択して、移行されたユーザとユーザ グループにアクセスします。

図 6-7 ACS 4.x で定義されたユーザとユーザ グループ

 

 

図 6-8 ACS 5.3 に移行されるユーザとユーザ グループ

 

 

コマンド シェルの移行

図 6-9 に ACS 4.x のコマンド シェル属性を示し、図 6-10 に ACS 5.3 にシェル プロファイルとして移行されたグループ シェル属性を示します。

[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profiles] を選択してから、[Edit] をクリックして、移行されたグループ シェル属性にアクセスします。

[User and Identity Stores] > [Internal Identity Stores] > [Users] を選択し、いずれかのユーザをクリックして、移行されたユーザ シェル属性にアクセスします。図 6-11 に、ACS 5.3 に移行されるユーザ シェル属性を示します。

図 6-9 ACS 4.x で定義されたコマンド シェル属性

 

図 6-10 ACS 5.3 に移行されるグループ シェル属性

 

 

図 6-11 ACS 5.3 に移行されるユーザ シェル属性

 

コマンド セットの移行

図 6-12 に ACS 4.x のコマンド シェルを示し、図 6-13 に ACS 5.3 に移行されたコマンド セットを示します。[Policy Elements] > [Device Administration] > [Command Sets] を選択して、移行されたコマンド セット属性にアクセスします。

図 6-12 ACS 4.x で定義されたコマンド セット

 

図 6-13 ACS 5.3 に移行されたコマンド セット

 

 

NDG の移行

図 6-14 に ACS 4.x の NDG を示し、図 6-15 に ACS 5.3 に移行された NDG を示します。[Network Resources] > [Network Device Groups] を選択し、移行された NDG にアクセスします。

図 6-14 ACS 4.x で定義された NDG

 

 

図 6-15 ACS 5.3 に移行された NDG

 

ネットワーク デバイスの移行

図 6-16 に ACS 4.x のネットワーク デバイスを示し、図 6-17 に ACS 5.3 に移行されたネットワーク デバイスを示します。[Network Resources] > [Network Devices and AAA Clients] を選択し、移行されたネットワーク デバイスにアクセスします。

図 6-16 ACS 4.x で定義されたネットワーク デバイス

 

 

図 6-17 ACS 5.3 に移行されたネットワーク デバイス

 

 

DACL の移行

図 6-18 に ACS 4.x のダウンロード可能アクセス コントロール リスト(DACL)を示し、図 6-19 に ACS 5.3 に移行された DACL を示します。

[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs] を選択し、移行された DACL にアクセスします。

図 6-18 ACS 4.x で定義された DACL

 

 

図 6-19 ACS 5.3 に移行された DACL

 

 

MAB の移行

図 6-20 に ACS 4.x で定義された MAC Authentication Bypass(MAB)を示し、図 6-21 に ACS 5.3 に移行された MAB を示します。

[Users and Identity Stores] > [Internal Identity Stores] > [Hosts] を選択して、[Create] をクリックし、移行された MAB にアクセスします。

図 6-20 ACS 4.x で定義された MAB

 

図 6-21 ACS 5.3 に移行された MAB

 

 

共有 RAC

図 6-22 に ACS 4.x で定義された共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)を示し、図 6-23 に ACS 5.3 に移行された共有 RAC を示します。

[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] を選択し、移行された RAC にアクセスします。

図 6-22 ACS 4.x で定義された共有 RAC

 

 

図 6-23 ACS 5.3 に移行された共有 RAC

 

RADIUS VSA

図 6-24 に ACS 4.x で定義された RADIUS VSA を示し、図 6-25 に ACS 5.3 に移行された RADIUS VSA を示します。

[System Administration] > [Configuration] > [Dictionaries] > [RADIUS] > [RADIUS VSA] を選択し、移行された RADIUS VSA にアクセスします。

図 6-24 ACS 4.x の RADIUS VSA

 

 

図 6-25 ACS 5.3 に移行された RADIUS VSA

 

 

 

KEK キーと MACK キー

図 6-26 に ACS 4.x で定義された KEK キーと MACK キーを示し、図 6-27 に ACS 5.3 に移行された KEK キーと MACK キーを示します。

[Network Devices] > [Network Devices and AAA Clients] を選択し、デバイスを選択して [Edit] をクリックし、移行された KEK キーと MACK キーにアクセスします。

図 6-26 ACS 4.x で定義された KEK キーと MACK キー

 

 

図 6-27 ACS 5.3 に移行される KEK キーと MACK キー