Cisco Secure Access Control System 5.3 移行ガイド
ACS 5.3 移行ユーティリティのサポート
ACS 5.3 移行ユーティリティのサポート
発行日;2012/03/14 | 英語版ドキュメント(2011/10/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ACS 5.3 移行ユーティリティのサポート

ACS 4.x から 5.3 への移行のバージョンのサポート

ACS 4.0 の移行のサポート

ACS 4.x アプライアンスのサポート

CSACS-1120 シリーズ アプライアンスのサポート

リモート デスクトップのサポート

複数インスタンスのサポート

移行プロセスでサポートされているすべての ACS 4.x 要素

移行プロセスでサポートされない ACS 4.x 要素

ユーザ インターフェイス

CLI ベースの移行ユーティリティ

CLI ベースの移行ユーティリティのフェーズ

ACS 4.x から 5.3 への移行のバージョンのサポート

次の ACS 4.x バージョンを移行できます。

ACS 4.1.1.24

ACS 4.1.4

ACS 4.2.0.124

ACS 4.2.1

ACS 4.0 の移行のサポート

データを ACS 5.3 に移行するには、ACS for Windows Server 4.0 を ACS for Windows Server 4.1.1.24 にアップグレードする必要があります。詳細については、『Installation Guide for Cisco Secure ACS for Windows 4.1』を参照してください。

ACS 4.x アプライアンスのサポート

Windows ソフトウェア上の ACS 4.x からのみデータを移行できます。ACS 4.x アプライアンスを使用している場合、ACS 4.x 設定をバックアップし、それを復元して、ACS for Windows Server 4.1.1.24 にアップグレードする必要があります。

アプライアンスのバージョンが ACS 4.1.1.24 の場合、Windows サーバに対応する ACS 4.x バージョンをインストールしてから、アプライアンスのデータを復元する必要があります。

ACS バージョン 4.1.1.24 以上を使用している場合は、アップグレードする必要はありません。詳細については、『Installation Guide for Cisco Secure ACS for Windows 4.1』を参照してください。

CSACS-1120 シリーズ アプライアンスのサポート

CSACS-1120 アプライアンスを使用して、ACS 4.2 または ACS 5.0 をインストールできます。このアプライアンスで ACS 5.3 を実行することもできます。現在 CSACS-1120 アプライアンスに ACS 4.2 がインストールされていて、同じアプライアンスに ACS 5.3 をインストールする場合、ACS 5.3 のインストールに進む前に、まず ACS 4.2 データをバックアップする必要があります。

CSACS-1120 シリーズ アプライアンスで ACS 4.2 から ACS 5.3 にデータを移行するには、次の手順を実行します。


ステップ 1 アプライアンスの ACS 4.2 データをバックアップします。

ステップ 2 中間移行マシンに ACS 4.2 データを復元します。

ステップ 3 アプライアンスに ACS 5.3 をインストールします。

ステップ 4 中間移行マシンから ACS 4.2 オブジェクトを、アプライアンス上にインストールされている ACS 5.3 に移行します。


 

リモート デスクトップのサポート

移行ユーティリティはリモート デスクトップ接続をサポートしていません。移行ユーティリティは移行マシンで実行するか、VNC を使用して移行マシンに接続する必要があります。

複数インスタンスのサポート

ACS 5.3 では、複数の個別のデータベース インスタンス(4.x)が、1 つの統合データベースに組み合わされます。ACS 4.x では、システム設定全体の個別のサブセットを別々の ACS インスタンスで管理できるように、選択したデータのレプリケーションを定義できますが、ACS 5.3 では、単一の統合データベースが展開内のすべての ACS インスタンスに複製されます。

その結果、プライマリ データベースには、各 ACS 4.x インスタンスのすべてのローカル設定定義が格納されます。

移行プロセスでサポートされているすべての ACS 4.x 要素

表 4-1 に移行ユーティリティでサポートする ACS 4.x 要素および対応する ACS 5.3 要素を示します。

 

表 4-1 移行プロセスでサポートされるすべての ACS 要素

ACS 4.x 要素
ACS 5.3 要素

AAA クライアント/ネットワーク デバイス

ネットワーク デバイス 詳細は「AAA クライアント/ネットワーク デバイス」を参照してください。

内部ユーザ

内部ユーザ。詳細は「内部ユーザ」を参照してください。

ユーザ定義フィールド(Interface Configuration セクション)

ID 属性/内部ユーザ。詳細は「ユーザ グループ」を参照してください。

ユーザ グループ

ID グループ。詳細は「ユーザ グループ」を参照してください。

共有シェル コマンド認可セット

コマンド セット。詳細は「共有シェル コマンド認可セット」を参照してください。

ユーザの T+ Shell Exec 属性

ID 属性/内部ユーザ。詳細は「ユーザ グループ」を参照してください。

グループの T+ Shell Exec 属性

シェル プロファイル。詳細は「ユーザ グループ ポリシーのコンポーネント」を参照してください。

ユーザの T+ コマンド認可セット

コマンド セット。詳細は「ユーザ グループ」を参照してください。

MAC 認証バイパス(MAB)アドレス設定

内部ホスト データベース。詳細は「MAC アドレスと内部ホスト」を参照してください。

共有ダウンロード可能アクセス コントロール リスト(DACL)

ダウンロード可能 ACL。詳細は「共有 DACL オブジェクト」を参照してください。

EAP-FAST マスター キー

EAP-FAST マスター キー。詳細は「EAP-Fast マスター キーおよび認証局 ID」を参照してください。

共有 RADIUS 認可コンポーネント

認可プロファイル。詳細は「共有 RAC」を参照してください。

顧客のベンダー固有属性

顧客の VSA。詳細は「カスタマー VSA」を参照してください。


) 共有オブジェクトから、またはユーザまたはグループ定義内から、コマンド セットを移行します。シェル プロファイルは、グループ定義内の shell exec パラメータから作成されます。ただし、ユーザ レコードに保存された shell exec パラメータは各ユーザに関連付けられている ID 属性として移行されます。


移行プロセスでサポートされない ACS 4.x 要素

移行ユーティリティは次をサポートしていません。

グループの DACL

グループの RADIUS 属性

Active Directory(AD)設定

AD グループ マッピング

Admin アカウント

管理ユーザ

機関の証明書

証明書信頼リスト(CTL)

証明書失効リスト(CRL)

日付と時刻

外部データベース設定

Generic Lightweight Directory Access Protocol(LDAP)設定

グループのシェル カスタム属性

グループの Private Internet Exchange、Adaptive Security Appliance(ASA)、シェル コマンド認可セット

グループの Network Access Restrictions(NAR; ネットワーク アクセス制限)

内部 ID パスワードの適用:Sarbanes-Oxley Act(SOX; サーベンス オクスリー法)

LDAP グループ マッピング

ロギングの設定

マシン アクセス制限(MAR)

ネットワーク アクセス プロファイル(NAP)

プロトコル設定(システムおよびグローバル認証)

プロキシ RADIUS および T+(外部アクセス コントロール サーバの資格情報のみを移行します)

TACACS+ ディレクトリ

RADIUS ワンタイム パスワード(OTP)

RSA OTP

共有 NAR

サーバの証明書

共有ネットワーク アクセス フィルタリング(NAF)

共有 PIX および ASA コマンド認可セット

Time-of-Day アクセス設定

ユーザの PIX/ASA シェル コマンド認可

ユーザの DACL

ユーザの NAR

ユーザの RADIUS 属性

IP プール

最大ユーザ セッション

ダイヤル イン サポート

移行しない属性の詳細については、『 User Guide for Cisco Secure Access Control Server 4.2 』を参照してください。

ユーザ インターフェイス

ここでは、ACS 5.3 移行ユーティリティのエンド ユーザ インターフェイスについて説明します。

CLI ベースの移行ユーティリティ

ACS 5.3 は CLI ベースの移行ユーティリティをサポートします。移行設定の詳細については、「移行ユーティリティの実行」を参照してください。

CLI ベースの移行ユーティリティのフェーズ

CLI ベースの移行ユーティリティは次の部分から構成されます。

「設定」

「オブジェクト グループの選択」

「操作の選択」

設定

移行ユーティリティでは、永続的に保存可能なオペレータが設定した設定が使われます。移行ユーティリティを起動するたびに、以前に定義された値を使用するか、新しい値を選択するか求められます。移行設定の詳細については、「移行ユーティリティの実行」を参照してください。

設定には次の 2 つのタイプがあります。

ACS 5.3 ID および資格情報:データの移行先の ACS 5.3 サーバの IP アドレスまたはホスト名。ACS 5.3 サーバにデータをインポートするために使用する管理者ユーザ名とパスワードも指定します。

移行操作の一意の管理者を定義して、設定レコードの参照中にそれらを識別しやすくすることをお勧めします。移行ユーティリティの実行中は、ACS 5.3 のデフォルトのスーパー管理者アカウント acsadmin だけを使用する必要があります。

設定オプション:特定のオブジェクト タイプの移行と関連付けられます。設定の適用後、その後のユーティリティの起動時に使用するデフォルトとしてそれらを保存するかどうかを確認するように求められます。

オブジェクト グループの選択

移行ユーティリティでサポートされるオブジェクト タイプのグループか、またはサポートされるすべてのオブジェクト タイプを移行できます。移行手順のさまざまなフェーズの詳細および各オブジェクト タイプの影響と考慮事項については、「ACS 4.x オブジェクトの移行」を参照してください。

使用可能なオプションを選択する詳細な手順については、「移行ユーティリティの実行」を参照してください。

次のオブジェクトのグループから選択できます。

すべてのオブジェクト:すべての ACS オブジェクト

すべてのユーザ オブジェクト:ID グループおよびユーザから抽出されたすべてのオブジェクト

すべてのデバイス オブジェクト:ネットワーク デバイスと NDG

共有コマンド セット

共有 DACL

マスター キー:EAP-FAST マスター キー

共有 RAC および VSA

操作の選択

一連のオブジェクト タイプを選択したら、実行する移行フェーズを選択する必要があります。次のオプションを使用できます。

分析およびエクスポート

インポート

オプションの選択後、対応するプロセスが実行され、関連レポートが画面に表示されます。各操作について、2 つのタイプのレポートが表示されます。

要約

詳細

移行のさまざまなフェーズで生成されるレポートの詳細については、「レポートの印刷とレポート タイプ」を参照してください。