- Cisco Secure Access Control System 5.8 ユーザ ガ イ ド
- Contents
- はじめに
- ACS 5.8 の導入
- ACS 4.x から ACS 5.8 への移行
- ACS 5.x ポリシー モデル
- ACS を使用した一般的なシナリオ
- [My Workspace] の概要
- インストール後の設定タスク
- ネットワーク リソースの管理
- ユーザおよび ID ストアの管理
- ポリシー要素の管理
- アクセス ポリシーの管理
- ACS での監視とレポート
- アラームの管理
- レポートの管理
- Monitoring and Report Viewer を使用した ACS のトラブルシューティング
- Monitoring and Report Viewer でのシステムの動作と設定の管理
- システム管理者の管理
- システムの動作の設定
- システム管理設定の管理
- ロギングについて
- AA プロトコル
- ACS 5.8 での認証
- オープン ソース使用許諾書
Cisco Secure Access Control System ユーザ ガイド 5.8
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月7日
章のタイトル: ACS 4.x から ACS 5.8 への移行
ACS 4.x から ACS 5.8 への移行
ACS 4.x では、TACACS+ コマンド セットなどのポリシーおよび認証情報は、ユーザおよびユーザ グループ レコードに格納されます。ACS 5.8 では、ポリシーおよび認証情報は独立した共有コンポーネントであり、ポリシーを設定するときに、構築ブロックとして使用します。
新しいポリシー モデルの構築ブロック、つまりポリシー要素を使用してポリシーを再構築すると、新しいポリシー モデルを最大限かつ効率的に活用できます。この方法を使用すると、適切な ID グループ、ネットワーク デバイス グループ(NDG)、条件、認可プロファイル、およびルールを作成することが必要となります。
ACS 5.8 には、ACS 4.x の移行サポート バージョンから ACS 5.8 マシンにデータを転送する、移行ユーティリティが備えられています。ACS 5.8 移行プロセスでは、ACS 5.8 にデータをインポートする前に、手動でデータを解決する管理的介入が必要となる場合があります。
このプロセスは、バージョン ACS 3.x から ACS 4.x へのアップグレード プロセスとは異なります。ACS 3.x から ACS 4.x へのアップグレード プロセスでは、ACS 4.x システムが ACS 3.x と同じ方法で動作するため、管理的介入は不要です。
ACS 5.8 の移行ユーティリティでは、配置されているすべての ACS 4.x サーバを ACS 5.8 に移行する複数インスタンスの移行がサポートされています。複数インスタンスの移行の詳細については、『 Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。
アップグレードは、ACS 5.5 サーバまたは 5.7 サーバから ACS 5.8 へのデータ転送プロセスです。アップグレード プロセスについては、『 Installation and Upgrade Guide for Cisco Secure AccessControl System 5.8 』を参照してください。
移行プロセスの概要
移行ユーティリティは、次の 2 つのフェーズでデータ移行プロセスを完了します。
分析およびエクスポート フェーズでは、5.8 にエクスポートするオブジェクトを指定します。移行ユーティリティではこれらのオブジェクトを分析し、データを集約してエクスポートします。
分析およびエクスポート フェーズが完了すると、移行ユーティリティによって、すべてのデータ互換性エラーを示すレポートが生成されます。これらのオブジェクトを正常に 5.8 にインポートするには、これらのエラーを手動で解決します。
分析およびエクスポート フェーズは反復的なプロセスであり、インポートされるデータに確実にエラーがなくなるまで複数回繰り返すことができます。分析およびエクスポート フェーズが完了すると、インポート フェーズを実行してデータを ACS 5.8 にインポートできるようになります。
移行の要件
移行ユーティリティを実行するには、次のマシンを配置する必要があります。
- 移行元の ACS 4.x マシン:このマシンには、ACS 4.x Solution Engine または ACS for Windows 4.x マシンのいずれかを使用できます。移行元のマシンでは、移行サポート バージョンの ACS が稼働している必要があります。詳細については、「移行サポート バージョン」を参照してください。
- 移行マシン:このマシンは、移行元のマシンと同じバージョンの ACS(パッチを含む)が稼働している Windows プラットフォームである必要があります。ACS 運用マシンまたは ACS アプライアンス マシンは、移行マシンとして使用できません。ACS for Windows が稼働している Windows サーバである必要があります。移行マシンには 2 GB RAM が必要です。
- 移行先の ACS 5.8 マシン:インポート プロセスを開始する前に、ACS 5.8 設定データをバックアップし、ACS 5.8 で移行インターフェイスがイネーブルになっていることを確認します。新しい ACS 5.8 データベースにデータをインポートすることを推奨します。移行インターフェイスをイネーブルにするには、ACS CLI から次のように入力します。
移行サポート バージョン
ACS 5.8 では、次の ACS 4.x バージョンからの移行がサポートされています。
(注
) ここに記載されている移行サポート バージョンに対して、最新のパッチをインストールしておく必要があります。また、他のバージョンの ACS 4.x がインストールされている場合は、ACS 5.8 に移行する前に、サポート対象バージョンのいずれかにアップグレードして、そのバージョンの最新パッチをインストールする必要があります。
はじめる前に
ACS 4.x から ACS 5.8 にデータを移行する前に、次のことを確認します。
- ACS 4.x 移行元マシンにデータベース破損の問題がないこと。
- 移行元マシンと移行マシンに、同じ ACS バージョン(パッチを含む)がインストールされていること。
- 移行マシンに単一の IP アドレスが設定されていること。
- 移行元の ACS 4.x データをバックアップします。
- 移行マシンと ACS 5.8 サーバの間に完全なネットワーク接続があること。
- ACS 5.8 サーバで移行インターフェイスがイネーブルになっていること。
- ACS 5.8 の移行ユーティリティを実行するには、スーパー管理者ロールの ACS 管理者アカウントを使用します。
ACS のこのリリースでは、Super Admin ロールを持つ管理者が移行ユーティリティを実行できます。以前のリリースでは、acsadmin アカウントのみで移行ユーティリティを実行できます。この制限は、Cisco Secure ACS、リリース 5.8 で削除されました。
リモート デスクトップを使用して、移行マシンに接続し、移行ユーティリティを実行することはできません。移行ユーティリティは移行マシンで実行するか、VNC を使用して移行マシンに接続する必要があります。
(注) ACS 5.8 移行ユーティリティは、Windows 2008 64 ビットではサポートされません。
移行ファイルのダウンロード
ACS 5.8 の移行アプリケーション ファイルおよび移行ガイドをダウンロードするには、次の手順を実行します。
ステップ 1 [System Administration] > [Downloads] > [Migration Utility] を選択します。
[Migration from 4.x] ページが表示されます。
ステップ 2 [Migration application files] をクリックして、移行ユーティリティを実行する場合に使用するアプリケーション ファイルをダウンロードします。
ステップ 3 [Migration Guide] をクリックして、『 Migration Guide for Cisco Secure Access Control System 5.8 』をダウンロードします。
ACS 4.x から ACS 5.8 への移行
ACS 4.x の任意の移行サポート バージョンから ACS 5.8 にデータを移行できます。移行ユーティリティによって、次の ACS 4.x データ エンティティが移行されます。
- ネットワーク デバイス グループ(NDG)
- AAA クライアントおよびネットワーク デバイス
- 内部ユーザ
- (Interface Configuration セクションの)ユーザ定義フィールド
- ユーザ グループ
- 共有シェル コマンド認可セット
- (ユーザ属性に移行される)ユーザ TACACS+ Shell Exec 属性
- (シェル プロファイルに移行される)グループ TACACS+ Shell Exec 属性
- ユーザ TACACS+ コマンド認可セット
- グループ TACACS+ コマンド認可セット
- 共有ダウンロード可能 ACL
- EAP-FAST マスター キー
- 共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)
- RADIUS VSA
(注) 移行ユーティリティでは、Public Key Infrastructure(PKI; 公開キー インフラストラクチャ)設定データは移行されず、証明書の移行もサポートされていません。
ACS 4.x から ACS 5.8 にデータを移行するには、次の手順を実行します。
ステップ 1 ACS 4.x サーバで、現在、移行サポート バージョンのいずれも稼働していない場合は、ACS 4.x バージョンを移行サポート バージョンにアップグレードします。
ACS の移行サポート バージョンのリストについては、移行サポート バージョンを参照してください。
ステップ 2 移行マシン(Windows サーバ)に同じ移行サポート バージョンの ACS をインストールします。
ステップ 3 ACS 4.x データをバックアップして、移行マシンで復元します。
移行ユーティリティは、Installation and Recovery DVD から取得できます。
ステップ 5 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。
ステップ 6 分析およびエクスポート フェーズで発生した問題を解決します。
ステップ 7 移行マシンで、移行ユーティリティのインポート フェーズを実行します。
インポート フェーズでは、データを 5.8 サーバにインポートします。
(注) 大規模な内部データベースがある場合、スタンドアロンの 5.x プライマリ サーバにデータをインポートし、複数のセカンダリ サーバに接続しているサーバにはデータをインポートしないことを推奨します。データの移行が完了すると、セカンダリ サーバをスタンドアロンの 5.x プライマリ サーバに登録できるようになります。
移行ユーティリティの使用方法の詳細については、『 Migration Guide for Cisco Secure Access Control System 5.8』を参照してください。
ACS 4.x から ACS 5.8 への機能マッピング
ACS 5.8 では、認可、シェル プロファイル、属性、およびその他のポリシー要素を、ユーザまたはグループ定義の一部としてではなく、独立した再利用可能なオブジェクトとして定義します。
表 2-1 に、ACS 5.8 での ID、ネットワーク リソース、およびポリシー要素の設定場所を示します。この表を使用して、移行したデータ ID を表示または変更します。ACS 5.8 ポリシー モデルの概要については、ACS 5.x ポリシー モデルを参照してください。
|
|
|
|
|
|---|---|---|---|
[Network Resources] > [Network Device Groups] ネットワーク デバイス グループの作成、複製、および編集を参照してください。 |
ACS 5.8 では NDG 共有パスワードがサポートされていません。移行後は、メンバー デバイスに NDG 共有パスワード情報が格納されます。 |
||
[Network Resources] > [Network Devices and AAA Clients] ネットワーク デバイスおよび AAA クライアントを参照してください。 |
|||
[Users and Identity Stores] > [Identity Groups] ID 属性の管理を参照してください。 |
|||
[Users and Identity Stores] > [Internal Identity Stores] > [Users] 内部 ID ストアの管理を参照してください。 |
ACS 5.8 は、内部 ID ストアに対してだけ内部ユーザを認証します。 認証に外部データベースを使用していた移行済みユーザには、最初のアクセス時に変更が必要なデフォルトの認証パスワードが割り当てられます。 |
||
[Users and Identity Stores] > [Internal Identity Stores] > [Hosts] ID ストアでのホストの作成を参照してください。 |
|||
[System Administration] > [Configuration] > [Dictionaries] > [Identity] > [Internal Users] ディクショナリの管理を参照してください。 |
定義済みの ID 属性フィールドが [User Properties] ページに表示されます。これらをアクセス サービス ポリシーの条件として使用できます。 |
||
[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Set] 管理デバイス用のコマンド セットの作成、複製、および編集を参照してください。 |
|||
[System Administration] > [Dictionaries] > [Identity] > [Internal Users] ディクショナリの管理を参照してください。 |
|||
[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profile] デバイス管理用のシェル プロファイルの作成、複製、および編集を参照してください。 |
|||
[Policy Elements] > [Session Conditions] > [Date and Time] 日付と時刻の条件の作成、複製、および編集を参照してください。 |
|||
[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [Common Tasks] タブ [Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [RADIUS Attributes] タブ ネットワーク アクセス用の認可プロファイルの作成、複製、および編集を参照してください。 |
|||
[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs] ダウンロード可能な ACL の作成、複製、および編集を参照してください。 |
ネットワーク アクセス認可プロファイルに Downloadable ACL(DACL; ダウンロード可能 ACL)を追加できます。 |
||
[System Administration] > [Configuration] > [Dictionaries] > [Protocols] > [RADIUS] > [RADIUS VSA] RADIUS ベンダー固有属性の作成、複製、および編集を参照してください。 |
移行の一般的なシナリオ
次に、ACS 5.8 への移行時に発生する一般的なシナリオを示します。
CSACS 1121 の ACS 4.2 から ACS 5.8 への移行
展開において、CSACS 1121 にある ACS 4.2 を ACS 5.8 に移行する場合は、次の手順を実行する必要があります。
ステップ 1 移行マシンに Cisco Secure Access Control Server 4.2 for Windows をインストールします。
ステップ 2 CSACS 1121 で ACS 4.2 データをバックアップします。
ステップ 4 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。
ステップ 5 CSACS 1121 に ACS 5.8 をインストールします。
ステップ 6 移行マシンのデータを、ACS 5.8 がインストールされている CSACS 1121 にインポートします。
各ステップの詳細については、『 Migration Guide for Cisco Secure Access Control System 5.8 』を参照してください。
ACS 3.x から ACS 5.8 への移行
使用環境に ACS 3.x を配置している場合、ACS 5.8 への直接移行はできません。次の手順を実行する必要があります。
ステップ 1 ACS 4.x の移行サポート バージョンにアップグレードします。移行サポート バージョンのリストについては、移行サポート バージョンを参照してください。
ステップ 2 ACS 3.x のアップグレード パスを確認します。
http://www.cisco.com/en/US/docs/net_mgmt/
cisco_secure_access_control_server_for_solution_engine/4.1/installation/guide/solution_engine/
upgap.html#wp1120037
http://www.cisco.com/c/en/us/td/docs/net_mgmt/
cisco_secure_access_control_server_for_windows/4-2/installation/guide/windows/IGwn42/
install.html#wp1102849
ステップ 3 ACS 3.x サーバを ACS 4.x の移行サポート バージョンにアップグレードします。
アップグレード後、ACS 4.x から ACS 5.8 への移行方法を示した手順を実行します。詳細については、『 Migration Guide for Cisco Secure Access Control System 5.8 』を参照してください。
他の AAA サーバから ACS 5.8 へのデータの移行
ACS 5.8 では、ACS Web インターフェイスおよび CLI を使用して、さまざまな ACS オブジェクトの一括インポートを実行できます。インポートできる ACS オブジェクトは次のとおりです。
ACS では、カンマ区切り形式(.csv)ファイルを使用して、データの一括インポートを実行できます。データは、ACS が要求する形式で.csv ファイルに入力する必要があります。ACS には、ACS 5.8 にインポート可能なそれぞれのオブジェクト用に.csv テンプレートが用意されています。このテンプレートは Web インターフェイスからダウンロードできます。
他の AAA サーバから ACS 5.8 にデータを移行するには、次の手順を実行します。
.csv テンプレートの詳細については、『 Software Developer’s Guide for Cisco Secure Access Control System 5.8』を参照してください。
ステップ 3 ACS 5.8 に対してデータの一括インポートを実行します。
ACS オブジェクトの一括インポートの実行の詳細については、『 Software Developer’s Guide for Cisco Secure Access Control System 5.8』を参照してください。
これで、他の AAA サーバのデータを ACS 5.8 で使用できます。
フィードバック