- はじめに
- ACS 5.2 の導入
- ACS 4.x から ACS 5.2 への移行
- ACS 5.x ポリシー モデル
- ACS を使用した一般的なシナリオ
- [My Workspace] の概要
- インストール後の設定タスク
- ネットワーク リソースの管理
- ユーザおよび ID ストアの管理
- ポリシー要素の管理
- アクセス ポリシーの管理
- ACS での監視とレポート
- アラームの管理
- レポートの管理
- Monitoring & Report Viewer を使用した ACS のトラブルシューティング
- Monitoring & Report Viewer でのシステム の動作と設定の管理
- システム管理者の管理
- システムの動作の設定
- システム管理設定の管理
- ロギングの概要
- AAA プロトコル
- ACS 5.2 での認証
- 用語集
- 索引
Cisco Secure Access Control System 5.2 ユーザ ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月6日
章のタイトル: ACS 4.x から ACS 5.2 への移行
ACS 4.x から ACS 5.2 への移行
ACS 4.x では、TACACS+ コマンド セットなどのポリシーおよび認証情報は、ユーザおよびユーザ グループ レコードに格納されます。ACS 5.2 では、ポリシーおよび認証情報は独立した共有コンポーネントであり、ポリシーを設定するときに、構築ブロックとして使用します。
新しいポリシー モデルの構築ブロック、つまりポリシー要素を使用してポリシーを再構築すると、新しいポリシー モデルを最大限かつ効率的に活用できます。この方法を使用すると、適切な ID グループ、ネットワーク デバイス グループ(NDG)、条件、認可プロファイル、およびルールを作成することが必要となります。
ACS 5.2 には、ACS 4.x の移行サポート バージョンから ACS 5.2 マシンにデータを転送する、移行ユーティリティが備えられています。ACS 5.2 移行プロセスでは、ACS 5.2 にデータをインポートする前に、手動でデータを解決する管理的介入が必要となる場合があります。
このプロセスは、バージョン ACS 3.x から ACS 4.x へのアップグレード プロセスとは異なります。ACS 3.x から ACS 4.x へのアップグレード プロセスでは、ACS 4.x システムが ACS 3.x と同じ方法で動作するため、管理的介入は不要です。
ACS 5.2 の移行ユーティリティでは、配置されているすべての ACS 4.x サーバを ACS 5.2 に移行する複数インスタンスの移行がサポートされています。複数インスタンスの移行の詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/migration/
guide/Migration_Book.html
アップグレードは、ACS 5.1 サーバから ACS 5.2 へのデータ転送プロセスです。アップグレード プロセスの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access
_control_system/5.2/installation/guide/csacs_upg.html
•
「始める前に」
移行プロセスの概要
移行ユーティリティは、次の 2 つのフェーズでデータ移行プロセスを完了します。
分析およびエクスポート フェーズでは、5.2 にエクスポートするオブジェクトを指定します。移行ユーティリティではこれらのオブジェクトを分析し、データを集約してエクスポートします。
分析およびエクスポート フェーズが完了すると、移行ユーティリティによって、すべてのデータ互換性エラーを示すレポートが生成されます。これらのオブジェクトを正常に 5.2 にインポートするには、これらのエラーを手動で解決します。
分析およびエクスポート フェーズは反復的なプロセスであり、インポートされるデータに確実にエラーがなくなるまで複数回繰り返すことができます。分析およびエクスポート フェーズが完了すると、インポート フェーズを実行してデータを ACS 5.2 にインポートできるようになります。
• 「移行の要件」
移行の要件
移行ユーティリティを実行するには、次のマシンを配置する必要があります。
• 移行元の ACS 4.x マシン:このマシンには、ACS 4.x Solution Engine または ACS for Windows 4.x マシンのいずれかを使用できます。移行元のマシンでは、移行サポート バージョンの ACS が稼動している必要があります。詳細については、「移行サポート バージョン」を参照してください。
• 移行マシン:このマシンは、移行元のマシンと同じバージョンの ACS(パッチを含む)が稼動している Windows プラットフォームである必要があります。ACS 運用マシンまたは ACS アプライアンス マシンは、移行マシンとして使用できません。ACS for Windows が稼動している Windows サーバである必要があります。移行マシンには 2 GB RAM が必要です。
• 移行先の ACS 5.2 マシン:インポート プロセスを開始する前に、ACS 5.2 設定データをバックアップし、ACS 5.2 で移行インターフェイスがイネーブルになっていることを確認します。新しい ACS 5.2 データベースにデータをインポートすることを推奨します。移行インターフェイスをイネーブルにするには、ACS CLI から次のように入力します。
移行サポート バージョン
ACS 5.2 では、次の ACS 4.x バージョンからの移行がサポートされています。
(注) ここに記載されている移行サポート バージョンに対して、最新のパッチをインストールしておく必要があります。また、他のバージョンの ACS 4.x がインストールされている場合は、ACS 5.2 に移行する前に、サポート対象バージョンのいずれかにアップグレードして、そのバージョンの最新パッチをインストールする必要があります。
始める前に
ACS 4.x から ACS 5.2 にデータを移行する前に、次のことを確認します。
• ACS 4.x 移行元マシンにデータベース破損の問題がないこと。
• 移行元マシンと移行マシンに、同じ ACS バージョン(パッチを含む)がインストールされていること。
• 移行マシンに単一の IP アドレスが設定されていること。
• 移行元の ACS 4.x データがバックアップしてあること。
• 移行マシンと ACS 5.2 サーバの間に完全なネットワーク接続があること。
• ACS 5.2 サーバで移行インターフェイスがイネーブルになっていること。
• 移行ユーティリティの実行中は、ACS 5.2 のデフォルトのスーパー管理者アカウント acsadmin だけを使用すること。
移行ファイルのダウンロード
ACS 5.2 の移行アプリケーション ファイルおよび移行ガイドをダウンロードするには、次の手順を実行します。
ステップ 1 [System Administration] > [Downloads] > [Migration Utility] を選択します。
[Migration from 4.x] ページが表示されます。
ステップ 2 [Migration application files] をクリックして、移行ユーティリティを実行する場合に使用するアプリケーション ファイルをダウンロードします。
ステップ 3 [Migration Guide] をクリックして、『 Migration Guide for the Cisco Secure Access Control System 5.2 』をダウンロードします。
ACS 4.x から ACS 5.2 への移行
ACS 4.x の任意の移行サポート バージョンから ACS 5.2 にデータを移行できます。移行ユーティリティによって、次の ACS 4.x データ エンティティが移行されます。
• (Interface Configuration セクションの)ユーザ定義フィールド
• (ユーザ アトリビュートに移行される)ユーザ TACACS+ Shell Exec アトリビュート
• (シェル プロファイルに移行される)グループ TACACS+ Shell Exec アトリビュート
• 共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)
(注) 移行ユーティリティでは、Public Key Infrastructure(PKI; 公開キーインフラストラクチャ)設定データは移行されず、証明書の移行もサポートされていません。
ACS 4.x から ACS 5.2 にデータを移行するには、次の手順を実行します。
ステップ 1 ACS 4.x サーバで、現在、移行サポート バージョンのいずれも稼動していない場合は、ACS 4.x バージョンを移行サポート バージョンにアップグレードします。
ACS の移行サポート バージョンのリストについては、「移行サポート バージョン」を参照してください。
ステップ 2 移行マシン(Windows サーバ)に同じ移行サポート バージョンの ACS をインストールします。
ステップ 3 ACS 4.x データをバックアップして、移行マシンで復元します。
移行ユーティリティは、Installation and Recovery DVD から取得できます。
ステップ 5 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。
ステップ 6 分析およびエクスポート フェーズで発生した問題を解決します。
ステップ 7 移行マシンで、移行ユーティリティのインポート フェーズを実行します。
インポート フェーズでは、データを 5.2 サーバにインポートします。
(注) 大規模な内部データベースがある場合、スタンドアロンの 5.x プライマリ サーバにデータをインポートし、複数のセカンダリ サーバに接続しているサーバにはデータをインポートしないことを推奨します。データの移行が完了すると、セカンダリ サーバをスタンドアロンの 5.x プライマリ サーバに登録できるようになります。
移行ユーティリティの使用方法の詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/
net_mgmt/cisco_secure_access_control_system/5.2/migration/guide/Migration_Book.html
ACS 4.x から ACS 5.2 への機能マッピング
ACS 5.2 では、認可、シェル プロファイル、アトリビュート、およびその他のポリシー要素を、ユーザまたはグループ定義の一部としてではなく、独立した再利用可能なオブジェクトとして定義します。
表 2-1 に、ACS 5.2 での ID、ネットワーク リソース、およびポリシー要素の設定場所を示します。この表を使用して、移行したデータ ID を表示または変更します。ACS 5.2 ポリシー モデルの概要については、「ACS 5.x ポリシー モデル」を参照してください。
|
|
|
|
|
|---|---|---|---|
[Network Resources] > [Network Device Groups] 「ネットワーク デバイス グループの作成、複製、および編集」を参照してください。 |
(ACS 5.2 では NDG 共有パスワードがサポートされていません。移行後は、メンバー デバイスに NDG 共有パスワード情報が格納されます。) |
||
[Network Resources] > [Network Devices and AAA Clients] 「ネットワーク デバイスおよび AAA クライアント」を参照してください。 |
|||
[Users and Identity Stores] > [Identity Groups] 「ID アトリビュートの管理」を参照してください。 |
|||
[Users and Identity Stores] > [Internal Identity Stores] > [Users] 「内部 ID ストアの管理」を参照してください。 |
ACS 5.2 は、内部 ID ストアに対してだけ内部ユーザを認証します。 認証に外部データベースを使用していた移行済みユーザには、最初のアクセス時に変更が必要なデフォルトの認証パスワードが割り当てられます。 |
||
[Users and Identity Stores] > [Internal Identity Stores] > [Hosts] 「ID ストアでのホストの作成」を参照してください。 |
|||
[System Administration] > [Configuration] > [Dictionaries] > [Identity] > [Internal Users] 「ディクショナリの管理」を参照してください。 |
定義済みの ID アトリビュート フィールドが [User Properties] ページに表示されます。これらをアクセス サービス ポリシーの条件として使用できます。 |
||
[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Set] 「管理デバイス用のコマンド セットの作成、複製、および編集」を参照してください。 |
|||
[System Administration] > [Dictionaries] > [Identity] > [Internal Users] 「ディクショナリの管理」を参照してください。 |
|||
[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profile] 「デバイス管理用のシェル プロファイルの作成、複製、および編集」を参照してください。 |
|||
| (注) 日時条件は移行できません。ACS 5.2 で再作成する必要があります。 | [Policy Elements] > [Session Conditions] > [Date and Time] 「日付と時刻の条件の作成、複製、および編集」を参照してください。 |
||
| • |
[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [Common Tasks] タブ [Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profile] > [RADIUS Attributes] タブ 「ネットワーク アクセス用の認可プロファイルの作成、複製、および編集」を参照してください。 |
||
[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs] 「ダウンロード可能 ACL の作成、複製、および編集」を参照してください。 |
ネットワーク アクセス認可プロファイルに Downloadable ACL(DACL; ダウンロード可能 ACL)を追加できます。 |
||
[System Administration] > [Configuration] > [Dictionaries] > [Protocols] > [RADIUS] > [RADIUS VSA] 「RADIUS ベンダー固有アトリビュートの作成、複製、および編集」を参照してください。 |
移行の一般的なシナリオ
次に、ACS 5.2 への移行時に発生する一般的なシナリオを示します。
• 「CSACS 1120 の ACS 4.2 から ACS 5.2 への移行」
• 「他の AAA サーバから ACS 5.2 へのデータの移行」
CSACS 1120 の ACS 4.2 から ACS 5.2 への移行
配置されている CSACS 1120 の ACS 4.2 を ACS 5.2 に移行する場合、次の手順を実行する必要があります。
ステップ 1 移行マシンに Cisco Secure Access Control Server 4.2 for Windows をインストールします。
ステップ 2 CSACS 1120 で ACS 4.2 データをバックアップします。
ステップ 4 移行マシンで、移行ユーティリティの分析およびエクスポート フェーズを実行します。
ステップ 5 CSACS 1120 に ACS 5.2 をインストールします。
ステップ 6 移行マシンのデータを、ACS 5.2 がインストールされている CSACS 1120 にインポートします。
各ステップの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.2/migration/guide/Migration_Book.html
ACS 3.x から ACS 5.2 への移行
使用環境に ACS 3.x を配置している場合、ACS 5.2 への直接移行はできません。次の手順を実行する必要があります。
ステップ 1 ACS 4.x の移行サポート バージョンにアップグレードします。移行サポート バージョンのリストについては、「移行サポート バージョン」を参照してください。
ステップ 2 ACS 3.x のアップグレード パスを確認します。
• ACS Solution Engine については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for
_solution_engine/4.1/installation/guide/solution_engine/upgap.html#wp1120037
• ACS for Windows については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_server_for
_windows/4.2/installation/guide/windows/install.html#wp1102849
ステップ 3 ACS 3.x サーバを ACS 4.x の移行サポート バージョンにアップグレードします。
アップグレード後、ACS 4.x から ACS 5.2 への移行方法を示した手順を実行します。詳細については、『 Migration Guide for the Cisco Secure Access Control System 5.2 』を参照してください。
他の AAA サーバから ACS 5.2 へのデータの移行
ACS 5.2 では、ACS Web インターフェイスおよび CLI を使用して、さまざまな ACS オブジェクトの一括インポートを実行できます。インポートできる ACS オブジェクトは次のとおりです。
ACS では、カンマ区切り形式(.csv)ファイルを使用して、データの一括インポートを実行できます。データは、ACS が要求する形式で .csv ファイルに入力する必要があります。ACS には、ACS 5.2 にインポート可能なそれぞれのオブジェクト用に .csv テンプレートが用意されています。このテンプレートは Web インターフェイスからダウンロードできます。
他の AAA サーバから ACS 5.2 にデータを移行するには、次の手順を実行します。
.csv テンプレートの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/cli_imp_exp.html#wp1055255
ステップ 3 ACS 5.2 に対してデータの一括インポートを実行します。
ACS オブジェクトの一括インポートの詳細については、次の URL を参照してください。 http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.1/sdk/
cli_imp_exp.html#wp1052831
これで、他の AAA サーバのデータを ACS 5.2 で使用できます。
フィードバック