この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、インポートおよびエクスポート機能を使用して ACS オブジェクトに対する一括操作を実行する、ACS 5.5 が提供するスクリプト インターフェイスについて説明します。
ACS では、Web インターフェイス(グラフィカル ユーザ インターフェイス)および CLI から利用できるインポートおよびエクスポート機能が提供されます。ACS では、これらの機能を CLI によって外部から利用できるため、ACS オブジェクトに対する一括操作用のカスタム シェル スクリプトを作成することができます。 import-data コマンドを使用すると、次のことができます。
ACS 5.5 のインポートおよびエクスポート機能では、ACS オブジェクトの作成、更新、および削除などの一括操作を実行でき、ACS 4. x リリースから ACS 5.5 に移行するための移行パスが提供されます。
インポートおよびエクスポート機能を使用すると、自動スクリプトによって ACS を任意のリポジトリと統合し、データを ACS にインポートできます。また、.csv ファイルを転送前に暗号化してセキュリティを強化したり、必要に応じてセキュア ファイル転送プロトコル(SFTP)を使用することもできます。
リポジトリ内で一定の名前のファイルを検索するコマンドを作成してスケジュール設定すると、一括操作を実行することができます。この方法では、ACS 4.x リリースで利用可能だった機能が提供されます。
ACS ではキュー内のインポートおよびエクスポート要求が処理されます。一度に 1 つの処理だけを実行できます。ACS の Web インターフェイスを使用してインポートおよびエクスポートを行う場合は、キューを手動で制御できません。
ACS はキューを順番に処理します。ただし、CLI を使用すると、ACS のインポートおよびエクスポート プロセスを管理できます。ACS の CLI では、キューのステータスを表示したり、キュー内のプロセスを終了したりできます。
ACS のインポート機能を使用して、複数の ACS オブジェクトを同時に追加、更新、または削除できます。ACS では、カンマ区切り形式(CSV)ファイルを使用して、これらの一括操作を実行します。この .csv ファイルをインポート ファイルと呼びます。
ACS には、各 ACS オブジェクトの追加、更新、および削除操作用に、個別の .csv テンプレートが備えられています。.csv ファイル内の最初のレコードは、カラム(フィールド)名を含むテンプレートのヘッダー レコードです。これらのテンプレートは ACS Web インターフェイスからダウンロードする必要があります。テンプレートのヘッダー レコードは、インポートする .csv ファイルの最初の行に含まれている必要があります。
すべての ACS オブジェクトをインポートするのに同じテンプレートは使用できません。各 ACS オブジェクト用に設計されたテンプレートをダウンロードし、対応するテンプレートをオブジェクトのインポート時に使用する必要があります。
エクスポート機能を使用して、ACS 内部ストアで使用可能な特定のオブジェクト タイプのすべてのレコードを含む .csv ファイルを作成できます。
インポートおよびエクスポート操作を実行するには、CLI 管理者レベル アクセス権が必要です。さらに、次の権限が必要です。
• ACS 設定データをインポートする場合は、特定のコンフィギュレーション オブジェクトに対する CRUD 権限
• リモート リポジトリにデータをエクスポートする場合は、特定のコンフィギュレーション オブジェクトに対する読み取り権限
• 「インポートおよびエクスポート プロセスのステータスの表示」
ACS コンフィギュレーション モードから ACS オブジェクトをインポートできます。インポート操作を実行するには、 import-data コマンドを使用します。このコマンドは、次の引数を使用します。
• インポート ファイルが格納されたリモート リポジトリ名。インポート ファイルの作成方法の詳細については、「インポート ファイルの作成」を参照してください。
• インポート ファイルに含まれる ACS オブジェクトのタイプ。
ACS はリモート リポジトリから .csv ファイルを取得し、このファイルを処理します。 import-export-status コマンドを使用すると、インポート プロセスのステータスを ACS に問い合わせることができます。インポート プロセスが完了した後、ACS はこのプロセス中に ACS が認識したエラーが含まれるステータス ファイルを、リモート リポジトリに生成します。
インポート プロセスでのセキュリティを強化するために、インポート ファイルを暗号化して、インポート操作にセキュリティ保護されたリモート リポジトリを使用することもできます。
また、インポート プロセスでエラーが発生する可能性もあります。 インポート プロセスを終了するか、完了するまで続行するかを指定できます。
(注) セキュリティ保護されたリモート リポジトリをインポートに使用する場合、repository 値として SFTP を指定する必要があります。
たとえば、内部ユーザ レコードを既存の ID ストアに追加するには、ACS CLI から次のように入力します。
import-data add user repository file-name result-file-name {abort-on-error | cont-on-error} {full | none | only-sec-repo | only-sec-files} secret-phrase
repository :ACS オブジェクトのインポート元となるリモート リポジトリ名。この場合、内部ユーザ。
file-name :リモート リポジトリ内のインポート ファイル名。
result-file-name :インポート操作の結果が含まれるファイル名。このファイルは、インポート プロセスが完了または終了すると、リモート リポジトリで使用できるようになります。
abort-on-error :インポート プロセスでエラーが発生した場合、インポート操作を中止します。
cont-on-error :インポート プロセス中に発生するエラーを無視し、残りのオブジェクトのインポートを続行します。
full :GNU Privacy Guard(GPG)暗号化メカニズムによってインポート ファイルを暗号化し、セキュリティ保護されたリモート リポジトリを使用してファイルをインポートします。セキュリティ タイプとして full を指定した場合、repository 値として SFTP を指定する必要があります。
none :インポート ファイルを暗号化せず、インポートの際にセキュリティ保護されたリモート リポジトリを使用しません。
secret phrase :インポート ファイルを復号するために、秘密のフレーズを指定します。セキュリティ タイプを full または only-sec-files に指定した場合、秘密のフレーズを指定する必要があります。
only-sec-repo :セキュリティ保護されたリモート リポジトリを使用してファイルをインポートします。セキュリティ タイプとして only-sec-repo を指定した場合、repository 値として SFTP を指定する必要があります。
only-sec-files :GPG 暗号化メカニズムを使用して、インポート ファイルを暗号化します。
import-data コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/reference/cli_app_a.html#wp1893385
ACS からローカル ドライブに、 .csv ファイル内の ACS オブジェクトのリストをエクスポートできます。 export-data コマンドを使用して、ACS コンフィギュレーション モードからこの操作を実行できます。このコマンドは、次の引数を使用します。
• エクスポート プロセスの完了後に、 .csv ファイルをダウンロード先となるリモート リポジトリ名。
ACS によるエクスポート要求の処理中は、コマンドを入力してエクスポートの進捗を照会できます。エクスポート プロセスの完了後、リモート リポジトリにある .csv ファイルには、ACS 内部ストアに存在しているすべてのオブジェクト レコードが含まれます。
(注) Web インターフェイスから ACS オブジェクトをエクスポートする場合、利用可能なフィルタを使用してレコードのサブセットをエクスポートできます。
エクスポート プロセスでのセキュリティを強化するために、エクスポート ファイルを暗号化して、エクスポート操作にセキュリティ保護されたリモート リポジトリを使用することもできます。
(注) セキュリティ保護されたリモート リポジトリをエクスポートに使用する場合、repository 値として SFTP を指定する必要があります。
たとえば、内部ユーザ レコードをエクスポートするには、ACS CLI から次のように入力します。
export-data user repository file-name result-file-name {full | none | only-sec-repo | only-sec-files} secret-phrase
repository :ACS オブジェクトのエクスポート先となるリモート リポジトリ名。この場合、内部ユーザ。
file-name :リモート リポジトリ内のエクスポート ファイル名。
result-file-name :エクスポート操作の結果が含まれるファイル名。このファイルは、エクスポート プロセスが完了するとリモート リポジトリで使用できるようになります。
full :GPG 暗号化メカニズムによってエクスポート ファイルを暗号化し、セキュリティ保護されたリモート リポジトリを使用してファイルをエクスポートします。セキュリティ タイプとして full を指定した場合、repository 値として SFTP を指定する必要があります。
none :エクスポート ファイルを暗号化せず、エクスポートの際にセキュリティ保護されたリモート リポジトリを使用しません。
secret phrase :エクスポート ファイルを暗号化するために、秘密のフレーズを指定します。セキュリティ タイプを full または only-sec-files に指定した場合、秘密のフレーズを指定する必要があります。
only-sec-repo :セキュリティ保護されたリモート リポジトリを使用してファイルをエクスポートします。セキュリティ タイプとして only-sec-repo を指定した場合、repository 値として SFTP を指定する必要があります。
only-sec-files :GPG 暗号化メカニズムを使用して、エクスポート ファイルを暗号化します。
export-data コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1893300
import-export-status コマンドを使用すると、ACS でのインポートおよびエクスポート プロセスのステータスを表示できます。このコマンドを使用して、実行中のインポートまたはエクスポート プロセスのステータスを表示し、保留中のプロセスが存在するかを確認します。
import-export-status コマンドは、ACS コンフィギュレーション モードから実行する必要があります。このコマンドは、ロールに関係なく、すべてのユーザが実行できます。
import-export-status { current | all | id id }
current :現在実行中のプロセスのステータスを表示します。
all :保留中のプロセスを含め、すべてのインポートおよびエクスポート プロセスのステータスを表示します。
id :プロセス ID で指定される特定のプロセスで実行されるインポートまたはエクスポートのステータスを表示します。
import-export-status コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1893573
import-export-abort コマンドを使用して、すべてのインポートおよびエクスポート プロセス、または現在実行中あるいはキューに入っているプロセスを終了できます。 import-export-abort コマンドは、ACS コンフィギュレーション モードから実行する必要があります。
実行中のプロセスと、すべての保留中のインポートおよびエクスポート プロセスを同時に終了できるのは、スーパー管理者のみです。ただし、特定のインポートまたはエクスポート プロセスを所有するユーザは、プロセス ID を使用するか、実行中にそのプロセスを停止することによって、その特定のプロセスを終了できます。
import-export-abort { running | all | id id }
current :現在実行中のインポートまたはエクスポート プロセスを中止します。
all :キュー内のすべてのインポートまたはエクスポート プロセスを中止します。
id :指定したプロセス ID のインポートまたはエクスポート プロセスを中止します。
import-export-abort コマンドの詳細については、次の URL を参照してください。
http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1893490
ACS 5.5 では、インポート機能を使用して ACS オブジェクトに対する一括操作(追加、更新、削除)を実行できますが、すべての ACS オブジェクトをインポートできるわけではありません。ACS 5.5 のインポート機能では、次の ACS オブジェクトがサポートされています。
表 5-1 に、ACS オブジェクト、そのプロパティ、およびプロパティのデータ型をリストします。
|
|
---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
に対して指定する値のリストです。複数の値をセミコロン(:)で区切る形式となります。 |
任意指定のフィールドは、空のまますると、ACS によってそれぞれのフィールドのデフォルト値に置換されます。
たとえば、階層に関連するフィールドを空白のままにすると、ACS によって、階層のルート ノードの値が割り当てられます。ネットワーク デバイスでは、TrustSec がイネーブルの場合、すべての関連設定フィールドがデフォルト値に設定されます。
(注) CLI だけでなく、ACS ユーザ インターフェイスからも管理者をエクスポートできます。ACS ユーザ インターフェイスから管理者をエクスポートするには、[Administrator Accounts] ページにある [Export] ボタンを使用します。CLI から管理者をエクスポートするには、export-data コマンドを使用します。export-data コマンドの詳細については、次の URL を参照してください。http://www.cisco.com/en/US/docs/net_mgmt/cisco_secure_access_control_system/5.5/command/
reference/cli_app_a.html#wp1893300
(注) CLI だけでなく、ACS ユーザ インターフェイスからもメッセージ カタログをエクスポートできます。ACS ユーザ インターフェイスからメッセージ カタログをエクスポートするには、[System Administration] > [Configuration] > [Log Configuration] > [Log Message Catalog] ページの [Export] ボタンのものを使用します。CLI からメッセージ カタログをエクスポートするには、export-message-catalog コマンドを使用します。
ここでは、ACS オブジェクトに対して一括操作を実行するための .csv ファイルの作成方法について説明します。各オブジェクトに適したテンプレートをダウンロードできます。この項の構成は、次のとおりです。
• 「Web インターフェイスからのテンプレートのダウンロード」
インポート ファイルを作成する前に、ACS Web インターフェイスからインポート ファイル テンプレートをダウンロードする必要があります。
内部ユーザを追加するためにインポート ファイル テンプレートをダウンロードするには、次の手順を実行します。
ステップ 1 ACS 5.5 Web インターフェイスにログインします。
ステップ 2 [Users and Identity Stores] > [Internal Identity Stores] > [Users] を選択します。
ステップ 3 [File Operations] をクリックします。
File Operations wizard が表示されます。
• Add:既存のリストにユーザを追加します。このオプションでは、既存のリストは修正されません。代わりに、追加操作を実行します。
• Delete:内部 ID ストアから、インポート ファイル内のユーザのリストを削除します。
ステップ 6 [Download Add Template] をクリックします。
ステップ 7 [Save] をクリックして、テンプレートをローカル ディスクに保存します。
次のリストに、各オブジェクトに適したテンプレートを取得できる場所を示します。
• ユーザ:[Users and Identity Stores] > [Internal Identity Stores] > [Users]
• ホスト:[Users and Identity Stores] > [Internal Identity Stores] > [Hosts]
• ネットワーク デバイス:[Network Resources] > [Network Devices and AAA Clients]
• ID グループ:[Users and Identity Stores] > [Identity Groups]
– 場所:[Network Resources] > [Network Device Groups] > [Location]
– デバイス タイプ:[Network Resources] > [Network Device Groups] > [Device Type]
• ダウンロード可能 ACL:[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs]
• コマンド セット:[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Command Sets]
Microsoft Excel またはその他のスプレッドシート アプリケーションで CSV テンプレートを開き、テンプレートをローカル ディスクに .csv ファイルとして保存できます。 .csv テンプレートには、対応する ACS オブジェクトのプロパティをリストするヘッダー行があります。
たとえば、internal user Add テンプレートには、 表 5-2 で説明するフィールドがあります。
|
|
---|---|
.csv ファイルの各行は、1 つの内部ユーザ レコードに対応します。ユーザを ACS にインポートする前に、値を .csv ファイルに入力し、保存する必要があります。インポート ファイルの作成方法の詳細については、「インポート ファイルの作成」を参照してください。
この例は、internal user Add テンプレートに基づいています。その他の ACS オブジェクト テンプレートは、ヘッダー行に、そのオブジェクトについて 表 5-1 で説明されているプロパティが含まれています。
ローカル ディスクにインポート ファイル テンプレートをダウンロードしたあとで、ACS にインポートするレコードを、テンプレートで指定されている形式で入力します。すべてのレコードを .csv ファイルに入力したあとで、インポート機能に進むことができます。インポート プロセスには次の処理が関係します。
ACS 内部ストアにレコードを追加する場合は、レコードを既存のリストに追加します。これは追加操作であり、 .csv ファイル内のレコードは、ACS に存在するリストに追加されます。
内部ユーザ レコードを追加テンプレートに追加するには、次の手順を実行します。
ステップ 1 internal user Add テンプレートをダウンロードします。詳細については、「Web インターフェイスからのテンプレートのダウンロード」を参照してください。
ステップ 2 internal user Add テンプレートを、Microsoft Excel またはその他のスプレッドシート アプリケーションで開きます。テンプレートのヘッダー行のフィールドの説明については、 表 5-1 を参照してください。
ステップ 3 内部ユーザ情報を入力します。.csv テンプレートの各行は、1 つのユーザ レコードに対応します。
図 5-1 に、サンプルの Add Users インポート ファイルを示します。
ステップ 4 add users インポート ファイルをローカル ディスクに保存します。
ACS ストア内のレコードを更新すると、インポート プロセスによって、内部ストアの既存のレコードが .csv ファイルのレコードで上書きされます。この操作では、ACS に存在するレコードが .csv ファイルのレコードで置換されます。
更新操作は、更新テンプレートに追加できる 1 つの追加カラムを除き、追加操作と同様です。
更新テンプレートには、内部ユーザおよびその他の ACS オブジェクトの [Updated name] カラムと、内部ホストの [Updated MAC address] カラムが含まれる場合があります。ACS の ID ストアの名前が、[Updated Name] カラムに表示される名前で置換されます。
各 ACS オブジェクトの更新テンプレートをダウンロードする代わりに、そのオブジェクトのエクスポート ファイルを使用して、ヘッダー行を保持し、データを更新して更新された .csv ファイルを作成できます。
更新された名前または MAC アドレスを ACS オブジェクトに追加するには、特定の更新テンプレートをダウンロードして使用してください。また、NDG の場合、エクスポート テンプレートには NDG 名だけが含まれているため、他のプロパティを更新するには、NDG 更新テンプレートをダウンロードして使用してください。
図 5-2 に、既存のユーザ レコードを更新するサンプル インポート ファイルを示します。
(注) 2 番めのカラムの [Updated name] は、更新テンプレートに追加できる追加のカラムです。また、ユーザ オブジェクトに対する更新操作の場合は、パスワード値およびイネーブルになっているパスワード値が必須ではありません。
このオプションを使用して、ACS 内部ストアからレコードのサブセットを削除できます。インポートする .csv ファイルに存在するレコードは、ACS 内部ストアから削除されます。削除テンプレートには、削除する必要のあるレコードを識別するキー カラムだけが含まれます。
たとえば、内部ユーザのセットを ACS 内部 ID ストアから削除するには、内部ユーザの削除テンプレートをダウンロードし、削除するユーザのリストをこのインポート ファイルに追加します。図 5-3 に、内部ユーザ レコードを削除するサンプル インポート ファイルを示します。
ワンポイント アドバイス すべてのユーザを削除するには、すべてのユーザをエクスポートし、エクスポート ファイルを、ユーザを削除するためのインポート ファイルとして使用できます。
インポートおよびエクスポート CLI コマンドを使用して一括操作を実行する、カスタム シェル スクリプトを作成できます。ACS Web インターフェイスにはサンプル Python スクリプトがあります。このサンプル スクリプトをダウンロードするには、次の手順を実行します。
ステップ 1 ACS Web インターフェイスにログインします。
ステップ 2 [System Administration] > [Downloads] > [Scripts] を選択します。
(注) このスクリプトを実行するには、Python ソフトウェアが必要です。