この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、Cisco Secure ACS から Cisco ISE へのデータ移行に使用される Cisco Secure ACS to Cisco ISE Migration Tool について説明します。
この移行ツールは、設定データを次の Cisco Secure ACS バージョンから Cisco ISE 2.3 に移行します。
Cisco Secure ACS 5.5 以降:すべてのデータ オブジェクトを移行するには、移行ツールで [ACS 5.x サポート対象オブジェクト(ACS 5.x Supported Objects)] オプションを選択します。
Cisco Secure ACS 5.5 以降からデータ オブジェクトを移行する場合、移行ツールは最初にデータ オブジェクトを Cisco ISE に移行し、その後、対応するポリシー設定に移行します。
Cisco Secure ACS 4.2:Cisco Secure ACS 4.2 からデータ オブジェクトを移行するには、移行ツールで [ACS 4.x サポート対象オブジェクト(ACS 4.x Supported Objects)] オプションを選択します。
移行ツールは、Cisco Secure ACS 4.2 からのデータ オブジェクトの移行を限定的にサポートしています。移行ツールは、Cisco Secure ACS 4.2 から Cisco ISE 2.3 への、ユーザやデバイスなどのデータ オブジェクトのサブセットの移行をサポートしています。移行プロセスが完了したら、必要な設定オブジェクトと関連するポリシー設定を手動で作成する必要があります。
Cisco Secure ACS 5.x と Cisco ISE プラットフォーム、オペレーティング システム、データベース、および情報モデル間の相違によって、Cisco Secure ACS からデータを読み取り、対応するデータを Cisco ISE に作成する移行アプリケーションが要求されます。移行アプリケーションは、Cisco Secure ACS から設定を抽出して Cisco ISE にインポートするためにシスコが提供するユーティリティです。移行管理者は、トラブルシューティングのために移行プロセス全体で ACS 設定に関連する詳細ログだけでなく、現在の進行状況も表示できます。エラー メッセージは、移行されないオブジェクト、属性、およびポリシーに対して表示されます。移行後、移行された構成の正確性を確認することを強くお勧めします。Cisco ISE のポリシー セットのセマンティクスと構造を理解し、Cisco Secure ACS のアクセス ポリシーと照合してください。
(注) | Cisco ISE をインストールする前でも、移行アプリケーションを活用して Cisco Secure ACS からデータを抽出することは可能です。このようにして、移行アプリケーションを活用して、Cisco Secure ACS から Cisco ISE への移行の準備ができているかどうかを判断できます。 |
ACS から ISE への移行(ビデオへのリンクは以下のページから入手できます)
|
既存の Cisco Secure ACS リリース 4.2 および 5.5 または 以降のデータを Cisco ISE リリース 2.3、VM またはアプライアンスに移行する前に、すべてのセットアップ、バックアップ、およびインストールの手順を読み、理解する必要があります。
既存の Cisco Secure ACS リリース 4.2 および 5.5 または 以降のデータを移行する前に、Cisco Secure ACS リリース 4.2 および 5.5 または 以降のシステムと Cisco ISE リリース 2.3 システムとの間の関連するデータ構造とスキーマの違いを十分に理解することを推奨します。
(注) | 命名規則、ポリシー階層、あらかじめ定義されたオブジェクトなどに関する Cisco ISE および Cisco Secure ACS データの相違により、移行ツールがすべてのオブジェクトをサポートしていない可能性があります。ただし、修正措置を促進するために、移行されていないオブジェクトには警告とエラーが表示されます。 |
移行ツールを使用すると、Cisco Secure ACS リリース 4.2 および 5.5 または 以降のデータを Cisco ISE リリース 2.3 システムに簡単に移行できます。このツールの設計では、ベースとなるハードウェア プラットフォームとシステム、データベース、およびデータ スキーマにおける違いによって生じる、特有の移行問題について対処しています。
移行ツールは、Linux と Windows ベースのシステムで実行されます。移行ツールは、Cisco Secure ACS データ ファイルをエクスポートし、データを分析し、Cisco ISE リリース 2.3 システムで使用可能な形式にデータをインポートするために必要なデータ変更を行うことによって機能します。
Cisco Secure ACS リリース 4.2 および 5.5 または 以降、および Cisco ISE リリース 2.3 アプリケーションは、同じタイプの物理ハードウェアで動作する場合と動作しない場合があります。移行ツールは Cisco Secure ACS Programmatic Interface(PI)および Cisco ISE Representational State Transfer(REST)アプリケーション プログラミング インターフェイス(API)を使用します。Cisco Secure ACS PI および Cisco ISE REST API により、Cisco Secure ACS および Cisco ISE アプリケーションは、サポートされているハードウェア プラットフォームまたは VMware サーバ上で稼働することが可能です。Cisco Secure ACS アプライアンスで直接移行ツールを実行することはできません。Cisco Secure ACS PI は設定データを読み込み、正規化された形式で返します。Cisco ISE REST API は検証を実行し、エクスポートされた Cisco Secure ACS データを正規化して、Cisco ISE ソフトウェアで使用できる形式で保持します。
(注) | Cisco Secure ACS の以前のリリースから Cisco ISE 2.3 への移行プロセスについては、Cisco Secure ACS の以前のリリースから Cisco ISE への移行 を参照してください。 |
移行ツールは、Windows および Linux マシン上で動作します。マシンには、Java バージョン 1.8 以降がインストールされている必要があります。 |
|
約 300,000 人のユーザ、50,000 個のホスト、50,000 個のネットワーク デバイスを備えている場合、最小 RAM として 2 GB を推奨しています。 |
プラットフォーム |
要件 |
---|---|
Cisco Secure ACS リリース 4.2 |
Cisco Secure ACS のソース マシンにシングル IP アドレスが設定されていることを確認します。 |
Cisco Secure ACS リリース 5.5 以降 |
Cisco Secure ACS のソース マシンにシングル IP アドレスが設定されていることを確認します。 |
Cisco ISE リリース 2.3 |
Cisco ISE ターゲット マシンに少なくとも 2 GB の RAM があることを確認します。 |
移行マシン:移行マシンには少なくとも 2 GB の RAM が搭載されていることを確認してください。 |
|
64 ビットの Windows および Linux |
Java JRE バージョン 1.8 以降の 64 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合、移行ツールは機能しません。 |
32 ビットの Windows および Linux |
Java JRE バージョン 1.8 以降の 32 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合、移行ツールは機能しません。 |
移行ツールには、ACS 4.x および ACS 5.x でサポートされているオブジェクトを移行するためのオプションが用意されています。移行ツールには、選択したバージョンに基づいてデータ オブジェクトが一覧表示されます。移行ツールは、ユーザ、ID グループ、ネットワーク デバイス、ネットワーク デバイス グループ、ACS 4.2 から Cisco ISE へのユーザ定義属性の移行をサポートしています。
(注) | ACS 4.x でサポートされているオブジェクトの移行を選択する場合は、次の点を考慮してください。
|
移行ツールは以下をサポートしています。
RADIUS または TACACS ベースの設定の移行:移行ツールを使用すると、RADIUS または TACACS に固有のオブジェクトの移行を選択できます。Cisco Secure ACS の展開に TACACS または RADIUS の設定のみが含まれている場合は、次のオプションを選択できます。
[RADIUS 設定(RADIUS Configuration)]:TACACS 固有の設定(シェル プロファイル、コマンド セット、アクセス サービス(デバイス管理)など)を除くすべての設定を移行します。
[TACACS 設定(TACACS Configuration)]:RADIUS 固有の設定(許可プロファイルやアクセス サービス(ネットワーク アクセス)など)を除くすべての設定を移行します。
(注) | 選択された TACACS または RADIUS の移行オプションに関係なく、移行ツールは一部の TACACS および RADIUS オブジェクトを Cisco ISE に移行します。 |
既存の Cisco ISE インストールで、または同じ Cisco ISE サーバへの Cisco Secure ACS の異なる展開から移行を実行する場合は、次のようになります。
選択的オブジェクトの移行:移行ツールを使用すると、事前定義された参照データ、グローバル操作、ディクショナリ、外部サーバ、ユーザと ID ストア、デバイス、ポリシー要素、アクセス ポリシーなどの高レベルの設定コンポーネントを Cisco Secure ACS から Cisco ISE に移行するように選択できます。選択的オブジェクトの移行を実行する前に、オブジェクト レベルの依存関係リストを参照することをお勧めします。要件に基づいて、サポートされているすべての構成コンポーネントを移行するか、または構成コンポーネントのリストから高レベルの設定コンポーネントの一部を選択できます。この選択的オブジェクトの移行は、エクスポートおよびポリシー ギャップ分析レポートに基づいて実行できます。
(注) | アクセス ポリシーの移行が正常に行われるようにするには、移行されたオブジェクト リストからすべてのオブジェクトを選択する必要があります。TACACS の移行されたポリシー セットは、Cisco ISE GUI で [ワークセンター(Workcenters)] > [デバイス管理(Device Administration)] > [デバイス管理ポリシー セット(Device Admin Policy Sets)] に移動すると表示できます。RADIUS の移行されたポリシー セットは、Cisco ISE GUI で [ポリシー(Policy)] > [ポリシー セット(Policy Sets)] に移動すると表示できます。 |
オブジェクト名の特殊文字:Cisco Secure ACS のデータ オブジェクトの名前に Cisco ISE でサポートされていない特殊文字が含まれている場合、移行ツールはサポートされていない特殊文字をアンダースコア(_)に変換し、データ オブジェクトを Cisco ISE に移行します。自動変換されたデータ オブジェクトは、エクスポート レポートに警告として表示されます。ただし、LDAP および AD 属性、RSA、RSA レルム プロンプト、内部ユーザ、およびすべての事前定義された参照データに Cisco ISE でサポートされていない特殊文字が含まれている場合、エクスポート プロセスは失敗します。
すべてのオクテットの IP アドレス範囲を持つネットワーク デバイスの移行:移行ツールを使用すると、すべてのオクテットの IP アドレス範囲で設定されたネットワーク デバイスを移行できます。移行では、すべてのオクテットの IP アドレス範囲の重複を報告します。
複合条件付きポリシー ルールの移行:移行ツールを使用すると、AND 演算子および OR 演算子を持つ複合条件付きの認証および許可(標準および例外)ルールを移行できます。
日時条件の移行:移行ツールは、ACS の曜日と時間グリッドが異なる曜日と時間で設定されている場合、データ オブジェクトを複数のデータ オブジェクトに分割することで、日時条件の移行を実行します。[ポリシー(Policy)] > [ポリシーの要素(Policy Elements)] > [条件(Conditions)] > [時刻と日付(Time and Date)] に移動して、移行した日時ポリシー条件を表示できます。
拡張ヘルプ:移行ツールの UI で、[ヘルプ(Help)] > [移行ツールの使用法(Migration Tool Usage)] に移動して、移行ツールで使用可能なオプションの詳細を表示できます。