この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この章では、移行計画に必要な情報を提供します。移行を注意深く計画することで、移行がスムーズに行われ、移行が失敗するリスクが軽減されます。
ここでは、移行プロセスを実行するための前提条件について説明します。
移行プロセスを開始する前に、Cisco Secure ACS および Cisco ISE サーバでデータ移行に使用するインターフェイスを有効にする必要があります。移行プロセスが完了した後、両方のサーバの移行インターフェイスを無効にすることをお勧めします。
(注) | 移行プロセスが完了した後で、コマンド acs config-web-interface migration disable を使用して、Cisco Secure ACS マシン上の移行インターフェイスを無効にします。 |
(注) | 移行プロセスが完了したら、Cisco ISE サーバ上の移行インターフェイスを無効にします。 |
Cisco Secure ACS サーバから移行ツールにデータをエクスポートできるようにするために、Cisco Secure ACS CA 証明書または Cisco Secure ACS 管理証明書を信頼することができます。
(注) | ACS 4.x でサポートされているオブジェクトの移行を選択した場合は、ACS からデータ オブジェクトをエクスポートするために Cisco Secure ACS CA 証明書または Cisco Secure ACS 管理証明書を追加する必要はありません。 |
移行ツールから Cisco ISE サーバへのデータのインポートを有効にするために、Cisco ISE CA 証明書または Cisco ISE 管理証明書を信頼することができます。
Cisco Secure ACS で、サーバ証明書が
ページにあることを確認します。証明書内の共通名([サブジェクト(Subject)] フィールドの CN 属性)または DNS 名([サブジェクト代替名(Subject Alternative Name)] フィールド内)は、接続の確立と Cisco Secure ACS からのデータのエクスポートのために [ACS5 クレデンシャル(ACS5 Credentials)] ダイアログボックスで使用されます。Cisco ISE で、サーバ証明書が
ページにあることを確認します。共通名([サブジェクト(Subject)] フィールドの CN 属性)または DNS 名([サブジェクト代替名(Subject Alternative Name)] フィールド内)は、接続の確立と移行ツールから Cisco ISE へのデータのインポートのために [ISE クレデンシャル(ISE Credentials)] ダイアログボックスで使用されます。
(注) | Cisco Secure ACS および Cisco ISE のホスト名が IP アドレスに解決可能であることを確認します。 |
移行ツールは、次の構成を移行するのに約 5 時間稼働する可能性があります。
Cisco Secure ACS から正常に移行した後に簡易モードに変更しないことを推奨します。Cisco ISE に移行されたすべてのポリシーが失われる可能性があるからです。それらの移行されたポリシーを取得することはできませんが、簡易モードからポリシー セット モードに切替えることができます。
Cisco Secure ACS データを Cisco ISE に移行し始める前に、次のことを考慮してください。
Cisco Secure ACS リリース 5.5 または 以降のデータは、Cisco ISE リリース 2.3 のポリシー セット モードでのみ移行します。
サービス選択ポリシー(SSP)の有効なルールごとに 1 つのポリシー セットを生成し、SSP ルールの順序に従って順序付けします。
(注) | SSP のデフォルト ルールの結果であるサービスは、Cisco ISE リリース 2.3 のデフォルト ポリシー セットになります。移行プロセスで作成されたすべてのポリシー セットで、最初の一致ポリシー セットが一致タイプになります。 |
Cisco Secure ACS から Cisco ISE へのポリシー サービスの移行を確実にするには、次を確認する必要があります。
サービス選択ポリシー(SSP)に、Cisco Secure ACS リリース 5.5 または 以降で無効になっているか、またはモニタされている SSP ルールが含まれている場合、それらは Cisco ISE に移行されません。
サービス選択ポリシー(SSP)に、Cisco Secure ACS リリース 5.5 または 以降で有効な SSP ルールが含まれている場合は、次のようになります。
サービスを要求しており、そこにグループ マッピング ポリシーが含まれている場合、Cisco ISE に移行されません。(Cisco ISE はグループ マッピング ポリシーをサポートしていません)。
特定のアクセス サービスにグループ マッピングが含まれている場合、移行ツールはそれをポリシー ギャップ分析レポートに警告として表示し、そのアクセス サービスに関連する許可ルールを移行します。
サービスを要求し、その ID ポリシーにルールが含まれ、それが RADIUS ID サーバになる場合、Cisco ISE に移行されません。(Cisco ISE はこれとは異なり、認証に RADIUS ID サーバを使用します)。
サービスを要求し、そこに Cisco ISE でサポートされていない属性またはポリシー要素を使用するポリシーが含まれている場合、Cisco ISE に移行されません。
ルールを移行できない場合、データ整合性だけでなくセキュリティ面からも、ポリシー モデル全体を移行できません。ポリシーのギャップ分析レポートで問題のあるルールの詳細情報を表示できます。サポート対象外のルールを修正または削除しなかった場合、ポリシーは Cisco ISE へ移行されません。
一般に、Cisco Secure ACS リリース 5.5 または 以降から Cisco ISE リリース 2.3 にデータを移行する際は、次のルールを考慮する必要があります。