データ構造マッピング
Cisco Secure ACS リリース 5.5 以降から Cisco ISE リリース 2.4への データ構造マッピングは、エクスポート フェーズの実行時に移行ツールでデータ オブジェクトを分析および検証するプロセスです。
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
この付録では、Cisco Secure ACS リリース 5.5 または 5.6 から Cisco ISE リリース 2.4 に移行されるデータ オブジェクト、一部が移行されるデータ オブジェクト、および移行されないデータ オブジェクトについて説明します。
Cisco Secure ACS リリース 5.5 以降から Cisco ISE リリース 2.4への データ構造マッピングは、エクスポート フェーズの実行時に移行ツールでデータ オブジェクトを分析および検証するプロセスです。
以下のデータ オブジェクトは、Cisco Secure ACSから Cisco ISE 、リリース 2.4 に移行されます。
ネットワーク デバイス グループ(NDG)タイプと階層
ネットワーク デバイス
デフォルト ネットワーク デバイス
外部 RADIUS サーバ
ID グループ
内部ユーザ
内部エンドポイント(ホスト)
Lightweight Directory Access Protocol(LDAP)
Microsoft Active Directory(AD)
RSA(部分的にサポート。表 A-19 を参照)
RADIUS トークン(表 A-18 を参照)
証明書認証プロファイル
日時条件(部分的にサポート。「サポートされていないルール要素」を参照)
RADIUS 属性およびベンダー固有属性(VSA)の値(表 A-5 および A-6 を参照)
RADIUS ベンダー ディクショナリ(表 A-5 および A-6 の注記を参照)
内部ユーザ属性(表 A-1 および A-2 を参照)
内部エンドポイント属性
許可プロファイル
ダウンロード可能アクセス コントロール リスト(DACL)
ID(認証)ポリシー
ネットワーク アクセスの許可ポリシー
TACACS+ の認証、認可、承認の例外ポリシー(ポリシー オブジェクトの場合)
ネットワーク アクセスの許可例外ポリシー
ネットワーク アクセスのサービス選択ポリシー
RADIUS プロキシ サービス
ユーザ パスワードの複雑度
ID 順序および RSA プロンプト
UTF-8 データ(「UTF-8 のサポート」ページを参照)
EAP 認証プロトコル:PEAP-TLS
ユーザ チェック属性
ID 順序の高度なオプション
ポリシー条件で使用可能な追加属性:AuthenticationIdentityStore
追加の文字列演算子:Start with、Ends with、Contains、Not contains
RADIUS ID サーバ属性
日付型の ID およびホスト属性は移行されない。
RSA sdopts.rec ファイルおよびセカンダリ情報は移行されない。
マルチ Active Directory ドメイン(プライマリに結合された Active Directory ドメインのみ)は移行される。
プライマリ ACS インスタンスに定義された LDAP 設定は移行される。
以下のデータ オブジェクトは、Cisco Secure ACSから Cisco ISE に移行されません。
モニタリング レポート
スケジュール バックアップ
リポジトリ
管理者、ロール、および管理者の設定
カスタマー/デバッグ ログ設定
展開情報(セカンダリ ノード)
証明書(認証局およびローカル証明書)
証明書は移行されないため、手動でインポートする必要があります。証明書を使用する ID ストアの場合、インポートした証明書を ID ストアにマッピングする必要があります。ID ソース シーケンスを使用している場合は、証明書が重複している新しいシーケンスを作成する必要があります。
セキュリティ グループ アクセス コントロール リスト(SGACL)
セキュリティ グループ(SG)
サポートされているセキュリティ グループ アクセス(SGA)デバイスの AAA サーバ
セキュリティ グループ マッピング
ネットワーク デバイス アドミッション コントロール(NDAC)ポリシー
SGA 出力マトリクス
ネットワーク デバイス内の SGA データ
SGA 許可ポリシー結果のセキュリティ グループ タグ(SGT)
ネットワーク条件(エンド ステーション フィルタ、デバイス フィルタ、デバイス ポート フィルタ)
デバイスの AAA ポリシー
Dial-In 属性のサポート
TACACS+ プロキシ
TACACS+ CHAP と MSCHAP 認証
TACACS+ シェル プロファイルの属性置換
RSA ノード欠落の秘密の表示
最大ユーザ セッション数
アカウントの無効化
ユーザ パスワード タイプ
パスワード タイプが外部 ID ストアとして設定された内部ユーザ
ポリシー条件で使用可能な追加属性:NumberOfHoursSinceUserCreation
ホストのワイルドカード
ネットワーク デバイスの範囲
OCSP サービス
SSL/TCP 経由の syslog メッセージ
設定可能な著作権バナー
内部ユーザの有効期限日
IP アドレスの除外
Cisco Secure ACS と Cisco ISE は異なるポリシー モデルに基づいているため、Cisco ISE に移行した場合に、Cisco Secure ACS のデータ間でギャップが発生します。Cisco Secure ACS と Cisco ISE のリリース バージョンが変わった場合、次の理由のためにすべての Cisco Secure ACS ポリシーおよびルールを移行できるわけではありません。
ポリシーで使用されている属性がサポートされていない
AND/OR 条件構造がサポートされていない(大半は、以前に複雑な条件が設定されている)
演算子がサポートされていない
ルール要素 |
サポート状況 |
説明 |
---|---|---|
日付および時刻(Date and Time) |
未サポート |
反復的な週次設定を持つ許可ポリシー内の日時条件は、Cisco ISE へ移行されません。結果として、ルールも移行されません。 |
日付および時刻(Date and Time) |
未サポート |
認証ポリシー内の日時条件は Cisco ISE へ移行されません。結果として、ルールも移行されません。 |
In |
一部サポートあり |
「In」演算子は階層に使用され、「Is」は文字列タイプのみに使用されます。これは「STARTS_WITH」を使用して変換することができます。 |
Not In |
一部サポートあり |
「Not in」演算子は階層に使用され、「Is」は文字列タイプのみに使用されます。これは「Matches」を使用して変換することができます。 |
Contains Any |
未サポート |
「Contains Any」演算子は、Active Directory および Lightweight Directory Access Protocol などの外部グループにのみ使用されます。 |
Contains All |
未サポート |
「Contains All」演算子は、Active Directory および Lightweight Directory Access Protocol などの外部グループにのみ使用されます。 |
論理式の組み合わせ |
未サポート |
条件内でこれらの演算子を使用しているルールは移行されません。
|
ネットワーク条件 |
未サポート |
ネットワーク条件のみが含まれているルールは移行されません。条件にネットワーク条件、およびサポート対象の他の条件が含まれている場合、ネットワーク条件は無視され、ルール条件の一部として移行されません。 |
ユーザ属性 |
一部サポートあり |
「文字列」のデータ タイプ以外のデータ タイプによるユーザ属性を含む条件によるルールは移行されません。 |
ホスト属性 |
未サポート |
条件でホスト属性を参照している場合、認証は失敗します。 ホスト(エンドポイント)属性を持つ条件が含まれている許可ポリシーは、Cisco ISE 許可ポリシーへ移行されません。 |
TACACS 属性 |
未サポート |
Cisco ISE は、Terminal Access Controller Access-Control System(TACACS)をサポートしません。TACACS 属性を使用する Cisco Secure ACS サービス セレクション ポリシー ルールは移行されません。 |
サポート対象属性およびデータ型
Cisco Secure ACS Release 5.5 以降でサポートされるユーザ属性 |
Cisco ISE リリース 2.4 のターゲット データ タイプ |
---|---|
文字列 |
文字列 |
UI32 |
未サポート |
IPv4 |
未サポート |
ブール値 |
未サポート |
日付 |
未サポート |
列挙体 |
未サポート |
Cisco Secure ACS Release 5.5 以降のユーザに関連付けられている属性 |
Cisco ISE リリース 2.4 |
---|---|
文字列 |
サポート対象 |
UI32 |
未サポート |
IPv4 |
未サポート |
ブール値 |
未サポート |
日付 |
未サポート |
Cisco Secure ACS リリース 5.5 または 5.6 でサポートされるホスト属性 |
Cisco ISE リリース 2.4 のターゲット データ タイプ |
---|---|
文字列 |
文字列 |
UI32 |
UI32 |
IPv4 |
IPv4 |
ブール値 |
ブール値 |
日付 |
サポート対象外 |
列挙体 |
使用可能な値の整数 |
Cisco Secure ACS Release 5.5 以降のホストに関連付けられている属性 |
Cisco ISE リリース 2.4 |
---|---|
文字列 |
サポート対象 |
UI32 |
サポート(値は String に変換される) |
IPv4 |
サポート(値は String に変換される) |
ブール値 |
サポート(値は String に変換される) |
日付 |
サポート(値は String に変換される) |
列挙体 |
サポート(値は String に変換される) |
Cisco Secure ACS Release 5.5 以降でサポートされる RADIUS 属性 |
Cisco ISE リリース 2.4 のターゲット データ タイプ |
---|---|
UI32 |
UI32 |
UI64 |
UI64 |
IPv4 |
IPv4 |
Hex String |
Octect String |
文字列 |
文字列 |
列挙体 |
使用可能な値の整数 |
Cisco Secure ACS リリース 5.5 以降の RADIUS に関連付けられている属性 |
Cisco ISE リリース 2.4 |
---|---|
UI32 |
サポート対象 |
UI64 |
サポート対象 |
IPv4 |
サポート対象 |
Hex String |
サポート(Hex String は Octet String に変換される) |
文字列 |
サポート対象 |
列挙体 |
サポート(Enum は使用可能な値の整数) |
この項には、エクスポート プロセス中にマッピングされるデータが一覧表示されています。これらの表には、Cisco Secure ACS リリース 5.5 以降からのオブジェクト カテゴリと、Cisco ISE リリース 2.4 における対応カテゴリが含まれています。この項のデータマッピング表には、移行プロセスのエクスポート ステージのデータ移行時にマップされるデータ オブジェクトのステータス(有効または無効)が記載されています。
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
そのまま移行 |
Description |
そのまま移行 |
ネットワーク デバイス グループ |
そのまま移行 |
単一の IP アドレス |
そのまま移行 |
Single IP and subnet address |
そのまま移行 |
Collection of IP and subnet addresses |
未サポート |
Exclude IP address |
未サポート |
TACACS information |
TACACS は Cisco ISE リリース でサポート対象外のため移行されません。 |
RADIUS shared secret |
そのまま移行 |
CTS |
そのまま移行 |
SNMP |
SNMP データは Cisco ISE でのみ使用できるため、移行されたデバイス用の SNMP 情報はありません。 |
Model name |
このプロパティは Cisco ISE でのみ有効です(値はデフォルトで「unknown」)。 |
Software version |
このプロパティは Cisco ISE でのみ有効です(値はデフォルトで「unknown」)。 |
(注) |
TACACS としてのみ設定されているネットワーク デバイスは、移行に対してサポートされず、移行されないデバイスとして記載されています。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
名前 |
名前 |
説明 |
説明 |
(注) |
Cisco Secure ACS Release 5.5 以降は、同じ名前の複数のネットワーク デバイス グループ(NDG)をサポートできます。Cisco ISE リリース 2.4 は、この命名方式をサポートしていません。したがって、定義されている名前の最初の NDG タイプのみが移行されます。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Parent |
このプロパティには特別なプロパティは関連付けられません。この値は、NDG 階層名の一部としてのみ入力されるためですNDG タイプはこのオブジェクト名のプレフィックスです。 |
(注) |
コロン(:)を持つルート名が含まれている NDG は移行されません。これは、Cisco ISE リリース で、コロンを有効な文字として認識しないためです。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Default network device status |
Default network device status |
Network device group |
移行されない |
Authentication Options - TACACS+ |
移行されない |
RADIUS - shared secret |
Shared Secret |
RADIUS - CoA port |
移行されない |
RADIUS - Enable keywrap |
Enable keyWrap |
RADIUS - Key encryption key |
Key encryption key |
RADIUS - Message authenticator code key |
Message authenticator code key |
RADIUS - Key input format |
Key input format |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Parent |
このプロパティは、階層の詳細の一部として移行されます。 |
(注) |
Cisco ISE リリース 2.4 には、ユーザ ID グループとエンドポイント ID グループが含まれています。Cisco Secure ACS リリース 5.5 以降の ID グループは Cisco ISE リリース 2.4 へ、ユーザ ID グループおよびエンドポイント ID グループとして移行されます。これは、ユーザをユーザ ID グループに割り当て、エンドポイントをエンドポイント ID グループに割り当てる必要があるためです。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Status |
このプロパティは移行する必要ありません。このプロパティは Cisco ISE には存在しません。 |
Identity group |
Cisco ISE の ID グループへ移行します |
Password |
Password |
Enable password |
このプロパティは移行する必要ありません。(このプロパティは Cisco ISE には存在しません) |
Change password on next login |
このプロパティは移行する必要がありません |
User attributes list |
ユーザ属性は Cisco ISE からインポートされ、ユーザに関連付けられます |
Expiry days |
未サポート |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
MAC address |
そのまま移行 |
Status |
移行されない |
Description |
そのまま移行 |
Identity group |
エンドポイント グループとの関連を移行します。 |
Attribute |
エンドポイント属性が移行されます。 |
Authentication state |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Authenticated」)。 |
Class name |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。 |
Endpoint policy |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Matched policy |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Matched value |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「0」)。 |
NAS IP address |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「0.0.0.0」)。 |
OUI |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。 |
Posture status |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Static assignment |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「False」)。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Server connection information |
そのまま移行([サーバ接続(Server Connection)] タブ。A-10 ページの図 A-1 を参照)。 |
Directory organization information |
そのまま移行([ディレクトリ構成(Directory Organization)] タブ。A-10 ページの図 A-2 を参照)。 |
Directory groups |
そのまま移行 |
Directory attributes |
移行は(Cisco Secure ACS to Cisco ISE Migration Tool を使用して)手動で行われます。 |
(注) |
プライマリ ACS インスタンスに定義された LDAP 設定のみ移行されます。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Domain Name |
そのまま移行 |
User name |
そのまま移行 |
Password |
そのまま移行 |
Allow password change |
そのまま移行 |
Allow machine access restrictions |
そのまま移行 |
Aging time |
そのまま移行 |
User attributes |
そのまま移行 |
Groups |
そのまま移行 |
Multiple domain support |
プライマリ ACS インスタンスに結合されているドメインのみ移行 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Principle user name(X.509 属性) |
Principle user name(X.509 属性) |
Binary certificate comparison with certificate from LDAP or AD |
Binary certificate comparison with certificate from LDAP or AD |
AD or LDAP name for certificate fetching |
AD or LDAP name for certificate fetching。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Certificate based, certificate authentication profile |
Certificate based, certificate authentication profile |
Password based |
Authentication search list |
Advanced options > if access on current IDStore fails than break sequence |
Do not access other stores in the sequence and set the “AuthenticationStatus” attribute to “ProcessError.” |
Advanced options > if access on current IDStore fails then continue to next |
Treated as “User Not Found” and proceed to the next store in the sequence. |
Attribute retrieval only > exit sequence and treat as “User Not Found” |
未サポート(無視される) |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
DACLID(ダウンロード可能 ACL ID) |
そのまま移行 |
Attribute type(静的および動的) |
|
Attributes(静的タイプに対してのみフィルタされる) |
RADIUS 属性 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
DACL content |
DACL content |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Vendor ID |
Vendor ID |
Attribute prefix |
このプロパティは移行する必要ありません。 |
Vendor length field size |
Vendor attribute type field length. |
Vendor type field size |
Vendor attribute size field length. |
(注) |
Cisco Secure ACS リリース 5.5 以降のインストールの一部ではない、RADIUS ベンダーのみ移行する必要があります。これはユーザ定義ベンダーにのみ影響します。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Attribute ID |
この値は NDG 階層名の一部としてのみ入力されるため(NDG タイプはこのオブジェクト名のプレフィックスです)、これに関連する特定のプロパティはありません。 |
Direction |
Cisco ISE ではサポート対象外 |
Multiple allowed |
Cisco ISE ではサポート対象外 |
Attribute type |
そのまま移行 |
Add policy condition |
Cisco ISE ではサポート対象外 |
Policy condition display name |
Cisco ISE ではサポート対象外 |
(注) |
Cisco Secure ACS リリース 5.5 以降のインストールの一部ではない、ユーザ定義の RADIUS 属性のみ移行する必要があります(ユーザ定義属性のみ移行する必要があります)。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Attribute |
Attribute name |
Description |
Description |
Internal name |
Internal name |
Attribute type |
データ型 |
Maximum length |
移行されない |
Default value |
移行されない |
Mandatory fields |
移行されない |
User |
ディクショナリ プロパティはこの値(「user」)を承認します。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Attribute |
Attribute name |
Description |
Internal name |
Name |
そのまま移行 |
Attribute type |
データ型 |
該当プロパティなし |
Dictionary(ユーザ ID 属性の場合は値「InternalUser」で設定し、ホスト ID 属性の場合は「InternalEndpoint」で設定します)。 |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値 = display name |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値 = internal name |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値はデフォルトです。 |
Maximum length |
なし |
Default value |
なし |
Mandatory field |
なし |
Add policy condition |
なし |
Policy condition display name |
なし |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Server IP address |
ホストネーム |
Shared secret |
Shared secret |
Authentication port |
Authentication port |
Accounting port |
Accounting port |
Server timeout |
Server timeout |
Connection attempts |
Connection attempts |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name |
Description |
Description |
Safeword server |
Safeword server |
Enable secondary appliance |
Enable secondary appliance |
Always access primary appliance first |
Always access primary appliance first |
Fallback to primary appliance in minutes |
Fallback to primary appliance in minutes |
Primary appliance IP address |
Primary appliance IP address |
Primary shared secret |
Primary shared secret |
Primary authentication port |
Primary authentication port |
Primary appliance TO (timeout) |
Primary appliance TO |
Primary connection attempts |
Primary connection attempts |
Secondary appliance IP address |
Secondary appliance IP address |
Secondary shared secret |
Secondary shared secret |
Secondary authentication port |
Secondary authentication port |
Secondary appliance TO |
Secondary appliance TO |
Secondary connection attempts |
Secondary connection attempts |
Advanced > treat reject as authentication flag fail |
Advanced > treat reject as authentication flag fail |
Advanced > treat rejects as user not found flag |
Advanced > treat rejects as user not found flag |
Advanced > enable identity caching and aging value |
Advanced > enable identity caching and aging value |
Shell > prompt |
Authentication > prompt |
Directory attributes |
Authorization > attribute name(Cisco Secure ACS のディクショナリ属性リストに属性「CiscoSecure-Group-Id」が含まれている場合は、この属性に移行されます。それ以外の場合はデフォルト値は「CiscoSecure-Group-Id」になります)。 |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Name |
Name は常に RSA |
Description |
移行されない |
Realm configuration file |
Realm configuration file |
Server TO |
Server TO |
Reauthenticate on change to PIN |
Reauthenticate on change to PIN |
RSA instance file |
移行されない |
Treat rejects as authentication fail |
Treat rejects as authentication fail |
Treat rejects as user not found |
Treat rejects as user not found |
Enable identity caching |
Enable identity caching |
Identity caching aging time |
Identity caching aging time |
Cisco Secure ACS のプロパティ |
Cisco ISE のプロパティ |
---|---|
Passcode prompt |
Passcode prompt |
Next Token prompt |
Next Token prompt |
PIN Type prompt |
PIN Type prompt |
Accept System PIN prompt |
Accept System PIN prompt |
Alphanumeric PIN prompt |
Alphanumeric PIN prompt |
Numeric PIN prompt |
Numeric PIN prompt |