使用する前に

この章では、Cisco Secure Access Control Server(ACS)からCisco Identity Services Engine(ISE) へのデータ移行に使用される Cisco Secure ACS to Cisco ISE Migration Tool について説明します。

この移行ツールは、設定データを次の Cisco Secure ACS バージョンから Cisco ISE 3.0 に移行します。

  • Cisco Secure ACS 5.5 以降:すべてのデータ オブジェクトを移行するには、移行ツールで [ACS 5.x サポート対象オブジェクト(ACS 5.x Supported Objects)] オプションを選択します。

    Cisco Secure ACS 5.5 以降からデータ オブジェクトを移行する場合、移行ツールは最初にデータ オブジェクトを Cisco ISE に移行し、その後、対応するポリシー設定に移行します。

移行の概要

Cisco Secure ACS 5.x と Cisco ISE プラットフォーム、オペレーティング システム、データベース、および情報モデル間の相違のため、Cisco Secure ACS からデータを読み取り、対応するデータを Cisco ISE に作成する移行アプリケーションが必須となります。移行アプリケーションは、Cisco Secure ACS から設定を抽出して Cisco ISE にインポートするためにシスコが提供するユーティリティです。移行管理者はトラブルシューティングのために、全移行プロセスの間、ACS 設定に関連する詳細ログだけでなく、現在の進行状況も表示できます。エラー メッセージは、移行されないオブジェクト、属性、およびポリシーに対して表示されます。移行後、移行された構成の正確性を確認することを強くお勧めします。Cisco ISE のポリシー セットのセマンティクスと構造を理解し、Cisco Secure ACS のアクセス ポリシーと照合してください。


(注)  

Cisco ISE をインストールする前でも、移行アプリケーションを活用して Cisco Secure ACS からデータを抽出することは可能です。このようにして、移行アプリケーションを活用して、Cisco Secure ACS から Cisco ISE への移行の準備ができているかどうかを判断できます。

ISE コミュニティ リソース

ACS 5.x から ISE 2.x への移行方法

ACS と ISE の比較

ACS から ISE への移行

(注)  

 

ISE コミュニティ リソースで提供される例やスクリーンショットは、以前のリリースの Cisco ISE のものである可能性があります。新しい機能、追加機能、更新については、GUI を確認してください。

Cisco Secure ACS から Cisco ISE へのデータ移行

データを Cisco ISE リリース 3.0 に移行するには、まず Cisco Secure ACS リリース 5.5、5.6、5.7、または 5.8 パッチ 3 から Cisco Secure ACS リリース 5.8 パッチ 4 にアップグレードする必要があります。Cisco Secure ACS リリース 5.8 パッチ 4 および TLS 1.2 の互換性の詳細については、『Release Notes for Cisco Secure Access Control System 5.8』の「TLS 1.2 Settings」を参照してください。

既存の Cisco Secure ACS リリース 5.5 以降のデータを Cisco ISE リリース 3.0、VM またはアプライアンスに移行する前に、すべてのセットアップ、バックアップ、およびインストールの手順を読み、理解する必要があります。

既存の Cisco Secure ACS リリース 5.5 以降のデータを移行する前に、Cisco Secure ACS リリース 5.5 以降のシステムと Cisco ISE リリース 3.0 との間の関連するデータ構造とスキーマの違いを十分に理解することを推奨します。


(注)  

命名規則、ポリシー階層、あらかじめ定義されたオブジェクトなどに関する Cisco ISE および Cisco Secure ACS データの相違により、移行ツールがすべてのオブジェクトをサポートしていない可能性があります。ただし、修正措置を促進するために、移行されていないオブジェクトには警告とエラーが表示されます。

Cisco Secure ACS to Cisco ISE Migration Tool の概要

移行ツールを使用すると、Cisco Secure ACS リリース 5.5 以降のデータを Cisco ISE リリース 3.0 に簡単に移行できます。このツールの設計では、ベースとなるハードウェア プラットフォームとシステム、データベース、およびデータ スキーマにおける違いによって生じる、特有の移行問題について対処しています。

移行ツールは、Linux と Windows ベースのシステムで実行されます。移行ツールは、Cisco Secure ACS データファイルをエクスポートし、データを分析し、Cisco ISE リリース 3.0 で使用可能な形式にデータをインポートするために必要なデータ変更を行うことによって機能します。

  • 移行ツールには、最小限のユーザー操作とフルセットの設定データが必要です。

  • 移行ツールにより、サポートされていないオブジェクトの完全なリストが提供されます。

Cisco Secure ACS リリース 5.5 以降、および Cisco ISE リリース 3.0 アプリケーションは、同じタイプの物理ハードウェアで動作する場合と動作しない場合があります。移行ツールは Cisco Secure ACS Programmatic Interface(PI)および Cisco ISE Representational State Transfer(REST)アプリケーション プログラミング インターフェイス(API)を使用します。Cisco Secure ACS PI および Cisco ISE REST API により、Cisco Secure ACS および Cisco ISE アプリケーションは、サポートされているハードウェア プラットフォームまたは VMware サーバー上で稼働することが可能です。Cisco Secure ACS アプライアンスで直接移行ツールを実行することはできません。Cisco Secure ACS PI は設定データを読み込み、正規化された形式で返します。Cisco ISE REST API は検証を実行し、エクスポートされた Cisco Secure ACS データを正規化して、Cisco ISE ソフトウェアで使用できる形式で保持します。


(注)  

Cisco Secure ACS の以前のリリースから Cisco ISE 3.0 への移行プロセスについては、Cisco Secure ACS の以前のリリースから Cisco ISE への移行を参照してください。

データを Cisco ISE リリース 3.0 に移行するには、まず Cisco Secure ACS リリース 5.5、5.6、5.7、または 5.8 パッチ 3 から Cisco Secure ACS リリース 5.8 パッチ 4 にアップグレードする必要があります。Cisco Secure ACS リリース 5.8 パッチ 4 および TLS 1.2 の互換性の詳細については、『Release Notes for Cisco Secure Access Control System 5.8』の「TLS 1.2 Settings」を参照してください。


(注)  

Cisco Secure ACS リリース 5.x から Cisco ISE リリース 2.0 以降、AD グループの SID 値は移行ツールプロセスの一部として移行されません。外部グループ名のみが移行されます。移行プロセスの完了後、Cisco ISE で AD に参加し、[ADグループ(AD Groups)] タブにある [SID値の更新(Update SID values)] ボタンをクリックして、グループ SID を更新する必要があります。ポリシー条件で AD 外部グループが作成された場合は、AD グループ SID が手動で更新されるまで、承認ルールは一致しません。

システム要件

表 1. 移行ツールのシステム要件

オペレーティング システム

移行ツールは、Windows および Linux マシン上で動作します。マシンには、Java バージョン 1.8 以降がインストールされている必要があります。

最小ディスク領域

必要な最小ディスク領域は 1 GB です。

この領域は、移行ツールのインストールだけでなく、移行されたデータの保存、レポートおよびログの生成にも使用されます。

最小構成の RAM

必要な最小 RAM は 2 GB です。

約 300,000 人のユーザー、50,000 個のホスト、50,000 個のネットワーク デバイスを備えている場合、最小 RAM として 2 GB を推奨しています。

表 2. ソースおよびターゲットの移行マシンのシステム要件

プラットフォーム

要件

Cisco Secure ACS リリース 5.5 以降

Cisco Secure ACS のソース マシンにシングル IP アドレスが設定されていることを確認します。

Cisco ISE リリース 3.0

Cisco ISE ターゲット マシンに少なくとも 2 GB の RAM があることを確認します。

移行マシン:移行マシンには少なくとも 2 GB の RAM が搭載されていることを確認してください。

64 ビットの Windows および Linux

Java JRE バージョン 1.8 以降の 64 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合、移行ツールは機能しません。

32 ビットの Windows および Linux

Java JRE バージョン 1.8 以降の 32 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合、移行ツールは機能しません。

移行ツールの向上

移行ツールには、ACS 5.x でサポートされているオブジェクトを移行するためのオプションが用意されています。移行ツールには、選択したバージョンに基づいてデータ オブジェクトが一覧表示されます。

移行ツールは以下をサポートしています。

  • RADIUS または TACACS ベースの設定の移行:移行ツールを使用すると、RADIUS または TACACS に固有のオブジェクトの移行を選択できます。Cisco Secure ACS の展開に TACACS または RADIUS の設定のみが含まれている場合は、次のオプションを選択できます。

    • [RADIUS 設定(RADIUS Configuration)]:TACACS 固有の設定(シェル プロファイル、コマンド セット、アクセス サービス(デバイス管理)など)を除くすべての設定を移行します。

    • [TACACS 設定(TACACS Configuration)]:RADIUS 固有の設定(許可プロファイルやアクセス サービス(ネットワーク アクセス)など)を除くすべての設定を移行します。


    (注)  
    選択された TACACS または RADIUS の移行オプションに関係なく、移行ツールは一部の TACACS および RADIUS オブジェクトを Cisco ISE に移行します。

    既存の Cisco ISE インストールで、または同じ Cisco ISE サーバーへの Cisco Secure ACS の異なる展開から移行を実行する場合は、次のようになります。

    • 同じ名前のオブジェクトが Cisco ISE に存在しない場合は、オブジェクトが作成されます。

    • 同じ名前のデータ オブジェクトが Cisco ISE に存在する場合、移行ツールはオブジェクト名の詳細を示す警告メッセージ「オブジェクトはすでに存在しています/リソースはすでに存在しています(object already exists/resource already exists)」を表示します。

    • TACACS または RADIUS ベースの移行の場合、Cisco ISE に同じ名前のネットワーク デバイスが存在する場合は、プロトコル設定が更新されます。

  • 選択的オブジェクトの移行:移行ツールを使用すると、事前定義された参照データ、グローバル操作、 ディクショナリ、外部サーバー、ユーザーと ID ストア、デバイス、ポリシー要素、アクセスポリシーなどの高レベルの設定コンポーネントを Cisco Secure ACS 5.5 以降から Cisco ISE 3.0 に移行するように選択できます。選択的オブジェクトの移行を実行する前に、オブジェクト レベルの依存関係リストを参照することをお勧めします。要件に基づいて、サポートされているすべての構成コンポーネントを移行するか、または構成コンポーネントのリストから高レベルの設定コンポーネントの一部を選択できます。この選択的オブジェクトの移行は、エクスポートおよびポリシー ギャップ分析レポートに基づいて実行できます。


    (注)  
    アクセス ポリシーの移行が正常に行われるようにするには、移行されたオブジェクト リストからすべてのオブジェクトを選択する必要があります。

  • オブジェクト名の特殊文字:Cisco Secure ACS のデータ オブジェクトの名前に Cisco ISE でサポートされていない特殊文字が含まれている場合、移行ツールはサポートされていない特殊文字をアンダースコア(_)に変換し、データ オブジェクトを Cisco ISE に移行します。自動変換されたデータ オブジェクトは、エクスポート レポートに警告として表示されます。ただし、LDAP および AD 属性、RSA、RSA レルム プロンプト、内部ユーザー、およびすべての事前定義された参照データに Cisco ISE でサポートされていない特殊文字が含まれている場合、エクスポート プロセスは失敗します。

  • すべてのオクテットの IP アドレス範囲を持つネットワーク デバイスの移行:移行ツールを使用すると、IP アドレス範囲を対応するサブネットまたは単一の IP アドレスに変換することによって、すべてのオクテット移行では、すべてのオクテットの IP アドレス範囲の重複を報告します。

  • 複合条件付きポリシー ルールの移行:移行ツールを使用すると、AND 演算子および OR 演算子を持つ複合条件付きの認証および許可(標準および例外)ルールを移行できます。

  • 日時条件の移行:移行ツールは、ACS の曜日と時間グリッドが異なる曜日と時間で設定されている場合、データ オブジェクトを複数のデータ オブジェクトに分割することで、日時条件の移行を実行します。

  • 拡張ヘルプ:移行ツールの UI で、[ヘルプ(Help)] > [移行ツールの使用法(Migration Tool Usage)] に移動して、移行ツールで使用可能なオプションの詳細を表示できます。