移行ツールのインストール

この章では、Cisco Secure ACS to Cisco ISE Migration Tool をインストールする方法のガイドラインを提供します。

移行ツールのインストール ガイドライン

  • ご使用の環境で、移行する準備ができていることを確認してください。Cisco Secure ACS リリース 5.5 以降の Windows または Linux のソース マシン以外に、デュアルアプライアンスの移行(分散展開のデータ移行)用に 1 つのデータベースを備えたセキュアな外部システムを展開する必要があります。

  • Cisco Secure ACS リリース 5.5 以降のソース マシンにシングル IP アドレスが設定されていることを確認してください。各インターフェイスが複数の IP アドレス エイリアスを持つ場合、移行のときに移行ツールは失敗します。

  • Cisco Secure ACS から Cisco ISE への移行が同じアプライアンス上で実行される場合は、ACS 設定データのバックアップが作成されていることを確認してください。

  • 以下のタスクが完了していることを確認してください。

    • デュアルアプライアンスの移行の場合、ターゲットマシンに Cisco ISE リリース 3.0 ソフトウェアをインストールしている。

    • 単一アプライアンスの移行の場合、アプライアンスまたは仮想マシンの再作成に使用可能な Cisco ISE リリース 3.0 ソフトウェアがある。

    • すべての適切な Cisco Secure ACS リリース 4.2 または 5.5 以降および Cisco ISE リリース 5.5 and above and Cisco ISE, Release 3.0 のクレデンシャルとパスワードがある。

  • ソース マシンと、セキュアな外部システム間でネットワーク接続を確立できることを確認します。

セキュリティに関する注意事項

移行プロセスのエクスポート フェーズでは、インポート プロセスの入力として使用されるデータ ファイルが作成されます。データ ファイルの内容は暗号化され、直接読み取ることはできません。

ユーザーは、Cisco Secure ACS データをエクスポートし、それを Cisco ISE アプライアンスに正常にインポートするために、Cisco Secure ACS リリース 5.5 以降および Cisco ISE リリース 3.0 の管理者のユーザー名およびパスワードを知っている必要があります。インポート ユーティリティによって作成されたレコードを監査ログ内で識別できるように、予約済みユーザー名を使用する必要があります。

プライマリ Cisco Secure ACS サーバーおよび Cisco ISE サーバーの ホスト名と、管理者のクレデンシャルを入力する必要があります。ユーザーが認証されると、移行ツールは、アップグレードに似た形式で、設定されているデータ項目のフルセットの移行を処理します。移行ツールを実行する前に、ACS サーバーの PI インターフェイスと ISE サーバーの ACS 移行インターフェイスが有効になっていることを確認します。

移行ツール ファイルのダウンロード

始める前に

  • 移行プロセス用に Java ヒープ サイズに割り当てる初期メモリ量を config.bat ファイルに設定します。config.bat でヒープ サイズを設定する属性は次のとおりです。_Xms = 64(メモリ = 64 MB)および _Xmx = 1024(メモリ = 1024 MB)。

手順

ステップ 1

ソフトウェアのダウンロード Web ページに移動します。場合によってはログイン クレデンシャルを提供する必要があります。

ステップ 2

[製品(Products)] > [セキュリティ(Security)] > [アクセス制御とポリシー(Access Control and Policy)] > [Cisco Identity Services Engine] > [Cisco Identity Services Engineソフトウェア(Cisco Identity Services Engine Software)] に移動します。

ステップ 3

左側のペインで、バージョンを選択します。

[ソフトウェアのダウンロード(Download Software)] ページに、選択したバージョンで使用可能なソフトウェアの一覧が表示されます。

ステップ 4

移行ツールのソフトウェアパッケージに対応する [ダウンロード(Download)] をクリックして、ACS-MigrationApplication-3.0.zip ファイルをダウンロードします。

ステップ 5

.zip ファイルを解凍します。.zip ファイルから解凍された内容で、config.bat および migration.bat ファイルを保持するディレクトリ構造が作成されます。

ステップ 6

config.bat ファイルを編集して、Java ヒープ サイズに割り当てる初期メモリ量を設定します。

ステップ 7

[Save] をクリックします。

移行ツールの初期化

始める前に

移行ツールが初期化されると、サポートされているすべてのオブジェクトの設定、または認証プロファイル、タイプ ネットワーク アクセスのアクセス サービスなどの RADIUS 設定、あるいはコマンド セット、シェル プロファイル、タイプ デバイス管理のアクセス サービスなどの TACACS 設定を移行するオプションを提供するメッセージ ボックスが表示されます。ツールは、サポートされていない(または一部しかサポートされていない)オブジェクトのリスト(移行できません)と、オブジェクトレベルの依存関係リストを提供します。Cisco Secure ACS to Cisco ISE Migration Tool のインターフェイスから [ヘルプ(Help)] > [サポートされていないオブジェクトの詳細およびオブジェクトレベルの依存関係リスト(Unsupported Object Details & Object-level dependencies list)] を選択して、サポートされていないオブジェクトのリストを表示することもできます。


(注)  

移行は、Cisco ISE の新規設定または既存の Cisco ISE 設定で実行できます。オブジェクトがすでに Cisco ISE に存在する場合は、警告メッセージが表示され、オブジェクトの移行はスキップされます。それ以外の場合は、オブジェクトが Cisco ISE に作成されます。

手順

ステップ 1

migration.bat バッチ ファイルをクリックして、移行ツールを起動します。

[移行選択オプション(Migration selection options)] ウィンドウが表示されます。

ステップ 2

移行オプションのリストから、選択する移行オプションに対応するオプション ボタンをクリックします。

  • サポートされているすべてのオブジェクトの設定:サポートされているすべてのオブジェクトが表示されます。
  • 認証プロファイル、タイプ ネットワーク アクセスのアクセス サービスなどの RADIUS 設定:RADIUS 関連オブジェクトと共通オブジェクトのみ表示されます。
  • コマンド セット、シェル プロファイル、タイプ デバイス管理のアクセス サービスなどの TACACS 設定:TACACS に関連するオブジェクトおよび共通オブジェクトのみ表示されます。

ステップ 3

ポップアップ ウィンドウで、[はい(Yes)] をクリックして、サポートされていないオブジェクトと部分的にサポートされているオブジェクトおよびオブジェクトレベルの移行依存関係のリストを表示します。