Cisco Secure ACS-Cisco ISE Migration Tool の使用
この章では、Cisco Secure Access Control System(ACS)-Cisco Identity Sevices Engine(ISE)Migration Tool を使用して、Cisco Secure ACS 5.1/5.2 のデータベースから Cisco ISE 1.1 アプライアンスへデータを移行する方法について説明します。以下のトピックには、移行プロセスを実行する手順が含まれています。
• 「ログインおよび移行ツールの使用」
• 「インポート プロセスの検証」
• 「レポート ファイルの提供」
ログインおよび移行ツールの使用
移行ツールを開始した後で、データのエクスポート元である Cisco Secure ACS 5.1/5.2 システムへログインします。移行ツールの使用を開始するには、以下の手順を完了します。
ステップ 1
Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウで [設定(Settings)] をクリックして、移行するデータ オブジェクトのリストを表示します。
ステップ 2 従属データがない場合は、エクスポートするデータ オブジェクトのチェック ボックスをクリックして選択し、[保存(Save)] をクリックします。
ステップ 3 Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウで [移行(Migration)]、および [ACS からのエクスポート(Export from ACS)] をクリックします。
Cisco Secure ACS 5.1/5.2 システムの [ログイン(Login)] ウィンドウが表示されます。
ステップ 4 [ACS クレデンシャル(ACS Credential)] ウィンドウに Cisco Secure ACS 5.1/5.2 システムの IP アドレス(またはホスト名)とパスワードを入力して [接続(Connect)] をクリックします。
データの移行プロセスが開始されます。
ステップ 5 Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウを参照して、Cisco Secure ACS 5.1/5.2 のデータ移行の進捗を確認します。
Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウに、正常にエクスポートされた現在のオブジェクト数、および警告やエラーの原因となったオブジェクトが表示されます。
ステップ 6 エクスポート プロセスで発生した警告またはエラーについて詳しい情報を取得するには、表に記載されている [警告(Warnings)] または [エラー(Errors)] をクリックします。以下の例は、表示されるエラーを選択して返される結果を示しています。
[オブジェクト エラーと警告の詳細(Object Errors and Warnings Details)] ウィンドウが表示され、エラーが発生したオブジェクト グループ、タイプ、および日時が示されます。
ステップ 7 詳細がすべて表示されるまで右へスクロールし、[閉じる(Close)] をクリックしてウィンドウを閉じます。
Cisco Secure ACS 5.1/5.2 システムからのデータ エクスポート プロセスが完了する([エクスポート完了(Exporting finished...)])と、Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウにこのステータスが表示されます。
ステップ 8 [エクスポート レポート(Export Report(s))] をクリックしてレポートの内容を表示します。これは、以下の例に示すようにエクスポート処理を要約しています。
各エクスポート レポートには、ヘッダー情報、および処理のタイプ、日時、およびシステムの IP アドレスまたはホスト名が含まれています。各オブジェクト グループには、そのグループのオブジェクトのタイプ、および関連情報の詳細が記載されます。各レポートの最後には、開始と終了の日時、および処理の期間をまとめたレポートが付随しています。
ステップ 9 Cisco ISE アプライアンスへ、このデータのインポートを開始するには、Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウで [ISE へのインポート(Import to ISE)] をクリックします。
データを Cisco ISE へインポートする前に、LDAP ID ストアに属性を追加するようプロンプトが表示されます。
ステップ 10 [OK] をクリックして、LDAP ID ストアへの属性追加プロセスを開始します。
ステップ 11 [LDAP ID ストア(LDAP Identity Store)] ドロップダウン リストで、属性を追加する ID ストアを選択します。
ステップ 12 [属性名(Attribute Name)] フィールドに名前を入力し、[属性タイプ(Attribute Type)] ドロップダウン リストから属性タイプを選択します。[デフォルト値(Default Value)] フィールドに値を入力して [保存して終了(Save & Exit)] をクリックします。
ステップ 13 属性の追加が終了したら、[ISE へのインポート(Import to ISE)] をクリックしてインポート プロセスを続行し、[ISE クレデンシャル(ISE Credentials)] ウィンドウを使用して Cisco ISE へログインします。
ステップ 14 必要に応じて ISE の IP アドレス(またはホスト名)、ISE のユーザ名、および ISE のパスワードを入力し、[接続(Connect)] をクリックして、Cisco ISE アプライアンスへデータのインポートを開始します。
ステップ 15 インポートまたはエクスポートのプロセスの任意のタイミングで [ログ コンソールの表示(View Log Console)] をクリックすると、インポートまたはエクスポート処理の現在のステータスをリアルタイムで表示できます。
ステップ 16 インポート プロセスで発生した警告またはエラーについて詳しい情報を取得するには、(手順 6 を参照して)表に記載されている [警告(Warnings)] または [エラー(Errors)] をクリックして詳細を表示します。
データのインポート処理が完了すると、Cisco Secure ACS-Cisco ISE Migration Tool のメイン ウィンドウにこのステータスが表示されます。
ステップ 17 Cisco ISE 1.1 アプライアンスへインポートされたデータの完全なレポートを表示するには、[インポート レポート(Import Report(s))] をクリックします。レポートが表示されます。
ステップ 18 Cisco Secure ACS と Cisco ISE 間のポリシー ギャップを分析するには、[ポリシー ギャップ分析レポート(Policy Gap Analysis Report)] をクリックします。レポートが表示されます。
インポート プロセスの検証
インポート プロセスが完了したことを検証するには、以下の手順を完了します。
ステップ 1
Cisco ISE 1.1 アプライアンスへログインします。
• 正しいユーザ名とパスワードを入力します。
• [ログイン(Login)] をクリックします。
ステップ 2 たとえば、Cisco ISE のメイン ウィンドウで [管理(Administration)] > [ID 管理(Identity Management)] > [外部 ID ソース(External Identity Source)] > [LDAP] を選択し、[LDAP ID ソース(LDAP Identity source)] ウィンドウを表示して、何らかの ACS ベースの LDAP ID ソースがインポートされたかどうかを確認します。
ユーザ、またはその他の属性に対して同様の検証を実行し、インポートが正常に行われたかどうか確認することができます。
これで、Cisco Secure ACS-Cisco ISE Migration Tool の使用によるインポート/エクスポート処理は終了です。
レポート ファイルの提供
レポート ファイルを他のユーザと共有する場合、または他の場所に保存する場合は、移行ツールのディレクトリの Reports フォルダに以下のレポート ファイルがあります。
• import_report.txt
• export_report.txt
• policy_gap_report.txt