-
null
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月30日
章のタイトル: 移行ユーティリティでの ACS 5.3 属性サポー ト
移行ユーティリティでの ACS 5.3 属性サポート
•
「概要」
概要
この章では、ACS 4.x から ACS 5.3 への属性の移行について説明します。ACS 4.x 属性を移行するには、ACS 5.3 の基準を満たす必要があります。要素の一部の属性がACS 5.3 に移行(または変換)されない場合でも、一部の ACS 4.x 要素を ACS 5.3 に移行できます。
たとえば ACS 5.3 では、数値 1 ~ 15 のユーザ shell exec 特権レベルをサポートします。ACS 4.x の User 要素の特権レベルが数値 1 ~ 15 ではない場合、User 要素は移行されますが、ユーザ shell exec 特権レベル属性は移行されません。
ACS 4.x から 5.3 への移行
• 「NDG」
• 「内部ユーザ」
• 「MAB」
• 「DACL」
• 「共有 RAC」
AAA クライアント/ネットワーク デバイス
表 A-1 では、ACS 4.x のネットワーク デバイス定義と ACS 5.3 ネットワーク デバイス定義の違いについて説明します。
|
|
|
|
|---|---|---|
プロトコルごとに 1 つのネットワーク デバイスを定義します。たとえば RADIUS にネットワーク デバイス 1、TACACS+ にネットワーク デバイス 2。 |
RADIUS および TACACS+ に 1 つのネットワーク デバイスを定義します。「IP アドレスのオーバーラップ」を参照してください。 |
|
• • |
(注) ACS 5.3 では、ネットワーク デバイスの属性を使用した ACS 4.x 認証をサポートしません。ACS 5.3 では、RADIUS および TACACS+ のみをサポートします。特定のベンダーを定義することはできません。
NDG
ACS 5.3 では、NDG に対して ACS 4.x 共有キー パスワード属性をサポートしません。分析レポートでは、NDG レベルの共有キー パスワードにフラグを設定します。共有キー パスワードは、ネットワーク デバイス レベルでのみ使用できます。
NDG にキー暗号キーが含まれるような NDG に属するデバイスの場合、NDG のキー暗号キーが抽出され、ネットワーク デバイス定義のキー暗号キーで定義されたものに代わってネットワーク デバイス定義に含められます。
NDG にメッセージ オーセンティケータ コード キーが含まれるような NDG に属するデバイスの場合、NDG のメッセージ オーセンティケータ コード キーが抽出され、ネットワーク デバイス定義のメッセージ オーセンティケータ コード キーで定義されたものに代わってネットワーク デバイス定義に組み込まれます。
(注) 共有キー パスワードが NDG レベルで存在する場合、共有キー パスワードはその NDG に属するすべてのネットワーク デバイスへ移行されます。ネットワーク デバイスの共有キー パスワードは、NDG 共有キー パスワードが空の場合のみ移行されます。
内部ユーザ
ACS 5.3 では、ACS 4.x パスワード認証タイプがサポートされます。ACS 5.3 では、内部データベースと外部データベースの両方の認証がサポートされます。管理者が Windows または LDAP を使用する場合は、デフォルトの認証パスワードでユーザ オブジェクトを移行します。移行ユーティリティを実行する場合は別のパスワードを使用できます。 「移行スクリプト ユーザ プリファレンス」 を参照してください。
ユーザ ポリシーのコンポーネント
ACS 4.x では、ポリシー関連の認可データがユーザ定義内に埋め込まれています。ACS 5.3 のポリシー関連の認可データは、ACS 5.3 ポリシー テーブル内から参照される共有コンポーネント内に含まれています。 表 A-2 に、ACS 4.x ユーザ ポリシー コンポーネントの属性を示し、ACS 5.3 でのステータスについて説明します。
|
|
|
|---|---|
移行ではユーザ単位のコマンド認可のみサポートされ、次の属性はサポートされません。 • |
ユーザ グループ
ACS 4.x では、各ユーザが 1 つのグループに関連付けられていました。ユーザ グループ要素には、一般的な ID 属性とともにポリシー コンポーネント属性(shell exec や RADIUS 属性など)が含まれます。ACS 5.3 では ID グループがユーザ グループに相当します。ただし ID グループは、純粋な論理コンテナであり、ポリシー コンポーネントは含みません。
ユーザ グループ ポリシーのコンポーネント
ACS 4.x では、ポリシー認可データがユーザ グループ定義内に埋め込まれています。ACS 5.3 のポリシー認可データは、セッション認可プロファイルで定義されます。 表 A-3 に、ACS 4.x ユーザ グループを示し、ACS 5.3 でのステータスについて説明します。
|
|
|
|---|---|
ACS 5.3 では、ユーザ単位のコマンド認可のみサポートされ、次の属性はサポートされません。 • |
共有シェル コマンド認可セット
失われる属性はありません。ACS 4.x のシェル コマンド認可セットは、デバイス管理に含まれる共有要素として定義されます。エクスポートおよびインポートのフェーズでは、これらの要素をコマンド セットに移行します。ACS 5.3 における各要素の名前と説明は、ACS 4.x と同じです。
MAB
ACS 4.x では、NAP 設定時に [User] テーブルで MAC アドレスを定義できます。ACS 5.3 では、MAC ID が MacId オブジェクトとして移行されます。各 MacId オブジェクトは MAC Authentication Bypass(MAB)ID ストアに追加されます。
DACL
ACS 4.x の共有 DACL は、NAP テーブルに含まれる共有オブジェクトと、ユーザ オブジェクトおよびユーザ グループ オブジェクトとして定義されます。共有 DACL は、ACL コンテンツおよび Network Access Filter(NAF; ネットワーク アクセス フィルタ)ID の組のリストで構成されます。ACS 4.x の 1 つの DACL を ACS 5.3 の複数の DACL に移行できます。ACS 5.3 では NAF をサポートしないため、ACL コンテンツのみを移行できます。
EAP-FAST マスターキー
ACS 4.x のマスター キー定義には、ACS 5.3 スキーマとは異なるスキーマがあります。そのためマスター キーは、別の ACS 5.3 Information Model Object(IMO; 情報モデル オブジェクト)に移行されます。
共有 RAC
ACS 4.x では、RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)が含まれる共有プロファイル コンポーネントを定義したり、認可の応答で返される RADIUS 属性および値のセットを定義したりすることができます。ACS 5.3 の RAC は、共有認可プロファイルに定義されます。
表 A-4 に、ACS 4.x での RAC の属性を示し、ACS 5.3 でのステータスについて説明します。
|
|
|
|---|---|
カスタマー VSA
移行時には、ディクショナリは各ベンダーの ACS 5.3 の不足した属性の識別を反復して行います。ACS 5.3 ディクショナリにベンダーが存在しない場合、すべてのベンダー属性が移行されます。ACS 5.3 ディクショナリ内にベンダーが存在する場合は、ACS 5.3 で定義されていない属性のみが移行されます。
フィードバック