-
null
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年5月30日
章のタイトル: 移行ユーティリティを使用した、ACS 4.x か ら ACS 5.3 へのデータ移行
移行ユーティリティを使用した、ACS 4.x から ACS 5.3 へのデータ移行
この章では、ACS 4.x から ACS 5.3 にデータを移行する方法を説明します。
•
「概要」
• 「ACS 5.3 への ACS 4.x データのインポート」
• 「移行の確認」
概要
この章では、ACS 4.x から ACS 5.3 にデータを移行する方法を説明します。開始する前に、「移行ユーティリティのセットアップとインストール」に記載されているセットアップ、バックアップ、インストールの手順に従う必要があります。
移行を開始する前に、ACS 5.3 サーバで移行インターフェイスがイネーブルになっていることを確認してください。
コマンドライン インターフェイスから、次のように入力します。
acs config-web-interface migration enable
ACS 5.3 サーバで移行インターフェイスがイネーブルになっていることを確認するには、コマンドライン インターフェイスから次のように入力します。
詳細については、『 Command Line Interface Reference Guide for the Cisco Secure Access Control System 5.3 』を参照してください。
移行ユーティリティの実行
ステップ 1 コマンド プロンプトを開き、ディレクトリを C:\Migration Utility\migration\bin に変更します。
移行ユーティリティをインストールするディレクトリを指定できます。この例では、移行ユーティリティをルート ディレクトリとして使用します。
ステップ 2 コマンド プロンプトに、 migration.bat と入力します。
例 6-1 に、移行ユーティリティの実行時に表示されるプロンプトを示します。
Copyright (c) 2008-2009 Cisco Systems, Inc.
All rights reserved.
---------------------------------------------------------------------------------------
This utility migrates data from ACS 4.x to ACS 5. You can migrate directly from the following ACS versions:
- ACS 4.1.1.24
- ACS 4.1.4
- ACS 4.2.0.124
Data migration involves the following:
a. The migration utility analyzes the ACS 4.x data, exports any data from ACS 4.x that can be migrated automatically, and imports the data into ACS 5.
b. Before the import stage, you can manually consolidate and resolve data according to the analysis report, to maximize the amount of data that the utility can migrate.
c. After migration, use the imported data to recreate your policies in ACS 5.
---------------------------------------------------------------------------------------
Make sure that the database is running.
Enter ACS 5 IP address or hostname:[nn.nn.nnn.nnn]
Enter ACS 5 administrator username:[test]
Enter ACS 5 password:
Change user preferences?[no]
yes
User Groups
--------------------------------------------------------------------------------
Existing user groups will be migrated to the Identity Group.
Enter new Root name:[Migrated Group]
Network Device Groups
--------------------------------------------------------------------------------
Existing network device groups will be migrated to the Network Device Group.
Enter new Root name:[Migrated NDGs]
Users
--------------------------------------------------------------------------------
ACS 5 supports authentication for internal users against the internal database only.
ACS 4.x users who were configured to use an external database for authentication will be migrated with a default authentication password.
Specify a default password.
Configure these users as disabled in ACS 5, or ask for a change of password on a user’s first attempt to access ACS 5.
Select the option:
1 - DisableExternalUser
2 - SetPasswordChange
Selected option:[2]
2
Network Devices
--------------------------------------------------------------------------------
TACACS+ and RADIUS network devices with same IP address will be unified.
Select a name to be used for unified devices.
1 - RADIUSName
2 - TACACSName
3 - CombinedName
Selected option:[3]
DACL name construction
--------------------------------------------------------------------------------
Existing downloadable ACL will be migrated.
Select a name to be used for the migrated DACL
1 - DaclName_AclName
2 - AclName
Selected option:[1]
Save user defaults? [yes]
yes
Enter ACS 4.x Server ID:
acs1
Add server-specific migration prefixes?[no]
yes
You can add a global prefix to all migrated objects from this server.
Enter a global prefix:[]
s1
Save server migration prefixes?[yes]
yes
Show full report on screen?[yes]
yes
移行スクリプト セクション
• 移行環境情報。表 6-1を参照してください。
• 移行ユーザ プリファレンス。表 6-2を参照してください。
• 移行グループ。表 6-3を参照してください。
• 移行フェーズ。表 6-4を参照してください。
|
|
|
|---|---|
Choose one of the following:
1 - AnalyzeAndExport
2 - Import
3 - CreateReportFiles
4 - Exit
|
• データが分析フェーズに合格した場合、後でエクスポートして ACS 5.3 にインポートできます。「ACS 4.x オブジェクトの移行」を参照してください。 必ず ACS 5.3 データベースをバックアップしてください。 • • 移行ディレクトリ内の config フォルダに、フル レポートと要約レポートが保存されます。「レポートの印刷とレポート タイプ」を参照してください。 • |
|
|
ACS 4.x オブジェクトの移行
以下の項では、移行手順のさまざまなフェーズと、各オブジェクト タイプの影響と考慮事項について詳しく説明します。
• 「NDG」
• 「内部ユーザ」
• 「共有 RAC」
AAA クライアント/ネットワーク デバイス
ACS 4.x では、[Network Configuration] オプションに AAA サーバまたは AAA クライアントを順に含めることができる NDG があります。AAA クライアントの定義は ACS 5.3 の [Network Devices and AAA Clients] オプションで移行および保存されます。
• 「インポート」
データ マッピング
表 6-5 に、ACS 4.x と ACS 5.3 の AAA クライアントまたはネットワーク デバイスのデータ マッピングについて示します。
(注) グループの Single Connect フラグによって、デバイスの Single Connect フラグが上書きされます。
分析およびエクスポート
AAA クライアント(ACS 4.x)とネットワーク デバイス(ACS 5.3)の定義には、主に次の 3 つの相違点があります。
• ACS 5.3 では、RADIUS と TACACS+ の両方を処理する 1 つのネットワーク デバイスを定義できますが、ACS 4.x では、2 つの AAA クライアントが必要です。
• ACS 5.3 では、IP アドレスが IP アドレスとマスクからなるペアとして定義され、ACS 4.1 では IP アドレスが正規表現を使用して定義されます。
• ACS 5.3 では、各ネットワーク デバイス定義で保存できる IP アドレスが 40 個に制限されます。ACS 4.x では、41 以上の IP アドレスを定義できます。
エクスポート時は、デバイス名に一部の特殊文字を使用できません。次の文字がデバイス名に使用されている場合は、分析中にエラー メッセージが表示され、エクスポートは処理されません。
ACS 4.x では、ネットワーク デバイスの一部として、IP アドレスがオーバーラップした定義を作成でき、最初の IP アドレスが TACACS+ を利用し、2 番目の IP アドレスが RADIUS を利用します。
ACS 5.3 では、TACACS+ と RADIUS が 1 つのネットワーク デバイス定義に統合されます。ただし、TACACS+ と RADIUS が ACS 4.x のそれぞれ別個の NDG の一部である場合は、統合することができません。
移行分析フェーズでは、ネットワーク グループおよび IP アドレスのオーバーラップが識別されて管理者に報告されるため、ACS 5.3 の要件に準拠するようにこれらの定義を変更できます。
Network device AA: IP address = 23.8.23.*, 45.67.*.8 , protocol = RADIUS , group = HR
Network device BB: IP address = 45.*.6.8, 1.2.3.4 , protocol = TACACS , group = Admin
この例では、 AA ネットワーク デバイス リストの 2 番目の IP アドレスが BB ネットワーク デバイス リストの最初の IP アドレスとオーバーラップし、各ネットワーク デバイスがそれぞれ別個の NDG の一部です。
この例では、RADIUS ネットワーク デバイスと TACACS+ ネットワーク デバイスのそれぞれのエントリの統合は、IP アドレスが同一で、両方のネットワーク デバイスが同じ NDG の一部である場合にのみ可能です。すべての統合が分析レポートで報告されます。
ACS 5.3 では、ワイルドカードおよび範囲をサポートします。ACS 4.x と同様に IP アドレスを指定する場合、ACS 4.x のすべての既存の IP アドレスが ACS 5.3 に移行されます。
移行分析プロセスでは、41 以上の IP サブネットがあるネットワーク デバイスが識別され、これらのデバイスを移行できないことが報告されます。移行を可能にするには、ACS 5.3 形式に準拠するように、サブネット マスクに変更するか、または複数のネットワーク デバイス定義に分割します。 表 6-6 では、ACS 5.3 の制限に準拠するように変更できる ACS 4.x 属性について説明しています。
次のいずれかの文字がネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーに見つかった場合、分析フェーズでエラー メッセージが表示され、エクスポートは処理されません。
表 6-6 では、ACS 5.3 の制限に準拠するように変更できる ACS 4.x 属性について説明しています。
インポート
[Unified Device Name] 設定はネットワーク デバイスのインポート時に使用されます。1 つのネットワーク デバイス定義に統合できる ACS 4.x の個別の RADIUS デバイスや TACACS+ デバイスがある場合、ACS 5.3 では、ACS 5.3 の新しいデバイスの名前を決定するための設定オプションを使用可能です。ACS 5.3 では、次のオプションを使用できます。
ACS 4.x には、ネットワーク デバイスと NDG の間の単一レベルの階層が含まれています。定義済みの各ネットワーク デバイス(AAA クライアント)をいずれかの NDG に含める必要があります。ネットワーク デバイスと NDG の間のこの関連付けを維持するには、ACS 5.3 で最初に NDG をエクスポートしてインポートし、次に NDG に関連付けられたネットワーク デバイスをエクスポートしてインポートします。NDG とネットワーク デバイスは 1 つのオブジェクト グループとして処理されます。
ACS 5.3 に新しいレコードがインポートされると、デフォルトの説明フィールド [Migrated] が作成されます。
複数インスタンスのサポート
ACS 5.3 では、IP アドレスがオーバーラップした複数のネットワーク デバイスを定義できます。ネットワーク デバイス名に特定の(またはグローバル)プレフィクスを定義して、重複を避けることができます。ただし、IP アドレスがオーバーラップしたデバイスは、名前が一意であっても、重複して移行されないと報告されます。また、このような 2 つのインスタンス間の移行はサポートされません。
Instance = X, network device = AA, IP address = 23.8.23.12, protocol = RADIUS, group = HR
Instance = Y, network device = BB, IP address = 23.8.23.12, protocol = TACACS+, group = HR
この例では、ネットワーク デバイス AA がインスタンス X にあり、ネットワーク デバイス BB がインスタンス Y にあるため、統合されたデバイスを作成できません。TACACS+ デバイスと RADIUS デバイスが同じインスタンスにある場合、統合デバイスの作成がサポートされます。
以前の移行インスタンスでインポートされた NDG に関連付けられたデバイスは、ACS 5.3 にすでに存在している NDG に関連付けられます。
NDG
ACS 4.x の NDG 定義の移行を利用するには、ACS 5.3 で追加の NDG 階層が作成されます。
移行プロセスで、ACS 4.x NDG 定義を保存する階層のルートの名前を入力することを要求するプロンプトが表示されます。プロンプトに、移行される NDG のデフォルト名が表示されます。必要に応じて、この名前を変更できます。
ACS 4.x には、どのグループにも属していないすべてのデバイスのための「Not Assigned NDG」という名前の保存されていないグループが含まれています。「Not Assigned NDG」グループは ACS 5.3 へのエクスポート後に作成されます。
ACS 4.x では、NDG に AAA クライアントの共有秘密や Legacy TACACS+ Single Connect Support などの属性が含まれます。ただし、ACS 5.3 では、NDG はネットワーク デバイス定義に添付できるラベルであり、データが含まれていません。値が ACS 4.x の NDG の共有秘密に設定されている場合、グループに関連付けられる各ネットワーク デバイスの値を設定するためにこの値が抽出されます。
• 「インポート」
データ マッピング
表 6-7 に、ACS 4.x および ACS 5.3 間の NDG のデータのマッピングについて示します。
|
|
|
|
|---|---|---|
ACS 4.x から取得される説明は |
||
分析およびエクスポート
• NDG 名の特殊文字:一部の特殊文字は、エクスポート時に NDG 名に使用できません。次の文字が NDG 名に使用されている場合は、分析中にエラー メッセージが表示され、エクスポートは処理されません。
• 共有秘密の定義が含まれる NDG:共有秘密の定義によってデバイス レベルで定義された値が上書きされることを示すメッセージ。
• キー暗号キーまたはメッセージ オーセンティケータ コード キーのいずれかの定義が含まれる NDG:キー暗号キーまたはメッセージ オーセンティケータ コード キーの定義によってデバイス レベルで定義された値が上書きされることを示すメッセージ。
• ネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーの特殊文字:次のいずれかの文字がネットワーク デバイスのキー暗号キーまたはメッセージ オーセンティケータ コード キーに見つかった場合、分析フェーズでエラー メッセージが表示され、エクスポートは処理されません。
インポート
インポート フェーズで、[User Preferences] で名前が定義された新しい NDG 階層が作成されます。[User Preferences] で名前が付けられ、 All というプレフィクスが付いたルート ノードも作成されます。移行されたすべての NDG がこのルート ノードの下に作成されます。
複数インスタンスのサポート
ACS 5.3 では、階層ルート 1 つに同じ名前の 2 つの NDG(階層ノード)を定義できません。ただし異なる階層であれば定義できます。たとえば Engineers という名前の 2 つのグループをルート SJ とルート NY にそれぞれ定義できます。複数インスタンスをサポートすることで、NDG を移行するために次のいずれかを実行できます。
• インスタンスごとに別のルートを定義し、インスタンスのルートにそのインスタンスのすべての NDG をインポートします。
• 移行されるすべての NDG のための 1 つのルートを定義します。ただし、移行ユーティリティでは、固有の NDG のみがそのルートに追加されます。すでに存在する NDG は、重複していると報告され、インポートされません。ただし、この場合、すでに存在する NDG の ID は、関連付けのために取得されます。
いずれかのオプションを選択するには、[Preferences] > [User Interface] に移動します。選択ごとに、NDG とネットワーク デバイスの間の関連付けが選択のロジックに従って維持されます。
たとえば、NDG SJ に関連付けられたデバイス ABC (一意の名前と IP アドレスがある)が最初の ACS 4.x インスタンスから移行されます。上記の 2 つのオプションのいずれかを選択する場合、 ABC は NDG の SJ に関連付けられますが、 SJ はルート All または指定したルート Engineers のいずれかに定義できます。
内部ユーザ
ACS 5.3 では、ポリシーのコンポーネントは、ポリシーの結果として選択できる再利用可能なオブジェクトです。
内部ユーザに関連する移行アクティビティは、次の内容で構成されます。
ACS 4.x にはダイナミック ユーザを含めることができます。LDAP などの外部データベースはダイナミック ユーザ、その ID、関連するその他のプロパティを管理できます。
ダイナミック ユーザは、外部ソースに対して正常に認証された後で、ACS 内部データベースで作成されます。ダイナミック ユーザは最適化のために作成され、削除しても ACS の機能は影響を受けません。ダイナミック ユーザは移行ユーティリティで無視され、処理されません。
基本ユーザ定義
各ユーザに対して、基本定義にはユーザ名、パスワード、ディセーブルまたはイネーブルのステータス、ID グループが含まれます。
• 「インポート」
表 6-8 に、ACS 4.x と ACS 5.3 の内部ユーザのユーザ インターフェイスのデータ マッピングについて示します。
|
|
|
|
|---|---|---|
ACS 4.x から取得される説明は |
||
エクスポート時は、ユーザ名に一部の特殊文字と「スペース」を使用できません。次の文字をユーザ名で使用すると、分析レポートで報告されます。
デフォルトでは、外部パスワード タイプの内部ユーザが、そのパスワード タイプの内部ユーザとして移行されます。内部パスワード タイプのユーザが分析レポートで報告されます。
パスワードが 4 文字未満のユーザはエクスポートされません。
(注) アポストロフィ(')が含まれるユーザのユーザ コマンド セットは移行されません。
次のオプションは、内部ユーザのパスワード定義には使用できます。
• [Internal]:パスワードは ACS 内部に保存されます。
• [External Database]:パスワードは外部データベースに保存され、認証はこのデータベースに対して実行されます。
• [Empty Password]:VoIP ユーザは [This is a Voice-over-IP (VoIP) group - ] 設定および [all users of this group are VoIP users] 設定が選択されているグループに関連付けると定義できます。この場合、ユーザにパスワードが定義されません。
ACS 5.3 では、外部認証ユーザはサポートされません。このようなユーザのインポートを定義するために、次の設定オプションを使用できます。
• [Default authentication password]:すべての外部認証ユーザにこのパスワードが割り当てられます。
• [Disabled or Change password]:このようなユーザが ACS 5.3 でディセーブルとして定義されるか、または次のログイン時にパスワードの変更が必要かを選択できます。
多数のユーザが存在する可能性があるため、このようなユーザには分析の警告が表示されません。
(注) VoIP は ACS 5.3 ではサポートされません。VoIP がイネーブルになっているユーザ グループに関連付けられたユーザは分析の一部として報告され、エクスポートされません。
複数インスタンスのサポート
複数の ACS 4.x インスタンスに存在している重複した ID のユーザは、ユーザ名に基づいて、インポート レポートで報告されます。一意のユーザのみが移行されます。複数の ACS 4.x インスタンスに存在しているユーザのデータ間の名前のプレフィクスまたは移行はサポートされません。
たとえば、ユーザ Jeff が複数の ACS 4.x インスタンスに存在し、最初に移行されなかったインスタンスだけにイネーブル パスワードが存在している場合、 Jeff にイネーブル パスワードを追加することはできません。
一意のユーザ名を持ち、ユーザ グループに関連付けられたユーザは、ユーザ グループ自体がユーザまたは以前のインスタンスと同じインスタンスで移行される場合でも移行され、関連付けは維持されます。
(注) また、ユーザが移行をパスしない場合、TACACS+ 属性値や Shell 属性値およびそのユーザから生成されたコマンド セットなどのユーザ属性値やポリシー コンポーネントは、有効な場合でも移行されません。
ユーザ データ設定およびユーザ マッピング
ACS 4.x には、ユーザ レコードに含めるように選択できる最大 5 つのユーザ定義フィールドがあります。各フィールドに、対応するフィールド名を定義できます。ACS 5.3 では、対応するユーザ属性を作成して各ユーザに対して読み込めるように、これらのフィールドを移行します。
これらのフィールドを設定するには、[Interface Configuration] > [User Data Configuration] を選択します。5 つのフィールドのそれぞれに対して、設定を繰り返す必要があります。
• 「インポート」
表 6-9 に、ACS 4.x と ACS 5.3 のユーザ データ設定およびユーザ マッピングのユーザ インターフェイス データ マッピングについて示します。
|
|
|
|
|---|---|---|
ACS 4.x から取得される説明は |
次のことを確認するために、フィールド名に対して分析が実行されます。
ACS 4.x では、同じ名前の複数のフィールド名を定義できます。ただし、ACS 5.3 では、ユーザ定義の属性の名前を一意にする必要があります。複数の属性の名前が同じである場合、最初に検出された属性だけに元の名前が維持されます。その後に検出された属性については、サフィクス「_1」が追加されます。
たとえば、ACS 4.x の 3 つの属性の名前が ACS である場合、ACS 5.3 へのインポート後、属性名は次のようになります。
ACS 5.3 では、ID ディクショナリに同じ名前の 2 つのユーザ属性を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスを作成することで、各インスタンスに属性を追加することができます。
次のオプションのいずれかを選択して、ユーザ属性を移行できます。
• インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のすべてのユーザ属性をインポートします。
• プレフィクスを定義しないでください。これによって、一意の属性だけが移行されます。すでに存在している属性は重複として報告されます。この場合、既存のユーザ属性の ID は、関連付けのために維持されます。
1 つの ACS 4.x インスタンスだけからすべてのユーザのユーザ データが取得されます。同じユーザが別の ACS 4.x インスタンスに存在する場合、そのユーザはインポートされませんが、ユーザ属性はヌル値で移行されます。すべてのユーザに適用される内部ユーザ属性は、1 組あります。
たとえば、最初の ACS 4.x インスタンスからユーザ属性 A 、値 x 、ユーザ属性 B 、値 y のユーザ user1 を移行します。次に、2 番目の ACS 4.x インスタンスから、ユーザ属性 C 、値 z 、ユーザ属性 D 、値 w の同じユーザ user1 を移行します。
ここで、2 番目のインスタンスのユーザ user1 は移行されませんが、ユーザ属性 C と D はヌル値で移行されます。ACS 5.3 のユーザ user1 には次の属性が含まれています。
同じユーザに 2 番目のインスタンスの属性を含めることはできますが、属性値を含めることはできません。複数の ACS 4.x インスタンスからユーザ属性を移行することはできません。
たとえば、ユーザが ACS 5.3 にすでに存在している(別の ACS 4.x インスタンスから移行された)場合、属性 Real Name: Jeffrey だけをユーザ jeff に追加することはできません。また、属性 Real Name: Jeffrey は現在の ACS 4.x インスタンスだけに存在します。
ユーザ属性の定義が移行されるときは、現在または以前の移行の実行に関係なく、ユーザとユーザ属性の関連付けが維持されます。ACS 5.3 にすでに存在している(以前の移行の実行で移行された)ユーザ属性に関連付けられた固有のユーザ名を持つ(現在の実行で追加できる)ユーザは、既存のユーザ属性に関連付けられます。
ACS 5.3 では、ディクショナリに追加されるすべての ID 属性が、値が空白の場合でも、すべてのユーザにも追加されます。
たとえば、ACS 4.x の最初のインスタンスでユーザ User1 を作成し、移行ユーティリティを開始します。最初のインスタンス サーバ ID を入力し、サーバに固有の移行プレフィクス global1 を追加します。ユーザ User1 をユーザ属性「city」、「real name」、「description」とともに移行します。
ACS 4.x の 2 番目のインスタンスでユーザ User2 を作成し、移行ユーティリティを開始します。2 番目のインスタンス サーバ ID を入力し、サーバに固有の移行プレフィクス global2 を追加します。ユーザ User2 をユーザ属性「city」、「country」および「state」とともに移行します。
ACS 5.3 に移行した後、 user1 には属性「 global1_city」、「global1_Description」、「global1_Real Name」、「global2_city」、「global2_country」および「global2_state 」が含まれます。
User2 には属性「 global1_city」、「global1_Description」、「global1_Real Name」、「global2_city」、「global2_country」および「global2_state 」が含まれます。
ここで、プレフィクス global1 の属性は User1 に使用され、プレフィクス global2 の属性は User2 に使用されます。
ユーザ シェル コマンド認可
ACS 4.x では、シェル コマンド セットをユーザ レコードに組み込むことができます。移行機能の一部として、このコマンド セットが抽出され、共有オブジェクトとして定義されます。ユーザ属性には、ユーザ レコードから取得したユーザに関連付けられたコマンド名が含まれます。
ユーザ コマンド セットは、ユーザが移行される場合にのみ共有コマンド セットに移行されます。ユーザ名から名前が生成されます。
共有コマンド セットは、対応するユーザが移行された場合にのみ抽出されます。
• 「インポート」
表 6-10 に、ACS 4.x と ACS 5.3 のユーザ シェル コマンド認可のユーザ インターフェイス データ マッピングについて示します。
|
|
|
|
|---|---|---|
ACS 4.x から取得される説明は |
||
ACS 4.x では、ユーザ レコードにデバイス グループ名とコマンド セット名の組み合わせが含まれる場合、NDG ごとにシェル コマンド認可セットを割り当てることができます。ACS 5.3 ではこれに相当する機能がサポートされず、分析中にメッセージが表示されます。
各ユーザ コマンド セットのインポート時は、次のユーザ設定が使用されます。
• コマンド セット名形式のオプション:Add Prefix | User Name のみ。
• 以前のプレフィクスに加え、統合オブジェクトで追加されるプレフィクス:デフォルトは空白の文字列。
ユーザ属性 cmd-set は、ユーザ定義から移行される ACS 5.3 コマンド セットの名前を保存するために使用されます。
ユーザ コマンド セットをインポートするには、次の手順を実行します。
ステップ 2 コマンド セットのユーザごとの定義を持つユーザの場合:
a. コマンド セットが別のレコードに統合されている場合は、次のユーザに進みます。
b. ユーザ名と定義されたプレフィクスの組み合わせとしてコマンド セットの名前を指定します。
ステップ 3 ユーザの cmd-set ユーザ属性に、移行されたコマンド セットの名前を設定します。
ACS 5.3 では、同じ名前のコマンド セット 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用してコマンド セットを作成し、ACS 4.x インスタンスごとにコマンド セットを移行できます。
したがって、次のオプションのいずれかを選択して、コマンド セットを移行できます。
• インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のすべてのコマンド セットをインポートします。
• プレフィクスを定義しないでください。一意のコマンド セットのみが移行されます。(以前のインスタンスで移行した)既存のコマンドセットは、重複していると報告されます。
Shell exec パラメータ
ACS 4.x では、ユーザ レコードに shell(exec)TACACS+ 設定が含まれます。これらの設定はユーザ レコードの属性として ACS 5.3 に移行されます。これらの属性のいずれかが、移行されたユーザ レコードのいずれかに使用される場合、ユーザ属性として作成されます。移行されるユーザ定義で対応する属性に値が設定されます。
ユーザ シェル属性値は、ユーザが移行される場合にだけ移行されます。
• 「インポート」
表 6-11 に、ACS 4.x と ACS 5.3 のユーザ シェル属性のデータ マッピングについて示します。Max Privilege 属性以外のすべての属性は、TACACS+ shell(exec)設定から取得されます。
|
|
|
|
|---|---|---|
ACS 5.3 では、数値(0 ~ 9999)による特権レベルをサポートします。ACS 4.x の特権レベルは文字列フィールドですが、有効性のチェックは行われません。特権レベルが有効な範囲にない場合は、管理者に報告されます。
このチェックは、特権レベルを有効リストから選択するイネーブル パスワードには適用されません。ただし、shell exec 設定の特権レベルが最大イネーブル特権を超えていないかどうかが追加の分析で確認されます。ACS 5.3 では、shell exec で定義されるカスタム パラメータがサポートされません。無効なアイドル時間およびタイムアウトの値は、分析レポートで報告されます。
全ユーザを対象とした shell exec パラメータが収集されます。移行されるユーザ 1 人以上に対して存在するパラメータは、ユーザ属性として移行されます。ACS 4.x で移行される各ユーザに対して shell exec 値が設定されている場合、ACS 5.3 では ACS 5.3 のユーザと関連付けられたユーザ属性にその値が設定されます。属性が ACS 4.x で定義されていない場合、ACS 5.3 ではブランクになります。
シェル属性には、固定名があります。ACS 4.x インスタンスごとの名前プレフィクスを使用してシェル属性を作成することはできません。また、複数の ACS 4.x インスタンスからシェル属性データ(値)をマージすることもできません。
たとえばユーザ jeff が ACS 5.3 に存在していて、シェル属性 Timeout:123 がこのユーザで定義されていない場合、この属性のみをこのユーザに追加することはできません。
シェル属性の定義が移行されるときは、現在または以前の移行の実行に関係なく、ユーザとシェル属性の関連付けが維持されます。
固有のユーザ名を持つユーザ(現在の実行で追加)は、ACS 5.3 ID ディクショナリ内にすでに存在するシェル属性(移行の以前の実行で移行)と関連付けられ、既存のシェル属性に関連付けられます。
同じユーザが別の ACS 4.x インスタンスに存在する場合、そのユーザはインポートされませんが、ユーザ シェル属性はヌル値で移行されます。すべてのユーザに適用される内部ユーザ シェル属性は、1 組あります。ACS 5.3 では、ディクショナリに追加されるユーザ シェル属性のそれぞれがすべてのユーザにも追加されます。
ユーザ グループ
ACS 5.3 では、ID グループはユーザ グループと同等です。ただし ID グループは、規則条件でポリシーの処理と選択を行うために、一連のユーザをグループ化する純粋な論理コンテナです。
ユーザ グループ名は、ID グループ階層に移行およびマージされます。ID 階層のルート ノードの下に新しいノードが作成され、そのノードの下に移行されるすべてのユーザ グループが同一階層に配置されます。このノードの名前を定義するように求められます。デフォルトの名前も表示されます。
ACS 4.x ではデフォルトで 500 ユーザ グループが作成され、管理者はこれらのグループを編集できます。ACS 5.3 では、利用していてユーザまたは MAC 定義から参照されているユーザ グループのみが移行されます。
ユーザとユーザ グループ(ID グループ)との関連付けを維持するには、先にユーザ グループ、次にそれらのユーザ グループと関連付けられている内部ユーザをエクスポート(およびインポート)する必要があります。
• 「インポート」
分析およびエクスポート
内部ユーザまたは MAC 定義を含まないユーザ グループはエクスポートされません。そのようなユーザ グループは移行されなかったことが管理者に報告されます。またエクスポート時は、グループ名に一部の特殊文字を使用できません。次の文字がグループ名に使用されている場合は、分析レポートで報告され、エクスポートは処理されません。
インポート
インポート時は、新しい ID グループ ノードが ID グループ階層のルート ノードに作成され、[User Preferences] で定義された名前が付けられます。デフォルトの名前は Migrated Group です。移行されるすべてのユーザ グループは、この新しく作成されたノードの下に同一階層で作成されます。
ACS 4.x では、各ユーザが 1 つのグループに関連付けられていました。ユーザとユーザ グループ(ID グループ)との関連付けを維持するには、先にユーザ グループ、次にそのユーザ グループと関連付けられている内部ユーザをインポートします。
複数インスタンスのサポート
ACS 5.3 では、階層ルート 1 つに同じ名前の ID グループ 2 つを定義できません。ただし異なる階層であれば定義できます。
たとえば Engineers という名前の 2 つのグループをルート NY とルート SJ にそれぞれ定義できます。複数インスタンスをサポートすることで、グループを移行するときに次のいずれかのオプションを選択できます。
• インスタンスごとに別のルートを定義し、インスタンスのルートにそのインスタンスのユーザ グループすべてをインポートします。
• 移行されるすべてのグループに対してルート 1 つを定義します。移行ユーティリティでは、固有のグループのみがそのルートに追加されます。すでに存在するグループは、重複していると報告され、インポートされません。ただし、すでに存在するユーザ グループの ID は、関連付けのために取得されます。
いずれかのオプションを選択するには、[User Preferences] に移動します。ユーザ グループとユーザとの関連付けは、選択したロジックに従って維持されます。
たとえばユーザ john (固有のユーザ名)が ACS 4.x インスタンスの前回の実行から移行されたグループ Management に関連付けられているとします。いずれのオプションを選択しても、 john はグループ Management に関連付けられますが、 Management はルート All で定義されるか、特定のルート Engineers で定義されます。
ユーザ グループ ポリシーのコンポーネント
ACS 4.x ではポリシー関連の認可データのほとんどがユーザ グループ定義に埋め込まれますが、ACS 5.3 では共有オブジェクトとして定義されます。
データは、使用中のグループからのみ移行されます。グループ データから抽出されるデータは次のとおりです。
• TACACS+ シェル コマンド認可セットは、コマンド セットに移行されます。
グループ コマンド セット
ユーザから抽出されるコマンド セットの名前は、ユーザ属性に格納されます。データがユーザ グループから抽出されるときは、このようなアクションは実行されません。グループのコマンド セットに対する複数インスタンスのサポートは、ユーザのコマンド セットの場合と同様です。
(注) グループ コマンド セットは、グループの移行時のみ移行されます。
グループ Shell Exec
• 「インポート」
表 6-12 に、グループ データの属性からシェル プロファイルでの属性へのマッピングについて説明します。シェル プロファイルの各フィールドには、プロファイルにそのフィールドが存在するかどうかを示すフラグがあります。グループ レコードでフィールドがイネーブルではない場合、そのフィールドはシェル プロファイルで存在しないとマークされます。
|
|
|
|
|---|---|---|
分析は、使用中であると判断されたすべてのグループ、およびユーザまたは MAC アドレスと関連付けられているすべてのグループに対して実行されます。分析では、ACS 4.x で入力された次の値が対応する ACS 5.3 オブジェクトで有効な値であることを検証します。
ACS 5.3 では、MAC アドレスにワイルドカードを含めることができますが、ワイルドカードを使用できるのは特定の OID、たとえば「00-00-00-*」で使用する場合だけです。ワイルドカード形式 11-11-11-11-11-* はサポートされていません。
分析では、新しい Default Privilege Level 値が最大値よりも大きくないことも検証します。移行されるグループで定義されたカスタム属性は、ACS 5.3 に移行されず、警告が表示されます。
グループ shell exec のインポート時は、次のユーザ設定が使用されます。
• シェル プロファイル名の形式。次のオプションがあります。
• 上記のプレフィクスに加え、統合オブジェクトで追加されるプレフィクス。デフォルトは空の文字列です。
インポート プロセスは、別のオブジェクトに統合されていない各 shell exec で実行されます。ACS 5.3 オブジェクトの名前は、ユーザ設定および作成されるシェル プロファイルに基づいて決まります。
(注) グループ シェル属性は、グループの移行時のみ移行されます。
グループ シェル属性は、共有シェル プロファイルに移行され、名前はグループ名から生成されます。
ACS 5.3 では、同じ名前のシェル プロファイル 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用してシェル プロファイルを作成できるため、インスタンスごとにシェル プロファイルを追加できます。複数インスタンスをサポートすることで、シェル プロファイルを移行するときに次のいずれかのオプションを選択できます。
• インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のシェル プロファイルをすべてインポートします。
• プレフィクスを定義しないでください。その結果、固有の名前が付いたシェル プロファイルが移行されます。すでに存在するシェル プロファイルは、重複していると報告されます。
MAC アドレスと内部ホスト
ACS 4.x では、MAC アドレスに基づく認証を次のようにサポートしています。
• MAC アドレスを内部ユーザ名、およびユーザ名と同一のパスワード認証プロトコル(PAP)パスワードとして定義します。ユーザは内部ユーザ データベースに移行され、MAC アドレスの追加サポートは必要ありません。
• 認証ポリシーの一環として NAP テーブルに MAC アドレスを定義します。認証ポリシーでは、ACS 内部データベースを使用して MAC アドレスを認証するように設定できます。その後、MAC アドレスと対応する ID のリストを提供できます。MAC アドレスは、内部ホストのデータベースで対応するレコードに移行されます。
ACS 5.3 では、ユーザに対する場合と同様に、ホストと関連付けられた追加の属性を定義できます。一方、ACS 4.x では MAC 定義と関連付けられた追加データはなく、移行に追加された属性は必要ありません。ただし ID グループの関連付けは維持されます。
表 6-13 に、ACS 4.x と ACS 5.3 の MAC アドレスと内部ホストのデータ マッピングについて示します。
|
|
|
|
|---|---|---|
ACS 4.x から取得される説明は |
||
MAC アドレスは複数の形式で入力できますが、常に 12-34-56-78-90-AB という形式で保管されます。ただし ACS 4.x では、アドレスでワイルドカードを使用できます。たとえば 12-34-56-78* です。
ACS 5.3 では、MAC アドレスにワイルドカードを含めることができます。MAC アドレスの最初の 3 オクテットよりも後だけにワイルドカードが指定されたホストを、関連付けられたユーザ グループと組み合わせて移行できます。ワイルドカードなしのホストも移行できます。
NAP A には次の MAC アドレスがあります:1-2-3-4-5-6 Group 10
NAP B には次の MAC アドレスがあります:1-2-4-* Group 24
ここで、NAP A の MAC アドレス 1-2-3-4-5-6 は、グループ 10 に関連付けられて移行されます。また、NAP B の MAC アドレス 1-2-4-* はグループ 24 との組み合わせで移行されます。
ACS 4.x では、重複した MAC は MAC アドレスに基づいて認識され、インポート レポートで報告されます。固有の MAC アドレスのみが移行されます。名前プレフィクスはサポートされません。ユーザ グループに関連付けられた固有の MAC アドレスが移行されます。
関連付けは維持されます。ユーザ グループ自体が MAC アドレスと同じインスタンス、または以前のインスタンスで移行されたかどうかは関係ありません。
共有シェル コマンド認可セット
ACS 4.x のシェル コマンド認可セットは、デバイスの管理時に共有オブジェクトとして定義できます。そのようなオブジェクトは、コマンド セットへ移行されます。各オブジェクトの名前と説明は、ACS 4.x と同じです。
表 6-14 に、ACS 4.x と ACS 5.3 のシェル コマンド認可セットのデータ マッピングについて示します。
|
|
|
|
|---|---|---|
[ Permit any command that is not in the table ] というラベルの付いたチェックボックス |
||
エクスポート時は、シェル コマンド認可セットに一部の特殊文字を使用できません。デバイス名に次の文字が使用される場合は、分析レポートで報告されます。
ACS 5.3 では、同じ名前のコマンド セット 2 つを定義できません。ただし、ACS 4.x インスタンスごとの名前プレフィクスを使用して作成できるため、コマンド セットごとにシェル プロファイルを追加できます。従って複数インスタンスをサポートすることで、共有コマンド セットを移行するときに次のいずれかのオプションを選択できます。
• ACS 4.x インスタンスごとに異なる名前プレフィクスを定義して、異なる名前のコマンド セットをすべてインポートします。
• プレフィクスを定義しません。その結果、固有の名前が付いたコマンド セットが移行されます。すでに存在するコマンド セットは、重複していると報告されます。
共有 DACL オブジェクト
ACS 4.x では、共有ダウンロード可能アクセス コントロール リスト(DACL)は、アプリケーションから参照される共有オブジェクトとして定義されます。共有 DACL は、一連の ACL コンテンツで構成されます。各 ACL は、特定の Network Access Filtering(NAF; ネットワーク アクセス フィルタリング)選択と関連付けられています。オブジェクトが参照されると、最初に一致する NAF の条件によって使用される実際の ACL が異なります。
ACS 5.3 には、認可プロファイルからの DACL の選択の結果となる認可ポリシーが含まれます。したがって、ACS 4.x 共有 DACL に含まれる各 ACL は ACS 5.3 の別の DACL にマッピングされます。
• 「インポート」
データ マッピング
表 6-15 に、ACS 4.x および ACS 5.3 間の共有 DACL のデータのマッピングについて示します。
|
|
|
|
|---|---|---|
この属性は GUI で表示されませんが、ACL 定義の各アップデートでアップデートされます。オブジェクト作成の時間に設定されます。ACL 内の変更を検出するデバイスで使用します。 |
分析およびエクスポート
次の設定オプションが使用でき、分析およびインポート動作に影響を与えます。
• 各 ACL に作成されたオブジェクト名は DACL 名および ACL 名または ACL 名だけの組み合わせになります。
• 以前に説明した名前に加えて、プレフィクスを追加することもできます。
作成されたオブジェクト名は分析され、次の分析の問題がある場合は報告されます。
• オブジェクト名が 32 文字を超える場合には、オブジェクト名の最後の部分が 32 文字に切り詰められることを示すレポートが表示されます。
無効な文字は、名前の共有 DACL 部分または ACL 部分から取得されることがあります。DACL 名に無効な文字が含まれる場合、レポートはすべての ACL の組み合わせを表示します。
ヒント ACL 名が使用されていると、ACS 5.3 に同じ名前の複数の ACL レコードが作成されることがあります。ACL 名が一意であることや、重複する ACL が存在するが 1 つだけインポートすることを確認している場合のみ、このオプションを使用できます。
インポート
同じ名前の複数の DACL を作成することはできません。作成すると、インポート レポートに報告されます。これは、DACL 名に ACL オプションを使用して同じ ACL を含む複数の共有 ACL を移行する場合に起こります。
複数インスタンスのサポート
ACS 5.3 では、同じ名前の 2 つの DACL を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスのある DACL を作成することで各インスタンスに DACL を追加できます。複数インスタンスをサポートすることで、DACL を移行するときに次のいずれかのオプションを選択できます。
• インスタンスごとに異なる名前プレフィクスを定義して、異なる名前の DACL をすべてインポートします。
• プレフィクスを定義しないでください。固有の名前の DACL だけが移行されます。すでに存在する DACL は重複として報告されます。
共有 RAC
ACS 4.x では、RADIUS 認可コンポーネント(RAC)を含む共有プロファイル コンポーネントの定義および RADIUS 属性のセットと認可応答で返される値を定義することができます。これらの共有オブジェクトは ACS 5.3 で定義される認可プロファイルへの方向をマッピングします。
ACS 4.x では、属性はベンダー名と属性名の組み合わせとして GUI で識別されます。ACS 5.3 では、ディクショナリと属性名の組み合わせとして定義されます。内部では、ベンダーまたはディクショナリと属性は RADIUS 応答を作成する間に使用される ID で識別されます。
• 「インポート」
データ マッピング
表 6-16 に、ACS 4.x および ACS 5.3 間の共有 RACs のデータのマッピングについて示します。
|
|
|
|
|---|---|---|
[Authorization Profile] の [RADIUS Attributes] タブのセクションに手動で入力した属性のリストが表示されます。 |
分析およびエクスポート
エクスポート時は、共有 RAC に一部の特殊文字を使用できません。共有 RAC に次の文字が使用される場合は、分析レポートで報告されます。
ACS 4.x では、Microsoft ベンダー属性を RAC に含めることができますが、値はセットできず、 <Value set by ACS> という固定の文字列が表示されます。次の Microsoft ベンダー属性を選択できます。
ACS 5.3 では、これらの属性は設定できませんが、実行する認証のタイプや対応する必要な応答によっては、必要に応じてプロファイルに追加できます。これらの属性が ACS 4.x で定義されると、属性を含む RAC が移行されているが、属性が移行されていないことが分析レポートに記載されます。
インポート
すべての移行された RAC の名前に、追加する予定のプレフィクスを任意で設定することができます。ACS 5.3 では、属性は認可プロファイルに含まれます(該当するプロパティの次の条件に一致する場合)。
これらの条件を検証するインポート プロセスはプロファイルに含まれるすべての属性に当てはまります。インポート レポートの矛盾はすべて報告されます。
複数インスタンスのサポート
ACS 5.3 では、同じ名前の 2 つの RAC を定義できません。ただし、ACS 4.x インスタンスごとに名前のプレフィクスのある RAC を作成することで各インスタンスに RAC を追加できます。複数インスタンスをサポートすることで、RAC を移行するときに次のいずれかのオプションを選択できます。
• インスタンスごとに異なる名前プレフィクスを定義して、異なる名前の RAC をすべてインポートします。
• プレフィクスを定義しないでください。固有の名前の RAC だけが移行されます。すでに存在する RAC は重複として報告されます。
RADIUS VSA
ディクショナリとそのコンテンツ(属性定義)は ACS 4.x の重要な中心となる部分です。ディクショナリは RADIUS プロトコルの IETF によって指定された属性を定義し、さまざまなデバイス ベンダーによって定義されたベンダー固有属性(VSA)によって増加します。IETF 属性(属性 26)の 1 つの値にある構造化された名前空間が VSA に割り当てられます。
使用される属性の大部分が ACS と一緒に出荷されたディクショナリに事前に定義されています。ただし、ベンダーがデバイスの機能を拡張すると、新しい VSA が追加されます。
ACS の次のリリースよりも前にアップデートされたディクショナリを取得する場合には、コマンド ライン ユーティリティを使用して新しいベンダーの新しいディクショナリ スロットの定義を行い、ディクショナリの既存の属性を追加したり、またはすでに定義された VSA(たとえば、追加の列挙値など)を更新することができます。
移行時には、ディクショナリは各ベンダーの ACS 5.3 の不足した属性の識別を反復して行います。識別プロセスの間に、次の 2 つの状況が起こることがあります。
• ACS 5.3 ディクショナリにベンダーが存在しない場合、すべてのベンダー属性が移行されます。
• ACS 5.3 ディクショナリにベンダーが存在する場合、ACS 5.3 で定義されていない属性だけが移行されます。
Cisco Airespace 属性 Aire-QoS-Level(2) の場合、列挙値の詳細は ACS 4.1.x および ACS 5 で異なります。数値は移行されているため、この属性を含む RAC を使用して送信した応答には違いがなく、同じ数値が応答に送信されます。ただし、この値に対して ACS の GUI で表示される文字列は異なります。
たとえば、ACS 4.1.x では 1 の値が「 Silver 」と表示され、ACS 5.3 では「 Gold 」と表示されます。
表 6-17 に、ACS 4.1.x および ACS 5.3 間の Aire-QoS-Level (2) 値のマッピングを示します。
|
|
|
|---|---|
ACS 4.2 および ACS 5.3 間の Cisco Airespace 属性 Aire-QoS-Level(2) の列挙値の詳細は同じです。
• 「インポート」
データ マッピング
表 6-18 に、ACS 4.x および ACS 5.3 間の RADIUS ベンダーのデータ フィールドのマッピングについて示します。
|
|
|
|
|---|---|---|
次のキーのサブキーを列挙する間に、キーのパスにある重要性の低い装置を検査して ACS 4.x のベンダー ID が抽出されます。 |
表 6-19 に、ACS 4.x および ACS 5.3 間の RADIUS VSA のデータ フィールドのマッピングについて示します。
|
|
|
|
|---|---|---|
ベンダー キーのサブキーを列挙する間に、キーのパスにある重要性の低い装置を検査して ACS 4.x の属性番号が抽出されます。 |
||
分析およびエクスポート
RADIUS VSA の分析フェーズでは ACS 4.x のディクショナリ コンテンツの ACS 5.3 のディクショナリ コンテンツへのマージを中心に取り上げます。分析には次の 2 つの例があります
• 一般的に、ACS 4.x をサポートするベンダーにとって、ACS 5.3 のディクショナリはより最新のものとなります。ただし、新しい VSA を含めたり、既存の VSA を修正するために一部の ACS 4.x ベンダー ディクショナリを修正していることがあります(たとえば、新しい列挙値など)。移行動作は次のようになります。
– ACS 5.3 で定義された属性は移行の間は変更されません。そのような属性に対しては警告が表示されます。
– ACS 5.3 で定義されていないが、ACS 4.x に存在する属性は移行されます。
• ACS 4.x にインポートされたが、ACS 5.3 に存在しないベンダーは分析の警告が出ることなく移行されます。
(注) ACS 4.x および ACS 5.3 VSA 属性(プロファイル、名前、タイプ)の違いが分析レポートに報告されます。
インポート
EAP-Fast マスター キーおよび認証局 ID
ACS 5.3 では、ACS 4.x で認証されたすべてのオブジェクト(ユーザまたはデバイス)に対するサポートを保存できます。したがって、すべてのマスター キーおよび ACS 4.x からの認証局 ID が移行されます。
ACS 4.x のマスター キーは ACS 5.3 のスキーマとは異なるスキーマを持ち、さまざまな IM オブジェクトに移行されます。ACS 4.x は認証局 ID をノード単位で保存し、ACS 5.3 は認証局 ID をプライマリ データベースの中だけで保存して、展開全体に適用します。
• 「インポート」
データ マッピング
表 6-20 に、ACS 4.x および ACS 5.3 間の EAP-FAST マスター キーおよび認証局 ID のデータのマッピングについて示します。
|
|
|
|
|---|---|---|
1. データベース内のキーのリストから最後のキーを確認して、それが期限切れであるかを判断します。
2. キーの作成時間が現在のキーの KeyCtime として保存されます。
3. Calling Time(NULL) によって現在の時刻が計算されます。
4. TTL は [AuthenConfig] > [EAP-FAST] に保存されたキーのために保存されます。
5. 有効期限は、現在の時刻と非アクティブなマスター キー TTL を追加して計算されます。
たとえば、アクティブなマスター キー TTL が 1 か月として選択された場合は、1 * 30 * 24 * 3600 と同じです。
分析およびエクスポート
インポート
ACS 5.3 では、オブジェクトはマスター キーの表に追加され、GUI を使用して利用することができません。認証局 ID が EAP-FAST グローバル設定に移行されます。
複数インスタンスのサポート
ACS 5.3 では、同じ ID に 2 つのマスター キーを定義できません。一意のマスター キーだけが ACS 4.x の複数インスタンスから移行できます。
ACS 5.3 では、グローバルな EAP 設定として認証局 ID が保存されますが、ノード単位またはインスタンス単位では保存されません。したがって、1 つのインスタンスだけから移行することができます。
ACS 4.x データの分析およびエクスポート
移行ユーティリティのオプション 1 を選択して AnalyzeAndExport を実行します。 例 6-1(P.6-2) を参照してください。分析およびエクスポート フェーズは ACS 4.x の移行元マシンのバックアップから復元したデータを使用して ACS 4.x 移行マシン上で実行されます。AnalyzeAndExport 要約レポートで次の総数をリストします。
• 統合するデータ。「データの統合」を参照してください。
分析およびエクスポート フェーズを複数回実行して分析サイクル間の変更を設定できます。たとえば、ネットワーク デバイス用のオーバーラップする IP アドレスがあるとします。ACS 4.x アプリケーションを使用してこの問題を解決します。問題を解決して、分析およびエクスポート フェーズを再度実行し、インポート フェーズに進みます。「IP アドレスのオーバーラップ」を参照してください。
• 「データの統合」
例 6-2 に、分析およびエクスポート フェーズの要約レポートの例を示します。この例では、移行ユーティリティで option 3- AllDevicesObjects を選択した場合に生成されるレポートを示しています。
--------------------------------------------------------------------------------
Summary Report for phase AnalyzeAndExport
--------------------------------------------------------------------------------
Network Device Groups
--------------------------------------------------------------------------------
Total:3 Successful:3 Reported issues:0
--------------------------------------------------------------------------------
--------------------------------------------------------------------------------
Analysis and Export Report
--------------------------------------------------------------------------------
Network Device Group
--------------------------------------------------------------------------------
移行された属性のリストについては、 付録 A「移行ユーティリティでの ACS 5.3 属性サポート」 を参照してください。
データの統合
統合プロセスは分析およびエクスポート フェーズおよび次の場合に実行されます。
• 重複する ACS 4.x オブジェクトが ACS 5.3 に移行された 1 つのオブジェクトに縮小されていることを確認します。次に、このオブジェクトは ACS 5.3 ポリシーによって参照されます。
たとえば、複数のコマンド セットが異なるように見えるが、実際には同じコマンド セットであると分析レポートに表示されることがあります。これは、show または sho のようなコマンド セットのショートカットのことです。ACS 5.3 では、移行したコマンド セットの情報を組み込むようなポリシーを定義することができます。ACS 5.3 のポリシーの詳細については、『User Guide for Cisco Secure Access Control System 5.3』を参照してください。
分析およびエクスポート フェーズの結果の問題
すべてのデータ エントリが ACS 4.x から ACS 5.3 へ移行できるわけではありません。分析およびエクスポート フェーズでは、ネットワーク デバイスの IP アドレスのオーバーラップなどの問題を表示します。
ACS 4.x IP アドレス ネットワーク デバイス定義の別の問題として、ワイルドカードおよび範囲が含まれます。ACS 5.3 は標準的なサブネット マスク表現を使用します。したがって、ネットワーク デバイス定義には互換性がありません。
分析およびエクスポートではこれらの問題の詳細を報告します。ACS 4.x アプリケーションのこれらの問題に対応して、あとで分析およびエクスポートを再度実行できます。このプロセスは必要に応じて何度でも再実行できます。これらの問題を解決した後に、エクスポートしたデータを ACS 5.3 マシンにインポートすることができます。
ACS 5.3 への ACS 4.x データのインポート
移行ユーティリティのオプション 2 を選択してインポートを実行します。 例 6-1(P.6-2) を参照してください。このフェーズでは、エクスポート フェーズで作成した ACS 4.x データのエクスポート ファイルがインポートされます。
大規模なデータベースからデータを移行する場合に、インポート プロセスに時間がかかる場合があります。
(注) ACS 5.3 のインポートが失敗した場合は、ACS 5.3 データベースを復元します。
例 6-3 に、インポート フェーズの進捗レポートの例を示します。このフェーズでは 2 つのレポートを生成します。
• 例 6-4 にインポート要約レポートを示します。
• 例 6-5 にインポート レポートを示します。
---------------------------------------------------------------------------------------
Import Report
---------------------------------------------------------------------------------------
The following User Attributes were not imported:
---------------------------------------------------------------------------------------
1. Name: Real Name Comment: Attribute cannot be added.
2. Name: Description Comment: Attribute cannot be added.
The following Network Device Groups were not imported:
---------------------------------------------------------------------------------------
1. Name: Not Assigned Comment: Error 1: Failure to add object: Migrated NDGs:All Migrated NDGs:Not Assigned in function: createGroup
The following User Groups were not imported:
---------------------------------------------------------------------------------------
1. Name: IdentityGroup:All Groups:Migrated Group Comment: Failure to add object: IdentityGroup:All Groups:Migrated Group in function: createGroup
The following Group Shell Exec were not imported:
---------------------------------------------------------------------------------------
1. Name: ACS_Migrate_Priv Comment: customError CRUDex002 Object already exist exception
The following Group Command Set failed on import:
---------------------------------------------------------------------------------------
The following User Shell Exec were not imported:
---------------------------------------------------------------------------------------
The following User Command Set were not imported:
---------------------------------------------------------------------------------------
The following Shared Command Set were not imported:
---------------------------------------------------------------------------------------
The following Network Devices were not imported:
---------------------------------------------------------------------------------------
The following Users were not imported:
---------------------------------------------------------------------------------------
were not imported:
were not imported:
were not imported:
複数のインスタンスの移行
移行ユーティリティのオプション 4 を選択して、別の ACS 4.x インスタンスをインポートします。 例 6-1(P.6-2) を参照してください。複数の ACS 4.x インスタンスを ACS 5.3 にインポートすることができます。例 6-6 に、複数のインスタンスを移行する場合に表示されるプロンプトを示します。
別の ACS 4.x インスタンスのサーバ ID またはホスト名を入力した後、移行プロセス全体が再び開始されます。これにより、複数の ACS 4.x インスタンスを ACS 5.3 にインポートすることができます。
移行によるメモリおよびパフォーマンスへの影響
ACS 4.x 移行サーバからデータのエクスポートが実行されます。ACS 4.x 運用サーバまたはソース サーバから直接実行されることはありません。したがって、移行によって ACS 4.x 運用サーバのパフォーマンスが影響を受けることはありません。移行ユーティリティは標準的な PC 環境で実行できます。
レポートの印刷とレポート タイプ
移行ユーティリティのオプション 3 を選択して、フル レポートおよび要約レポートを CSV ファイル形式に出力します。 例 6-1(P.6-2) を参照してください。移行ディレクトリ内の config フォルダに、移行ユーティリティ レポートが保存されます。 config フォルダ内に、移行する
ACS 4.x サーバごとにサーバ ID と同じ名前の新しいフォルダが作成されます。
たとえば、サーバ ID が test1 の場合、 test1 が config フォルダの下に作成され、移行ユーティリティ レポートが保存されます。レポート名はサーバ ID と同じです。ここでは、次の内容について説明します。
• 「要約レポート」
表 6-21 に、移行フェーズと、各フェーズで生成されるレポートを示します。
|
|
|
|---|---|
表 6-22 で、移行ユーティリティ レポートについて説明します。
|
|
|
|---|---|
分析フェーズおよびエクスポート フェーズのフル レポート。移行できるオブジェクトの総数と各オブジェクトの説明コメントを示します。 |
|
分析レポートとエクスポート要約レポート
図 6-1 に、分析レポートとエクスポート要約レポートを示します。表 6-23 に、分析レポートとエクスポート要約レポートのカラムの定義を示します。
|
|
|
|---|---|
分析レポートとエクスポート フル レポート
図 6-2 に、分析レポートとエクスポート フル レポートを示します。表 6-24 に、分析レポートとエクスポート フル レポートのカラムの定義を示します。
|
|
|
|---|---|
分析フェーズおよびエクスポート フェーズのステータス。有効な値は success、error、および info(情報メッセージ)。 |
|
インポート要約レポート
図 6-3 にインポート要約レポートを示します。表 6-25 に、インポート要約レポートのカラムの定義を示します。
|
|
|
|---|---|
インポート フル レポート
図 6-4 にインポート フル レポートを示します。表 6-26 に、インポート フル レポートのカラムの定義を示します。
|
|
|
|---|---|
インポートの検証
インポート フェーズの完了後、インポート要約レポートを手動で分析する必要があります。これによって、次のリストが表示されます。
インポート フル レポートで、移行されなかったオブジェクトの情報を確認できます。これによって、次のリストが表示されます。
ACS 4.x オブジェクトのいずれかが移行されない場合、次の手順を実行する必要があります。
1. 移行されていないオブジェクトを手動で追加するか、または ACS 4.x アプリケーションでこれらの問題を解決します。
2. 分析フェーズおよびエクスポート フェーズを再実行します。
3. (インポートの前に)ACS 5.3 データベースを以前の状態に復元します。
(注) 移行が完了したことを確認するには、インポート要約レポートを分析してください。レポートにすべてのオブジェクトが正常に移行されたと表示されている場合、移行は完了です。
要約レポート
図 6-5 に、すべての移行フェーズについての要約レポート情報を示します。表 6-27 に、要約レポートのカラムの定義を示します。
|
|
|
|---|---|
フル レポート
図 6-6 に、すべての移行フェーズについてのフル レポート情報を示します。表 6-28 に、フル レポートのカラムの定義を示します。
|
|
|
|---|---|
エラーと例外の処理
分析フェーズとエクスポート フェーズまたはインポート フェーズで発生したエラー は、それぞれのレポートで報告されます。移行のエラーとその解決手順の詳細については、「移行の問題の解決」を参照してください。
さまざまな ACS オブジェクトの移行時に表示される可能性のあるエラーおよび通知メッセージについては、「移行ユーティリティ メッセージ」を参照してください。
移行の確認
ACS 5.3 ターゲット マシンにログインして、ACS 4.x の要素を正常に移行したことを確認します。移行フェーズで、ACS 4.x で定義された次の ACS 要素が ACS 5.3 に移行されます。
ACS 4.x オブジェクトにアクセスするには、『User Guide for Cisco Secure Access Control Server 4.2』に記載されている手順に従います。ACS 5.3 オブジェクトにアクセスするには、『User Guide for Cisco Secure Access Control System 5.3』に記載されている手順に従います。
• 「共有 RAC」
ユーザおよびユーザ グループ
図 6-7 に、ACS 4.x のユーザとユーザ グループを示し、図 6-8 に ACS 5.3 に移行されたユーザとユーザ グループを示します。[Users and Identity Stores] > [Internal Identity Stores] > [Users] を選択して、移行されたユーザとユーザ グループにアクセスします。
図 6-7 ACS 4.x で定義されたユーザとユーザ グループ
図 6-8 ACS 5.3 に移行されるユーザとユーザ グループ
コマンド シェルの移行
図 6-9 に ACS 4.x のコマンド シェル属性を示し、図 6-10 に ACS 5.3 にシェル プロファイルとして移行されたグループ シェル属性を示します。
[Policy Elements] > [Authorization and Permissions] > [Device Administration] > [Shell Profiles] を選択してから、[Edit] をクリックして、移行されたグループ シェル属性にアクセスします。
[User and Identity Stores] > [Internal Identity Stores] > [Users] を選択し、いずれかのユーザをクリックして、移行されたユーザ シェル属性にアクセスします。図 6-11 に、ACS 5.3 に移行されるユーザ シェル属性を示します。
図 6-9 ACS 4.x で定義されたコマンド シェル属性
図 6-10 ACS 5.3 に移行されるグループ シェル属性
図 6-11 ACS 5.3 に移行されるユーザ シェル属性
コマンド セットの移行
図 6-12 に ACS 4.x のコマンド シェルを示し、図 6-13 に ACS 5.3 に移行されたコマンド セットを示します。[Policy Elements] > [Device Administration] > [Command Sets] を選択して、移行されたコマンド セット属性にアクセスします。
NDG の移行
図 6-14 に ACS 4.x の NDG を示し、図 6-15 に ACS 5.3 に移行された NDG を示します。[Network Resources] > [Network Device Groups] を選択し、移行された NDG にアクセスします。
ネットワーク デバイスの移行
図 6-16 に ACS 4.x のネットワーク デバイスを示し、図 6-17 に ACS 5.3 に移行されたネットワーク デバイスを示します。[Network Resources] > [Network Devices and AAA Clients] を選択し、移行されたネットワーク デバイスにアクセスします。
図 6-16 ACS 4.x で定義されたネットワーク デバイス
図 6-17 ACS 5.3 に移行されたネットワーク デバイス
DACL の移行
図 6-18 に ACS 4.x のダウンロード可能アクセス コントロール リスト(DACL)を示し、図 6-19 に ACS 5.3 に移行された DACL を示します。
[Policy Elements] > [Authorization and Permissions] > [Named Permission Objects] > [Downloadable ACLs] を選択し、移行された DACL にアクセスします。
MAB の移行
図 6-20 に ACS 4.x で定義された MAC Authentication Bypass(MAB)を示し、図 6-21 に ACS 5.3 に移行された MAB を示します。
[Users and Identity Stores] > [Internal Identity Stores] > [Hosts] を選択して、[Create] をクリックし、移行された MAB にアクセスします。
共有 RAC
図 6-22 に ACS 4.x で定義された共有 RADIUS Authorization Component(RAC; RADIUS 認可コンポーネント)を示し、図 6-23 に ACS 5.3 に移行された共有 RAC を示します。
[Policy Elements] > [Authorization and Permissions] > [Network Access] > [Authorization Profiles] を選択し、移行された RAC にアクセスします。
RADIUS VSA
図 6-24 に ACS 4.x で定義された RADIUS VSA を示し、図 6-25 に ACS 5.3 に移行された RADIUS VSA を示します。
[System Administration] > [Configuration] > [Dictionaries] > [RADIUS] > [RADIUS VSA] を選択し、移行された RADIUS VSA にアクセスします。
図 6-25 ACS 5.3 に移行された RADIUS VSA
KEK キーと MACK キー
図 6-26 に ACS 4.x で定義された KEK キーと MACK キーを示し、図 6-27 に ACS 5.3 に移行された KEK キーと MACK キーを示します。
[Network Devices] > [Network Devices and AAA Clients] を選択し、デバイスを選択して [Edit] をクリックし、移行された KEK キーと MACK キーにアクセスします。
図 6-26 ACS 4.x で定義された KEK キーと MACK キー
図 6-27 ACS 5.3 に移行される KEK キーと MACK キー
フィードバック