移行されるデータ オブジェクト
以下のデータ オブジェクトは、Cisco Secure Access Control System(ACS)5.1/5.2 から Cisco Identity Services Engine(ISE)1.1 へ移行されます。
• ネットワーク デバイス グループ(NDG)タイプと階層
• ネットワーク デバイス
• デフォルト ネットワーク デバイス
• 外部 RADIUS サーバ
• ID グループ
• 内部ユーザ
• 内部エンドポイント(ホスト)
• Lightweight Directory Access Protocol(LDAP)
• Microsoft Windows Active Directory(AD)
• RSA(一部サポート、 表 A-25 を参照)
• RADIUS トークン( 表 A-24 を参照)
• 証明書認証プロファイル
• 日付と時間の条件(一部サポート、 移行ポリシーを参照)
• RADIUS 属性およびベンダー固有属性(VSA)の値( 表 A-5 および 表 A-6 を参照)
• RADIUS ベンダー ディクショナリ( 表 A-5 および 表 A-6 の注釈を参照)
• 内部ユーザ属性( 表 A-1 および 表 A-2 を参照)
• 内部エンドポイント属性(「一般的な移行ルール」 を参照)
• 許可プロファイル
• ダウンロード可能アクセス コントロール リスト(DACL)
• ID(認証)ポリシー
• ネットワーク アクセスの許可ポリシー
• ネットワーク アクセスの許可例外ポリシー
• ネットワーク アクセスのサービス選択ポリシー
• RADIUS プロキシ サービス
• ユーザ パスワードの複雑度
• ID 順序および RSA プロンプト
• UTF-8 データ(「UTF-8 のサポート」 を参照)
移行されないデータ オブジェクト
以下のデータ オブジェクトは、Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されません。
• モニタリング レポート
• スケジュール バックアップ
• リポジトリ
• 管理者、ロール、および管理者の設定
• カスタマー/デバッグ ログ設定
• 展開情報(セカンダリ ノード)
• 証明書(認証局およびローカル証明書)
• Security Group Access Control List(SGACL)
• Security Group(SG)
• サポートされている Security Group Access(SGA)デバイスの AAA サーバ
• SG マッピング
• Network Device Admission Control(NDAC)ポリシー
• SGA 出力マトリクス(SGA)
• ネットワーク デバイス内の SGA データ
• SGA 許可ポリシー結果のセキュリティ グループ タグ(SGT)
• ネットワーク条件(エンド ステーション フィルタ、デバイス フィルタ、デバイス ポート フィルタ)
• デバイス管理認証および許可ポリシー
一部が移行されるデータ オブジェクト
以下のデータ オブジェクトは、Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ一部が移行されます。
• 日付型の ID およびホスト属性は移行されない。
• RSA sdopts.rec ファイルおよびセカンダリ情報は移行されない。
• RADIUS ID サーバ属性(属性 CiscoSecure-Group-Id のみ移行される)。
一般的な移行ルール
Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へデータを移行する場合に、以下の移行ルールを考慮します。
• 特殊文字は移行されない。
• enum 型の属性(RADIUS、VSA、ID、およびホスト)は、使用可能な値を持つ整数として移行される。
• (属性のデータ型に関係なく)すべてのエンドポイント属性は String データ型として移行される。
• ISE ログに追加される RADIUS 属性および VSA 値をフィルタすることはできない。
移行ポリシー
認証および許可ポリシーは、Cisco Secure ACS から Cisco ISE へ移行されます。ACS と ISE には簡易認証およびルールベースの認証の両方のパラダイムがありますが、ACS と ISE は別のポリシー モデルに基づいています。ACS と ISE のポリシー モデルが異なるために、すべての ACS ポリシーおよびルールを移行することはできません。主な理由は以下のとおりです。
• ポリシーで使用されている属性がサポートされていない
• 構造がサポートされていない、または条件付きである(大半は、以前に複雑な条件が設定されている)
• 演算子がサポートされていない(「begin with」など)
ルールを移行できない場合は、ポリシー全体は移行されず、その理由と詳細が Policy Gap Analysis レポートに記載されます。レポートを表示して、問題のあるルールを削除または修正することができます。Policy Gap Analysis レポートの詳細については、「レポート」を参照してください。
(注) サポート対象外のルールを修正または削除しない場合、ポリシーは Cisco ISE へ移行されません。
Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への移行ポリシーのガイドラインは以下のとおりです。
• データ型が「string」以外のユーザ属性を含む条件付きルールは移行されません。
• 条件でホスト属性を参照している場合、認証は失敗します。
• ホスト(エンドポイント)属性を持つ条件が含まれている許可ポリシーは、Cisco ISE 許可ポリシーへ移行されません。
• 反復的な週次設定を持つ許可ポリシー内の日時条件は、Cisco ISE へ移行されません。結果として、ルールも移行されません。
• 認証ポリシー内の日時条件は Cisco ISE へ移行されません。結果として、ルールも移行されません。
• 以下のオペランドは、条件内ではサポートされていません。
– String :start with、end with、contains、not contains
– Date and time :not in
– Identity group :not in
条件内でこれらのオペランドを使用しているルールも移行されません。
• a || b || c || .. や a && b && c && .. 以外の論理式((a || b) && c など)を持つ複合条件が含まれている認証ポリシーは移行されません。a && b && c && 以外のローカル式を持つ複合条件が含まれている許可ポリシーは、ルール条件の一部として移行されません。代わりに、いくつかの高度な論理式に対してライブラリ複合条件を手動で使用することができます。
• ネットワーク条件のみが含まれているルールは移行されません。条件にネットワーク条件、およびサポート対象の他の条件が含まれている場合、ネットワーク条件は無視され、ルール条件の一部として移行されません。
• Cisco ISE は TACACS をサポートしていません。このため、TACACS 属性を使用しているすべての ACS ルールは移行されません。
(注) エクスポート フェーズ中に、Cisco ACS 5.1/5.2-ISE 1.1 Migration Tool が、(このセクションに記載されている移行ガイドラインのいずれかと照合して)認証ポリシーと許可ポリシー間の差異を認識した場合は、Policy Gap Analysis レポートに記載されます。差異が認識された場合、移行の実施管理者は、責任を持ってルールの修正または削除を行う必要があります。このようなルールが修正または削除されない場合、ポリシーは Cisco ISE へ移行されません。
サポート対象属性およびデータ型
以下の表に、移行されるサポート対象の属性、およびそのターゲット データ型を記載しています。
表 A-1 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されるユーザ属性
|
|
String |
String |
UI32 |
未サポート |
IPv4 |
未サポート |
Boolean |
未サポート |
Date |
未サポート |
Enum |
未サポート |
表 A-2 ユーザ属性:ユーザとの関連
|
|
String |
サポート |
UI32 |
-- |
IPv4 |
-- |
Boolean |
-- |
Date |
-- |
表 A-3 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行されるホスト属性
|
|
String |
String |
UI32 |
UI32 |
IPv4 |
IPv4 |
Boolean |
Boolean |
Date |
未サポート |
Enum |
使用可能な値の整数 |
表 A-4 ホスト属性:ホストとの関連
|
|
String |
サポート |
UI32 |
サポート(値は String に変換される) |
IPv4 |
サポート(値は String に変換される) |
Boolean |
サポート(値は String に変換される) |
Date |
サポート(値は String に変換される) |
Enum |
サポート(値は String に変換される) |
表 A-5 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へ移行される RADIUS 属性
|
|
UI32 |
UI32 |
UI64 |
UI64 |
IPv4 |
IPv4 |
Hex String |
Octect String |
String |
String |
Enum |
使用可能な値の整数 |
表 A-6 RADIUS 属性:RADIUS サーバとの関連
|
|
UI32 |
サポート |
UI64 |
サポート |
IPv4 |
サポート |
Hex String |
サポート(Hex string は Octet String に変換される) |
String |
サポート |
Enum |
サポート(Enum は使用可能な値の整数) |
データ情報マッピング
このセクションでは、エクスポート中にマッピングされるデータ情報が記載されている一連の表を提供します。これらの表には、各オブジェクトについて Cisco Secure ACS 5.1/5.2 のカテゴリ、および Cisco ISE 1.1 におけるそれらと同等のカテゴリが含まれています。このセクションのデータ マッピング表には、移行プロセスのエクスポート ステージ中のデータ移行でマップされるデータ オブジェクトのステータス(有効または無効)が記載されています。
• 表 A-7(ネットワーク デバイス プロパティ マッピング)
• 表 A-8(Active Directory プロパティ マッピング)
• 表 A-9(外部 RADIUS サーバ プロパティ マッピング)
• 表 A-10(ホスト/エンドポイント プロパティ マッピング)
• 表 A-11(ID ディクショナリ プロパティ マッピング)
• 表 A-12(ID グループ プロパティ マッピング)
• 表 A-13(LDAP プロパティ マッピング)
• 表 A-14(NDG タイプ マッピング)
• 表 A-15(NDG 階層マッピング)
• 表 A-16(RADIUS ディクショナリ ベンダー マッピング)
• 表 A-17(RADIUS ディクショナリ属性マッピング)
• 表 A-18(ユーザ マッピング)
• 表 A-19(証明書認証プロファイル)
• 表 A-20(許可プロファイル マッピング)
• 表 A-21(DACL マッピング)
• 表 A-22(外部 RADIUS サーバ マッピング)
• 表 A-23(ID 属性ディクショナリ マッピング)
• 表 A-24(RADIUS トークン マッピング)
• 表 A-25(RSA マッピング)
• 表 A-26(RSA プロンプト)
• 表 A-27(ID ストア順序)
• 表 A-28(デフォルト ネットワーク デバイス)
(注) エクスポート レポートおよびインポート レポートには、情報、警告、エラー メッセージが含まれており、インポート プロセスとエクスポート プロセスの検証として機能します。
表 A-7 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのネットワーク デバイス マッピング
|
|
Name |
そのまま移行 |
Description |
そのまま移行 |
Network device group |
そのまま移行 |
Single IP address |
そのまま移行 |
Single IP and subnet address |
そのまま移行 |
Collection of IP and subnet addresses |
そのまま移行 |
TACACS information |
TACACS は Cisco ISE 1.1 でサポート対象外のため移行されません。 |
RADIUS shared secret |
そのまま移行 |
CTS |
そのまま移行 |
SNMP |
SNMP データは Cisco ISE でのみ使用できるため、移行されたデバイス用の SNMP 情報はありません。 |
Model name |
これは Cisco ISE でのみ有効なプロパティです(値はデフォルトで「unknown」)。 |
Software version |
これは Cisco ISE でのみ有効なプロパティです(値はデフォルトで「unknown」)。 |
(注) TACACS としてのみ設定されているネットワーク デバイスは移行に対してサポートされていません。これらのデバイスは移行されないデバイスとして記載されます。
表 A-8 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への Active Directory マッピング
|
|
Domain name |
そのまま移行 |
User name |
そのまま移行 |
Password |
そのまま移行 |
Allow password change |
そのまま移行 |
Allow machine access restrictions |
そのまま移行 |
Aging time |
そのまま移行 |
User attributes |
そのまま移行 |
Groups |
そのまま移行 |
(注) Cisco Secure ACS-Cisco ISE Migration Tool は、Active Directory データが移行された後で join コマンドを発行します。ドメイン名、ユーザ名、およびパスワードが不正な場合、この「join」動作は失敗することがあります。また、Cisco ISE アプライアンスが AD のサーバ時間と正確に同期していることが重要です。同期していない場合は、「join」動作中に失敗することがあります。
表 A-9 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への外部 RADIUS サーバ マッピング
|
|
Name |
そのまま移行 |
Description |
そのまま移行 |
Server IP address |
そのまま移行 |
Shared secret |
そのまま移行 |
Authentication port |
そのまま移行 |
Accounting port |
そのまま移行 |
Server timeout |
そのまま移行 |
Connection attempts |
そのまま移行 |
表 A-10 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのホスト(エンドポイント)マッピング
|
|
MAC address |
そのまま移行 |
Status |
移行されない |
Description |
そのまま移行 |
Identity group |
エンドポイント グループとの関連を移行します。 |
Attribute |
エンドポイント属性が移行されます。 |
Authentication state |
これは Cisco ISE で有効なプロパティです(値は固定値「Authenticated」)。 |
Class name |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。 |
Endpoint policy |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Matched policy |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Matched value |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「0」)。 |
NAS IP address |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「0.0.0.0」)。 |
OUI |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「TBD」)。 |
Posture status |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「Unknown」)。 |
Static assignment |
これは Cisco ISE でのみ有効なプロパティです(値は固定値「False」)。 |
表 A-11 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID ディクショナリ マッピング
|
|
Attribute |
Attribute name |
Description |
Description |
Internal name |
Internal name |
Attribute type |
Data type |
Maximum length |
移行されない |
Default value |
移行されない |
Mandatory fields |
移行されない |
User |
ディクショナリ プロパティはこの値(「user」)を承認します。 |
表 A-12 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID グループ マッピング
|
|
Name |
Name |
Description |
Description |
Parent |
このプロパティは、階層の詳細の一部として移行されます。 |
(注) Cisco ISE にはエンドポイント グループおよび ID グループが含まれています。Cisco Secure ACS 5.1/5.2 の ID グループは Cisco ISE へ、エンドポイント グループおよび ID グループとして移行されます。これは、ユーザを ID グループに割り当て、エンドポイントをエンドポイント グループに割り当てる必要があるためです。
表 A-13 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への LDAP マッピング
|
|
Name |
Name |
Description |
Description |
Server connection information |
そのまま移行([サーバ接続(Server Connection)] タブ、図 A-1 を参照)。 |
Directory organization information |
そのまま移行([ディレクトリ構成(Directory Organization)] タブ、図 A-2 を参照) |
Directory groups |
そのまま移行 |
Directory attributes |
移行は(Cisco Secure ACS-Cisco ISE Migration Tool を使用して)手動で行われます。 |
図 A-1 [サーバ接続(Server Connection)] タブ
図 A-2 [ディレクトリ構成(Directory Organization)] タブ
表 A-14 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への NDG タイプ マッピング
Cisco Secure ACS 5.1/5.2 のプロパティ
|
|
Name |
Name |
Description |
Description |
(注) Cisco Secure ACS 5.1/5.2 は、同じ名前の複数のネットワーク デバイス グループ(NDG)の所有をサポートすることができます。Cisco ISE は、この命名規則をサポートしていません。したがって、定義されている名前の最初の NDG タイプのみが移行されます。
表 A-15 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への NDG 階層マッピング
|
|
Name |
Name |
Description |
Description |
Parent |
このプロパティには特別なプロパティは関連付けられません。この値は、NDG 階層名の一部としてのみ入力されるためです(NDG タイプはこのオブジェクト名のプレフィックスです)。 |
(注) コロン(:)を持つルート名が含まれている NDG は移行されません。これは、Cisco ISE 1.1 で、コロンを有効な文字として認識しないためです。
表 A-16 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RADIUS ディレクトリ(ベンダー)マッピング
|
|
Name |
Name |
Description |
Description |
Vendor ID |
Vendor ID |
Attribute prefix |
このプロパティは移行する必要ありません。 |
Vendor length field size |
Vendor attribute type field length. |
Vendor type field size |
Vendor attribute size field length. |
(注) Cisco Secure ACS 5.1/5.2 インストールの一部ではない、これらの RADIUS ベンダーのみ移行する必要があります(これはユーザ定義ベンダーにのみ影響します)。
表 A-17 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RADIUS ディクショナリ(属性)マッピング
|
|
Name |
Name |
Description |
Description |
Attribute ID |
この値には特定のプロパティを関連付けられません。この値は、NDG 階層名の一部としてのみ入力されるためです。(NDG タイプはこのオブジェクト名のプレフィックスです)。 |
Direction |
Cisco ISE ではサポート対象外 |
Multiple allowed |
Cisco ISE ではサポート対象外 |
Attribute type |
そのまま移行 |
Add policy condition |
Cisco ISE ではサポート対象外 |
Policy condition display name |
Cisco ISE ではサポート対象外 |
(注) Cisco Secure ACS 5.1/5.2 インストールの一部ではない、これらの RADIUS 属性のみ移行する必要があります(ユーザ定義属性のみ移行する必要があります)。
表 A-18 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのユーザ マッピング
|
|
Name |
Name |
Description |
Description |
Status |
このプロパティは移行する必要ありません。(このプロパティは Cisco ISE には存在しません)。 |
Identity group |
Cisco ISE の ID グループへ移行します。 |
Password |
Password |
Enable password |
このプロパティは移行する必要ありません。(このプロパティは Cisco ISE には存在しません)。 |
Change password on next login |
このプロパティは移行する必要ありません。 |
User attributes list |
ユーザ属性は Cisco ISE からインポートされ、ユーザに関連付けられます。 |
表 A-19 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への証明書認証プロファイル マッピング
|
|
Name |
Name |
Description |
Description |
Principle user name(X.509 属性) |
Principle user name(X.509 属性) |
Binary certificate comparison with certificate from LDAP or AD |
Binary certificate comparison with certificate from LDAP or AD |
AD - LDAP name for certificate fetching |
AD - LDAP name for certificate fetching |
表 A-20 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への許可プロファイル マッピング
|
|
Name |
Name |
Description |
Description |
DACLID(ダウンロード可能 ACL ID) |
そのまま移行 |
Attribute type(静的および動的) |
• 静的属性の場合はそのまま移行されます。 • 動的属性の場合は、Dynamic VLAN は除き、そのまま移行されます。 |
Attributes(静的タイプに対してのみフィルタされる) |
RADIUS attributes |
表 A-21 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのダウンロード可能 ACL マッピング
|
|
Name |
Name |
Description |
Description |
DACL content |
DACL content |
表 A-22 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への外部 RADIUS サーバ マッピング
|
|
Name |
Name |
Description |
Description |
Server IP address |
Hostname |
Shared secret |
Shared secret |
Authentication port |
Authentication port |
Accounting port |
Accounting port |
Server timeout |
Server timeout |
Connection attempts |
Connection attempts |
表 A-23 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID 属性ディクショナリ マッピング
|
|
Attribute |
Attribute name |
Description |
Internal name |
Name |
そのまま移行 |
Attribute type |
Data type |
該当プロパティなし |
Dictionary(ユーザ ID 属性の場合は値「InternalUser」で設定し、ホスト ID 属性の場合は「InternalEndpoint」で設定します)。 |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値 = display name |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値 = internal name |
Cisco Secure ACS からまだエクスポートまたは抽出されていない |
使用可能な値はデフォルトです。 |
Maximum length |
なし |
Default value |
なし |
Mandatory field |
なし |
Add policy condition |
なし |
Policy condition display name |
なし |
表 A-24 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 RADIUS へのトークン マッピング
|
|
Name |
Name |
Description |
Description |
Safeword server |
Safeword server |
Enable secondary appliance |
Enable secondary appliance |
Always access primary appliance first |
Always access primary appliance first |
Fallback to primary appliance in minutes |
Fallback to primary appliance in minutes |
Primary appliance IP address |
Primary appliance IP address |
Primary shared secret |
Primary shared secret |
Primary authentication port |
Primary authentication port |
Primary appliance TO (timeout) |
Primary appliance TO |
Primary connection attempts |
Primary connection attempts |
Secondary appliance IP address |
Secondary appliance IP address |
Secondary shared secret |
Secondary shared secret |
Secondary authentication port |
Secondary authentication port |
Secondary appliance TO |
Secondary appliance TO |
Secondary connection attempts |
Secondary connection attempts |
Advanced > treat reject as authentication flag fail |
Advanced > treat reject as authentication flag fail |
Advanced > treat rejects as user not found flag |
Advanced > treat rejects as user not found flag |
Advanced > enable identity caching and aging value |
Advanced > enable identity caching and aging value |
Shell > prompt |
Authentication > prompt |
Directory attributes |
Authorization > attribute name(Cisco Secure ACS のディクショナリ属性リストに属性「CiscoSecure-Group-Id」が含まれている場合は、この属性に移行されます。それ以外の場合はデフォルト値は「CiscoSecure-Group-Id」になります)。 |
表 A-25 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RSA マッピング
|
|
Name |
Name は常に RSA |
Description |
移行されない |
Realm configuration file |
Realm configuration file |
Server TO |
Server TO |
Reauthenticate on change to PIN |
Reauthenticate on change to PIN |
RSA instance file |
移行されない |
Treat rejects as authentication fail |
Treat rejects as authentication fail |
Treat rejects as user not found |
Treat rejects as user not found |
Enable identity caching |
Enable identity caching |
Identity caching aging time |
Identity caching aging time |
表 A-26 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への RSA プロンプト
|
|
Passcode prompt |
Passcode prompt |
Next Token prompt |
Next Token prompt |
PIN Type prompt |
PIN Type prompt |
Accept System PIN prompt |
Accept System PIN prompt |
Alphanumeric PIN prompt |
Alphanumeric PIN prompt |
Numeric PIN prompt |
Numeric PIN prompt |
表 A-27 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への ID ストア順序
|
|
Name |
Name |
Description |
Description |
Certificate based, certificate authentication profile |
Certificate based, certificate authentication profile |
Password based |
Authentication search list |
Advanced options > if access on current IDStore fails than break sequence |
Do not access other stores in the sequence and set the "AuthenticationStatus" attribute to "ProcessError." |
Advanced options > if access on current IDStore fails then continue to next |
Treated as "User Not Found" and proceed to the next store in the sequence. |
Attribute retrieval only > exit sequence and treat as "User Not Found" |
未サポート(無視される) |
表 A-28 Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 へのデフォルト ネットワーク デバイス
|
|
Default network device status |
Default network device status |
Network device group |
移行されない |
Authentication Options - Tacacs+ |
移行されない |
RADIUS - shared secret |
Shared Secret |
RADIUS - CoA port |
移行されない |
RADIUS - Enable keywrap |
Enable keyWrap |
RADIUS - Key encryption key |
Key encryption key |
RADIUS - Message authenticator code key |
Message authenticator code key |
RADIUS - Key input format |
Key input format |