- はじめに
- Cisco Secure ACS 5.1/5.2 から Cisco ISE 1.1 への移行概要
- Cisco Secure ACS-Cisco ISE Migration Tool について
- Cisco Secure ACS-Cisco ISE Migration Tool のインストール
- Cisco Secure ACS-Cisco ISE Migration Tool の使用
- Cisco Secure ACS 3.x および 4.x から ACS 5.1/5.2 へのデータ移行
- Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 のデータ構造マッピング
- Cisco Secure ACS-Cisco ISE Migration Tool のトラブルシューティング
- 用語集
- 索引
Cisco Secure ACS 5.1/5.2 用 Cisco Identity Services Engine Release 1.1.x 移行ガイド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月8日
章のタイトル: Cisco Secure ACS-Cisco ISE Migration Tool のインストール
Cisco Secure ACS-Cisco ISE Migration Tool のインストール
この章では、Cisco Secure Access Control System(ACS)-Cisco Identity Sevices Engine(ISE)Migration Tool のインストールに関する情報を提供します。また、重要な移行ツールのインストールに関する考慮事項、および移行プロセスについて以下のトピックで説明します。
•
「システム要件」
移行ツールのインストール ガイドライン
インストールを開始する前に、次のガイドラインをよく読んでください。
• ご使用の環境で、移行する準備ができていることを確認してください。Cisco Secure ACS 5.1/5.2 Windows または Linux のソース マシン以外に、シングルアプライアンスまたはデュアルアプライアンスの移行用の 1 つのデータベースを備えたセキュアな外部システム、およびターゲット システムとして、Cisco ISE 1.1 アプライアンスを展開する必要があります。
• Cisco Secure ACS 5.1/5.2 のソース マシンにシングル IP アドレスが設定されていることを確認してください。各インターフェイスが複数の IP アドレス エイリアスを持つ場合、移行のときに移行ツールは失敗します。
• ACS から ISE への移行が同じアプライアンス上で実行される場合に備えて、ACS データのバックアップが作成されていることを確認してください。
– Cisco ISE 1.1 がターゲット マシン上にインストールされている(デュアルアプライアンスの移行の場合)。
– CSACS-1121 アプライアンスを再作成するのに使用できる Cisco ISE 1.1 のソフトウェアがある(シングルアプライアンスの移行の場合)。
– Cisco Secure ACS 5.1/5.2 と Cisco ISE 1.1 の正しいクレデンシャルおよびパスワードをすべて保持している。
システム要件
Cisco Secure ACS マシンは 表 3-1 に説明するシステム要件を満たしている必要があります。すべてのマニュアルは Cisco.com で入手できます。
|
|
|
|---|---|
『 Installation Guide for Cisco Secure ACS for Windows 5.1 』を参照してください。Cisco Secure ACS 5.1 のソース マシンにシングル IP アドレスが設定されていることを確認します。 |
|
| • • |
|
Java JRE バージョン 1.6 以降の 32 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合は、移行ツールは機能しません。 |
|
Java JRE バージョン 1.6 以降の 64 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合は、移行ツールは機能しません。 |
|
Java JRE バージョン 1.6 以降の 32 ビットをインストールします。移行マシン上に Java JRE がインストールされていない場合は、移行ツールは機能しません。 |
セキュリティの考慮事項
移行プロセスのエクスポート フェーズでは、インポート プロセスの入力として使用されるデータ ファイルが作成されます。データ ファイルの内容は暗号化され、直接読み取ることはできません。
ユーザは、Cisco Secure ACS データをエクスポートし、それを Cisco ISE アプライアンスへ正常にインポートするために、Cisco Secure ACS 5.1/5.2 および Cisco ISE 1.1 の管理者のユーザ名およびパスワードを知っている必要があります。インポート ユーティリティによって作成されたレコードを監査ログ内で識別できるように、予約済みユーザ名を使用する必要があります。
データの移行および展開のシナリオ
Cisco Secure ACS-ISE Migration Tool は、Cisco Secure ACS 5.1/5.2 のデータ オブジェクトを Cisco ISE 1.1 へ移行する目的で設計されています。シングル アプライアンスにおけるデータ移行プロセスは、分散環境におけるアプライアンスのデータ移行プロセスとは異なります。以降のセクションでは、これらのトピックについてとりあげます。
• 「シングル Cisco Secure ACS アプライアンスからのデータ移行のガイドライン」
シングル Cisco Secure ACS アプライアンスからのデータ移行のガイドライン
ご使用の環境内にシングル Cisco Secure ACS アプライアンスがある場合(または複数の Cisco Secure ACS アプライアンスがあるが、分散した配置内にない場合)は、「ログインおよび移行ツールの使用」に記載されているように、Cisco Secure ACS-Cisco ISE Migration Tool を Cisco Secure ACS アプライアンスに対して実行します。
分散環境におけるデータ移行のガイドライン
分散環境で Cisco Secure ACS を実行することができます。たとえば、1 つのプライマリ Cisco Secure ACS アプライアンス、およびこのプライマリ アプライアンスと相互運用する 1 つ以上のセカンダリ Cisco Secure ACS アプライアンスがあるとします。分散環境で Cisco Secure ACS を実行する場合は、以下のようにする必要があります。
ステップ 1 プライマリ Cisco Secure ACS アプライアンスをバックアップし、それを移行マシン上で復元します。
ステップ 2 プライマリ Cisco Secure ACS アプライアンスに対して Cisco Secure ACS-Cisco ISE Migration Tool を実行します。
(注) 大規模な内部データベースがある場合、シスコではスタンドアロンのプライマリ アプライアンスから移行を実行し、複数のセカンダリ アプライアンスへ接続されているプライマリ アプライアンスへの移行は実行しないことを推奨しています。移行プロセスの完了後、セカンダリ アプライアンスを登録できます。
(注) Cisco Secure ACS-Cisco ISE Migration Tool は約 20 時間稼働して、10,000 個のデバイス、25,000 人のユーザ、100,000 個のホスト、100 個の ID グループ、420 個のダウンロード可能アクセス コントロール リスト(DACL)、320 個の許可プロファイル、6 個のデバイス階層、および 20 個のネットワーク デバイス グループ(NDG)を移行することができます。
(注) Cisco Secure ACS 5.1/5.2 のデータを Cisco ISE アプライアンスへ移行開始する準備ができた場合は、移行先がスタンドアロンの Cisco ISE ノードであることを確認します。移行が正常に終了した場合のみ、その後で何らかの展開設定(Administrator ISE や Policy Service ISE のペルソナなど)を開始することができます 移行のインポート フェーズは、サポートされているハードウェア アプライアンス上で、Cisco ISE ソフトウェアの新しい「クリーンな」インストールにおいて実行する必要があります。
Cisco Secure ACS-Cisco ISE Migration Tool のインストールおよび初期化
(注) 移行ツールは、Cisco ISE のフレッシュ インストール後、または application reset-config コマンドを使用して Cisco ISE アプリケーションの設定をリセットし、Cisco ISE データベースをクリアした後で実行する必要があります。このため、移行プロセスの完了前は、Cisco ISE FIPS モードを有効にすることはできません。
Cisco ISE ユーザ インターフェイスを使用して Cisco Secure ACS-Cisco ISE Migration Tool ファイルをダウンロードすることができます。
Cisco Secure ACS-Cisco ISE Migration Tool ソフトウェアをダウンロードして実行するには、以下の手順を完了します。
Cisco Secure ACS ソフトウェアおよび Cisco ISE ソフトウェアが複数のアプライアンスにインストールされている場合は、Cisco ISE ユーザ インターフェイスのアドレス バーで以下のコマンドを入力して移行ツールをダウンロードします。
https://<hostname-or-hostipaddress>/admin/migTool.zip
(注) 移行ツール ファイルのダウンロードで現在サポートされているブラウザは、Mozilla Firefox バージョン 3.6、6、7、8、9、および 10 のみです。Microsoft Windows Internet Explorer(IE8 および IE7)ブラウザは、このリリースでは現在サポートされていません。
ステップ 2 Cisco Secure ACS ソフトウェアおよび Cisco ISE ソフトウェアが同じアプライアンスにインストールされている場合、または新しい Cisco ISE ハードウェア アプライアンスを使用している場合は、移行ツール ファイルの migTool.zip を以下の場所からダウンロードします。
http://www.cisco.com/cisco/software/release.html?mdfid=283801620&flowid=26081&softwareid=283802505&release=1.1&relind=AVAILABLE&rellifecycle=&reltype=latest
ステップ 3 .zip ファイルを解凍します。図 3-1 は、Cisco Secure ACS-Cisco ISE Migration Tool ソフトウェアのディレクトリ構造を示しています。
図 3-1 Cisco ACS 5.1/5.2-Cisco ISE 1.1 Migration Tool のディレクトリ構造
ステップ 4 config.bat ファイルを編集して、移行プロセス用の Java ヒープ サイズに対してメモリの初期量を割り当てます(図 3-2 を参照してください)。メモリは、それぞれ 64 メガバイト、512 メガバイトにします。
ステップ 5 [保存(Save)] をクリックしてヒープ サイズの設定を保持します。
ステップ 6 migration.bat をクリックして移行プロセスを起動します。
初期化画面が表示されます(図 3-3 を参照してください)。
移行ツールが初期化された後でも、サポートされていない Cisco Secure ACS オブジェクトを引き続き移行する必要があります。以下のメッセージが表示されます(図 3-4 を参照してください)。
図 3-4 サポートされていないオブジェクトで表示されるメッセージ
ステップ 7 [はい(Yes)] をクリックして、サポートされていないオブジェクト、および一部しかサポートされていないオブジェクトのリストを表示します(図 3-5 を参照してください)。
図 3-5 未サポートおよび一部サポートのオブジェクトのリスト
[ヘルプ(Help)] > [未サポート オブジェクトの詳細(Unsupported Object Details)] を選択して、サポートされていないオブジェクトのリストを表示することもできます。
移行ツールを実行するには、「Cisco Secure ACS-Cisco ISE Migration Tool の使用」を参照してください。
フィードバック