Cisco Identity Services Engine、Release 1.2 Migration Tool ガイド

シングル Cisco Secure ACS アプライアンスからのデータの移行

ご使用の環境内にシングル Cisco Secure ACS アプライアンスがある場合（または複数の Cisco Secure ACS アプライアンスがあるが、分散した配置内にない場合）は、「Cisco Secure ACS データをエクスポートおよびインポートするための移行ツールの使用方法」に記載されているように、Cisco Secure ACS-Cisco ISE Migration Tool を Cisco Secure ACS アプライアンスに対して実行します。

図 3-1 は、Cisco ISE Release 1.0 ソフトウェアがインストールされるアプライアンスと同じアプライアンス上に、Cisco Secure ACS 5.1 がインストールされている展開シナリオを示しています（シングルアプライアンス展開）。他の Cisco Secure ACS Release から Cisco ISE リリースへのサポートされている移行については、 表 1-1 を参照してください。

図 3-1 シングル アプライアンスにインストールされる Cisco Secure ACS および Cisco ISE

また、Cisco Secure ACS および Cisco ISE が同じハードウェア（CSACS-1121 アプライアンス）を使用している場合も、次の移行手順を使用できます。

ステップ 1 Cisco Secure ACS to Cisco ISE Migration Tool を、スタンドアロンの Windows マシンにインストールします。

ステップ 2 Cisco Secure ACS アプライアンスから Cisco Secure ACS Release 5.3 データをエクスポートします。

ステップ 3 Cisco Secure ACS のデータをバックアップします。

ステップ 4 アプライアンスを Cisco ISE Release 1.2 ソフトウェアで再作成します。

ステップ 5 Cisco Secure ACS Release 5.3 のデータを Cisco ISE Release 1.2 アプライアンスへインポートします。

（注） Cisco Secure ACS Release 5.3 のデータを Cisco ISE Release 1.2 アプライアンスへ移行開始する準備ができた場合は、移行先がスタンドアロンの Cisco ISE ノードであることを確認します。移行が正常に終了した後に、何らかの展開設定（Administrator ISE や Policy Service ISE のペルソナなど）を開始することができます 移行のインポート フェーズは、サポートされているハードウェア アプライアンス上で、Cisco ISE ソフトウェアの新しい「クリーンな」インストールにおいて実行する必要があります。サポートされているハードウェア アプライアンスのリストについては、『Cisco Identity Services Engine Hardware Installation Guide, Release 1.2』を参照してください。

分散環境におけるデータの移行

分散環境では、1 つのプライマリ Cisco Secure ACS アプライアンス、およびこのプライマリ アプライアンスと相互運用する 1 つ以上のセカンダリ Cisco Secure ACS アプライアンスがあります。

図 3-2 は、Cisco Secure ACS および Cisco ISE が異なるアプライアンスにインストールされている場合の展開シナリオについて説明しています（デュアルアプライアンス展開）。

図 3-2 異なるアプライアンスにインストールされている Cisco Secure ACS および Cisco ISE

分散環境で Cisco Secure ACS を実行する場合は、以下のようにする必要があります。

ステップ 1 プライマリ Cisco Secure ACS アプライアンスをバックアップし、それを移行マシン上で復元します。

ステップ 2 プライマリ Cisco Secure ACS アプライアンスに対して Cisco Secure ACS to Cisco ISE Migration Tool を実行します。

（注） 大規模な内部データベースがある場合、シスコではスタンドアロンのプライマリ アプライアンスから移行を実行し、複数のセカンダリ アプライアンスへ接続されているプライマリ アプライアンスへの移行は実行しないことを推奨しています。移行プロセスの完了後、セカンダリ アプライアンスを登録できます。

（注） Cisco Secure ACS-Cisco ISE Migration Tool は約 20 時間稼働して、10,000 個のデバイス、25,000 人のユーザ、100,000 個のホスト、100 個の ID グループ、420 個のダウンロード可能アクセス コントロール リスト（DACL）、320 個の許可プロファイル、6 個のデバイス階層、および 20 個のネットワーク デバイス グループ（NDG）を移行することができます。

ポリシー規則の検証

Cisco Secure ACS と Cisco ISE のポリシー モデルは異なるので、バージョンが変わると、次の理由のためにすべての Cisco Secure ACS ポリシーおよび規則を移行できるとは限りません。

• ポリシーで使用されている属性がサポートされていない

• 構造がサポートされていない、または条件付きである（大半は、以前に複雑な条件が設定されている）

• 演算子がサポートされていない

ルールが移行できない場合、データ整合性だけでなく、セキュリティ面のために、全体としてのポリシー モデルは移行できませんでした。ポリシーのギャップ分析レポートで問題のあるルールの詳細情報を表示できます。サポート対象外のルールを修正または削除しない場合、ポリシーは Cisco ISE へ移行されません。

Cisco Secure ACS Release 5.3 からの移行の準備

Cisco ISE Release 1.2 のポリシー セット モードでのみ Cisco Secure ACS Release 5.3 データを移行する必要があります。

Cisco Secure ACS から正常に移行した後に簡易モードに変更しないことを推奨します。Cisco ISE に移行されたすべてのポリシーが失われる可能性があるからです。それらの移行されたポリシーを取得することはできませんが、簡易モードからポリシー セット モードに切替えることができます。

Cisco Secure ACS データを Cisco ISE に移行し始める前に、次のことを考慮してください。

• Cisco ISE Release 1.2 の新規インストール上に移行します。

• サービス セレクション ポリシー（SSP）の有効なルールごとに 1 つのポリシー セットを生成し、SSP のルール順序に従って順序付けします。

（注） SSP のデフォルト規則の結果であるサービスは、Cisco ISE Release 1.2 で設定されたデフォルト ポリシーになります。移行プロセスで作成されたすべてのポリシー セットで、最初の一致ポリシー セットが一致タイプになります。

ポリシー サービスの移行のガイドライン

Cisco Secure ACS から Cisco ISE へのポリシー サービスの移行を確実するには、次を確認する必要があります。

• Cisco Secure ACS Release 5.3 で無効またはモニタになっている SSP ルールを持つサービス セレクション ポリシー（SSP）がある場合、それらは Cisco ISE に移行されません。

• Cisco Secure ACS Release 5.3 のデバイス管理サービスを要求する有効な SSP ルールがある場合、それは Cisco ISE に移行されません。Cisco ISE は、デバイス管理をサポートしていません。

• Cisco Secure ACS Release 5.3 のプロキシサービスを要求する有効な SSP ルールがある場合、それは Cisco ISE に移行されません。プロキシ サービスを実装する Cisco ISE は異なります。

• Cisco Secure ACS Release 5.3 のグループ マッピング ポリシーを含むネットワーク アクセス サービスを要求する有効な SSP ルールがある場合、それは Cisco ISE に移行されません。Cisco ISE は、グループ マッピング ポリシーをサポートしません。

• ID ポリシーに Cisco Secure ACS Release 5.3 の RADIUS ID サーバになるルールが含まれるサービスを要求する有効な SSP ルールがある場合、それは Cisco ISE に移行されません。認証に RADIUS ID サーバを使用する Cisco ISE は異なります。

• Cisco Secure ACS Release 5.3 の属性またはポリシー要素を使用するポリシーを含むサービスを要求する有効な SSP ルールがある場合、それは Cisco ISE に移行されません。

ポリシー サービスごとの移行のガイドライン

はじめる前に

「Cisco Secure ACS Release 5.3 からの移行の準備」 を参照してください。

• Cisco ISE のサービスの名前を使用してポリシー セットを作成できます。ポリシー セットが Cisco Secure ACS Release 5.3 の SSP デフォルト規則の結果であるサービスに一致する場合、ポリシー セットは Cisco ISE Release 1.2 のデフォルトのポリシー セットになります。

• Cisco Secure ACS Release 5.3 の SSP ルールの条件は、Cisco ISE Release 1.2 のポリシー セットのエントリ条件になります。Cisco ISE Release 1.2 のデフォルトのポリシー セットの場合、必要なエントリ条件はありません。

• Cisco Secure ACS Release 5.3 の DenyAccess サービスを Cisco ISE Release 1.2 に変換すると、認証および許可ポリシーが次のように変更されます。

– 許可ポリシーでのみ、結果を持つデフォルトの外部ルールが、許可されるプロトコルに対して Default Network Access に設定され、ID ソースに対して DenyAccess に設定されます。

– 許可ポリシーでのみ、デフォルトのルール セットが DenyAccess に設定されます（標準権限）。

• Cisco Secure ACS Release 5.3 のサービスの ID ポリシーを、Cisco ISE Release 1.2 のポリシー セットの許可ポリシーに変換する場合、次の手順を実行します。

– 単一で有効な外部ルールを持つ許可ポリシーを作成します。

– 外部ルールの条件をデバイスとして指定します。場所はすべての場所で開始します（これは常に一致した条件です）。

– デフォルトの外部ルールの結果を、許可されるプロトコルに対して Default Network Access に設定し、ID ソースに対して DenyAccess に設定します。

外部ルールの結果は、関連するサービスの許可されたプロトコルです。認証ポリシーの内部ルールは、関連する ID ポリシーのルールです。認証ポリシーの内部ルールの順序は、関連する ID ポリシーのルールと同じ順序に従います。認証ポリシーの内部ルールの状態（有効、無効、またはモニタ）は、関連する ID ポリシー規則の状態従います。

• Cisco Secure ACS Release 5.3 のサービスの許可ポリシーを、Cisco ISE Release 1.2 のポリシー セットの許可ポリシーに変換する場合、

– ローカル例外許可ポリシーのポリシー セットのルールは、関連するサービスの例外許可ポリシーのルールです。

– 許可ポリシーのポリシー セットのルールは、関連するサービスの許可ポリシーのルールです。

– ローカル例外許可ポリシーおよび許可ポリシーのポリシー セットのルールの順序は、関連するサービスのローカル例外許可ポリシーおよび許可ポリシーのルールの順序に従います。

– ローカル例外許可ポリシーおよび許可ポリシーのポリシー セットのルールの状態（有効、無効、モニタ）は、関連するサービスのローカル例外許可ポリシーおよび許可ポリシーのルールの状態に従います。