Cisco Cisco Identity Services Engine 1.3 Manual Técnica
思科安全 ACS 策略规则迁移指南
鉴于安全因素以及数据完整性,当无法迁移规则时,无法整体迁移策略模型。 您可以在 Policy Gap
Analysis Report 中查看有问题的规则的详细信息。 如果您不修改或删除不支持的规则,则策略无法
迁移至思科 ISE。
Analysis Report 中查看有问题的规则的详细信息。 如果您不修改或删除不支持的规则,则策略无法
迁移至思科 ISE。
总之,从 5.5/5.6 版本思科安全 ACS 将数据迁移至 1.4 版本思科 ISE 时,必须考虑以下规则:
• 不迁移包含特殊字符的对象。
• 枚举类型的属性(RADIUS、VSA、身份和主机)按照采用允许值的整数迁移。
• 所有终端属性(无论属性数据类型如何)都按照字符串数据类型迁移。
• RADIUS 属性和 VSA 值无法过滤并添加至思科 ISE 日志。
不支持的规则元素
思科安全 ACS 和思科 ISE 是基于不同的策略模型,而且在将其迁移至思科 ISE 时,思科安全 ACS
数据块之间也有差异。 当思科安全 ACS 和思科 ISE 版本改变时,由于以下原因,并非所有思科安全
ACS 策略和规则都可以迁移:
数据块之间也有差异。 当思科安全 ACS 和思科 ISE 版本改变时,由于以下原因,并非所有思科安全
ACS 策略和规则都可以迁移:
• 策略所使用的属性不受支持
• AND/OR 条件结构不受支持(主要是在配置了复杂条件的情况下)
• 运算符不受支持
表 6:不支持的规则元素
说明
支持状态
规则元素
具有按周循环设置的授权策略中的日期和时间条
件无法迁移至思科 ISE。 这样,其规则也无法迁
移。
件无法迁移至思科 ISE。 这样,其规则也无法迁
移。
不支持
日期和时间
身份验证策略中的日期和时间条件无法迁移至思
科 ISE。 这样,其规则也无法迁移。
科 ISE。 这样,其规则也无法迁移。
不支持
日期和时间
“In”操作数用于分级,而“Is”仅用于字符串
类型。 这可以使用“Matches”进行转换。
类型。 这可以使用“Matches”进行转换。
部分支持
In
“Not In”操作数用于分级,而“Is”仅用于字符
串类型。 这可以使用“Matches”进行转换。
串类型。 这可以使用“Matches”进行转换。
部分支持
Not In
“Contains Any”操作数仅适用于外部组,例如
Active Directory 和轻量级目录访问协议。
Active Directory 和轻量级目录访问协议。
部分支持
Contains Any
1.4 版本思科身份服务引擎迁移工具指南
23
数据迁移原则
思科安全 ACS 策略规则迁移指南