Cisco Secure Access Control System 5.1 用 CLI リファレンス ガイド
ACS コマンドライン インターフェイスの概要
ACS コマンドライン インターフェイスの概要
発行日;2012/02/06 | 英語版ドキュメント(2011/07/22 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 4MB) | フィードバック

目次

ACS コマンドライン インターフェイスの概要

ACS コマンド環境へのアクセス

ACS のユーザ アカウントとモード

ACS のコマンド モードの種類

EXEC コマンド

EXEC コマンドまたはシステムレベル コマンド

show コマンド

ACS コンフィギュレーション コマンド

コンフィギュレーション コマンド

CLI 監査

ACS コマンドライン インターフェイスの概要

Cisco Secure Access Control System(ACS) 5.1 は、Cisco Application Deployment Engine(ADE) OS 1.2 が実行されるCSACS-1121 アプライアンスを使用します。この章では、ACS コマンドライン インターフェイス(CLI)へのアクセス方法、異なるコマンド モード、および各モードで利用できるコマンドについて説明します。

ACS 5.1 の設定と監視は、Web インターフェイスで実行できます。また、CLI を使用して、このガイドで説明するコンフィギュレーションと監視のタスクを実行することもできます。

これ以降の各項では、ACS CLI について説明します。

「ACS コマンド環境へのアクセス」

「ACS のユーザ アカウントとモード」

「ACS のコマンド モードの種類」

「CLI 監査」

ACS コマンド環境へのアクセス

ACS CLI へは、次のいずれかのマシンを使用して、セキュア シェル(SSH)クライアントまたはコンソール ポート経由でアクセスできます。

Windows XP または Vista の Windows PC。

Mac OS X 10.4 以降のアップル コンピュータ。

Linux OS の PC。

CLI へのアクセス方法の詳細については、「ACS コマンドライン インターフェイスの使用」を参照してください。

ACS のユーザ アカウントとモード

ACS サーバでは、次の 2 種類のアカウントが使用できます。

Admin(管理者)

Operator(ユーザ)

CSACS-1121 に初めて電源を投入すると、 セットアップ ユーティリティを実行してアプライアンスを設定するように求めるプロンプトが表示されます。このセットアップ プロセスで、管理者用の Admin アカウントが作成されます。初期コンフィギュレーション情報を入力すると、アプライアンスが自動的に再起動し、Admin アカウントで指定したユーザ名とパスワードの入力が求められます。ACS CLIに最初にログインするには、この Admin アカウントを使用する必要があります。

Admin アカウントは、Operator(ユーザ)アカウント(ACS サーバに対する限定的な権限とアクセスを持つアカウント)を作成できるとともに、ACS CLI の使用に必要な機能が使用できます。

ACS CLI に SSH アクセスが可能なユーザ(Admin 権限または Operator 権限を持つ)を追加するには、コンフィギュレーション モードで username コマンドを実行する必要があります(「ACS のコマンド モードの種類」を参照)。

表 1-1 では、Admin と Operator(ユーザ)という 2 種類のユーザ アカウントのタイプごとのコマンド権限を示します。

 

表 1-1 コマンド権限

コマンド
ユーザ アカウント
Admin
Operator(ユーザ)
access-setting accept-all

P

acs コマンド

P

acs config-web-interface

P

acs-config

P

application コマンド

P

backup

P

backup-logs

P

cdp run

P

clock

P

configure terminal

P

copy コマンド

P

debug

P

debug-adclient

P

debug-log

P

decrypt-support-bundle

P

delete

P

dir

P

end

P

exit

P

P

export-data

P

forceout

P

halt

P

hostname

P

icmp

P

import-data

P

import-export-abort

P

import-export-status

P

interface

P

ip default-gateway

P

ip domain-name

P

ip name-server

P

ip route

P

kron

P

logging コマンド

P

mkdir

P

nslookup

P

P

ntp server

P

password policy

P

patch

P

ping

P

P

reload

P

replication

P

repository

P

reset-management-interface-certificate

P

restore コマンド

P

rmdir

P

service

P

show acs-cores

P

P

show acs-logs

P

P

show acs-config-web-interface

P

P

show application

P

show backup

P

show cdp

P

P

show clock

P

P

show cpu

P

P

show debug-adclient

P

show debug-log

P

show disks

P

P

show icmp_status

P

P

show interface

P

P

show inventory

P

P

show ip route

P

show logging

P

P

show logins

P

P

show memory

P

P

show ntp

P

P

show ports

P

P

show process

P

P

show repository

P

show restore

P

show running-configuration

P

show startup-configuration

P

show tac

P

show tech-support

P

show terminal

P

P

show timezone

P

P

show timezones

P

show udi

P

P

show uptime

P

P

show users

P

show version

P

P

snmp-server commands

P

ssh

P

P

ssh keygen

P

P

ssh rmkey

P

P

tech

P

telnet

P

P

terminal

P

P

traceroute

P

P

undebug

P

username

P

write

P

ACS サーバにログインすると、Operator(ユーザ)モードまたは Admin(EXEC)モードになります。通常、ログインには、ユーザ名とパスワードが必要です。

現在のモードが Operator(ユーザ)モードか、Admin(EXEC)モードかは、いつでもプロンプトで判断できます。サブモードに関係なく、Operator(ユーザ)モードのプロンプトの末尾には、右山カッコ(>)が表示され、Admin モードのプロンプトの末尾には、シャープ記号(#)が表示されます。

ACS コンフィギュレーション モードで、各 ACS コンフィギュレーション コマンドを実行するには、特定の許可を持つユーザ ロールが必要です。詳細については、「ACS コンフィギュレーション コマンド」を参照してください。

ACS のコマンド モードの種類

ACS では、次のコマンド モードがサポートされています。

EXEC:このモードのコマンドを使用すると、システムレベルのコンフィギュレーションを実行できます。また、EXEC モードのコマンドの中には、ACS 固有の機能を持つコマンドもあります。「EXEC コマンド」 を参照してください。

ACS コンフィギュレーション:このモードのコマンドは、コンフィギュレーション データのインポートやエクスポート、プライマリ ACS とセカンダリ ACS の間のコンフィギュレーション情報の同期、IP アドレス フィルタリングと管理インターフェイス証明書のリセット、デバッグ ロギングの定義、およびロギング ステータスの表示に使用します。このモードを開始するには、管理者ユーザ アカウントを使用してログインし、ACS コンフィギュレーション関連のコマンドを実行する必要があります。「ACS コンフィギュレーション コマンド」 を参照してください。

コンフィギュレーション:このモードのコマンドは、ACS の追加のコンフィギュレーション タスクを実行するために使用します。「コンフィギュレーション コマンド」 を参照してください。

EXEC コマンド

EXEC コマンドにはまず、 show reload などのシステムレベル コマンド(たとえば、アプリケーションのインストール、アプリケーションの起動と停止、ファイルとインストール環境のコピー、バックアップの復元、および情報の表示など)が含まれています。EXEC モード コマンドはさらに、ACS 固有の機能(例えば、ACS インスタンスの開始、ACS ログの表示とエクスポート、ACS コンフィギュレーションの工場出荷時のデフォルト設定へのリセットなど)を備えています。

表 1-2 では、EXEC コマンドの一覧とその簡単な説明を表示します。

表 1-3 では、EXEC モードの show コマンドの一覧とその簡単な説明を表示します。

EXEC コマンドの詳細については、「コマンド モードについて」を参照してください。

EXEC コマンドまたはシステムレベル コマンド

表 1-2 では、EXEC モード コマンドについて説明します。

 

表 1-2 EXEC コマンドの要約

コマンド
説明
acs start | stop

ACS サーバを起動または停止します。

acs start | stop process

ACS でプロセスを起動または停止します。

acs backup

ACS コンフィギュレーション データのバックアップを実行します。

acs-config

ACS コンフィギュレーション モードに入ります。

acs delete core

ACS ランタイム コア ファイルまたは JVM コア ログを削除します。

acs delete log

ACS ランタイム コア ファイルまたは最新のログを除く JVM コア ログを削除します。

acs config-web-interface

ACS コンフィギュレーション Web のインターフェイスをイネーブルまたはディセーブルにします。

acs patch

ACS パッチをインストールまたは削除します。

acs reset-config

ACS コンフィギュレーションを工場出荷時のデフォルト設定にリセットします。

acs reset-password

「acsadmin」管理者パスワードをデフォルト設定にリセットします。

acs restore

ACS コンフィギュレーションを復元します。

acs support

ACS のトラブルシューティングのための情報を収集します。

application install

特定のアプリケーション バンドルをインストールします。

application remove

特定のアプリケーションを削除します。

application reset-config

ACS コンフィギュレーションを工場出荷時のデフォルト設定にリセットします。

application start

特定のアプリケーションを起動またはイネーブルにします。

application stop

特定のアプリケーションを停止またはディセーブルにします。

application upgrade

特定のアプリケーション バンドルをアップグレードします。

backup

バックアップを実行して、そのバックアップをリポジトリに保存します。

backup-logs

ACS のすべてのログをリモートの保存場所にバックアップします。

clock

ACS サーバのシステム時計を設定します。

configure

コンフィギュレーション モードに入ります。

copy

ファイルをコピー元からコピー先にコピーします。

debug

さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、エラーまたはイベントを表示します。

delete

ACS サーバ上のファイルを削除します。

dir

ACS サーバ上のファイルを一覧表示します。

exit

EXEC モードを終了します。

forceout

特定の ACS サーバ システム ユーザのすべてのセッションを強制的にログアウトします。

halt

ACS サーバをディセーブルにするか、シャットダウンします。

help

ヘルプ ユーティリティの説明と ACS サーバでの使用方法を表示します。

mkdir

新規ディレクトリを作成します。

nslookup

リモート システムの IPv4 アドレスまたはホスト名を照会します。

ping

リモート システムへのネットワーク接続を判断します。

reload

ACS サーバをリブートします。

restore

前回のバックアップを復元します。

rmdir

既存のディレクトリを削除します。

show

ACS サーバについての情報を表示します。

ssh

リモート システムとの暗号化されたセッションを開始します。

tech

Technical Assistance Center(TAC)コマンドを提供します。

telnet

Telnet でリモート システムに接続します。

terminal length

端末の回線パラメータを設定します。

terminal session-timeout

すべてのターミナル セッションに対して、無活動タイムアウトを設定します。

terminal session-welcome

すべてのターミナル セッションで表示される初期メッセージをシステムに設定します。

terminal terminal-type

現在のセッションの現在の回線に接続されている端末のタイプを指定します。

traceroute

リモート IP アドレスのルートをトレースします。

undebug

さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、 debug コマンドの出力(エラーまたはイベントの表示)をディセーブルにします。

write

実行中の ACS サーバ情報をコピー、表示、または消去します。

show コマンド

show コマンドはACS 設定の表示に使用する、最も便利なコマンドの 1 つです。 表 1-3 では、show コマンドの要約を示します。

表 1-3 のコマンドを使用する場合は、たとえば show application のように、 show コマンドの後にキーワードを指定する必要があります。一部の show コマンドでは、 show application version のように、キーワードの後に引数または変数を指定する必要があります。

 

表 1-3 show コマンドの要約

コマンド
説明
acs-cores

ACS ランタイム コア ファイルおよび JVM コア ログを表示します。

acs-logs

ACS サーバ デバッグ ログを表示します。

acs config-web-interface

ACS 設定 Web のインターフェイスが有効か無効かを示します。

application
(キーワードが必要)

インストールされているアプリケーションに関する情報(ステータス情報やバージョン情報など)を表示します。

backup
(キーワードが必要)

バックアップに関する情報を表示します。

cdp
(キーワードが必要)

有効な Cisco Discovery Protocol(CDP; シスコ検出プロトコル)インターフェイスに関する情報を表示します。

clock

システム時計の曜日、日付、時刻、時間帯、および年を表示します。

cpu

CPU 情報を表示します。

disks

ディスクのファイルシステム情報を表示します。

icmp-status

インターネット制御メッセージ プロトコル(ICMP)のエコー応答コンフィギュレーション情報を表示します。

interface

ACS に設定されているすべてのインターフェイスについての統計情報を表示します。

inventory

ハードウェア インベントリについての情報(ACS アプライアンス モデルやシリアル番号など)を表示します。

logging
(キーワードが必要)

ACS サーバのロギング情報を表示します。

logins
(キーワードが必要)

ACS サーバのログイン履歴を表示します。

memory

実行中のすべてのプロセスによるメモリ使用量を表示します。

ntp

Network Time Protocol(NTP; ネットワーク タイム プロトコル)サーバのステータスを表示します。

ports

アクティブなポートを受信するすべてのプロセスを表示します。

process

ACS サーバのアクティブなプロセスに関する情報を表示します。

repository
(キーワードが必要)

特定のリポジトリのファイルの内容を表示します。

restore
(キーワードが必要)

ACS の復元履歴を表示します。

running-config

ACS の現在の実行コンフィギュレーション ファイルの内容を表示します。

startup-config

ACS のスタートアップ コンフィギュレーションの内容を表示します。

tech-support

問題を報告するときに、Cisco Technical Assistance Center(TAC)に提供可能なシステム情報およびコンフィギュレーション情報を表示します。

terminal

現在の端末回線の端末コンフィギュレーション パラメータの設定に関する情報を表示します。

timezone

ACS の現在の時間帯を表示します。

timezones

ACS で使用可能なすべての時間帯を表示します。

udi

CSACS-1121 の Unique Device Identifier(UDI)に関する情報を表示します。

uptime

ログインしているシステムが起動してからの稼動時間を表示します。

users

システム ユーザの情報を表示します。

version

現在ロードされているソフトウェアのバージョンに関する情報とともに、ハードウェア、およびデバイス情報を表示します。

ACS コンフィギュレーション コマンド

ACS コンフィギュレーション コマンドは、ACS 管理とランタイム コンポーネントに対するデバッグ ログ レベルの設定、システム設定の表示、サーバ証明書と IP アドレス アクセス リストのリセット、およびインポートとエクスポート プロセスの管理に使用します。

ACS コンフィギュレーション モードで、各 ACS コンフィギュレーション コマンドを実行するには、特定の許可を持つユーザ ロールが必要です。これらのコマンドについては、 表 1-4 で簡単に説明されています。ACS 5.1 のロールの詳細については、『 User Guide for the Cisco Secure Access Control System 5.1 』を参照してください。

ACS コンフィギュレーション モードにアクセスするには、EXEC モードで acs-config コマンドを実行します。

表 1-4 では、ACS コンフィギュレーション コマンドの一覧と簡単な説明を表示します。

 

表 1-4 ACS コンフィギュレーション コマンドの要約

コマンド
説明
必要なユーザ ロール
access-setting accept-all

すべての IP アドレスが ACS サーバの管理ページにアクセスできるように、IP アドレス フィルタリングを再設定します。

このコマンドは、プライマリ ACS ノードで、super admin のみが実行できます。

debug-adclient

Active Directory クライアントのデバッグ ロギングをイネーブルにします。

このコマンドは、network-device admin のみが実行できます。

debug-log

ACS コンポーネントのローカル デバッグ ログ レベルを定義します。

このコマンドは、ロールに関係なく、すべてのユーザが実行できます。

decrypt-support-bundle

ACS acs support コマンドを使用して生成された ACS サポート バンドルを復号化します。

super admin のみがこのコマンドを実行できます。

export-data

ACS ローカル ストアからリモート リポジトリに、コンフィギュレーション データをエクスポートします。

GUI で、特定のコンフィギュレーション オブジェクトに対する読み取り権限を持つユーザのみが、その特定のコンフィギュレーション データをリモート リポジトリにエクスポートできます。

import-data

コンフィギュレーション データをリモート リポジトリから ACS ローカル ストアにインポートします。

GUI で、特定のコンフィギュレーション オブジェクトに対する作成、読み取り、更新、および削除(CRUD)権限を持つユーザのみが、その特定のコンフィギュレーション データを ACS ローカル ストアにインポートできます。

import-export-abort

特定の(またはすべての)インポートおよびエクスポート プロセスを中止します。

実行中のプロセスと、すべての保留中のインポートおよびエクスポート プロセスを同時に中止できるのは、super admin のみです。ただし、特定のインポートまたはエクスポート プロセスを所有するユーザは、プロセス ID を使用するか、処理中にそのプロセスを停止することによって、その特定のプロセスを中止できます。

import-export-status

インポートおよびエクスポート プロセスのステータスを表示します。

このコマンドは、ロールに関係なく、すべてのユーザが実行できます。

no debug-adclient

Active Directory クライアントのデバッグ ロギングをディセーブルにします。

このコマンドは、network-device admin のみが実行できます。

no debug-log

ACS コンポーネントのデフォルトのローカル デバッグ ログ レベルを復元します。

このコマンドは、ロールに関係なく、すべてのユーザが実行できます。

replication force-sync

プライマリおよびセカンダリの ACS 間で、コンフィギュレーション情報を同期化します。

このコマンドは、セカンダリ ACS ノードで、super admin または system admin のみが実行できます。

reset-management-interface-certificate

管理インターフェイス証明書を、デフォルトの自己署名証明書にリセットします。

super admin または system admin のみがこのコマンドを実行できます。

show debug-adclient

Active Directory クライアントのデバッグ ロギング ステータスを表示します。

このコマンドは、ロールに関係なく、すべてのユーザが実行できます。

show debug-log

サブシステムのローカル デバッグ ロギング ステータスを表示します。

このコマンドは、ロールに関係なく、すべてのユーザが実行できます。

ACS コンフィギュレーション モード コマンドの詳細については、「コマンド モードについて」を参照してください。

コンフィギュレーション コマンド

コンフィギュレーション コマンドには、 interface repository などのコマンドがあります。コンフィギュレーション モードにアクセスするには、EXEC モードで configure コマンドを実行します。

一部のコンフィギュレーション コマンドでは、コンフィギュレーションを完了するために、コンフィギュレーション サブモードを開始する必要があります。

表 1-5 では、コンフィギュレーション コマンドの一覧とその簡単な説明を表示します。

 

表 1-5 コンフィギュレーション コマンドの要約

コマンド
説明
backup-staging-url

バックアップおよび復元操作用に、Network File System(NFS; ネットワーク ファイル システム)の一時スペースまたはリモート ディレクトリのステージング領域を指定します。

cdp holdtime

受信デバイスが ACS サーバからの CDP パケットを廃棄する前にそれを保持する時間を指定します。

cdp run

CDP をイネーブルにします。

cdp timer

ACS サーバが CDP 更新を送信する頻度を指定します。

clock

表示用の時間帯を設定します。

do

コンフィギュレーション モードまたはいずれかのコンフィギュレーション サブモードで EXEC レベル コマンドを実行します。

コマンドは EXEC コマンドより優先されます。

end

EXEC モードに戻ります。

exit

コンフィギュレーション モードを終了します。

hostname

システムのホスト名を設定します。

icmp echo

ICMP エコー要求を設定します。

interface

インターフェイス タイプを設定して、インターフェイス コンフィギュレーション モードに入ります。

ip address

イーサネット インターフェイスの IP アドレスとネットマスクを設定します。

(注) これは、インターフェイス コンフィギュレーション コマンドです。

ip default-gateway

IP アドレスを指定してデフォルト ゲートウェイを定義または設定します。

ip domain-name

ACS サーバがホスト名を完成させるために使用するデフォルトのドメイン名を定義します。

ip name-server

DNS クエリー時に使用するドメイン ネーム システム(DNS)サーバを設定します。

kron occurrence

1 つまたは複数のコマンド スケジューラ コマンドが、特定の日時に、または繰り返して実行されるようにスケジューリングします。

kron policy-list

コマンド スケジューラ ポリシーの名前を指定します。

logging

システムによるリモート システムへのログ転送をイネーブルにします。

logging loglevel

logging コマンドのログ レベルを設定します。

no

コマンドに関連付けられた機能をディセーブルにするか削除します。

ntp

システムの NTP サーバを使用してソフトウェアの時計を同期化します。

password-policy

パスワード ポリシーをイネーブルにして設定します。

repository

リポジトリ サブモードに入ります。

service

管理するサービスのタイプを指定します。

snmp-server community

Simple Network Management Protocol(SNMP; 簡易ネットワーク管理プロトコル)へのアクセスを許可するコミュニティ アクセス文字列を設定します

snmp-server contact

システムで SNMP 接続の MIB 値を設定します。

snmp-server host

SNMP トラップをリモート システムに送信します。

snmp-server location

システムで、SNMP ロケーションの MIB 値を設定します。

username

システムにユーザを追加し、パスワードと権限レベルを指定します。

コンフィギュレーション モードとサブモードのコマンドの詳細については、「コマンド モードについて」を参照してください。

CLI 監査

ACS コンフィギュレーション コマンドを実行するには、管理者アクセス権が必要です。管理者がコンフィギュレーション モードにログインし、ACS サーバのコンフィギュレーションを変更するコマンドを実行すると、それらの変更に関連する情報が、ACS 操作ログに記録されます。

表 1-7 では、実行時に操作ログを生成するコンフィギュレーション モード コマンドを示します。

 

表 1-6 操作ログを生成するコンフィギュレーション モード コマンド

コマンド
説明
clock

ACS サーバのシステム時計を設定します。

ip name-server

DNS クエリー時に使用する DNS サーバを設定します。

hostname

システムのホスト名を設定します。

ip address

イーサネット インターフェイスの IP アドレスとネットマスクを設定します。

ntp server

システムの NTP サーバを使用してソフトウェアの時計を同期化します。

これらのログを表示するには、show acs-logs コマンドを使用します。ログのファイル タイプや各ログ フィルに保存される情報の詳細については、「show acs-logs」を参照してください。

コンフィギュレーションモードのコマンドに加え、EXEC および ACS コンフィギュレーション モードの一部のコマンドでも、操作ログが生成されます。 表 1-7 および 表 1-8 ではこれらのコマンドを示します。

 

表 1-7 操作ログを生成する EXEC モード コマンド

コマンド
説明
acs(インスタンス)

ACS インスタンスを起動または停止します。

acs(プロセス)

ACS プロセスを起動または停止します。

backup

バックアップ(ACS および ADE OS)を実行して、そのバックアップをリポジトリに保存します。

restore

特定のリポジトリについて、ファイル内容のバックアップを復元します。

acs backup

ACS コンフィギュレーション データのバックアップを実行します。

acs restore

ACS コンフィギュレーション データの復元を実行します。

acs reset-config

ACS コンフィギュレーションを工場出荷時のデフォルト設定にリセットします。

acs delete core

ACS ランタイム コア ファイルまたは JVM コア ログを削除します。

acs delete log

ACS ランタイム コア ファイルまたは最新のログを除く JVM コア ログを削除します。

backup-logs

システム ログをバックアップします。

acs patch

ACS パッチをインストールまたは削除します。

acs support

ACS のトラブルシューティングのための情報を収集します。

 

表 1-8 操作ログを生成する ACS コンフィギュレーション モード コマンド

コマンド
説明
access-setting accept-all

すべての IP アドレスが ACS サーバの管理ページにアクセスできるように、IP アドレス フィルタリングを再設定します。

debug-adclient

Active Directory クライアントのデバッグ ロギングをイネーブルにします。

debug-log

ACS コンポーネントのローカル デバッグ ログ レベルを定義します。

export-data

ACS ローカル ストアからリモート リポジトリに、コンフィギュレーション データをエクスポートします。

import-data

コンフィギュレーション データをリモート リポジトリから ACS ローカル ストアにインポートします。

import-export-abort

特定の(またはすべての)インポートおよびエクスポート プロセスを中止します。

reset-management-interface-certificate

管理インターフェイス証明書を、デフォルトの自己署名証明書にリセットします。

replication

プライマリおよびセカンダリの ACS 間で、コンフィギュレーション情報を同期化します。