『Cisco Identity Services Engine CLI Reference Guide, Release 2.0』
Cisco ISE コマンドライン インターフェイス
Cisco ISE コマンドライン インターフェイス

Cisco ISE コマンドライン インターフェイス

この章では、Cisco ISE の設定および管理に使用できる Cisco Identity Services Engine(ISE)のコマンドライン インターフェイス(CLI)について説明します。

CLI を使用した Cisco ISE の管理および設定

Cisco ISE コマンドライン インターフェイス(CLI)では、EXEC モードでシステム レベルの設定、コンフィギュレーション モードでその他の設定作業(一部は Cisco ISE 管理者ポータルから実行できません)を実行し、トラブルシューティングのための操作ログを生成できます。

Cisco ISE 管理者ポータルまたは CLI を使用して、Cisco ISE アプリケーション ソフトウェアのパッチを適用し、トラブルシューティングのための操作ログを生成し、Cisco ISE アプリケーション データをバックアップできます。また、Cisco ISE CLI を使用して、Cisco ISE アプリケーション ソフトウェアを起動および停止し、アプリケーション データをバックアップから復元し、アプリケーション ソフトウェアをアップグレードし、トラブルシューティングのためにすべてのシステム ログとアプリケーション ログを表示し、Cisco ISE デバイスをリロードまたはシャットダウンできます。

ローカル システムを使用した Cisco ISE CLI へのアクセス

有線ローカル エリア ネットワーク(LAN)に接続せずに Cisco ISE をローカルに設定する必要がある場合は、ヌルモデム ケーブルを使用して、システムを Cisco ISE デバイスのコンソール ポートに接続できます。シリアル コンソール コネクタ(ポート)は、コンソール ポートに端末を接続することで、Cisco ISE CLI にローカル アクセス可能にします。端末は、ターミナル エミュレーション ソフトウェアまたは ASCII 端末を実行するシステムです。コンソール ポート(EIA/TIA-232 非同期)で必要なのは、ヌルモデム ケーブルのみです。

  • ターミナルエミュレーション ソフトウェアを実行するシステムをコンソール ポートに接続するには、DB-9 メス型 - DB-9 メス型のヌルモデム ケーブルを使用します。

  • ASCII 端末をコンソール ポートに接続するには、片方が DB-9 メスでもう一方が DB-25 オスのストレート ケーブルと、DB-25 メスから DB-25 メスへの変換アダプタを使用します。

コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、およびハードウェア フロー制御なしです。


(注)  


接続の相手側が Cisco Switch の場合、スイッチ ポートを duplex auto、speed auto(デフォルト)に設定します。



    ステップ 1   Cisco ISE デバイスのコンソール ポートとシステムの COM ポートをヌルモデム ケーブルで接続します。
    ステップ 2   Cisco ISE と通信するようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。ハードウェアのフロー制御はなしです。
    ステップ 3   ターミナル エミュレータが起動したら、Enter キーを押します。
    ステップ 4   ユーザ名を入力し、Enter キーを押します。
    ステップ 5   パスワードを入力し、Enter キーを押します。

    セキュア シェルによる Cisco ISE CLI へのアクセス

    Cisco ISE はセットアップ ユーティリティにより、CLI 管理者を受け入れるように事前設定されています。(Windows XP 以降のバージョンを使用してシステムを介して有線ワイド エリア ネットワーク(WAN)に接続している)SSH クライアントを使用してログインするには、管理者としてログインします。

    はじめる前に

    Cisco ISE CLI にアクセスするには、SSH v2 をサポートするセキュア シェル(SSH)クライアントを使用します。


      ステップ 1   任意の SSH クライアントを使用して SSH セッションを開始します。
      ステップ 2   Enter キーまたはスペースバーを押して接続します。
      ステップ 3   ホスト名、ユーザ名、ポート番号、および認証方式を入力します。たとえば、リモート ホストの IP アドレスまたはホスト名「ise」を入力し、ユーザ名に「admin」、ポート番号に「22」を入力して、認証方式としてドロップダウン リストから [パスワード(Password)] を選択します。
      ステップ 4   [接続(Connect)] をクリックするか、Enter キーを押します。
      ステップ 5   割り当てられた管理者パスワードを入力します。
      ステップ 6   (任意)プロファイル名を [プロファイルの追加(Add Profile)] ウィンドウに入力し、[プロファイルに追加(Add to Profile)] をクリックします。
      ステップ 7   [プロファイルの追加(Add Profile)] ウィンドウで [閉じる(Close)] をクリックします。

      Cisco ISE CLI 管理者アカウント

      セットアップ中に、CLI 管理者アカウントを作成するユーザ名とパスワードを入力するように促されます。初期設定後に最初に再起動するときに、このアカウントを使用して Cisco ISE サーバにログインします。

      CLI 管理者アカウントのクレデンシャルを常に保護し、このアカウントを使用して、Cisco ISE サーバへのアクセス権限を持つ追加管理者アカウントとユーザ アカウントを明示的に作成し、管理する必要があります。

      CLI 管理者はすべてのコマンドを使用して、Cisco ISE サーバで EXEC モードでのシステム レベルの設定(ルートへのアクセス)およびコンフィギュレーション モードでのその他の設定作業を実行することができます。管理者は、Cisco ISE アプリケーション ソフトウェアの開始と停止、Cisco ISE アプリケーション データのバックアップと復元、Cisco ISE アプリケーション ソフトウェアへのパッチとアップグレードの適用、すべてのシステム ログとアプリケーション ログの表示、Cisco ISE デバイスのリロードまたはシャットダウンを実行できます。

      サブモードに関係なく、管理者アカウントのプロンプトの末尾にポンド記号(#)が表示されます。

      Cisco ISE CLI ユーザ アカウント

      Cisco ISE 管理者ポータルからアカウントを作成するユーザは、Cisco ISE CLI に自動的にログインできません。CLI 管理者アカウントを使用して、CLI にアクセスできるユーザ アカウントを明示的に作成する必要があります。

      Cisco ISE CLI ユーザ アカウントの作成

      CLI ユーザ アカウントを作成するには、コンフィギュレーション モードで username コマンドを実行する必要があります。


        ステップ 1   CLI 管理者アカウントを使用して Cisco ISE CLI にログインします。
        ステップ 2   コンフィギュレーション モードを開始して、username コマンドを実行します。
        ise/admin# configure terminal
        Enter configuration commands, one per line.  End with CNTL/Z.
        ise/admin(config)# username duke password plain Plain@123 role user email duke@cisco.com
        ise/admin(config)# exit
        ise/admin#
        
        ステップ 3   CLI ユーザ アカウントを使用して Cisco ISE CLI にログインします。

        Cisco ISE CLI ユーザ アカウントの権限

        ユーザ アカウントには、次のコマンドを含む、限定された数のコマンドへのアクセス権があります。

        • crypto

        • exit

        • nslookup

        • ping

        • ping6

        • show cdp

        • show clock

        • show cpu

        • show disks

        • show icmp_status

        • show interface

        • show inventory

        • show logins

        • show memory

        • show ntp

        • show ports

        • show process

        • show terminal

        • show timezone

        • show udi

        • show uptime

        • show version

        • ssh

        • telnet

        • terminal

        • traceroute

        Cisco ISE CLI でサポートされるハードウェアおよびソフトウェアのプラットフォーム

        Cisco ISE サーバに接続し、次を使用して CLI にアクセスできます。

        • Microsoft Windows XP または Vista を実行するシステム。

        • Red Hat や Fedora などの Linux を実行するシステム。

        • Mac OS X 10.4 以降の Apple コンピュータ。

        • VT100 または ANSI 互換の端末デバイス。VT100 タイプ デバイスおよび ANSI デバイスでは、左矢印、右矢印、上矢印、下矢印、Delete および Backspace キーを含むカーソル制御キーおよびカーソル移動キーを使用できます。Cisco ISE CLI は、カーソル制御キーの使用を検出し、自動的に最適なデバイス文字を使用します。

          すべての端末の完全なリストについては、/usr/share/terminfo/ */* の terminfo データベース(端末機能データベース)を参照してください。コンパイルされた terminfo ファイルは次の場所にある可能性があります。/usr/lib/terminfo/v/vt100、/usr/share/terminfo/v/vt100、/home/.../.terminfo/v/vt100、または /etc/terminfo/v/vt100。terminfo は、アプリケーション プログラムと通信する端末のすべてのモデルで利用可能な端末機能データベースです。これは、カーソルを新しい場所に移動する、画面の一部を消す、画面をスクロールする、モードを変更する、外観(色、明るさ、点滅、下線、反転表示など)を変更するといった操作を実行する場合に端末に送信するエスケープ シーケンス(または制御文字)を提供します。

          たとえば、ルートから "locate vt100" と入力すると、使用している端末に関する情報が表示されます。

          Cisco ISE CLI には、次の有効な端末タイプからアクセスできます。

          • 1178

          • 2621

          • 5051

          • 6053

          • 8510

          • altos5

          • amiga

          • ansi

          • apollo

          • Apple_Terminal

          • att5425

          • ibm327x

          • kaypro

          • vt100