Cisco Identity Services Engine Release 1.1.x CLI リファレンス ガイド
Cisco ISE コマンドライン インターフェイスの概要
Cisco ISE コマンドライン インターフェイスの概要
発行日;2012/09/24 | 英語版ドキュメント(2012/07/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 2MB) | フィードバック

目次

Cisco ISE コマンドライン インターフェイスの概要

Cisco ISE コマンド環境へのアクセス

Cisco ISE CLI のユーザ アカウントおよびモード

Cisco ISE CLI でのコマンド モード

EXEC コマンド

EXEC コマンドまたはシステムレベル コマンド

show コマンド

コンフィギュレーション コマンド

CLI 監査

Cisco ISE コマンドライン インターフェイスの概要

この章では、Cisco ISE コマンドライン インターフェイス(CLI)へのアクセス方法、さまざまなコマンド モード、および各モードで利用できるコマンドの概要を説明します。

Web インターフェイスを通じて Cisco ISE を設定し、監視できます。また、CLI を使用して、このガイドで説明するコンフィギュレーションと監視のタスクを実行することもできます。

これ以降の各項では、Cisco ISE CLI について説明します。

「Cisco ISE コマンド環境へのアクセス」

「Cisco ISE CLI のユーザ アカウントおよびモード」

「Cisco ISE CLI でのコマンド モード」

「CLI 監査」

Cisco ISE コマンド環境へのアクセス

Cisco ISE CLI へは、次のいずれかのマシンを使用して、セキュア シェル(SSH)クライアントまたはコンソール ポート経由でアクセスできます。

Windows XP または Vista の Windows PC

Mac OS X 10.4 以降のアップル コンピュータ

Linux の PC

CLI へのアクセス方法の詳細については、「Cisco ISE コマンドライン インターフェイスの使用」を参照してください。

Cisco ISE CLI のユーザ アカウントおよびモード

Cisco ISE CLI では、次の 2 種類のアカウントが使用できます。

Admin(管理者)

Operator(ユーザ)

Cisco ISE アプライアンスに初めて電源を入れたときに、 セットアップ ユーティリティを実行してアプライアンスを設定するように求められます。このセットアップ プロセスで、管理者用の Admin アカウントが作成されます。初期コンフィギュレーション情報を入力すると、アプライアンスは自動的に再起動し、Admin アカウントで指定したユーザ名とパスワードの入力が求められます。また Cisco ISE CLI に最初にログインするときにも、この Admin アカウントを使用する必要があります。

管理者は、(Cisco ISE サーバへの権限とアクセスが制限された)Operator(ユーザ)アカウントを作成して管理できます。Admin アカウントは、Cisco ISE CLI を使用するために必要な機能を提供します。

Cisco ISE CLI に SSH アクセスが可能なユーザ(Admin 権限または Operator 権限を持つ)を追加するには、コンフィギュレーション モードで username コマンドを実行する必要があります(「Cisco ISE CLI でのコマンド モード」を参照)。

表 1-1 では、Admin と Operator(ユーザ)という 2 種類のユーザ アカウントのタイプごとのコマンド権限を示します。

 

表 1-1 コマンド特権

コマンド
ユーザ アカウント
Admin
Operator (ユーザ)
application コマンド

*

backup

*

backup-logs

*

cdp run

*

clock

*

configure terminal

*

copy コマンド

*

debug

*

delete

*

dir

*

end

*

exit

*

*

forceout

*

halt

*

hostname

*

icmp

*

interface

*

ip default-gateway

*

ip domain-name

*

ip name-server

*

ip route

*

kron

*

logging コマンド

*

mkdir

*

nslookup

*

*

ntp

*

ntp server

*

password policy

*

patch

*

patch install

*

patch remove

*

pep

*

ping

*

*

ping6

*

*

reload

*

repository

*

restore コマンド

*

rmdir

*

service

*

show application

*

show backup

*

show cdp

*

*

show clock

*

*

show cpu

*

*

show disks

*

*

show icmp_status

*

*

show interface

*

*

show inventory

*

*

show ip route

*

show logging

*

*

show logins

*

*

show memory

*

*

show ntp

*

*

show pep

*

*

show ports

*

*

show process

*

*

show repository

*

show restore

*

show running-config

*

show startup-config

*

show tech-support

*

show terminal

*

*

show timezone

*

*

show timezones

*

show udi

*

*

show uptime

*

*

show users

*

show version

*

*

snmp-server commands

*

ssh

*

*

tech

*

telnet

*

*

terminal

*

*

traceroute

*

*

undebug

*

username

*

write

*

Cisco ISE ノードにログインすると、認証に常にユーザ名とパスワードを必要とする Operator(ユーザ)モードまたは admin(EXEC)モードになります。

どのモードであるかは、プロンプトを確認して判断できます。サブモードに関係なく、Operator(ユーザ)モードのプロンプトの末尾には、右山カッコ(>)が表示され、Admin モードのプロンプトの末尾には、シャープ記号(#)が表示されます。

Cisco ISE CLI でのコマンド モード

Cisco ISE では、次のコマンド モードがサポートされています。

EXEC:このモードのコマンドを使用すると、システムレベルのコンフィギュレーションを実行できます。「EXEC コマンド」 を参照してください。また、 表 1-6 にリストされている、操作ログを生成する EXEC モードのコマンドを参照してください。

コンフィギュレーション:このモードのコマンドは、Cisco ISE のコンフィギュレーション タスクを実行するために使用します。「コンフィギュレーション コマンド」 を参照してください。また、 表 1-5 にリストされている、操作ログを生成するコンフィギュレーション モードのコマンドを参照してください。

EXEC コマンド

EXEC コマンドにはまず、 show reload などのシステムレベル コマンド(たとえば、アプリケーションのインストール、アプリケーションの起動と停止、ファイルとインストール環境のコピー、バックアップの復元、および情報の表示など)が含まれています。

表 1-2 では、EXEC コマンドについて説明します。

表 1-3 では、EXEC モードの show コマンドについて説明します。

EXEC コマンドの詳細については、「コマンド モードについて」を参照してください。

EXEC コマンドまたはシステムレベル コマンド

表 1-2 では、EXEC モード コマンドについて説明します。

 

表 1-2 EXEC コマンドの要約

コマンド
説明
application configure

特定のアプリケーションを設定します。

application install

特定のアプリケーション バンドルをインストールします。

application remove

特定のアプリケーションを削除します。

application reset-config

Cisco ISE コンフィギュレーションを工場出荷時のデフォルト設定にリセットします。

application reset-passwd

アプリケーション内の特定のユーザ(admin)のアプリケーション パスワードをリセットします。

application start

特定のアプリケーションを起動またはイネーブルにします。

application stop

特定のアプリケーションを停止またはディセーブルにします。

application upgrade

特定のアプリケーション バンドルをアップグレードします。

backup

バックアップを実行して、そのバックアップをリポジトリに保存します。

backup-logs

Cisco ISE に記録されているすべてのログをリモートの場所にバックアップします。

clock

Cisco ISE サーバのシステム クロックを設定します。

configure

コンフィギュレーション モードに入ります。

copy

コピー元からコピー先に任意のファイルをコピーします。

debug

さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、エラーまたはイベントを表示します。

delete

Cisco ISE サーバ上のファイルを削除します。

dir

Cisco ISE サーバ上のファイルを一覧表示します。

exit

リモート システムとの暗号化されたセッションを切断します。現在のコマンド モードから以前のコマンド モードに戻ります。

forceout

特定の Cisco ISE サーバ システム ユーザのすべてのセッションを強制的にログアウトします。

halt

Cisco ISE サーバをディセーブルにするか、シャットダウンします。

help

ヘルプ ユーティリティの説明と Cisco ISE サーバでの使用方法を表示します。

mkdir

新しいディレクトリを作成します。

nslookup

リモート システムの IPv4 アドレスまたはホスト名を照会します。

patch

システムやアプリケーションのパッチをインストールします。

pep

Inline Posture ノードを設定します。

ping

リモート システムへの IPv4 ネットワーク接続を判別します。

ping6

リモート システムへの IPv6 ネットワーク接続を判別します。

reload

Cisco ISE サーバを再起動します。

restore

前回のバックアップを復元します。

rmdir

既存のディレクトリを削除します。

show

Cisco ISE サーバに関する情報を提供します。

ssh

リモート システムとの暗号化されたセッションを開始します。

tech

Cisco Technical Assistance Center(TAC)コマンドを提供します。

telnet

リモート システムへの Telnet 接続を確立します。

terminal length

端末回線のパラメータを設定します。

terminal session-timeout

すべてのターミナル セッションに対して、無活動タイムアウトを設定します。

terminal session-welcome

すべてのターミナル セッションで表示される初期メッセージをシステムに設定します。

terminal terminal-type

現在のセッションの現在の回線に接続されている端末のタイプを指定します。

traceroute

リモート IP アドレスのルートをトレースします。

undebug

さまざまなコマンド状況(たとえば、バックアップと復元、コンフィギュレーション、コピー、リソースのロック、ファイル転送、ユーザ管理など)で、 debug コマンドの出力(エラーまたはイベントの表示)をディセーブルにします。

write

強制的にセットアップ ユーティリティを実行してネットワーク コンフィギュレーションをプロンプトするスタートアップ コンフィギュレーションを消去し、実行コンフィギュレーションをスタートアップ コンフィギュレーションにコピーし、コンソールに実行コンフィギュレーションを表示します。

show コマンド

show コマンドは、Cisco ISE 設定の表示に使用する、最も便利なコマンドの 1 つです。 表 1-3 では、 show コマンドの要約を示します。

表 1-3 のコマンドを使用する場合は、たとえば show application status のように、 show コマンドの後にキーワードを指定する必要があります。一部の show コマンドでは、 show application version のように、キーワードの後に引数または変数を指定する必要があります。

 

表 1-3 show コマンドの要約

コマンド
説明
application
(キーワードが必要)

インストールされているアプリケーションに関する情報(ステータス情報やバージョン情報など)を表示します。

backup
(キーワードが必要)

バックアップに関する情報を表示します。

cdp
(キーワードが必要)

イネーブルな Cisco Discovery Protocol(CDP)インターフェイスに関する情報を表示します。

clock

システム時計の曜日、日付、時刻、時間帯、および年を表示します。

cpu

CPU 情報を表示します。

disks

ディスクのファイルシステム情報を表示します。

icmp-status

インターネット制御メッセージ プロトコル(ICMP)のエコー応答コンフィギュレーション情報を表示します。

interface

Cisco ISE で設定されたすべてのインターフェイスの統計情報を表示します。

inventory

ハードウェア インベントリについての情報(Cisco ISE アプライアンス モデルやシリアル番号など)を表示します。

ip route

Cisco ISE サーバの IP ルーティング テーブル情報を表示します。

logging
(キーワードが必要)

Cisco ISE サーバ ロギング情報を表示します。

logins
(キーワードが必要)

Cisco ISE サーバのログイン履歴を表示します。

memory

実行中のすべてのプロセスによるメモリ使用量を表示します。

ntp

ネットワーク タイム プロトコル(NTP)サーバのステータスを表示します。

pep

Inline Posture ノードの情報を表示します。

ports

アクティブなポートを受信するすべてのプロセスを表示します。

process

Cisco ISE サーバのアクティブなプロセスに関する情報を表示します。

repository
(キーワードが必要)

特定のリポジトリのファイルの内容を表示します。

restore
(キーワードが必要)

Cisco ISE の復元履歴を表示します。

running-config

Cisco ISE の現在の実行コンフィギュレーション ファイルの内容を表示します。

startup-config

Cisco ISE のスタートアップ コンフィギュレーションの内容を表示します。

tech-support

問題を報告するときに、TAC に提供可能なシステム情報およびコンフィギュレーション情報を表示します。

terminal

現在の端末回線の端末コンフィギュレーション パラメータの設定に関する情報を表示します。

timezone

Cisco ISE の現在の時間帯を表示します。

timezones

Cisco ISE で使用可能なすべての時間帯を表示します。

udi

Cisco ISE の Unique Device Identifier(UDI)に関する情報を表示します。

uptime

ログインしているシステムが起動してからの稼働時間を表示します。

users

システム ユーザの情報を表示します。

version

現在ロードされているソフトウェアのバージョンに関する情報とともに、ハードウェア、およびデバイス情報を表示します。

コンフィギュレーション コマンド

コンフィギュレーション コマンドには、 interface repository などのコマンドがあります。コンフィギュレーション モードにアクセスするには、EXEC モードで configure コマンドを実行します。

一部のコンフィギュレーション コマンドでは、コンフィギュレーションを完了するために、コンフィギュレーション サブモードを開始する必要があります。

表 1-4 では、コンフィギュレーション コマンドについて説明します。

 

表 1-4 コンフィギュレーション コマンドの要約

コマンド
説明
backup-staging-url

バックアップおよび復元操作用に、Network File System(NFS; ネットワーク ファイル システム)の一時スペースまたはリモート ディレクトリのステージング領域を指定します。

cdp holdtime

受信デバイスがパケットを廃棄する前に Cisco ISE サーバから Cisco Discovery Protocol(CDP)パケットを保持する時間を指定します。

cdp run

Cisco Discovery Protocol をイネーブルにします。

cdp timer

Cisco ISE サーバが Cisco Discovery Protocol(CDP)の更新を送信する頻度を指定します。

clock timezone

表示のためのタイム ゾーンを設定します。

do

コンフィギュレーション モードまたはいずれかのコンフィギュレーション サブモードで EXEC レベル コマンドを実行します。

コマンドは EXEC コマンドより優先されます。

end

EXEC モードに戻ります。

exit

コンフィギュレーション モードを終了します。

hostname

システムのホスト名を設定します。

icmp echo

ICMP エコー要求を設定します。

interface

インターフェイス タイプを設定して、インターフェイス コンフィギュレーション モードに入ります。

ipv6 address autoconfig

インターフェイス コンフィギュレーション モードの IPv6 ステート レス自動設定をイネーブルにします。

ipv6 address dhcp

インターフェイス コンフィギュレーション モードの IPv6 アドレス DHCP をイネーブルにします。

ip address

イーサネット インターフェイスの IP アドレスとネットマスクを設定します。

(注) これは、インターフェイス コンフィギュレーション コマンドです。

ip default-gateway

IP アドレスを指定してデフォルト ゲートウェイを定義または設定します。

ip domain-name

Cisco ISE サーバがホスト名を完成させるために使用するデフォルトのドメイン名を定義します。

ip name-server

DNS クエリー時に使用するドメイン ネーム システム(DNS)サーバを設定します。

ip route

IP アドレスの IProute を設定します。

kron occurrence

1 つまたは複数のコマンド スケジューラ コマンドが、特定の日時に、または繰り返して実行されるようにスケジューリングします。

kron policy-list

コマンド スケジューラ ポリシーの名前を指定します。

logging

システムによるリモート システムへのログ転送をイネーブルにします。

logging loglevel

logging コマンドのログ レベルを設定します。

no

コマンドに関連付けられた機能をディセーブルにするか削除します。

ntp

システムの NTP サーバを使用してソフトウェアの時計を同期化します。

ntp authenticate

すべての時刻源の認証をイネーブルにします。

ntp authentication-key

信頼できる時刻源に Message Digest 5(MD5)タイプの認証キーを追加します。

ntp server

使用する NTP サーバを指定します。

ntp trusted-key

信頼できる時刻源にキー番号を指定します。

password-policy

パスワード ポリシーをイネーブルにして設定します。

repository

リポジトリ サブモードに入ります。

service

管理するサービスのタイプを指定します。

snmp-server community

コミュニティ アクセス ストリングを設定して、簡易ネットワーク管理プロトコル(SNMP)にアクセスできるようにします。

snmp-server contact

システムで SNMP 接続のシステム管理情報ベース(MIB)値を設定します。

snmp-server host

SNMP トラップをリモート システムに送信します。

snmp-server location

システムで、SNMP ロケーションの MIB 値を設定します。

username

システムにユーザを追加し、パスワードと権限レベルを指定します。

コンフィギュレーション モードとサブモードのコマンドの詳細については、「コマンド モードについて」を参照してください。

CLI 監査

Cisco ISE コンフィギュレーション コマンドを実行するには、管理者アクセス権が必要です。管理者がコンフィギュレーション モードにログインし、Cisco ISE サーバのコンフィギュレーションを変更するコマンドを実行すると、それらの変更に関連する情報が、Cisco ISE 操作ログに記録されます。

表 1-5 では、操作ログを生成するコンフィギュレーション モード コマンドについて説明します。

 

表 1-5 操作ログを生成するコンフィギュレーション モード コマンド

コマンド
説明
clock

Cisco ISE サーバのシステム クロックを設定します。

ip name-server

DNS クエリー時に使用する DNS サーバを設定します。

hostname

システムのホスト名を設定します。

ip address

イーサネット インターフェイスの IP アドレスとネットマスクを設定します。

ntp server

システムの NTP サーバを使用してソフトウェアの時計を同期化します。

コンフィギュレーション モード コマンドに加え、EXEC の一部のコマンドは、操作ログを生成します。

表 1-6 では、操作ログを生成する EXEC モード コマンドについて説明します。

 

表 1-6 操作ログを生成する EXEC モード コマンド

コマンド
説明
backup

バックアップ(Cisco ISE と Cisco ADE OS)を実行して、そのバックアップをリポジトリに保存します。

restore

特定のリポジトリについて、ファイル内容のバックアップを復元します。

backup-logs

システム ログをバックアップします。