Cisco Active Directory Agent インストレーション/ セットアップ ガイド、リリース 1.0
Active Directory Agent コマンド リファ レンス
Active Directory Agent コマンド リファレンス
発行日;2012/05/31 | 英語版ドキュメント(2011/06/24 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 1MB) | フィードバック

目次

Active Directory Agent コマンド リファレンス

AD Agent 制御コマンド

adactrl help

adactrl restart

adactrl show running

adactrl start

adactrl stop

adactrl version

AD Agent コンフィギュレーション コマンド

adacfg help

adacfg help client

adacfg client create

adacfg client erase

adacfg client list

adacfg client status

adacfg help dc

adacfg dc create

adacfg dc erase

adacfg dc list

adacfg help cache

adacfg cache list

adacfg cache clear

adacfg help options

adacfg options list

adacfg options set

adacfg help syslog

adacfg syslog create

adacfg syslog erase

adacfg syslog list

adacfg version

Active Directory Agent コマンド リファレンス

この付録には、Active Directory Agent 固有のコマンドがアルファベット順に記載されています。コマンドには、次のモードがあります。

adactrl:AD Agent の開始、停止、再起動と AD Agent の実行ステータスのモニタリングに使用されます。

adacfg:Active Directory Agent でクライアント デバイス、Active Directory ドメイン コントローラ、および Syslog サーバと設定するために使用されます。

この付録では、コマンドごとに、その使用方法の簡単な説明、コマンドの構文、使用上のガイドライン、および使用例を示します。

この付録の構成は、次のとおりです。

「AD Agent 制御コマンド」

「AD Agent コンフィギュレーション コマンド」

AD Agent 制御コマンド

ここでは、次のコマンドについて説明します。

adactrl help

adactrl restart

adactrl show running

adactrl start

adactrl stop

adactrl version


) すべての adactrl コマンドでは大文字と小文字が区別されます。


adactrl help

adactrl コマンドとその構文のリストを表示します。

構文

adactrl help

C:¥IBF¥CLI>adactrl help
Cisco AD Agent adctrl -- version 1.0.0.32, build 539
Usage: adactrl COMMAND
where COMMAND can be:
start - to start the AD Agent
stop - to stop the AD Agent
restart - to restart the AD Agent
show running - to show the running status of the AD Agent
version - to view info on AD Agent version currently installed
help - to view this help

adactrl restart

AD Agent を停止して再起動します。

構文

adactrl restart

C:¥IBF¥CLI>adactrl restart
OK

adactrl show running

AD Agent の内部コンポーネント(radiusServer および adObserver)のステータスを表示します。

構文

adactrl show running

C:¥IBF¥CLI>adactrl show running
running C:¥¥IBF¥¥watchdog¥¥radiusServer.bat since 2011- 1- 5 T10:25:44
running C:¥¥IBF¥¥watchdog¥¥adObserver.bat since 2011- 1- 5 T10:25:44

adactrl start

AD Agent を開始します。

構文

adactrl start

C:¥IBF¥CLI>adactrl start
OK

adactrl stop

AD Agent を停止します。

構文

adactrl stop

C:¥IBF¥CLI>adactrl stop
OK

adactrl version

Windows マシンにインストールされている AD Agent のバージョンを表示します。

構文

adactrl version

C:¥IBF¥CLI>adactrl version
Cisco AD Agent adactrl -- version 1.0.0.32, build 539
(Built from sources last modified 2011-04-21 12:20:17 +0300)

AD Agent コンフィギュレーション コマンド

ここでは、次のコマンドについて説明します。

adacfg help

adacfg help client

adacfg client create

adacfg client erase

adacfg client list

adacfg client status

adacfg help dc

adacfg dc create

adacfg dc erase

adacfg dc list

adacfg help cache

adacfg cache list

adacfg cache clear

adacfg help options

adacfg options list

adacfg options set

adacfg help syslog

adacfg syslog create

adacfg syslog erase

adacfg syslog list

adacfg version


) adacfg コマンドでは大文字と小文字が区別されません。


adacfg help

adacfg コマンド構文の概要情報を表示します。

構文

adacfg help

C:¥IBF¥CLI>adacfg help
Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg [COMMAND]
where COMMAND can be:
client - to manage client-devices of AD Agent
dc - to manage AD domain-controller machines monitored by AD Agent
syslog - to manage syslog-targets of AD Agent
options - to manage configurable settings for AD Agent
cache - to manage cache of identity-mappings maintained by AD Agent
version - to view info on AD Agent version currently installed
help - to view this help
help COMMAND - to view the help for specified COMMAND

adacfg help client

クライアント関連 adacfg コマンドの詳細な構文の要約を表示します。

構文

adacfg help client

C:¥IBF¥CLI> adacfg help client

Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg client [SUBCOMMAND] [ARGS]
where SUBCOMMAND can be:
create - to configure a new client
list - to list all previously configured clients
erase - to erase a previously configured client
status - to view status of clients subscribed for notification
help - to view this help
detailed syntax (write command on a single line!):
adacfg client create -name <client-nickname>
-ip <IP-address>[/<prefix-length-for-IP-range>]
-secret <RADIUS-shared-secret>
adacfg client list
adacfg client erase -name <client-nickname>
adacfg client status

adacfg client create

新しいクライアント デバイスを設定します。

構文

adacfg client create -name <client-nickname> -ip <IP-address>[/<prefix-length-for-IP-range>] -secret <RADIUS-shared-secret>

説明:

client-nickname :クライアント デバイスに割り当てることができるフレンドリ名。

IP-address :クライアント デバイスの IP アドレス。

prefix-length-for-IP-range :オプションで IP サブネット範囲を定義できます。

RADIUS-shared-secret :RADIUS プロトコルによりクライアント デバイスとの通信に使用される RADIUS 共有秘密。この secret は、クライアント デバイスで設定される鍵です。

C:¥IBF¥CLI>adacfg client create -name asa1 -ip 10.77.202.1/32 -secret cisco123
Reply: Command completed successfully!

adacfg client erase

以前に設定したクライアントを消去します。

構文

adacfg client erase -name < client-nickname >

client-nickname は、クライアント デバイスの名前です。

C:¥IBF¥CLI>adacfg client erase -name asa1
Reply: Command completed successfully!

adacfg client list

これまでに設定されたすべてのクライアント デバイスをリストします。

構文

adacfg client list

C:¥IBF¥CLI>adacfg client list
Name IP/Range
---- ---------
asa1 10.77.204.2
asa2 10.77.101.3
asa3 10.77.101.4

adacfg client status

通知(通知要求も含む On-Demand クエリー、またはレプリケーション登録要求)登録されているクライアントの同期ステータスを表示します。

構文

adacfg client status

C:¥IBF¥CLI>adacfg client status
Subscribed-IP Sync Status
------------- ------------
10.77.101.2 In-Sync
10.77.101.3 Out-Of-Sync
10.77.101.4 Out-Of-Sync
10.77.101.5 In-Sync

adacfg help dc

DC 関連 adacfg コマンドの詳細な構文の要約を表示します。

構文

adacfg help dc

C:¥IBF¥CLI>adacfg help dc
Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg dc [SUBCOMMAND] [ARGS]
where SUBCOMMAND can be:
create - to configure a new AD domain-controller machine
list - to list all previously configured AD domain-controller machines
erase - to erase a previously configured AD domain-controller machine
help - to view this help
detailed syntax (write command on a single line!):
adacfg dc create -name <DC-nickname>
-host <DC-hostname-or-FQDN>
-domain <full-DNS-name-of-AD-domain>
-user <username-member-of-Domain-Admins-group>
-password <password-of-user>
adacfg dc list
adacfg dc erase -name <DC-nickname>

adacfg dc create

新しい AD ドメイン コントローラ マシンを設定します。

構文

adacfg dc create -name < DC-nickname > -host < DC-hostname-or-FQDN > -domain < full-DNS-name-of-AD-domain > -user < username-member-of-Domain-Admins-group > -password < password-of-user >

説明:

DC-nickname :Active Directory ドメイン コントローラの名前。

DC-hostname-or-FQDN :AD ドメイン コントローラのホスト名、または Active Directory ドメイン コントローラの完全修飾ドメイン名(FQDN)。

full-DNS-name-of-AD-domain :AD ドメインの完全 DNS 名。

username-member-of-Domain-Admins-group :ドメイン コントローラ マシンのセキュリティ ログのモニタリングに使用される既存のアカウントのユーザ名。

このアカウントにはドメイン コントローラ マシンのセキュリティ ログを読み取るために必要な権限が付与されている必要があります。「-domain」オプションに指定したドメインの AD グループ「Domain Admins」に属するアカウントを指定することで、容易かつ確実にこの操作を実行できます。

あるいは、以下のすべての要件に対応していれば、「Domain Admins」グループに属さないメンバーでも必要な権限を取得できます。

アカウントが AD グループ「Distributed COM Users」に属している。

アカウントに、ドメイン コントローラ マシンの WMI 名前空間(特に「CIMV2」名前空間)へのアクセス権限が付与されている。この権限を設定するには、「wmimgmt.msc」スナップインを使用するか、またはグループ ポリシーを使用します(すべてのドメイン コントローラ マシンに反映する場合)。詳しくは、 http://blogs.msdn.com/b/spatdsg/archive/2007/11/21/set-wmi-namespace-security-via-gpo-script.aspx を参照してください。

ドメイン コントローラ マシンのセキュリティ イベント ログを読み取る権限がアカウントに付与されている。この権限を設定するには、レジストリの CustomSD キーを使用するか、または Group Policy を使用します(すべてのドメイン コントローラ マシンに反映する場合)。詳しくは、 http://msdn.microsoft.com/en-us/library/aa363648%28v=vs.85%29.aspx を参照してください。

password-of-user :前述のユーザ名に対応するパスワード。

C:¥IBF¥CLI>adacfg dc create -name abc-dc1 -host amer.acs.com -domain acs.com -user xyz -password axbycz
Warning: please make sure that this DC machine has:
[1] all necessary patches installed, and
[2] a properly configured Audit Policy.
For more details, visit:
http://www.cisco.com/en/US/docs/security/asa/asa84/release/notes/README_FIRST.html
 
Command completed successfully!

adacfg dc erase

以前に設定された AD ドメイン コントローラ マシンを消去します。

構文

adacfg dc erase -name < DC-nickname >

C:¥IBF¥CLI>adacfg dc erase -name abc-dc1
Reply: Command completed successfully!

adacfg dc list

これまでに設定されたすべての AD ドメイン コントローラ マシンをリストします。

構文

adacfg dc list

C:¥IBF¥CLI>adacfg dc list
C:¥IBF¥CLI>adacfg dc list
Name Host/IP Username Domain-Name Latest Status
---- ------- -------- ----------- -------------
abc-dc1 amer.acs.com domainAdmin ACS up
abc-dc2 amer2.acs.com domainAdmin down
abc-dc3 amer3.acs.com domainAdmin down(no-retry)

adacfg help cache

キャッシュ関連 adacfg コマンドの詳細な構文の要約を表示します。

構文

adacfg help cache

C:¥IBF¥CLI>adacfg help cache
Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg cache [SUBCOMMAND]
where SUBCOMMAND can be:
list - to view the currently cached mappings
clear - to clear the currently cached mappings
help - to view this help
detailed syntax:
adacfg cache list
adacfg cache clear

adacfg cache list

現在キャッシュされているマッピングを表示します。

構文

adacfg cache list

C:¥IBF¥CLI>adacfg cache list
IP User-Name Domain Response-to-Probe Mapping-Type Mapping-Origin Create-Time
-- --------- ------ ----------------- ------------ -------------- -----------
10.77.100.1 User1 AD1 true DC AD1 2011-01-05T09:37:17Z
10.77.100.2 User2 AD1 true DC AD1 2011-01-05T09:37:21Z

adacfg cache clear

現在キャッシュされているマッピングをクリアします。

構文

adacfg cache clear

C:¥IBF¥CLI> adacfg cache clear

Removed 10 records.


) キャッシュ内部が完全にクリアされるまでお待ちください。キャッシュのクリアにかかる時間は、現在キャッシュされているマッピングの数によって異なります。

キャッシュ内のマッピングの数が非常に多い場合、完全にクリアするまでに約 1 分かかります。また、この処理の実行中に adacfg cache list コマンドを呼び出すと、マッピングがまだ存在していることが示される場合や、「データベースがロックされている」ことを示す SQL エラーが返される場合がありますが、このような結果は安全に無視できます。キャッシュ クリア操作が内部で完了した後で adacfg cache list コマンドを実行すると、「Total mappings count」が 0 として返されます。


 

adacfg help options

オプション関連 adacfg コマンドの詳細な構文の要約を表示します。

構文

adacfg help options

C:¥IBF¥CLI> adacfg help options

Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg options [SUBCOMMAND] [ARGS]
where SUBCOMMAND can be:
list - to view the current settings of the configurable options
set - to configure one or more of the configurable options
help - to view this help
detailed syntax:
adacfg options list
adacfg options set [-<optionName> <optionValue>] [...]
 
an <optionName>/<optionValue> pair can be:
 
[-userLogonTTL <number-of-minutes>]
Time duration after which logged-in user is marked as being logged-out.
 
[-dcStatusTime <number-of-seconds>]
Time span between consecutive monitorings of DC-machine up/down status.
 
[-dcHistoryTime <number-of-seconds>]
Amount of time before the present from which to start reading
the security logs of DC-machines that are configured
(via 'adacfg dc create') for the first time ever.
 
[-notifyAttributes <text>]
Comma-separated list of attributes to be sent in notifications to
subscribed client-devices.
 
Fully expanded list:
domain,time-stamp,responds-to-probe,mapping-type,mapping-origin
 
Wildcard equivalent to the fully expanded list:
*
 
[-logLevel <level>]
Logging level for the customer logs (localStore and syslogs).
 
Valid values: FATAL, ERROR, WARN, INFO, or DEBUG
 
Default value: INFO

adacfg options list

設定オプションの現行設定値を表示します。

構文

adacfg options list

C:¥IBF¥CLI> adacfg options list

Option Value
--------------- -----
userLogonTTL 1440
dcHistoryTime 86400
dcStatusTime 60
notifyAttributes *
logLevel INFO

adacfg options set

1 つ以上の設定オプションを設定します。

構文

adacfg options set [-<optionName> <optionValue>] [...]

optionName と optionValue のペアには、次のいずれかまたはすべてを指定できます。

[userLogonTTL <number-of-minutes> ] :ログイン ユーザがログアウトしたものとしてマークされるまでの期間。

[dcStatusTime < number-of-seconds> ] :連続して行われる DC マシンのアップまたはダウン ステータスのモニタリングの間隔。

[dcHistoryTime <number-of-seconds> ] :「adacfg dc create」を使用して設定された DC マシンのセキュリティ ログを初めて読み取り開始する時点までの時間。

[notifyAttributes < text> ] 登録されているクライアント デバイスに送信される通知に指定される属性のコンマ区切りリスト。以下のいずれかまたはすべての属性を指定できます。

domain、time-stamp、responds-to-probe、mapping-type、mapping-origin

*(すべての属性に相当するワイルドカード)

[logLevel <level> ] :カスタマー ログ(localStore および Syslog)のログ レベル。有効な値は FATAL、ERROR、WARN、INFO、および DEBUG です。デフォルトのレベルは INFO です。


) AD Agent は、「NOTICE」ログ レベル(「INFO」と「WARN」の間のレベル)を使用して一部のカスタマー ログ メッセージを生成しますが、adacfg options set -logLevel コマンドを使用して「logLevel」の設定値として「NOTICE」を明示的に選択することはできません。詳細については、付録 B「カスタマー ログ メッセージ」を参照してください。


adacfg help syslog

Syslog 関連 adacfg コマンドの詳細な構文の要約を表示します。

構文

adacfg help syslog

C:¥IBF¥CLI> adacfg help syslog

Cisco AD Agent adacfg -- version 1.0.0.32, build 539
Usage: adacfg syslog [SUBCOMMAND] [ARGS]
where SUBCOMMAND can be:
create - to configure a new syslog-target
list - to list all previously configured syslog-targets
erase - to erase a previously configured syslog-target
help - to view this help
detailed syntax (write command on a single line!):
adacfg syslog create -name <syslog-target-nickname>
-ip <IP-address>
[-facility <syslog-facility>]
valid syslog facility values: LOCAL0 - LOCAL7
default syslog facility value: LOCAL6
adacfg syslog list
adacfg syslog erase -name <syslog-target-nickname>

adacfg syslog create

新しい Syslog ターゲットを設定します。

構文

adacfg syslog create -name < syslog-target-nickname > -ip < IP-address > [ -facility < syslog-facility >]

説明:

syslog-target-nickname :Syslog サーバの名前。

IP-address :Syslog サーバの IP アドレス。

syslog-facility :ファシリティ値(LOCAL0 ~ LOCAL7)。デフォルトは LOCAL6 です。

C:¥IBF¥CLI>adacfg syslog create -name mysyslog -ip 10.77.202.1 -facility LOCAL6
Reply: Command completed successfully!

adacfg syslog erase

以前に設定された Syslog ターゲットを消去します。

構文

adacfg syslog erase -name < syslog-target-nickname >

syslog-target-nickname は AD Agent に接続している Syslog ターゲットの名前です。

C:¥IBF¥CLI>adacfg syslog erase -name mysyslog
Reply: Command completed successfully.

adacfg syslog list

これまでに設定されたすべての Syslog ターゲットをリストします。

構文

adacfg syslog list

C:¥IBF¥CLI>adacfg syslog list
Name IP Facility
----- --- ---------
mysyslog 10.77.202.4 LOCAL6

adacfg version

Windows マシンにインストールされている AD Agent のバージョンを表示します。

構文

adacfg version

C:¥IBF¥CLI>adacfg version
Cisco AD Agent adacfg -- version 1.0.0.32, build 539
<Built from sources last modified 2011-04-21 12:20:17 +0300>