Cisco ISE コマンドライン インターフェイス


(注)  

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。

この章では、Cisco ISE の設定および管理に使用できる Cisco Identity Services Engine(ISE)のコマンドライン インターフェイス(CLI)について説明します。

CLI を使用した Cisco ISE の管理および設定

Cisco ISE コマンドライン インターフェイス(CLI)では、EXEC モードでシステム レベルの設定、コンフィギュレーション モードでその他の設定作業(一部は Cisco ISE 管理者ポータルから実行できません)を実行し、トラブルシューティングのための操作ログを生成できます。

Cisco ISE 管理者ポータルまたは CLI を使用して、Cisco ISE アプリケーション ソフトウェアのパッチを適用し、トラブルシューティングのための操作ログを生成し、Cisco ISE アプリケーション データをバックアップできます。また、Cisco ISE CLI を使用して、Cisco ISE アプリケーション ソフトウェアを起動および停止し、アプリケーション データをバックアップから復元し、アプリケーション ソフトウェアをアップグレードし、トラブルシューティングのためにすべてのシステム ログとアプリケーション ログを表示し、Cisco ISE デバイスをリロードまたはシャットダウンできます。

コマンドシンタックス、使用ガイドライン、例については、『Cisco ISE Command Reference Guides』の「EXEC モードの Cisco ISE CLI コマンド」、「EXEC Show モードの Cisco ISE CLI コマンド」、「コンフィギュレーション モードの Cisco ISE CLI コマンド」を参照してください。

ローカル システムを使用した Cisco ISE CLI へのアクセス

有線ローカル エリア ネットワーク(LAN)に接続せずに Cisco ISE をローカルに設定する必要がある場合は、ヌルモデム ケーブルを使用して、システムを Cisco ISE デバイスのコンソール ポートに接続できます。シリアル コンソール コネクタ(ポート)は、コンソール ポートに端末を接続することで、Cisco ISE CLI へのローカル アクセスを可能にします。端末は、ターミナル エミュレーション ソフトウェアまたは ASCII 端末を実行するシステムです。コンソール ポート(EIA/TIA-232 非同期)で必要なのは、ヌルモデム ケーブルのみです。

  • ターミナルエミュレーション ソフトウェアを実行するシステムをコンソール ポートに接続するには、DB-9 メス型 - DB-9 メス型のヌルモデム ケーブルを使用します。

  • ASCII 端末をコンソール ポートに接続するには、片方が DB-9 メスでもう一方が DB-25 オスのストレート ケーブルと、DB-25 メスから DB-25 メスへの変換アダプタを使用します。

コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、およびハードウェア フロー制御なしです。


Note

接続の相手側が Cisco Switch の場合、スイッチ ポートを duplex auto、speed auto(デフォルト)に設定します。

Procedure

Step 1

SNS アプライアンスを使用する場合は、Cisco ISE デバイスのコンソールポートとシステムの COM ポートをヌルモデムケーブルで接続します。

仮想マシンまたはパブリック クラウド プラットフォームの場合は、必要な代替手順を実行してコンソールに接続します。

Step 2

Cisco ISE と通信するようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。ハードウェアのフロー制御はなしです。

Step 3

ターミナル エミュレータが起動したら、Enter キーを押します。

Step 4

ユーザー名を入力し、Enter キーを押します。

Step 5

パスワードを入力し、Enter キーを押します。

セキュア シェルによる Cisco ISE CLI へのアクセス

Cisco ISE はセットアップ ユーティリティにより、CLI 管理者を受け入れるように事前設定されています。(Windows XP 以降のバージョンを使用してシステムを介して有線ワイド エリア ネットワーク(WAN)に接続している)SSH クライアントを使用してログインするには、管理者としてログインします。

Before you begin

Cisco ISE CLI にアクセスするには、SSH v2 をサポートするセキュア シェル(SSH)クライアントを使用します。

Procedure

Step 1

任意の SSH クライアントを使用して SSH セッションを開始します。

Step 2

Enter キーまたはスペースバーを押して接続します。

Step 3

ホスト名、ユーザー名、ポート番号、および認証方式を入力します。たとえば、ホスト名「ise」またはリモートホストの IPv4/IPv6 IP アドレスを入力し、ユーザー名に「admin」、ポート番号に「22」を入力して、認証方式としてドロップダウンリストから [パスワード(Password)] を選択します。

Step 4

[接続(Connect)] をクリックするか、Enter キーを押します。

Step 5

割り当てられた管理者パスワードを入力します。

Step 6

(任意)プロファイル名を [プロファイルの追加(Add Profile)] ウィンドウに入力し、[プロファイルに追加(Add to Profile)] をクリックします。

Step 7

[プロファイルの追加(Add Profile)] ウィンドウで [閉じる(Close)] をクリックします。

Cisco ISE CLI 管理者アカウント

初期設定中に、ユーザー名とパスワードを入力して CLI 管理者アカウントを作成するように促されます。初期設定後に Cisco ISE を再起動するときに、このアカウントを使用して Cisco ISE サーバーにログインします。

初期設定後は、Cisco ISE GUI のパスワードと Cisco ISE CLI のパスワードが個別に管理されます。一方のパスワードを更新しても、もう一方のパスワードには影響しません。

CLI 管理者アカウントのクレデンシャルを常に保護し、このアカウントを使用して、Cisco ISE サーバーへのアクセス権限を持つ追加管理者アカウントとユーザー アカウントを明示的に作成し、管理する必要があります。

CLI 管理者はすべてのコマンドを使用して、Cisco ISE サーバーで EXEC モードでのシステム レベルの設定(ルートへのアクセス)およびコンフィギュレーション モードでのその他の設定作業を実行することができます。管理者は、Cisco ISE アプリケーション ソフトウェアの開始と停止、Cisco ISE アプリケーション データのバックアップと復元、Cisco ISE アプリケーション ソフトウェアへのパッチとアップグレードの適用、すべてのシステム ログとアプリケーション ログの表示、Cisco ISE デバイスのリロードまたはシャットダウンを実行できます。

サブモードに関係なく、管理者アカウントのプロンプトの末尾にポンド記号(#)が表示されます。

Cisco ISE CLI ユーザー アカウント

Cisco ISE 管理者ポータルからアカウントを作成するユーザーは、Cisco ISE CLI に自動的にログインできません。CLI 管理者アカウントを使用して、CLI にアクセスできるユーザー アカウントを明示的に作成する必要があります。CLI ユーザーアカウントに対して Cisco ISE パスワードポリシーに準拠するパスワードを生成するには、コマンド generate-password <username> を使用します。

Cisco ISE CLI ユーザー アカウントの作成

CLI ユーザーアカウントを作成するには、コンフィギュレーション モードで username コマンドを実行する必要があります。

Procedure

Step 1

CLI 管理者アカウントを使用して Cisco ISE CLI にログインします。

Step 2

コンフィギュレーション モードを開始して、username コマンドを実行します。 


ise/admin# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# username duke password plain Plain@123 role user email duke@cisco.com
ise/admin(config)# exit
ise/admin#

Step 3

CLI ユーザー アカウントを使用して Cisco ISE CLI にログインします。

Cisco ISE CLI ユーザー アカウントの権限

ユーザー アカウントには、次のコマンドを含む、限定された数のコマンドへのアクセス権があります。

  • crypto:暗号操作

  • exit:管理セッションを終了する

  • generate-password:パスワードを生成する必要があるユーザー名

  • license:ライセンス操作

  • nslookup:IP アドレスまたはホスト名の DNS ルックアップ

  • password:パスワードの更新

  • ping:リモート IP アドレスに ping を実行する

  • ping6:リモート IPv6 アドレスに ping を実行する

  • show:システムに関する情報を表示する

  • terminal:端末タイプを設定する

  • traceroute:リモート IP アドレスへのルートを追跡する

Cisco ISE CLI でサポートされるハードウェアおよびソフトウェアのプラットフォーム

Cisco ISE サーバーに接続し、次を使用して CLI にアクセスできます。

  • Microsoft Windows 10 以降のリリースを実行するシステム。

  • Red Hat や Fedora などの Linux を実行するシステム。

  • Mac OS X 10.4 以降の Apple コンピュータ。

  • VT100 または ANSI 互換の端末デバイス。VT100 タイプ デバイスおよび ANSI デバイスでは、左矢印、右矢印、上矢印、下矢印、Delete および Backspace キーを含むカーソル制御キーおよびカーソル移動キーを使用できます。Cisco ISE CLI は、カーソル制御キーの使用を検出し、自動的に最適なデバイス文字を使用します。