Cisco ISE コマンドライン インターフェイス


(注)  

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。

この章では、Cisco ISE の設定および管理に使用できる Cisco Identity Services Engine(ISE)のコマンドライン インターフェイス(CLI)について説明します。

通信、サービス、およびその他の情報

  • シスコからタイムリーな関連情報を受け取るには、Cisco Profile Manager でサインアップしてください。

  • 重要な技術によりビジネスに必要な影響を与えるには、Cisco Services にアクセスしてください。

  • サービス リクエストを送信するには、Cisco Support にアクセスしてください。

  • 安全で検証済みのエンタープライズクラスのアプリケーション、製品、ソリューション、およびサービスを探して参照するには、Cisco DevNet [英語] にアクセスしてください。

  • 一般的なネットワーキング、トレーニング、認定関連の出版物を入手するには、Cisco Press にアクセスしてください。

  • 特定の製品または製品ファミリの保証情報を探すには、Cisco Warranty Finder にアクセスしてください。

Cisco バグ検索ツール

シスコバグ検索ツール(BST)は、シスコ製品とソフトウェアの障害と脆弱性の包括的なリストを管理するシスコバグ追跡システムへのゲートウェイです。BST は、製品とソフトウェアに関する詳細な障害情報を提供します。

マニュアルに関するフィードバック

シスコのテクニカルドキュメントに関するフィードバックを提供するには、それぞれのオンラインドキュメントの右側のペインにあるフィードバックフォームを使用してください。

CLI を使用した Cisco ISE の管理および設定

Cisco ISE コマンドライン インターフェイス(CLI)では、EXEC モードでシステム レベルの設定、コンフィギュレーション モードでその他の設定作業(一部は Cisco ISE 管理者ポータルから実行できません)を実行し、トラブルシューティングのための操作ログを生成できます。

Cisco ISE 管理者ポータルまたは CLI を使用して、Cisco ISE アプリケーション ソフトウェアのパッチを適用し、トラブルシューティングのための操作ログを生成し、Cisco ISE アプリケーション データをバックアップできます。また、Cisco ISE CLI を使用して、Cisco ISE アプリケーション ソフトウェアを起動および停止し、アプリケーション データをバックアップから復元し、アプリケーション ソフトウェアをアップグレードし、トラブルシューティングのためにすべてのシステム ログとアプリケーション ログを表示し、Cisco ISE デバイスをリロードまたはシャットダウンできます。

コマンドシンタックス、使用ガイドライン、例については、『Cisco ISE Command Reference Guides』の「EXEC モードの Cisco ISE CLI コマンド」、「EXEC Show モードの Cisco ISE CLI コマンド」、「コンフィギュレーション モードの Cisco ISE CLI コマンド」を参照してください。

ローカル システムを使用した Cisco ISE CLI へのアクセス

有線ローカル エリア ネットワーク(LAN)に接続せずに Cisco ISE をローカルに設定する必要がある場合は、ヌルモデム ケーブルを使用して、システムを Cisco ISE デバイスのコンソール ポートに接続できます。シリアル コンソール コネクタ(ポート)は、コンソール ポートに端末を接続することで、Cisco ISE CLI へのローカル アクセスを可能にします。端末は、ターミナル エミュレーション ソフトウェアまたは ASCII 端末を実行するシステムです。コンソール ポート(EIA/TIA-232 非同期)で必要なのは、ヌルモデム ケーブルのみです。

  • ターミナルエミュレーション ソフトウェアを実行するシステムをコンソール ポートに接続するには、DB-9 メス型 - DB-9 メス型のヌルモデム ケーブルを使用します。

  • ASCII 端末をコンソール ポートに接続するには、片方が DB-9 メスでもう一方が DB-25 オスのストレート ケーブルと、DB-25 メスから DB-25 メスへの変換アダプタを使用します。

コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、およびハードウェア フロー制御なしです。


(注)  

接続の相手側が Cisco Switch の場合、スイッチ ポートを duplex auto、speed auto(デフォルト)に設定します。

手順

ステップ 1

SNS アプライアンスを使用する場合は、Cisco ISE デバイスのコンソールポートとシステムの COM ポートをヌルモデムケーブルで接続します。

仮想マシンまたはパブリック クラウド プラットフォームの場合は、必要な代替手順を実行してコンソールに接続します。

ステップ 2

Cisco ISE と通信するようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。ハードウェアのフロー制御はなしです。

ステップ 3

ターミナル エミュレータが起動したら、Enter キーを押します。

ステップ 4

ユーザー名を入力し、Enter キーを押します。

ステップ 5

パスワードを入力し、Enter キーを押します。

セキュア シェルによる Cisco ISE CLI へのアクセス

Cisco ISE はセットアップ ユーティリティにより、CLI 管理者を受け入れるように事前設定されています。(Windows XP 以降のバージョンを使用してシステムを介して有線ワイド エリア ネットワーク(WAN)に接続している)SSH クライアントを使用してログインするには、管理者としてログインします。

始める前に

Cisco ISE CLI にアクセスするには、SSH v2 をサポートするセキュア シェル(SSH)クライアントを使用します。

手順

ステップ 1

任意の SSH クライアントを使用して SSH セッションを開始します。

ステップ 2

Enter キーまたはスペースバーを押して接続します。

ステップ 3

ホスト名、ユーザー名、ポート番号、および認証方式を入力します。たとえば、ホスト名「ise」またはリモートホストの IPv4/IPv6 IP アドレスを入力し、ユーザー名に「admin」、ポート番号に「22」を入力して、認証方式としてドロップダウンリストから [パスワード(Password)] を選択します。

ステップ 4

[接続(Connect)] をクリックするか、Enter キーを押します。

ステップ 5

割り当てられた管理者パスワードを入力します。

ステップ 6

(任意)プロファイル名を [プロファイルの追加(Add Profile)] ウィンドウに入力し、[プロファイルに追加(Add to Profile)] をクリックします。

ステップ 7

[プロファイルの追加(Add Profile)] ウィンドウで [閉じる(Close)] をクリックします。

Cisco ISE CLI 管理者アカウント

初期設定中に、ユーザー名とパスワードを入力して CLI 管理者アカウントを作成するように促されます。初期設定後に Cisco ISE を再起動するときに、このアカウントを使用して Cisco ISE サーバーにログインします。

初期設定後は、Cisco ISE GUI のパスワードと Cisco ISE CLI のパスワードが個別に管理されます。一方のパスワードを更新しても、もう一方のパスワードには影響しません。

CLI 管理者アカウントのクレデンシャルを常に保護し、このアカウントを使用して、Cisco ISE サーバーへのアクセス権限を持つ追加管理者アカウントとユーザー アカウントを明示的に作成し、管理する必要があります。

CLI 管理者はすべてのコマンドを使用して、Cisco ISE サーバーで EXEC モードでのシステム レベルの設定(ルートへのアクセス)およびコンフィギュレーション モードでのその他の設定作業を実行することができます。管理者は、Cisco ISE アプリケーション ソフトウェアの開始と停止、Cisco ISE アプリケーション データのバックアップと復元、Cisco ISE アプリケーション ソフトウェアへのパッチとアップグレードの適用、すべてのシステム ログとアプリケーション ログの表示、Cisco ISE デバイスのリロードまたはシャットダウンを実行できます。

サブモードに関係なく、管理者アカウントのプロンプトの末尾にポンド記号(#)が表示されます。

Cisco ISE CLI ユーザー アカウント

Cisco ISE 管理者ポータルからアカウントを作成するユーザーは、Cisco ISE CLI に自動的にログインできません。CLI 管理者アカウントを使用して、CLI にアクセスできるユーザー アカウントを明示的に作成する必要があります。CLI ユーザーアカウントに対して Cisco ISE パスワードポリシーに準拠するパスワードを生成するには、コマンド generate-password <username> を使用します。

Cisco ISE CLI ユーザー アカウントの作成

CLI ユーザーアカウントを作成するには、コンフィギュレーション モードで username コマンドを実行する必要があります。

手順

ステップ 1

CLI 管理者アカウントを使用して Cisco ISE CLI にログインします。

ステップ 2

コンフィギュレーション モードを開始して、username コマンドを実行します。 


ise/admin# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
ise/admin(config)# username duke password plain Plain@123 role user email duke@cisco.com
ise/admin(config)# exit
ise/admin#

ステップ 3

CLI ユーザー アカウントを使用して Cisco ISE CLI にログインします。

Cisco ISE リリース 3.3 以降、新しく追加されたユーザーは、最初のログイン時にパスワードを変更するように求められます。

Cisco ISE CLI ユーザー アカウントの権限

ユーザー アカウントには、次のコマンドを含む、限定された数のコマンドへのアクセス権があります。

  • crypto:暗号操作

  • exit:管理セッションを終了する

  • generate-password:パスワードを生成する必要があるユーザー名

  • license:ライセンス操作

  • nslookup:IP アドレスまたはホスト名の DNS ルックアップ

  • password:パスワードの更新

  • ping:リモート IP アドレスに ping を実行する

  • ping6:リモート IPv6 アドレスに ping を実行する

  • show:システムに関する情報を表示する

  • terminal:端末タイプを設定する

  • traceroute:リモート IP アドレスへのルートを追跡する

Cisco ISE CLI でサポートされるハードウェアおよびソフトウェアのプラットフォーム

Cisco ISE サーバーに接続し、次を使用して CLI にアクセスできます。

  • Microsoft Windows 10 以降のリリースを実行するシステム。

  • Red Hat や Fedora などの Linux を実行するシステム。

  • Mac OS X 10.4 以降の Apple コンピュータ。

  • VT100 または ANSI 互換の端末デバイス。VT100 タイプ デバイスおよび ANSI デバイスでは、左矢印、右矢印、上矢印、下矢印、Delete および Backspace キーを含むカーソル制御キーおよびカーソル移動キーを使用できます。Cisco ISE CLI は、カーソル制御キーの使用を検出し、自動的に最適なデバイス文字を使用します。