Cisco Identity Services Engine Release 1.1.x CLI リファレンス ガイド

Cisco ISE を設定するためのセットアップの実行

Cisco ISE アプライアンスに初めて電源を投入すると、Cisco ISE アプライアンスのセットアップ ユーティリティを実行するように求められます。 setup コマンドを使用してユーティリティを実行する前に、次のネットワーク コンフィギュレーション プロンプトに対して値が設定されていることを確認します。

• ホスト名

• IP アドレス：イーサネット インターフェイスのアドレス

• ネットマスク

• デフォルト ゲートウェイ

• DNS ドメイン名

• プライマリ ネーム サーバ

• プライマリ NTP サーバ（任意）

• システム時間帯

• ユーザ名

• パスワード

次の例は、 setup コマンドのサンプル出力を示します。

必要な情報を入力すると、自動的に Cisco ISE アプライアンスがリブートされ、次のログイン プロンプトが表示されます。

machine_name が setup コマンドを実行したときに指定したホスト名を特定します。

この例では、次のプロンプトが表示されます。

ログインには、セットアップ プロセスで作成した管理者ユーザ アカウント（および対応するパスワード）を使用します。また ISE CLI に最初にログインするときにも、この Admin アカウントを使用する必要があります。CLI に管理者としてアクセスした後は、コンフィギュレーション モードで username コマンドを実行して、CLI への SSH アクセスが可能なユーザ（Admin 権限または Operator 権限を持つ）を追加できます。

（注） 初期セットアップ ウィザード中に作成されたその管理者ユーザ アカウントと対応するパスワード（CLI ユーザ アカウント）は、CLI を使用して Cisco ISE アプリケーションを管理するために使用できます。CLI ユーザは、Cisco ISE アプリケーション ソフトウェアの開始と停止、Cisco ISE アプリケーション データのバックアップと復元、Cisco ISE アプリケーション ソフトウェアへのソフトウェア パッチとアップグレードの適用、すべてのシステムとアプリケーション ログの参照、Cisco ISE アプライアンスのリロードまたはシャットダウンを行う特権を持っています。CLI のユーザ クレデンシャルを保護するには、CLI へのアクセス権を持つユーザを明示的に作成します。

「Cisco ISE CLI へのアクセス」を参照してください。

（注） Cisco ISE Web インターフェイスから作成するユーザは Cisco ISE CLI に自動的にログインできません。CLI へのアクセス権を明示的に付与してユーザを作成する必要があります。このようなユーザを作成するには、セットアップ時に作成した Admin アカウントを使用して CLI にログインした後、コンフィギュレーション モードを開始し、username コマンドを実行する必要があります。

サポートされるハードウェアおよびソフトウェアのプラットフォーム

Cisco ISE には、次の有効な端末タイプからアクセスできます。

• 1178

• 2621

• 5051

• 6053

• 8510

• altos5

• amiga

• ansi

• apollo

• Apple_Terminal

• att5425

• ibm327x

• kaypro

• vt100

有効な全タイプの一覧については、terminfo データベースを参照してください。

セキュア シェルを使用して CLI を開く

Cisco ISE には、SSH クライアントまたはコンソール ポートからアクセスすることもできます。

（注） Cisco ISE CLI 環境にアクセスするには、SSH v2 をサポートする SSH クライアントを使用します。

次の例では、Wondows XP を使用して、PC からセキュア シェル（SSH）クライアント（有線 WAN に接続）でログインする方法を示します。この例では、あらかじめセットアップ ユーティリティを使用して、Admin（管理者）ユーザを受け入れるように ISE を設定し、Admin としてログインしていることを前提とします。

ステップ 1 任意の SSH クライアントを使用して SSH セッションを開始します。

SSH ウィンドウが表示されます。

ステップ 2 Enter キーまたは スペースバー を押して接続します。

[リモートホストに接続（Connect to Remote Host）] ウィンドウが表示されます。

ステップ 3 ホスト名、ユーザ名、ポート番号、および認証方式を入力します。

この例では、ホスト名に ise 、ユーザ名に admin 、ポート番号に 22 を入力し、認証方式として、ドロップダウン リストから [パスワード（Password）] を選択します。

ステップ 4 [接続（Connect）] をクリックするか、 Enter キーを押します。

[パスワードの入力（Enter Password）] ウィンドウが表示されます。

ステップ 5 割り当てられた管理者パスワードを入力します。

[SSH：プロファイルの追加（SSH with the Add Profile）] ウィンドウが表示されます。

ステップ 6 （任意）テキスト ボックスにプロファイル名を入力し、[プロファイルへの追加（Add to Profile）] をクリックします。

ステップ 7 [プロファイルの追加（Add Profile）] ウィンドウで [閉じる（Close）] をクリックします。

Cisco ISE プロンプト ise/admin# が表示されます。これで、Cisco ISE CLI コマンドを入力できます。

ローカル PC を使用した CLI の開始

（有線 LAN に接続せずに）Cisco ISE をローカルに設定する必要がある場合は、ヌルモデム ケーブルを使用して、PC を Cisco ISE アプライアンスのコンソール ポートに接続できます。

シリアル コンソール コネクタ（ポート）は、コンソール ポートに端末を接続することで、CLI にローカル アクセス可能にします。端末は、ターミナル エミュレーション ソフトウェアまたは ASCII 端末を実行する PC です。コンソール ポート（EIA/TIA-232 非同期）で必要なのは、ヌルモデム ケーブルのみです。

ターミナルエミュレーション ソフトウェアを実行する PC をコンソール ポートに接続するには、DB-9 メス型 - DB-9 メス型のヌルモデム ケーブルを使用します。

ASCII 端末をコンソール ポートに接続するには、片方が DB-9 メスでもう一方が DB-25 オスのストレート ケーブルと、DB-25 メスから DB-25 メスへの変換アダプタを使用します。

コンソール ポートのデフォルト パラメータは、9600 ボー、8 データ ビット、パリティなし、1 ストップ ビット、およびハードウェア フロー制御なしです。

（注） 接続の相手側が Cisco Switch の場合、スイッチ ポートを duplex auto、speed auto（デフォルト）に設定します。

コンソール ポートに接続し、CLI を開くには、次の手順を実行します。

ステップ 1 Cisco ISE アプライアンスのコンソール ポートと PC の COM ポートをヌルモデム ケーブルで接続します。

ステップ 2 Cisco ISE と通信するようにターミナル エミュレータを設定します。ターミナル エミュレータの接続では、9600 ボー、データ ビット 8、パリティなし、ストップ ビット 1 の設定を使用します。ハードウェアのフロー制御はなしです。

ステップ 3 ターミナル エミュレータが起動したら、Enter キーを押します。

ステップ 4 ウィンドウでユーザ名を入力して、Enter キーを押します。

ステップ 5 パスワードを入力して Enter キーを押します。

CLI が起動したら、Cisco ISE を設定する CLI コマンドを入力できます。

EXEC モード

Cisco ISE でセッションを開始する場合、admin または EXEC モードで開始します。EXEC モードからは、コンフィギュレーション モードに入ることができます。show コマンドなどの EXEC コマンド（ワンタイム コマンド）のほとんどは、現在のコンフィギュレーション ステータスを表示します。Admin または EXEC モードのプロンプトは、デバイス名またはホスト名で構成され、その後にシャープ記号（#）が付きます。たとえば、次のとおりです。

（注） このマニュアルでは、Cisco ISE サーバは、ユーザ アカウントに Cisco ISE サーバのホスト名と admin の代わりに名前の ncs を使用します。

プロンプトを調べて、EXEC モードまたはコンフィギュレーション モードになっていることを常に確認できます。次に各モードでのプロンプトについて説明します。

• EXEC モードでは、Cisco ISE サーバのホスト名とユーザ名の後に、シャープ記号（#）が付きます。

次に例を示します。

• コンフィギュレーション モードでは、「config」というキーワードとシャープ記号（#）は Cisco ISE サーバのホスト名とユーザ名の後に表示されます。

次に例を示します。

UNIX を使い慣れている場合は、EXEC モードを root アクセスのように考えることができます。また、Windows NT の管理者レベルや、NetWare のスーパーバイザと同等と考えることもできます。このモードでは、コンフィギュレーション コマンドの実行を含め、Cisco ISE サーバ内のすべてに対するアクセスが許可されます。ただし、コンフィギュレーション コマンドは直接入力できません。Cisco ISE サーバの実際のコンフィギュレーションを変更する前に、 configure または configure terminal (conf t) コマンドを入力して、コンフィギュレーション モードに入る必要があります。このコマンドは、EXEC モードでのみ入力してください。

次に例を示します。

コンフィギュレーション モードには数種類のサブモードがあり、それぞれに固有のプロンプトがあります。これらのサブモードに入るには、まず configure terminal コマンドを使用して、コンフィギュレーション モードに入ります。

コンフィギュレーション モードを終了するには、end コマンド、exit コマンド、または Ctrl+z コマンドを入力します。EXEC モードを終了するには、exit コマンドを入力します。コンフィギュレーション モードと EXEC モードの両方を終了するには、次の一連のコマンドを入力します。

EXEC モードのコマンドの一覧を表示するには、疑問符（?）を入力します。

コンフィギュレーション モード

既存のコンフィギュレーションに変更を加えるには、コンフィギュレーション モードを使用します。コンフィギュレーションを保存すると、これらのコマンドは、次のいずれかのコマンドを実行した場合に限り、Cisco ISE サーバのリブート後もそのまま有効です。

• copy running-config startup-config

• write memory

コンフィギュレーション モードに入るには、EXEC モードで configure コマンドまたは configure terminal (conf t) コマンドを実行します。コンフィギュレーション モードの状態にある場合、Cisco ISE は、コマンドをコンフィギュレーション コマンドとして処理します。

次に例を示します。

このレベルから、Cisco ISE コンフィギュレーションに直接コマンドを入力できます。このモードのコマンドの一覧を表示するには、疑問符（?）を入力します。

コンフィギュレーション モードには数種類のコンフィギュレーション サブモードがあります。各サブモードに入ると、プロンプト階層のさらに深いレベルで操作できます。exit と入力すると、Cisco ISE はユーザのレベルを 1 段階戻し、前のレベルに戻します。もう一度 exit と入力すると、Cisco ISE はユーザを EXEC レベルに戻します。

（注） コンフィギュレーション モードでは、end または exit コマンドの代わりに、Ctrl+Z キーを使用できます。

コンフィギュレーション サブモード

コンフィギュレーション サブモードでは、特定のコンフィギュレーションについてのコマンドを入力できます。次に例を示します。

このモードのコマンドの一覧を表示するには、疑問符（?）を入力します。

このプロンプトを終了してコンフィギュレーション プロンプトに戻るには、exit コマンドまたは end コマンドを使用します。

表 2-1 に、インターフェイス GigabitEthernet 0 コンフィギュレーション サブモードのコマンドをリストします。この他に、 kron 、 repository 、および password policy の各コマンドに固有のサブモードなどのコンフィギュレーション サブモードがあります。

ヘルプの利用方法

疑問符（?）と矢印キーを使用して、コマンド入力のヘルプを利用します。

• 使用可能なコマンドの一覧を表示するには、次のように疑問符（ ? ）を入力します。

• コマンドを完成させるには、既知の文字をいくつか入力し、続けて疑問符（ ? ）を入力します （スペース無し）。

• コマンドのキーワードおよび引数を表示するには、プロンプトが表示されたときに、またはコマンドの一部とそれに続けてスペースを入力した後に、疑問符（ ? ） を入力します。

Cisco ISE には、使用可能なキーワードおよび引数のリストと簡単な説明が表示されます。

（注） コマンドのヘルプの <cr> 記号は「復帰」を表しています。これは、Return または Enter キーを押すことを意味します。コマンド ヘルプの最後の <cr> は、Enter キーを押してコマンドを完成させるオプションがあること、および <cr> 記号に先行するリスト内の引数およびキーワードはオプションであることを示します。<cr> 記号だけの場合は、使用可能な引数またはキーワードが他に存在せず、Enter キーを押してコマンドを完成させる必要があることを示します。

• 以前に入力したコマンドを再表示するには、 上矢印 キーを押します。さらに多くのコマンドを表示するには、続けて 上矢印 キーを押します。

コマンドの no 形式と default 形式の使用

一部の EXEC コマンドまたはコンフィギュレーション コマンドには no 形式があります。一般には、no 形式を使用して機能をディセーブルにします。ディセーブルにされた機能を再度イネーブルにしたり、デフォルトでディセーブルになっている機能をイネーブルにしたりするには、no キーワードを付けずにコマンドを使用します。IP アドレスをディセーブルにするには no ip address コマンドを使用し、その IP アドレスを再びイネーブルにするには ip address コマンドを使用します。

コンフィギュレーション コマンドには、コマンド設定をデフォルト値に戻すための default 形式もあります。ほとんどのコマンドはデフォルトがディセーブルであるため、そのような場合に default 形式を使用すると、コマンドの no 形式を使用した場合と同じ結果になります。ただし、デフォルトでイネーブルに設定されていて、なおかつ変数が特定のデフォルト値に設定されているコマンドもあります。そのような場合に default 形式のコマンドを使用すると、コマンドがイネーブルになり、変数がデフォルト値に設定されます。

コンフィギュレーション コマンドの完全な構文と、no および default 形式のコマンドについては、 付録 A「Cisco ISE コマンド リファレンス」 を参照してください。

コマンド ラインの表記法

このマニュアルを読む際に、CLI の使用方法について特定の基本的な表記法を把握していなければ、ここで示す情報が十分に理解できない可能性があります。

• 「コマンドライン編集キーの表記法」

• 「コマンド ラインのコンプリート機能」

• 「--More-- プロンプトでの出力続行」

コマンドライン編集キーの表記法

Cisco ISE には、入力した行を編集するためのキーボード ショートカットが数多く用意されています。

Tab

現在のコマンドを終了するには、 Tab キーを押します。

Tab キーを押した場合：

• 行の先頭に、オプションの短縮形すべてが一覧表示されます。

• コマンドの一部を入力すると、それらの文字で始まるオプションの短縮形すべてが一覧表示されます。

• 使用可能なオプションの候補が 1 つだけの場合は、そのオプションが自動的に取り込まれます。

Ctrl+c

シーケンスを中断するには、Ctrl+c を押します。実行中のコマンドすべてを中止し、前のモードに戻ります。

Ctrl+z

コンフィギュレーション モードを終了し、前のコンフィギュレーション モードに戻るには、Ctrl+z を押します。

?

使用できるコマンドをリストするには、プロンプトで疑問符（?）を入力します（「ヘルプの利用方法」を参照）。

コマンド ラインのコンプリート機能

コマンド ライン コンプリート機能を使用すると、Cisco ISE CLI の操作性が向上します。余分なキー入力を行う必要がなくなり、コマンドの構文を思い出せなくてもコマンドが入力できます。

たとえば、次のように show running-configuration コマンドを入力するとします。

このとき、次のように入力します。

Cisco ISE は、コマンド sh run を show running-config に拡張します。

もう 1 つのショートカットは sh の入力後に Tab キーを押します。Cisco ISE CLI が、残りのコマンド（この場合は show）を入力します。

Cisco ISE CLI は、コマンドを認識できない場合、コマンドライン全体を繰り返して表示し、コマンドを解析できなかった位置にカレット記号（^）を挿入します。

次に例を示します。

カレット記号（^）は、Cisco ISE が認識できなかったコマンド ラインの最初の文字を指します。通常、これはコマンドを完成させるために引数を追加する必要があるか、またはコマンドのスペルに誤りがあることを意味します。この場合、「running」コマンドから「r」が欠落しています。エラーを修正するには、コマンドを再入力します。

別の形式のコマンドライン コンプリート機能では、コマンドの先頭の数文字を入力し、それから Tab キーを押します。1 つのコマンドと合致すると、Cisco ISE CLI はそのコマンドを完成させます。たとえば、sh と入力して Tab キーを押すと、Cisco ISE は、sh に続けて show を完成させます。Cisco ISE がコマンドを完成できない場合は、さらに数文字を追加して Tab キーを押します。詳細については、「Tab」を参照してください。

--More-- プロンプトでの出力続行

Cisco ISE CLI を使用する場合に、出力が画面の表示可能域を超えることがよくあります。多くの ? や show コマンドの出力などで画面の下端を超えて出力が続く場合は、出力が中断し、画面の最後の行に --More-- プロンプトが表示されます。出力を再開するには、 Return キーを押して 1 行スクロール ダウンするか、 スペースバー を押して次の 1 画面分の出力を表示します。

ヒント 画面上の出力が中断されても --More-- プロンプトが表示されない場合は、EXEC コマンド terminal length を使用して画面長の値を小さくしてみてください。長さの値をゼロ（0）に設定すると、コマンドの出力は中断しません。