メインコンテンツまでスキップ

TPM ポリシーの設定

デフォルトでは、交換用システム・ボードは TPM ポリシーが未定義に設定された状態で出荷されます。この設定を、交換するシステム・ボードの設定と一致するように変更する必要があります。

TPM ポリシーを設定する方法は 2 つあります。

  • Lenovo XClarity Provisioning Manager から

    Lenovo XClarity Provisioning Manager から TPM ポリシーを設定するには、次の手順を実行します。

    1. サーバーを起動し、画面の指示で指定されたキーを押して Lenovo XClarity Provisioning Manager インターフェースを表示します(詳しくは、Lenovo XClarity Provisioning Manager ポータル・ページ にあるご使用のサーバーと互換性のある LXPM 資料のスタートアップセクションを参照してください)。

    2. 始動管理者パスワードが必要な場合は、パスワードを入力します。

    3. 「システムの要約」ページで「VPD の更新」をクリックします。

    4. ポリシーを以下の設定のいずれかに設定します。

      • NationZ TPM 2.0 有効 - 中国のみ。中国本土のお客さまは、NationZ TPM 2.0 アダプターを取り付ける場合はこの設定を選択する必要があります。

      • TPM 有効 - ROW。中国本土以外のお客様はこの設定を選択する必要があります。

      • 永続的に無効。中国本土にお住みのお客さまは、TPM アダプターが取り付けられていない場合は、この設定を使用する必要があります。

      ポリシー設定で未定義という設定は使用可能ですが、使用されることはありません。

  • Lenovo XClarity Essentials OneCLI から

    ターゲット・システムにリモート・アクセスするには、Lenovo XClarity Controller で、ローカル IPMI ユーザーとパスワードがセットアップされている必要があることにご注意ください。
    Lenovo XClarity Essentials OneCLI から TPM ポリシーを設定するには、次の手順を実行します。
    1. TpmTcmPolicyLock を読んで、TPM_TCM_ポリシーがロックされているかどうかを確認してください。
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 値は「無効」でなくてはなりません。これは、TPM_TCM_POLICY がロックされておらず、TPM_TCM_POLICY への変更が許可されることを意味します。戻りコードが「有効」の場合、ポリシーへの変更は許可されません。希望の設定が交換されるシステムに対して正しい場合は、プレーナーがまだ使用されている可能性があります。

    2. TPM_TCM_POLICY を XCC に構成します。

      • TPM のない中国本土のお客様、または TPM を無効にする必要があるお客様の場合:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>

      • TPM を有効にする必要がある中国本土のお客様:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>

      • TPM を有効にする必要がある中国本土以外のお客様:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" b --imm <userid>:<password>@<ip_address>

    3. reset コマンドを発行して、システムをリセットします。

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. 値をリードバックして、変更が承認されたかどうかを確認してください。

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      • リードバック値が一致した場合、TPM_TCM_POLICY が正しく設定されたことを意味します。

        imm.TpmTcmPolicy は、以下のとおり定義されます。

        • 値 0 はストリング「Undefined」を使用します。これは UNDEFINED ポリシーを意味します。

        • 値 1 はストリング「NeitherTpmNorTcm」を使用します。これは TPM_PERM_DISABLED を意味します。

        • 値 2 はストリング「TpmOnly」を使用します。これは TPM_ALLOWED を意味します。

        • 値 4 はストリング「NationZTPM20Only」を使用します。これは NationZ_TPM20_ALLOWED を意味します。

      • OneCli/ASU コマンドを使用するとき、以下の 4 つの手順も使用して、TPM_TCM_POLICY を「ロック」する必要があります。

    5. TpmTcmPolicyLock を読んで、TPM_TCM_POLICY がロックされているかどうかを確認してください。コマンドは以下のとおりです。

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      値は「Disabled」でなければなりません。これは TPM_TCM_POLICY がロックされておらず、設定する必要があることを意味します。

    6. TPM_TCM_POLICY をロックします。

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. reset コマンドを発行して、システムをリセットします。コマンドは以下のとおりです。

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      リセット時に、UEFI は imm.TpmTcmPolicyLock から値を読み込みます。値が「Enabled」で imm.TpmTcmPolicy 値が有効な場合、UEFI は TPM_TCM_POLICY 設定をロックします。

      imm.TpmTcmPolicy の有効な値には、「NeitherTpmNorTcm」、「TpmOnly」および「NationZTPM20Only」が含まれます。

      imm.TpmTcmPolicyLock が「Enabled」に設定されていても、imm.TpmTcmPolicy 値が無効な場合、UEFI は、「ロック」要求を拒否し、imm.TpmTcmPolicyLock を「Disabled」に戻します。

    8. 値をリードバックして、「ロック」が承認されたか拒否されたかを確認します。コマンドは以下のとおりです。

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      リードバック値が「Disabled」から「Enabled」に変更された場合、TPM_TCM_POLICY が適切にロックされていることを意味します。ポリシーがいったんロックされると、システム・ボードの交換以外にロックを解除する方法はありません。

      imm.TpmTcmPolicyLock は、以下のとおり定義されます。

      値 1 はストリング「Enabled」を使用します。これはポリシーのロックを意味します。その他の値は受け入れられません。