Zum Hauptinhalt springen

TPM-Richtlinie festlegen

Standardmäßig wird eine Ersatzsystemplatine geliefert, bei der die TPM-Richtlinie mit Nicht definiert konfiguriert ist. Sie müssen diese Einstellung ändern, um die Einstellung an die der ausgetauschten Systemplatine anzupassen.

Es gibt zwei Möglichkeiten zum Festlegen der TPM-Richtlinie:
  • Über Lenovo XClarity Provisioning Manager

    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Provisioning Manager fest:
    1. Starten Sie den Server und drücken Sie F1, um die Lenovo XClarity Provisioning Manager-Schnittstelle anzuzeigen.

    2. Wenn das Administratorkennwort erforderlich ist, geben Sie das Kennwort ein.

    3. Klicken Sie auf der Seite mit der Systemzusammenfassung auf VPD-Update.

    4. Legen Sie die Richtlinie auf eine der folgenden Einstellungen fest.
      • TPM 2.0 aktiviert – nur China. Kunden auf dem chinesischen Kontinent sollten diese Einstellung auswählen, wenn ein NationZ TPM 2.0-Adapter installiert ist.

      • TPM aktiviert – restliche Welt. Kunden außerhalb des chinesischen Kontinents sollten diese Einstellung auswählen.

      • Permanent deaktiviert. Kunden auf dem chinesischen Kontinent sollten diese Einstellung verwenden, wenn kein TPM-Adapter installiert ist.

      Anmerkung

      Obwohl die Einstellung Nicht definiert als Richtlinieneinstellung verfügbar ist, sollte sie nicht verwendet werden.

  • Vom Lenovo XClarity Essentials OneCLI

    Anmerkung
    Hinweis: Ein lokaler IPMI-Benutzer mit Kennwort muss in Lenovo XClarity Controller konfiguriert sein, damit der Fernzugriff auf das Zielsystem funktioniert.
    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Essentials OneCLI fest:
    1. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob die TPM_TCM_POLICY gesperrt wurde:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Anmerkung

      Der Wert imm.TpmTcmPolicyLock muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und Änderungen an der TPM_TCM_POLICY sind erlaubt. Wenn der Rückgabewert „Enabled“ ist, sind keine Änderungen an der Richtlinie erlaubt. Die Platine kann weiterhin verwendet werden, wenn die gewünschte Einstellung für das zu ersetzende System korrekt ist.

    2. Konfigurieren Sie die TPM_TCM_POLICY in XCC:

      • Für Kunden auf dem chinesischen Kontinent ohne TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • Für Kunden auf dem chinesischen Kontinent, die das TCM/TPM-Modul auf dem Originalsystem installiert haben (das TCM/TPM-Modul sollte vor einer Änderung der Richtlinie in die FRU verschoben werden)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
      • Für Kunden außerhalb des chinesischen Kontinents:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Lesen Sie den Wert zurück, um zu überprüfen, ob die Änderung akzeptiert wurde:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Anmerkung
      • Wenn der Rücklesewert übereinstimmt, bedeutet das, dass die TPM_TCM_POLICY korrekt festgelegt wurde.

        imm.TpmTcmPolicy ist wie folgt definiert:
        • Wert 0 verwendet die Zeichenkette „Undefined“, was für die UNDEFINED-Richtlinie steht.

        • Wert 1 verwendet die Zeichenkette „NeitherTpmNorTcm“, was TPM_PERM_DISABLED bedeutet.

        • Wert 2 verwendet die Zeichenkette „TpmOnly“, was TPM_ALLOWED bedeutet.

        • Wert 4 verwendet die Zeichenkette „TcmOnly“, was TCM_ALLOWED bedeutet.

      • Die folgenden 4 Schritte müssen auch verwendet werden, um die TPM_TCM_POLICY bei der Verwendung von OneCli/ASU-Befehlen zu „sperren“:

    5. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob TPM_TCM_POLICY gesperrt ist, Befehl wie unten:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Der Wert muss „Disabled“ sein, d. h. TPM_TCM_POLICY ist NICHT gesperrt und muss gesetzt werden.

    6. Sperren Sie die TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. Geben Sie den Reset-Befehl zum Zurücksetzen des Systems aus, Befehl wie unten beschrieben:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Während des Zurücksetzens liest UEFI den Wert von imm.TpmTcmPolicyLock, wenn der Wert „Enabled“ ist und der imm.TpmTcmPolicy-Wert ungültig ist und UEFI sperrt die Einstellung TPM_TCM_POLICY.

      Der gültige Wert für imm.TpmTcmPolicy beinhaltet „NeitherTpmNorTcm“, „TpmOnly“ und „TpmOnly“.

      Wenn die imm.TpmTcmPolicy auf „Enabled“ gesetzt ist, der Wert imm.TpmTcmPolicy aber ungültig ist, lehnt UEFI die Anforderung zum Sperren ab und ändert imm.TpmTcmPolicy wieder in „Disabled“.

    8. Lesen Sie den Wert zurück, um zu überprüfen, ob die „Sperre“ akzeptiert oder abgelehnt wird, Befehl wie unten beschrieben:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Anmerkung
      Wird der Rücklesewert von „Disabled“ auf „Enabled“ geändert, bedeutet dies, dass die TPM_TCM_POLICY erfolgreich gesperrt wurde. Es gibt keine Methode, eine Richtlinie freizuschalten, sobald sie einmal festgelegt wurde, außer dem Ersetzen der Systemplatine.

      imm.TpmTcmPolicyLock ist wie folgt definiert:

      Wert 1 verwendet die Zeichenkette „Enabled“, was bedeutet, dass die Richtlinie gesperrt ist. Andere Werte sind nicht zulässig.

      Die Prozedur erfordert auch, dass die physische Präsenz aktiviert ist. Der Standardwert für FRU wird aktiviert.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable