Saltar al contenido principal

Configuración de la política TPM

De forma predeterminada, una placa del sistema de sustitución se envía con la política de TPM establecida como indefinida. Debe modificar este valor para que coincida con el valor que existía en la placa del sistema se está sustituyendo.

Hay dos métodos disponibles para especificar la política de TPM:
  • Desde Lenovo XClarity Provisioning Manager

    Para especificar la política de TPM desde Lenovo XClarity Provisioning Manager:
    1. Inicie el servidor y presione F1 para mostrar la interfaz de Lenovo XClarity Provisioning Manager.

    2. Si se requiere la contraseña de administrador de encendido, ingrese la contraseña.

    3. En la página Resumen del sistema, haga clic en Actualizar VPD.

    4. Establezca la política en uno de los siguientes valores.
      • TPM 2.0 habilitado: solo para China. Los clientes en China continental deben elegir este valor si hay un adaptador de NationZ TPM 2.0 instalado.

      • TPM habilitado: ROW. Los clientes que estén fuera de China continental deben elegir este valor.

      • Permanentemente deshabilitado. Los clientes en China continental deben usar este valor si no hay un adaptador de TPM instalado.

      Nota

      Aunque el valor indefinido esté disponible como valor de la política, no se debe usar.

  • Desde Lenovo XClarity Essentials OneCLI

    Nota
    Tenga en cuenta que se deben configurar un usuario y contraseña Local IPMI en Lenovo XClarity Controller para tener acceso remoto al sistema de destino.
    Para especificar la política de TPM desde Lenovo XClarity Essentials OneCLI:
    1. Lea TpmTcmPolicyLock para comprobar si se bloqueó el TPM_TCM_POLICY:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Nota

      El valor imm.TpmTcmPolicyLock debe estar “Deshabilitado”, lo que significa que TPM_TCM_POLICY NO está bloqueado y se permite realizar cambios en TPM_TCM_POLICY. Si el código de retorno está “Habilitado”, no se permiten cambios en la política. La placa puede usarse si la configuración deseada es correcta para el sistema que se sustituye.

    2. Configurar TPM_TCM_POLICY en el XCC:

      • Para clientes en China continental sin TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • Para clientes en China continental que tienen instalado el módulo TCM/TPM en el sistema original (el módulo TCM/TPM debe modificarse para la FRU antes de cambiar la política)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
      • Para clientes fuera de China continental:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Emita el comando de restablecimiento para restablecer el sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Lea el valor para comprobar si se aceptó el cambio:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      • Si el valor de lectura coincide significa que TPM_TCM_POLICY se estableció correctamente.

        imm.TpmTcmPolicy está definido del siguiente modo:
        • El valor 0 usa la cadena “Undefined”, lo que significa una política UNDEFINED.

        • El valor 1 usa la cadena “NeitherTpmNorTcm”, lo que significa TPM_PERM_DISABLED.

        • El valor 2 usa la cadena “TpmOnly”, lo que significa TPM_ALLOWED.

        • El valor 4 usa la cadena “TcmOnly”, lo que significa TCM_ALLOWED.

      • Los siguientes 4 pasos también debe utilizarse para 'bloquear' TPM_TCM_POLICY al utilizar los comandos OneCli/ASU:

    5. Lea TpmTcmPolicyLock para comprobar si se bloqueó TPM_TCM_POLICY, el comando es el siguiente:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      El valor debe estar “Deshabilitado”, significa que TPM_TCM_POLICY NO está bloqueado y debe configurarse.

    6. Bloquee TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. Emita el comando de restablecimiento para restablecer el sistema, el comando es el siguiente:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Durante el restablecimiento, la UEFI lee el valor desde imm.TpmTcmPolicyLock, si el valor está “Habilitado” y el valor imm.TpmTcmPolicy no es válido, UEFI bloqueará el valor TPM_TCM_POLICY.

      El valor válido para imm.TpmTcmPolicy incluye 'NeitherTpmNorTcm', 'TpmOnly' y 'TpmOnly'.

      Si imm.TpmTcmPolicy está establecido como “Habilitado” pero el valor imm.TpmTcmPolicy no es válido, UEFI rechazará la solicitud de “bloqueo” y cambiará el imm.TpmTcmPolicy de vuelta a “Deshabilitado”.

    8. Lea el valor para comprobar si el “Bloqueo” se aceptó o rechazó. El comando es el siguiente:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      Si se cambia el valor de espera de lectura de “Desactivado” a “Habilitado”, esto significa que TPM_TCM_POLICY se bloqueó correctamente. No hay ningún método para desbloquear una política una vez que se ha establecido como distinta de sustituir la placa del sistema.

      imm.TpmTcmPolicyLock está definido del siguiente modo:

      El valor 1 usa la cadena “Enabled”, lo que significa bloquear la política. No se admiten otros valores.

      El procedimiento también requiere que la Presencia física esté habilitada. El valor predeterminado de FRU estarán habilitado.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable