Passa al contenuto principale

Impostazione dei criteri TPM

Per impostazione predefinita, viene fornita una scheda di sistema sostitutiva con i criteri TPM impostati come non definiti. È necessario modificare questa impostazione in modo che corrisponda a quella definita per la scheda di sistema che sta per essere sostituita.

Sono disponibili due metodi per impostare i criteri TPM:

  • Da Lenovo XClarity Provisioning Manager

    Per impostare i criteri TPM da Lenovo XClarity Provisioning Manager:

    1. Avviare il server e premere F1 per visualizzare l'interfaccia di Lenovo XClarity Provisioning Manager.

    2. Se viene richiesta la password amministratore di accensione, immetterla.

    3. Dalla pagina di riepilogo del sistema fare clic su Aggiorna VPD.

    4. Impostare i criteri su uno dei valori seguenti.

      • TPM 2.0 abilitato - Solo Cina. I clienti della Cina continentale devono utilizzare questa impostazione se è installato un adattatore NationZ TPM 2.0.

      • TPM abilitato - RIGA. I clienti al di fuori della Cina continentale devono scegliere questa impostazione.

      • Disabilitati in modo permanente. I clienti della Cina continentale devono utilizzare questa impostazione se non è installato un adattatore TPM.

      Nota

      Nonostante il valore Non definiti sia disponibile come impostazione per i criteri, l'uso è sconsigliato.

  • Da Lenovo XClarity Essentials OneCLI

    Nota
    Tenere presente che un utente IPMI locale e la password devono essere configurati in Lenovo XClarity Controller per l'accesso remoto al sistema di destinazione.
    Per impostare i criteri TPM da Lenovo XClarity Essentials OneCLI:
    1. Leggere TpmTcmPolicyLock per verificare se TPM_TCM_POLICY è stato bloccato:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Nota

      Il valore imm.TpmTcmPolicyLock deve essere "Disabilitato", ovvero TPM_TCM_POLICY non deve essere bloccato e TPM_TCM_POLICY può essere modificato. Se il codice restituito è "Abilitato", non sono consentite modiche del criterio. Il planare può ancora essere utilizzato se l'impostazione desiderata è corretta per il sistema da sostituire.

    2. Configurare TPM_TCM_POLICY in XCC:

      • Per i clienti della Cina continentale senza TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>

      • Per i clienti della Cina continentale che hanno installato il modulo TCM/TPM sul sistema originale (il modulo TCM/TPM deve essere spostato sulla FRU prima di modificare i criteri)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>

      • Per i clienti al di fuori della Cina continentale:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. Immettere un comando di reimpostazione per reimpostare il sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. Leggere nuovamente il valore per verificare se la modifica è stata accettata:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota

      • Se il valore verificato corrisponde significa che TPM_TCM_POLICY è stato impostato correttamente.

        imm.TpmTcmPolicy viene definito nel seguente modo:

        • Il valore 0 usa la stringa "Non definito", ovvero il criterio UNDEFINED.

        • Il valore 1 usa la stringa "NeitherTpmNorTcm", ovvero TPM_PERM_DISABLED.

        • Il valore 2 usa la stringa "TpmOnly", ovvero TPM_ALLOWED.

        • Il valore 4 usa la stringa "TcmOnly", ovvero TCM_ALLOWED.

      • I seguenti 4 passaggi devono essere utilizzati per "bloccare" TPM_TCM_POLICY quando si utilizzano i comandi OneCli/ASU:

    5. Leggere TpmTcmPolicyLock per verificare se TPM_TCM_POLICY è stato bloccato con il seguente comando:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Il valore deve essere "Disabilitato", ovvero TPM_TCM_POLICY non è bloccato e deve essere impostato.

    6. Bloccare TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. Immettere il seguente comando di reimpostazione per reimpostare il sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Durante la reimpostazione, UEFI leggerà il valore da imm.TpmTcmPolicyLock, il valore è "Abilitato" e il valore imm.TpmTcmPolicy non è valido. UEFI bloccherà l'impostazione TPM_TCM_POLICY.

      Il valore valido per imm.TpmTcmPolicy include "NeitherTpmNorTcm", "TpmOnly" e "TpmOnly".

      Se imm.TpmTcmPolicy è impostato su "Abilitato" ma il valore imm.TpmTcmPolicy non è valido, UEFI rifiuterà la richiesta di "blocco" e ripristinerà imm.TpmTcmPolicy su "Disabilitato".

    8. Leggere nuovamente il valore per verificare se il blocco è stato accettato o rifiutato. Di seguito è riportato il comando:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      Se il valore verificato viene modificato da "Disabilitato" ad "Abilitato" significa che TPM_TCM_POLICY è stato bloccato correttamente. L'unico modo per sbloccare un criterio impostato è sostituire la scheda di sistema.

      imm.TpmTcmPolicyLock viene definito nel seguente modo:

      Il valore 1 usa la stringa "Abilitato", ovvero blocca il criterio. Non sono accettati altri valori.

      La procedura richiede anche l'abilitazione della presenza fisica. Il valore predefinito per FRU verrà abilitato.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable