TPM 정책 설정
기본적으로 교체 시스템 보드는 TPM 정책이 정의되지 않음으로 설정된 상태로 제공됩니다. 교체하는 시스템 보드에 맞게 준비된 설정과 일치하도록 이 설정을 수정해야 합니다.
Lenovo XClarity Provisioning Manager에서
Lenovo XClarity Provisioning Manager에서 TPM 정책을 설정하는 방법:서버를 시작한 후 F1을 눌러 Lenovo XClarity Provisioning Manager 인터페이스를 표시합니다.
시동 관리자 암호가 필요한 경우 암호를 입력하십시오.
시스템 요약 페이지에서 VPD 업데이트를 클릭하십시오.
- 다음 설정 중 하나에 대한 정책을 설정하십시오.
TPM 2.0 사용 - 중국만 해당. 중국 본토 고객은 NationZ TPM 2.0 어댑터가 설치되어 있는 경우 이 설정을 선택해야 합니다.
TPM 사용 - ROW. 중국 본토 이외의 지역에 있는 고객은 이 설정을 선택해야 합니다.
영구적으로 사용 안 함. 중국 고객은 TPM 어댑터가 설치되지 않은 경우 설정을 사용해야 합니다.
주정의되지 않음 설정을 정책 설정으로 사용할 수는 있지만 사용해서는 안 됩니다.
Lenovo XClarity Essentials OneCLI에서
주대상 시스템에 원격으로 액세스할 수 있도록Lenovo XClarity Controller에서 로컬 IPMI 사용자 및 비밀번호를 설정해야 합니다. Lenovo XClarity Essentials OneCLI에서 TPM 정책을 설정하는 방법:- TpmTcmPolicyLock을 읽고 TPM_TCM_POLICY가 잠겼는지 확인합니다.
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
주imm.TpmTcmPolicyLock 값은 'Disabled'이어야 하며, 이 값은 TPM_TCM_POLICY가 잠겨 있지 않으며 TPM_TCM_POLICY를 변경할 수 있다는 것을 의미합니다. 리턴 코드가 'Enabled'이면, 정책을 변경할 수 없습니다. 원하는 설정이 교체되는 시스템에 맞으면, 플래너를 계속 사용할 수 있습니다.
TPM_TCM_POLICY를 XCC로 구성합니다.
TCM/TPM이 없는 중국 본토 고객의 경우
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
원래 시스템에 TCM/TPM 모듈을 설치한 중국 본토 고객(정책을 변경하기 전에 TCM/TPM 모듈을 FRU로 이동해야 함)
OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
중국 본토 이외의 고객
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
재설정 명령을 실행하여 시스템을 재설정합니다.
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
값을 다시 읽어 변경 사항이 수락되었는지 여부를 확인합니다.
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
주다시 읽은 값이 일치하면, TPM_TCM_POLICY가 올바르게 설정되었음을 의미합니다.
imm.TpmTcmPolicy의 정의는 다음과 같습니다.값 0은 "정의되지 않음" 문자열을 사용하며, UNDEFINED 정책을 의미합니다.
값 1은 "NeitherTpmNorTcm" 문자열을 사용하며, TPM_PERM_DISABLED를 의미합니다.
값 2는 "TpmOnly"라는 문자열을 사용하며, TPM_ALLOWED를 의미합니다.
값 4는 "TcmOnly"라는 문자열을 사용하며, TCM_ALLOWED를 의미합니다.
OneCli / ASU 명령을 사용할 때 TPM_TCM_POLICY를 잠그려면, 아래 4단계를 사용해야 합니다.
TpmTcmPolicyLock을 읽어 TPM_TCM_POLICY가 잠겼는지 확인합니다. 명령은 다음과 같습니다.
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
값은 'Disabled'여야 하며, TPM_TCM_POLICY가 잠기지 않아 설정되어야 한다는 것을 의미합니다.
TPM_TCM_POLICY를 잠급니다.
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
Reset 명령을 사용하여 시스템을 재설정합니다. 명령은 다음과 같습니다.
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
재설정하는 동안, UEFI는 imm.TpmTcmPolicyLock에서 값을 읽습니다. 값이 'Enabled'이고 imm.TpmTcmPolicy 값이 유효하지 않은 경우, UEFI는 TPM_TCM_POLICY 설정을 잠급니다.
imm.TpmTcmPolicy의 유효한 값에는 'NeitherTpmNorTcm', 'TpmOnly' 및 'TpmOnly'가 포함됩니다.
imm.TpmTcmPolicy가 'Enabled'로 설정되어 있지만 imm.TpmTcmPolicy 값이 유효하지 않은 경우, UEFI는 'lock' 요청을 거부하고 imm.TpmTcmPolicy를 다시 'Disabled'로 변경합니다.
값을 다시 읽어 'Lock'이 수락 또는 거부되었는지 확인할 수 있습니다. 명령은 다음과 같습니다.
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
주다시 읽은 값이 'Disabled'에서 'Enabled'로 변경되면, TPM_TCM_POLICY가 성공적으로 잠겨 있음을 의미합니다. 시스템 보드를 교체하는 것 외의 다른 정책을 설정하면, 정책 잠금을 해제할 방법이 없습니다.imm.TpmTcmPolicyLock의 정의는 다음과 같습니다.
값 1은 "Enabled"라는 문자열을 사용하며, 정책을 잠근다는 것을 의미합니다. 다른 값은 허용되지 않습니다.
또한 절차에서는 물리적 존재가 활성화되어 있어야 합니다. FRU의 기본값이 활성화됩니다.PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable