Перейти к основному содержимому

Настройка политики TPM

У материнской платы, поставляемой для замены, для политики TPM по умолчанию установлено значение Не определено. Необходимо установить для этого параметра то же значение, что было установлено на предыдущей материнской плате.

Существует два способа настройки политики TPM:

  • Из Lenovo XClarity Provisioning Manager

    Чтобы настроить политику TPM в Lenovo XClarity Provisioning Manager, выполните следующие действия.

    1. Запустите сервер и нажмите клавишу F1, чтобы отобразить интерфейс Lenovo XClarity Provisioning Manager.

    2. Если при запуске требуется ввести пароль администратора, введите его.

    3. На странице общих сведений о системе нажмите Обновить VPD.

    4. Задайте один из следующих вариантов политики.

      • Модуль TPM 2.0 включен (только Китай). Если адаптер NationZ TPM 2.0 установлен, пользователям в Материковом Китае нужно выбрать этот вариант политики.

      • Модуль TPM включен (остальные страны мира). Пользователям за пределами Материкового Китая нужно выбрать этот вариант политики.

      • Постоянно выключен. Если адаптер TPM не установлен, пользователям в Материковом Китае нужно использовать этот вариант политики.

      Прим.

      Хотя вариант Не определено также доступен для выбора, его использовать не следует.

  • В Lenovo XClarity Essentials OneCLI

    Прим.
    Обратите внимание, что для удаленного доступа к целевой системе необходимо в Lenovo XClarity Controller настроить локального пользователя и пароль IPMI.
    Чтобы настроить политику TPM в Lenovo XClarity Essentials OneCLI, выполните следующие действия.
    1. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Прим.

      Значение imm.TpmTcmPolicyLock должно быть Disabled. В этом случае политика TPM_TCM_POLICY не заблокирована и внесение изменений в TPM_TCM_POLICY разрешено. Если код возврата — Enabled, внесение изменений в политику не разрешено. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

    2. Настройте TPM_TCM_POLICY в XCC:

      • Для клиентов в Материковом Китае без TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>

      • Для клиентов в Материковом Китае, которые установили модуль TCM/TPM в исходной системе (перед изменением политики модуль TCM/TPM следует переместить в FRU)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>

      • Для клиентов за пределами материкового Китая:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. Введите команду перезагрузки, чтобы перезагрузить систему:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Прим.

      • Если считанное значение соответствует, политика TPM_TCM_POLICY установлена правильно.

        imm.TpmTcmPolicy определяется следующим образом:

        • Значение 0 использует строку Undefined, что означает неопределенную политику (UNDEFINED).

        • Значение 1 использует строку NeitherTpmNorTcm, что означает TPM_PERM_DISABLED.

        • Значение 2 использует строку TpmOnly, что означает TPM_ALLOWED.

        • Значение 4 использует строку TcmOnly, что означает TCM_ALLOWED.

      • Приведенные ниже 4 шага необходимо также использовать для «блокировки» политики TPM_TCM_POLICY при использовании команд OneCli/ASU.

    5. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY; команда следующая:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Значение должно быть Disabled. При таком значении политика TPM_TCM_POLICY не заблокирована и ее необходимо настроить.

    6. Заблокируйте политику TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. Введите команду перезагрузки, чтобы перезагрузить систему; команда следующая:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      При перезагрузке интерфейс UEFI считывает значение из imm.TpmTcmPolicyLock. Если это значение — Enabled и значение imm.TpmTcmPolicy недопустимо, UEFI блокирует настройку TPM_TCM_POLICY.

      Допустимые значения для imm.TpmTcmPolicy — NeitherTpmNorTcm, TpmOnly и TpmOnly.

      Если для imm.TpmTcmPolicy установлено значение Enabled, но значение imm.TpmTcmPolicy недопустимо, UEFI отклоняет запрос на «блокировку» и восстанавливает для imm.TpmTcmPolicy значение Disabled.

    8. Выполните считывание значения, чтобы выяснить, принят ли запрос на «блокировку», команда следующая:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Прим.
      Если считанное значение изменилось с Disabled на Enabled, политика TPM_TCM_POLICY успешно заблокирована. Единственный способ разблокировать политику после ее настройки — замена материнской платы.

      imm.TpmTcmPolicyLock определяется следующим образом:

      Значение 1 использует строку Enabled, что означает блокировку политики. Другие значения неприемлемы.

      Процедура также требует, чтобы была включена функция физического присутствия. Для FRU будет включено значение по умолчанию.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable