跳到主要内容

设置 TPM 策略

默认情况下,交付更换主板时将 TPM 策略设置为未定义。您必须修改此设置以匹配待更换主板的设置。

可使用两种方法设置 TPM 策略:

  • Lenovo XClarity Provisioning Manager

    要从 Lenovo XClarity Provisioning Manager 中设置 TPM 策略,请执行以下操作:

    1. 启动服务器,并按 F1 以显示 Lenovo XClarity Provisioning Manager 界面。

    2. 如果需要开机管理员密码,请输入密码。

    3. 从“系统摘要”页面中,单击更新 VPD

    4. 将策略设置为以下设置之一。

      • 启用 TPM 2.0 - 仅限中国。如果安装了 NationZ TPM 2.0 适配器,中国大陆的客户应选择此设置。

      • 启用 TPM - 世界其他地区。中国大陆以外的客户应选择此设置。

      • 永久禁用。如果未安装 TPM 适配器,中国大陆的客户应使用此设置。

      虽然设置未定义可用作策略设置,但不应使用它。

  • Lenovo XClarity Essentials OneCLI

    请注意,必须在 Lenovo XClarity Controller 中设置用于远程访问目标系统的 IPMI 用户和密码。
    要从 Lenovo XClarity Essentials OneCLI 中设置 TPM 策略,请执行以下操作:
    1. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已锁定:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 值必须为“Disabled”,这表示 TPM_TCM_POLICY 未锁定,允许对 TPM_TCM_POLICY 进行更改。如果返回代码为“Enabled”,则不允许更改策略。如果所需设置适用于要更换的系统,则平板仍将可以使用。

    2. 将 TPM_TCM_POLICY 配置到 XCC 中:

      • 对于未安装 TCM/TPM 的中国大陆客户:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>

      • 对于在原始系统上安装了 TCM/TPM 模块的中国大陆客户(在更改策略之前,应当将 TCM/TPM 模块移动到 FRU)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>

      • 对于中国大陆以外的客户:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. 发出 reset 命令以重置系统:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. 读回值以检查更改是否已被接受:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>

      • 如果读回值匹配,则表示已正确设置 TPM_TCM_POLICY。

        imm.TpmTcmPolicy 定义如下:

        • 值 0 使用字符串“Undefined”,这表示 UNDEFINED 策略。

        • 值 1 使用字符串“NeitherTpmNorTcm”,这表示 TPM_PERM_DISABLED。

        • 值 2 使用字符串“TpmOnly”,这表示 TPM_ALLOWED。

        • 值 4 使用字符串“TcmOnly”,这表示 TCM_ALLOWED。

      • 在使用 OneCli/ASU 命令时,还必须通过以下 4 步操作“锁定” TPM_TCM_POLICY:

    5. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已被锁定,命令如下:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      值必须为“Disabled”,这表示 TPM_TCM_POLICY 未锁定并且必须设置。

    6. 锁定 TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. 发出 reset 命令以重置系统,命令如下:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      重置期间,UEFI 将会从 imm.TpmTcmPolicyLock 读取值,如果值为“Enabled”且 imm.TpmTcmPolicy 值无效,UEFI 将会锁定 TPM_TCM_POLICY 设置。

      imm.TpmTcmPolicy 的有效值包括“NeitherTpmNorTcm”、“TpmOnly”和“TpmOnly”。

      如果 imm.TpmTcmPolicy 被设置为“Enabled”,但是 imm.TpmTcmPolicy 值无效,UEFI 将会拒绝“锁定”请求并将 imm.TpmTcmPolicy 改回为“Disabled”。

    8. 读回该值以检查“锁定”请求是被接受还是被拒绝,命令如下:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      如果读回值从“Disabled”更改为“Enabled”,则表示 TPM_TCM_POLICY 已成功锁定。策略在设置之后无法解锁,除非更换主板。

      imm.TpmTcmPolicyLock 定义如下:

      值 1 使用字符串“Enabled”,这表示锁定策略。不接受其他值。

      操作过程还要求启用物理现场授权。这将会启用 FRU 的默认值。
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable