メインコンテンツまでスキップ

TPM ポリシーの設定

デフォルトでは、交換用システム・ボードは TPM ポリシーが未定義に設定された状態で出荷されます。この設定を、交換するシステム・ボードの設定と一致するように変更する必要があります。

TPM ポリシーを設定する方法は 2 つあります。
  • Lenovo XClarity Provisioning Manager から

    Lenovo XClarity Provisioning Manager から TPM ポリシーを設定するには、次の手順を実行します。
    1. サーバーを起動して、画面の指示に従ってキーを押し、Lenovo XClarity Provisioning Manager インターフェースを表示します。

    2. 始動管理者パスワードが必要な場合は、パスワードを入力します。

    3. 「システムの要約」ページで「VPD の更新」をクリックします。

    4. ポリシーを以下の設定のいずれかに設定します。
      • NationZ TPM 2.0 有効 - 中国のみ。中国本土のお客さまは、NationZ TPM 2.0 アダプターを取り付ける場合はこの設定を選択する必要があります。

      • TPM 有効 - ROW。中国本土以外のお客様はこの設定を選択する必要があります。

      • 永続的に無効。中国本土にお住みのお客さまは、TPM アダプターが取り付けられていない場合は、この設定を使用する必要があります。

      ポリシー設定で未定義という設定は使用可能ですが、使用されることはありません。

  • Lenovo XClarity Essentials OneCLI から

    ターゲット・システムにリモート・アクセスするには、Lenovo XClarity Controller で、ローカル IPMI ユーザーとパスワードがセットアップされている必要があることにご注意ください。
    Lenovo XClarity Essentials OneCLI から TPM ポリシーを設定するには、次の手順を実行します。
    1. TpmTcmPolicyLock を読んで、TPM_TCM_ポリシーがロックされているかどうかを確認してください。

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 値は「無効」でなくてはなりません。これは、TPM_TCM_POLICY がロックされておらず、TPM_TCM_POLICY への変更が許可されることを意味します。戻りコードが「有効」の場合、ポリシーへの変更は許可されません。希望の設定が交換されるシステムに対して正しい場合は、プレーナーがまだ使用されている可能性があります。

    2. TPM_TCM_POLICY を XCC に構成します。

      • TPM のない中国本土のお客様、または TPM を無効にする必要があるお客様の場合:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • TPM を有効にする必要がある中国本土のお客様:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • TPM を有効にする必要がある中国本土以外のお客様:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. reset コマンドを発行して、システムをリセットします。

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. 値をリードバックして、変更が承認されたかどうかを確認してください。

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      • リードバック値が一致した場合、TPM_TCM_POLICY が正しく設定されたことを意味します。

        imm.TpmTcmPolicy は、以下のとおり定義されます。
        • 値 0 はストリング「Undefined」を使用します。これは UNDEFINED ポリシーを意味します。

        • 値 1 はストリング「NeitherTpmNorTcm」を使用します。これは TPM_PERM_DISABLED を意味します。

        • 値 2 はストリング「TpmOnly」を使用します。これは TPM_ALLOWED を意味します。

        • 値 4 はストリング「NationZTPM20Only」を使用します。これは NationZ_TPM20_ALLOWED を意味します。

      • OneCli/ASU コマンドを使用するとき、以下の 4 つの手順も使用して、TPM_TCM_POLICY を「ロック」する必要があります。

    5. TpmTcmPolicyLock を読んで、TPM_TCM_POLICY がロックされているかどうかを確認してください。コマンドは以下のとおりです。

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      値は「Disabled」でなければなりません。これは TPM_TCM_POLICY がロックされておらず、設定する必要があることを意味します。

    6. TPM_TCM_POLICY をロックします。

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. reset コマンドを発行して、システムをリセットします。コマンドは以下のとおりです。

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      リセット時に、UEFI は imm.TpmTcmPolicyLock から値を読み込みます。値が「Enabled」で imm.TpmTcmPolicy 値が有効な場合、UEFI は TPM_TCM_POLICY 設定をロックします。

      imm.TpmTcmPolicy の有効な値には、「NeitherTpmNorTcm」、「TpmOnly」および「NationZTPM20Only」が含まれます。

      imm.TpmTcmPolicyLock が「Enabled」に設定されていても、imm.TpmTcmPolicy 値が無効な場合、UEFI は、「ロック」要求を拒否し、imm.TpmTcmPolicyLock を「Disabled」に戻します。

    8. 値をリードバックして、「ロック」が承認されたか拒否されたかを確認します。コマンドは以下のとおりです。

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      リードバック値が「Disabled」から「Enabled」に変更された場合、TPM_TCM_POLICY が適切にロックされていることを意味します。ポリシーがいったんロックされると、システム・ボードの交換以外にロックを解除する方法はありません。

      imm.TpmTcmPolicyLock は、以下のとおり定義されます。

      値 1 はストリング「Enabled」を使用します。これはポリシーのロックを意味します。その他の値は受け入れられません。