Aller au contenu principal

Définition de la stratégie TPM

Par défaut, une carte mère de rechange est fournie avec la stratégie TPM réglée sur non définie. Vous devez modifier ce réglage de sorte qu’il corresponde à celui qui était en vigueur sur la carte mère en cours de remplacement.

Il existe deux méthodes disponibles pour définir la stratégie TPM :
  • À partir de Lenovo XClarity Provisioning Manager

    Pour définir la stratégie TPM à partir de Lenovo XClarity Provisioning Manager :
    1. Démarrez le serveur et appuyez sur la touche conformément aux instructions à l’écran pour afficher l’interface Lenovo XClarity Provisioning Manager.

    2. Si le mot de passe administrateur est obligatoire pour le démarrage, entrez le mot de passe.

    3. Dans la page Récapitulatif du système, cliquez sur Mise à jour VPD.

    4. Définissez la stratégie selon l’un des paramètres suivants.
      • NationZ TPM 2.0 activé - Chine uniquement. Les clients de Chine continentale doivent choisir ce paramètre si un adaptateur NationZ TPM 2.0 est installé.

      • TPM activé - Reste du monde. Les clients en dehors de la Chine continentale doivent choisir ce paramètre.

      • Définitivement désactivé. Les clients en Chine continentale doivent utiliser ce paramètre si aucun adaptateur TPM n’est installé.

      Remarque

      Bien que le paramètre non défini est disponible sous forme de paramètre de stratégie, il ne doit pas être utilisé.

  • À partir de Lenovo XClarity Essentials OneCLI

    Remarque
    Veuillez noter qu’un utilisateur IPMI local et un mot de passe doivent être définis dans Lenovo XClarity Controller pour avoir accès à distance au système cible.
    Pour définir la stratégie TPM à partir de Lenovo XClarity Essentials OneCLI :
    1. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé :

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Remarque

      La valeur du module imm.TpmTcmPolicyLock doit être « Désactivée », ce qui signifie que TPM_TCM_POLICY n'est PAS verrouillé et que les modifications apportées à TPM_TCM_POLICY sont autorisées. Si le code de retour est « Activé », aucune modification apportée à la stratégie n'est autorisée. La carte peut néanmoins être utilisée si le paramètre souhaité est correct pour le système à remplacer.

    2. Configurez le TPM_TCM_POLICY dans XCC :

      • À l’attention des clients en Chine continentale sans TPM, ou des clients devant désactiver le TPM :

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • À l’attention des clients en Chine continentale devant activer le TPM :

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • À l’attention des clients en dehors de la Chine continentale devant activer le TPM :

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Problème de commande de réinitialisation pour la réinitialisation du système :

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Relisez la valeur pour vérifier si la modification a été acceptée :

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Remarque
      • Si la valeur correspond, cela signifie que TPM_TCM_POLICY a été défini correctement.

        Le module imm.TpmTcmPolicy est défini comme suit :
        • La valeur 0 utilise la chaîne « Non définie », ce qui signifie stratégie UNDEFINED.

        • La valeur 1 utilise la chaîne « NeitherTpmNorTcm », ce qui signifie TPM_PERM_DISABLED.

        • La valeur 2 utilise la chaîne « TpmOnly », ce qui signifie TPM_ALLOWED.

        • La valeur 4 utilise la chaîne « NationZTPM », ce qui veut dire NationZ_TPM20_ALLOWED.

      • Les 4 étapes ci-dessous doivent également être utilisées pour « verrouiller » TPM_TCM_POLICY lors de l’utilisation des commandes OneCli/ASU :

    5. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé, commande comme ci-dessous :

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      La valeur doit être « Désactivée », ce qui signifie que TPM_TCM_POLICY n'est PAS verrouillé et doit être défini.

    6. Verrouillez TPM_TCM_POLICY :

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
      Remarque
      Assurez-vous que la dernière version du microprogramme BIOS/UEFI est installée avant de verrouiller le TPM_TCM_POLICY.
    7. Problème de commande de réinitialisation pour la réinitialisation du système, commande ci-dessous :

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      Lors de la réinitialisation, l'UEFI lira la valeur à partir du module imm.TpmTcmPolicyLock, si la valeur est « Activée » et si la valeur du module imm.TpmTcmPolicy est valide, l'UEFI verrouillera le paramètre TPM_TCM_POLICY.
      Remarque

      Les valeurs valides pour imm.TpmTcmPolicy incluent « NeitherTpmNorTcm », « TpmOnly » et « NationZTPM20Only ».

      Si imm.TpmTcmPolicyLock est défini sur « Activé », mais que la valeur imm.TpmTcmPolicy n’est pas valide, UEFI va rejeter la demande de « verrouillage » et définir imm.TpmTcmPolicyLock sur « Désactivé ».

    8. Relisez la valeur pour vérifier si le « Verrouillage » est accepté ou rejeté. Commande ci-dessous :

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Remarque
      Si la valeur a changé de « Désactivée » à « Activée », cela signifie que TPM_TCM_POLICY a été verrouillé avec succès. Une fois qu’une stratégie a été définie, il n’existe aucune autre méthode que le remplacement de la carte mère pour la déverrouiller.

      imm.TpmTcmPolicyLock est défini comme suit :

      La valeur 1 utilise la chaîne « Activé », ce qui signifie verrouiller la stratégie. Les autres valeurs ne sont pas acceptées.