Перейти к основному содержимому

Настройка политики TPM/TCM

У материнской платы, поставляемой для замены, для политики TPM/TCM по умолчанию установлено значение Не определено. Необходимо установить для этого параметра то же значение, что было установлено на предыдущей материнской плате.

Существует два способа настройки политики TPM:
  • Из Lenovo XClarity Provisioning Manager

    Чтобы настроить политику TPM в Lenovo XClarity Provisioning Manager, выполните следующие действия.
    1. Запустите сервер и нажмите клавишу F1, чтобы отобразить интерфейс Lenovo XClarity Provisioning Manager.

    2. Если при запуске требуется ввести пароль администратора, введите его.

    3. На странице общих сведений о системе нажмите Обновить VPD.

    4. Задайте один из следующих вариантов политики.
      • Модуль TCM включен (только для материкового Китая). Если адаптер TCM установлен, пользователям в материковом Китае нужно выбрать этот вариант политики.

      • Модуль TPM 2.0 включен (только для материкового Китая). Если установлен адаптер TPM 2.0, пользователям в материковом Китае нужно выбрать этот вариант политики.

      • Модуль TCM включен (остальные страны мира). Пользователям за пределами материкового Китая нужно выбрать этот вариант политики.

      • Постоянно выключен. Если адаптер TPM или TCM не установлен, пользователям в материковом Китае нужно использовать этот вариант политики.

      Прим.

      Хотя вариант Не определено также доступен для выбора, его использовать не следует.

  • В Lenovo XClarity Essentials OneCLI

    Прим.
    Обратите внимание, что для удаленного доступа к целевой системе необходимо в Lenovo XClarity Controller настроить локального пользователя и пароль IPMI.
    Чтобы настроить политику TPM в Lenovo XClarity Essentials OneCLI, выполните следующие действия.
    1. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Прим.

      Значение imm.TpmTcmPolicyLock должно быть Disabled. В этом случае политика TPM_TCM_POLICY не заблокирована и внесение изменений в TPM_TCM_POLICY разрешено. Если код возврата — Enabled, внесение изменений в политику не разрешено. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

    2. Настройте TPM_TCM_POLICY в XCC:

      • Для клиентов в Материковом Китае без TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
      • Для клиентов в Материковом Китае, которые установили модуль TCM/TPM в исходной системе (перед изменением политики модуль TCM/TPM следует переместить в FRU)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
      • Для клиентов за пределами материкового Китая:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Введите команду перезагрузки, чтобы перезагрузить систему:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Прим.
      • Если считанное значение соответствует, политика TPM_TCM_POLICY установлена правильно.

        imm.TpmTcmPolicy определяется следующим образом:
        • Значение 0 использует строку Undefined, что означает неопределенную политику (UNDEFINED).

        • Значение 1 использует строку NeitherTpmNorTcm, что означает TPM_PERM_DISABLED.

        • Значение 2 использует строку TpmOnly, что означает TPM_ALLOWED.

        • Значение 4 использует строку TcmOnly, что означает TCM_ALLOWED.

      • Приведенные ниже 4 шага необходимо также использовать для «блокировки» политики TPM_TCM_POLICY при использовании команд OneCli.

    5. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY; команда следующая:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      Значение должно быть Disabled. При таком значении политика TPM_TCM_POLICY не заблокирована и ее необходимо настроить.

    6. Заблокируйте политику TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>
    7. Введите команду перезагрузки, чтобы перезагрузить систему; команда следующая:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      При перезагрузке интерфейс UEFI считывает значение из imm.TpmTcmPolicyLock. Если это значение — Enabled и значение imm.TpmTcmPolicy недопустимо, UEFI блокирует настройку TPM_TCM_POLICY.

      Допустимые значения для imm.TpmTcmPolicy — NeitherTpmNorTcm, TpmOnly и TpmOnly.

      Если для imm.TpmTcmPolicy установлено значение Enabled, но значение imm.TpmTcmPolicy недопустимо, UEFI отклоняет запрос на «блокировку» и восстанавливает для imm.TpmTcmPolicy значение Disabled.

    8. Выполните считывание значения, чтобы выяснить, принят ли запрос на «блокировку», команда следующая:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Прим.
      Если считанное значение изменилось с Disabled на Enabled, политика TPM_TCM_POLICY успешно заблокирована. Единственный способ разблокировать политику после ее настройки — замена материнской платы.

      imm.TpmTcmPolicyLock определяется следующим образом:

      Значение 1 использует строку Enabled, что означает блокировку политики. Другие значения неприемлемы.

      Процедура также требует, чтобы была включена функция физического присутствия. Для FRU будет включено значение по умолчанию.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable