Aller au contenu principal

Définition de la stratégie TPM/TCM

Par défaut, une carte mère de rechange est fournie avec la stratégie TPM/TCM réglée sur non définie. Vous devez modifier ce réglage de sorte qu’il corresponde à celui qui était en vigueur sur la carte mère en cours de remplacement.

Il existe deux méthodes disponibles pour définir la stratégie TPM :
  • À partir de Lenovo XClarity Provisioning Manager

    Pour définir la stratégie TPM à partir de Lenovo XClarity Provisioning Manager :
    1. Démarrez le serveur et appuyez sur F1 pour afficher Lenovo XClarity Provisioning Manager l’interface.

    2. Si le mot de passe administrateur est obligatoire pour le démarrage, entrez le mot de passe.

    3. Dans la page Récapitulatif du système, cliquez sur Mise à jour VPD.

    4. Définissez la stratégie selon l’un des paramètres suivants.
      • TCM activé - Chine continentale uniquement. Les clients de Chine continentale doivent choisir ce paramètre si un adaptateur TCM est installé.

      • TPM 2.0 activé - Chine continentale uniquement. Les clients de Chine continentale doivent choisir ce paramètre si un adaptateur TPM 2.0 est installé.

      • TPM activé - Reste du monde. Les clients en dehors de la Chine continentale doivent choisir ce paramètre.

      • Définitivement désactivé. Les clients de Chine continentale doivent utiliser ce paramètre si aucun adaptateur TPM ou TCM n’est installé.

      Remarque

      Bien que le paramètre non défini est disponible sous forme de paramètre de stratégie, il ne doit pas être utilisé.

  • À partir de Lenovo XClarity Essentials OneCLI

    Remarque
    Veuillez noter qu’un utilisateur IPMI local et un mot de passe doivent être définis dans Lenovo XClarity Controller pour avoir accès à distance au système cible.
    Pour définir la stratégie TPM à partir de Lenovo XClarity Essentials OneCLI :
    1. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé :
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Remarque

      La valeur du module imm.TpmTcmPolicyLock doit être « Désactivée », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et que les modifications apportées à TPM_TCM_POLICY sont autorisées. Si le code de retour est « Activé », aucune modification apportée à la stratégie n’est autorisée. La carte peut néanmoins être utilisée si le paramètre souhaité est correct pour le système à remplacer.

    2. Configurez le TPM_TCM_POLICY dans XCC :

      • Pour les clients de Chine continentale sans TCM/TPM :

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
      • Pour les clients de Chine continentale qui ont installé le module TCM/TPM sur le système d’origine (le module TCM/TPM doit être passé en FRU avant de modifier la stratégie)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
      • Pour les clients en dehors de la Chine continentale :

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Lancez une commande de réinitialisation pour la réinitialisation du système :

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Relisez la valeur pour vérifier si la modification a été acceptée :

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Remarque
      • Si la valeur correspond, cela signifie que TPM_TCM_POLICY a été défini correctement.

        Le module imm.TpmTcmPolicy est défini comme suit :
        • La valeur 0 utilise la chaîne « Non définie », ce qui signifie stratégie UNDEFINED.

        • La valeur 1 utilise la chaîne « NeitherTpmNorTcm », ce qui signifie TPM_PERM_DISABLED.

        • La valeur 2 utilise la chaîne « TpmOnly », ce qui signifie TPM_ALLOWED.

        • La valeur 4 utilise la chaîne « TcmOnly », ce qui signifie TCM_ALLOWED.

      • Les 4 étapes ci-dessous doivent également être utilisées pour « verrouiller » TPM_TCM_POLICY lors de l'utilisation des commandes OneCli :

    5. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé, commande comme ci-dessous :

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      La valeur doit être « Désactivée », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et doit être défini.

    6. Verrouillez TPM_TCM_POLICY :

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>
    7. Problème de commande de réinitialisation pour la réinitialisation du système, commande ci-dessous :

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Lors de la réinitialisation, l'UEFI lira la valeur à partir du module imm.TpmTcmPolicyLock, si la valeur est « Activée » et si la valeur du module imm.TpmTcmPolicy n’est pas valide, l'UEFI verrouillera le paramètre TPM_TCM_POLICY.

      La valeur valide pour le module imm.TpmTcmPolicy inclut « NeitherTpmNorTcm », « TpmOnly » et « TpmOnly ».

      Si le module imm. TpmTcmPolicy est défini comme « NeitherTpmNorTcm », mais la valeur du module imm.TpmTcmPolicy n'est pas valide, l'UEFI refuse la demande de « verrouillage » et le module imm.TpmTcmPolicy repasse à « Désactivé ».

    8. Relisez la valeur pour vérifier si le « Verrouillage » est accepté ou rejeté. Commande comme ci-dessous :

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Remarque
      Si la valeur a changé de « Désactivé » à « Activé », cela signifie que TPM_TCM_POLICY a été verrouillé avec succès. Une fois qu'une stratégie a été définie, il n’existe aucune autre méthode que le remplacement de la carte mère pour la déverrouiller.

      imm.TpmTcmPolicyLock est défini comme suit :

      La valeur 1 utilise la chaîne « Activée », ce qui signifie verrouiller la stratégie. Les autres valeurs ne sont pas acceptées.

      La procédure nécessite également que la présence physique soit activée. La valeur par défaut pour la FRU est activée.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable