Pular para o conteúdo principal

Definir a política do TPM/TCM

Por padrão, uma placa-mãe de substituição é enviada com a política de TPM/TCM configurada como indefinida. Modifique essa configuração para corresponder à configuração que estava em vigor para a placa-mãe sendo substituída.

Há dois métodos disponíveis para definir a política do TPM:
  • No Lenovo XClarity Provisioning Manager

    Para definir a política do TPM no Lenovo XClarity Provisioning Manager:
    1. Inicie o servidor e pressione F1 para exibir a interface do Lenovo XClarity Provisioning Manager.

    2. Se a senha de administrador de ativação for necessária, insira a senha.

    3. Na página de Resumo do sistema, clique em Atualizar VPD.

    4. Defina a política como uma das seguintes configurações.
      • TCM habilitado – apenas para a China Continental. Clientes na China Continental devem escolher esta configuração se um adaptador de TCM está instalado.

      • TPM 2.0 habilitado – apenas para a China Continental. Clientes na China Continental devem escolher esta configuração se um adaptador TPM 2.0 está instalado.

      • TPM habilitado – ROW. Os clientes fora da China Continental devem escolher essa configuração.

      • Permanentemente desativado. Clientes na China Continental devem usar esta configuração se nenhum TPM ou TCM está instalado.

      Nota

      Embora a configuração indefinida esteja disponível como uma configuração da política, ela não deve ser usada.

  • No Lenovo XClarity Essentials OneCLI

    Nota
    Observe que um usuário do IPMI Local e uma senha devem ser configurados no Lenovo XClarity Controller para acesso remoto ao sistema de destino.
    Para definir a política do TPM de Lenovo XClarity Essentials OneCLI:
    1. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Nota

      O valor imm.TpmTcmPolicyLock deve ser "Desativado", o que significa que a TPM_TCM_POLICY NÃO está bloqueada e alterações na TPM_TCM_POLICY são permitidas. Se o código de retorno estiver "Habilitado", as alterações na política serão permitidas. O planar ainda poderá ser usado se a configuração desejada estiver correta para o sistema que está sendo substituído.

    2. Configure a TPM_TCM_POLICY no XCC:

      • Para o cliente na China Continental sem nenhum TCM/TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
      • Para o cliente na China Continental que tiver instalado o módulo TCM/TPM no sistema original (o módulo TCM/TPM deve ser movido para a FRU antes da alteração da política)

        OneCli.exe config set imm.TpmTcmPolicy "TcmOnly" --override --imm <userid>:<password>@<ip_address>
      • Para o cliente fora da China Continental:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Emita o comando de redefinição para redefinir o sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Leia novamente o valor para verificar se a alteração foi aceita:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      • Se houver correspondência com o valor de retorno de leitura, isso significa que a TPM_TCM_POLICY foi definida corretamente.

        imm.TpmTcmPolicy é definido da seguinte forma:
        • O valor 0 usa string "Indefinida", o que significa política UNDEFINED.

        • O valor 1 usa a string "NeitherTpmNorTcm", o que significa TPM_PERM_DISABLED.

        • O valor 2 usa a string "TpmOnly", o que significa TPM_ALLOWED.

        • O valor 4 usa a string "TcmOnly", o que significa TCM_ALLOWED.

      • As 4 etapas a seguir também devem ser usadas para "bloquear" a TPM_TCM_POLICY ao usar os comandos OneCli:

    5. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada; o comando é este a seguir:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      O valor deve ser "Desativado", isso significará que a TPM_TCM_POLICY não está bloqueada e deve ser definida.

    6. Bloqueie a TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>
    7. Emita um comando de redefinição para redefinir o sistema; o comando é este a seguir:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

      Durante a redefinição, o UEFI lerá o valor do imm.TpmTcmPolicyLock, se o valor for "Ativado" e o valor imm.TpmTcmPolicy for inválido, o UEFI bloqueará a configuração de TPM_TCM_POLICY.

      O valor válido de imm.TpmTcmPolicy inclui "NeitherTpmNorTcm", "TpmOnly" e "TpmOnly".

      Se o imm.TpmTcmPolicy for definido como "Ativado", mas o valor imm.TpmTcmPolicy for inválido, o UEFI rejeitará a solicitação de "bloquear" e alterará imm.TpmTcmPolicy de volta para "Desativado".

    8. Leia novamente o valor para verificar se o "bloqueio" foi aceito ou rejeitado. O comando é o seguinte:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      Se o valor de retorno de leitura for alterado de "Desativado" para "Ativado", significa que a TPM_TCM_POLICY foi bloqueada com êxito. Não há nenhum método para desbloquear uma política depois que ela foi definida de outra forma que não seja pela substituição da placa-mãe.

      imm.TpmTcmPolicyLock é definido da seguinte forma:

      O valor 1 usa a string "Ativada", o que significa bloquear a política. Outros valores não são aceitos.

      O procedimento também requer a ativação de Presença Física. O valor padrão para FRU será habilitado.
      PhysicalPresencePolicyConfiguration.PhysicalPresencePolicy=Enable