Saltar al contenido principal

Uso de Lenovo XClarity Essentials OneCLI

Utilice esta sección para establecer la política de TPM utilizando Lenovo XClarity Essentials OneCLI.

Configuración de la política

Importante

  • La política por establecer debe coincidir con aquella indicada en el dispositivo de hardware TPM. Por ejemplo, cuando el hardware es un chip incorporado para clientes ubicado fuera de China continental, si la política está especificada en NationZ TPM 2.0 enabled - China only, la configuración fallará.

  • Una vez que la política se establece mediante comandos de OneCLI, por motivos de seguridad, esta debe bloquearse en los sitios de campo.

  • Una vez que la política se haya establecido y bloqueado correctamente, la política no se puede desbloquear y restablecer en los sitios de campo.

Pasos:

  1. Lea TpmTcmPolicyLock para comprobar si se ha bloqueado TPM_TCM_POLICY:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    El valor imm.TpmTcmPolicyLock debe estar “Deshabilitado”, lo que significa que TPM_TCM_POLICY NO está bloqueado y se permite realizar cambios en TPM_TCM_POLICY. Si el código de retorno está Habilitado, no se permiten cambios en la política. La placa puede usarse si la configuración deseada es correcta para el sistema que se sustituye.

  2. Configurar TPM_TCM_POLICY en el XCC:

    • NationZ TPM 2.0 enabled - China only

      Los clientes en China continental que desean habilitar TPM deben seleccionar esta política de TPM.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      Los clientes fuera de China continental que desean habilitar TPM deben seleccionar esta política de TPM.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      Los clientes en China continental sin clientes TPM o clientes que requieren deshabilitar TPM deben seleccionar esta política.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. Emita el comando de restablecimiento para restablecer el sistema:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. Lea el valor para comprobar si se aceptó el cambio:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota

    Si el valor de lectura coincide significa que TPM_TCM_POLICY se estableció correctamente.

    imm.TpmTcmPolicy está definido del siguiente modo:

    • El valor 0 usa la cadena Undefined, que significa una política UNDEFINED.

    • El valor 1 usa la cadena NeitherTpmNorTcm, que significa TPM_PERM_DISABLED.

    • El valor 2 usa la cadena TpmOnly, que significa TPM_ALLOWED.

    • El valor 4 usa la cadena NationZTPM20Only, que significa NationZTPM20_ALLOWED.

Bloqueo de la política de TPM

Pasos:

  1. Lea TpmTcmPolicyLock para comprobar si se ha bloqueado TPM_TCM_POLICY:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    El valor debe estar Deshabilitado, significa que TPM_TCM_POLICY NO está bloqueado y debe configurarse.

  2. Bloquee el TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Emita el comando de restablecimiento para restablecer el sistema, el comando es el siguiente:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    Durante el restablecimiento, la UEFI lee el valor desde imm.TpmTcmPolicyLock, si el valor está “Habilitado” y el valor imm.TpmTcmPolicy es válido, UEFI bloqueará el valor TPM_TCM_POLICY.

    El valor válido para imm.TpmTcmPolicy incluye “NeitherTpmNorTcm”, “TpmOnly” y “NationZTPM20Only”.

    Si imm.TpmTcmPolicyLock está establecido como “Habilitado” pero el valor imm.TpmTcmPolicy no es válido, UEFI rechazará la solicitud de “bloqueo” y cambiará el imm.TpmTcmPolicyLock de vuelta a “Deshabilitado”.

  4. Lea el valor para comprobar si el Bloqueo se aceptó o rechazó. El comando es el siguiente:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota
    Si se cambia el valor de espera de lectura de Desactivado a Habilitado, esto significa que TPM_TCM_POLICY se bloqueó correctamente. No hay ningún método para desbloquear una política una vez que se ha establecido como distinta de sustituir la placa del sistema.

    imm.TpmTcmPolicyLock está definido del siguiente modo:

    El valor 1 usa la cadena Habilitado, lo que significa bloquear la política. No se admiten otros valores.