Utilisation de Lenovo XClarity Essentials OneCLI
Cette section indique comment procéder à la définition de la stratégie TPM à l’aide de Lenovo XClarity Essentials OneCLI.
Définition de la stratégie
La stratégie à définir doit correspondre au dispositif matériel TPM. Par exemple, lorsque le dispositif matériel est une puce intégrée pour les clients situés en dehors de la Chine continentale, si la stratégie est définie sur « NationZ TPM 2.0 enabled - China only », le paramètre échouera.
Une fois la stratégie définie à l’aide des commandes OneCLI, pour des raisons de sécurité, elle doit être verrouillée sur site.
Une fois la stratégie correctement définie et verrouillée, il est impossible de la déverrouiller et de la réinitialiser sur site.
Étapes :
Consultez TpmTcmPolicyLock afin de voir si l’élément TPM_TCM_POLICY a été verrouillé :
OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
RemarqueLa valeur de imm.TpmTcmPolicyLock doit être « Désactivé », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et que les modifications apportées à TPM_TCM_POLICY sont autorisées. Si le code de retour est « Activé », aucune modification apportée à la stratégie n’est autorisée. La carte peut néanmoins être utilisée si le paramètre souhaité est correct pour le système à remplacer.
Configurez le TPM_TCM_POLICY dans XCC :
NationZ TPM 2.0 enabled - China only
Les clients basés en Chine continentale souhaitant activer le TPM doivent choisir cette stratégie TPM.
OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>
TPM enabled - ROW
Les clients basés en dehors de la Chine continentale souhaitant activer le TPM doivent choisir cette stratégie TPM.
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>
Permanently disabled
Les clients basés en Chine continentale sans TPM ou les clients devant désactiver TPM doivent sélectionner cette stratégie.
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>
Lancez une commande de réinitialisation pour la réinitialisation du système :
OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
Relisez la valeur pour vérifier si la modification a été acceptée :
OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
RemarqueSi la valeur correspond, cela signifie que TPM_TCM_POLICY a été défini correctement.
Le module imm.TpmTcmPolicy est défini comme suit :La valeur 0 utilise la chaîne « Undefined », ce qui signifie stratégie UNDEFINED.
La valeur 1 utilise la chaîne « NeitherTpmNorTcm », ce qui signifie TPM_PERM_DISABLED.
La valeur 2 utilise la chaîne « TpmOnly », ce qui signifie TPM_ALLOWED.
La valeur 4 utilise la chaîne « NationZTPM20Only », ce qui signifie NationZTPM20_ALLOWED.
Verrouillage de la stratégie TPM
Étapes :
Consultez TpmTcmPolicyLock afin de voir si l’élément TPM_TCM_POLICY a été verrouillé :
OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
RemarqueLa valeur doit être « Désactivé », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et doit être défini.
Verrouillez TPM_TCM_POLICY :
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>
Lancez une commande de réinitialisation pour la réinitialisation du système, commande ci-dessous :
OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
Lors de la réinitialisation, l’UEFI lira la valeur à partir du module imm.TpmTcmPolicyLock, si la valeur est « Activé » et si la valeur du module imm.TpmTcmPolicy est valide, l’UEFI verrouillera le paramètre TPM_TCM_POLICY.
La valeur valide pour imm.TpmTcmPolicy comprend « NeitherTpmNorTcm », « TpmOnly » et « NationZTPM20Only ».
Si imm.TpmTcmPolicyLock est défini sur « Activé », mais que la valeur imm.TpmTcmPolicy n’est pas valide, UEFI va rejeter la demande de « verrouillage » et définir imm.TpmTcmPolicyLock sur « Désactivé ».
Relisez la valeur pour vérifier si le « Verrouillage » est accepté ou rejeté. Commande comme ci-dessous :
OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
RemarqueSi la valeur est passée de « Désactivé » à « Activé », cela signifie queTPM_TCM_POLICY a été verrouillé avec succès. Une fois qu’une stratégie a été définie, il n’existe aucune autre méthode que le remplacement de la carte mère pour la déverrouiller. imm.TpmTcmPolicyLock est défini comme suit :
La valeur 1 utilise la chaîne « Activé », ce qui signifie verrouiller la stratégie. Les autres valeurs ne sont pas acceptées.