メインコンテンツまでスキップ

Lenovo XClarity Essentials OneCLI の使用

Lenovo XClarity Essentials OneCLI を使用して TPM ポリシーを設定するには、このセクションを使用します。

ポリシーの設定

重要

  • 設定するポリシーは、TPM ハードウェア・デバイスと一致している必要があります。たとえば、ハードウェア・デバイスが中国本土以外のお客様用のオンボード・チップである場合、ポリシーが「NationZ TPM 2.0 enabled - China only」に設定されていると、設定は失敗します。

  • OneCLI コマンドを使用してポリシーが設定された後は、セキュリティー上の理由から、現場でポリシーをロックする必要があります。

  • ポリシーが正常に設定およびロックされると、現場でポリシーをロック解除およびリセットすることはできません。

手順:

  1. TpmTcmPolicyLock を読んで、TPM_TCM_POLICY がロックされているかどうかを確認してください。

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    imm.TpmTcmPolicyLock 値は「Disabled」でなくてはなりません。これは、TPM_TCM_POLICY がロックされておらず、TPM_TCM_POLICY への変更が許可されることを意味します。戻りコードが「Enabled」の場合、ポリシーへの変更は許可されません。希望の設定が交換されるシステムに対して正しい場合は、プレーナーがまだ使用されている可能性があります。

  2. TPM_TCM_POLICY を XCC に構成します。

    • NationZ TPM 2.0 enabled - China only

      TPM を有効にする中国本土のお客様は、この TPM ポリシーを選択する必要があります。

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      TPM を有効にする中国本土以外のお客様は、この TPM ポリシーを選択する必要があります。

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      TPM のない中国本土のお客様、または TPM を無効にする必要があるお客様は、このポリシーを選択する必要があります。

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. reset コマンドを発行して、システムをリセットします。

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. 値をリードバックして、変更が承認されたかどうかを確認してください。

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>

    リードバック値が一致した場合、TPM_TCM_POLICY が正しく設定されたことを意味します。

    imm.TpmTcmPolicy は、以下のとおり定義されます。

    • 値 0 はストリング「Undefined」を使用します。これは UNDEFINED ポリシーを意味します。

    • 値 1 はストリング「NeitherTpmNorTcm」を使用します。これは TPM_PERM_DISABLED を意味します。

    • 値 2 はストリング「TpmOnly」を使用します。これは TPM_ALLOWED を意味します。

    • 値 4 はストリング「NationZTPM20Only」を使用します。これは NationZTPM20_ALLOWED を意味します。

TPM ポリシーのロック

手順:

  1. TpmTcmPolicyLock を読んで、TPM_TCM_POLICY がロックされているかどうかを確認してください。

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    値は「Disabled」でなければなりません。これは TPM_TCM_POLICY がロックされておらず、設定する必要があることを意味します。

  2. TPM_TCM_POLICY をロックします。

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. reset コマンドを発行して、システムをリセットします。コマンドは以下のとおりです。

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    リセット時、UEFI は imm.TpmTcmPolicyLock から値を読み込みます。値が「Enabled」で imm.TpmTcmPolicy 値が有効な場合、UEFI は TPM_TCM_POLICY 設定をロックします。

    imm.TpmTcmPolicy の有効な値には、「NeitherTpmNorTcm」、「TpmOnly」、および「NationZTPM20Only」が含まれます。

    imm.TpmTcmPolicyLock が「Enabled」に設定されていても、imm.TpmTcmPolicy 値が無効な場合、UEFI は、「ロック」要求を拒否し、imm.TpmTcmPolicyLock を「Disabled」に戻します。

  4. 値をリードバックして、「ロック」が承認されたか拒否されたかを確認します。コマンドは以下のとおりです。

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    リードバック値が「Disabled」から「Enabled」に変更された場合、TPM_TCM_POLICY が適切にロックされていることを意味します。ポリシーがいったんロックされると、システム・ボードの交換以外にロックを解除する方法はありません。

    imm.TpmTcmPolicyLock は、以下のとおり定義されます。

    値 1 はストリング「Enabled」を使用します。これはポリシーのロックを意味します。その他の値は受け入れられません。