본문으로 건너뛰기

Lenovo XClarity Essentials OneCLI 사용

이 섹션에서 Lenovo XClarity Essentials OneCLI을(를) 사용하여 TPM 정책을 설정하는 방법을 알아보십시오.

정책 설정

중요사항

  • 설정할 정책이 TPM 하드웨어 장치와 일치해야 합니다. 예를 들어 하드웨어 장치가 중국 본토 이외의 지역에 있는 고객을 위한 온보드 칩인 경우 정책이 NationZ TPM 2.0 enabled - China only로 설정되면 설정이 실패합니다.

  • OneCLI 명령을 사용하여 정책을 설정한 후에는 보안상의 이유로 필드 사이트에서 정책을 잠가야 합니다.

  • 정책이 성공적으로 설정되고 잠기면 필드 사이트에서 정책을 잠금 해제하고 재설정할 수 없습니다.

단계:

  1. TpmTcmPolicyLock의 내용을 읽고 TPM_TCM_POLICY가 잠겨 있는지 여부를 확인하십시오.

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    imm.TpmTcmPolicyLock 값은 "Disabled(사용 안 함)"이어야 하며, 이는 TPM_TCM_POLICY가 잠겨 있지 않으며 TPM_TCM_POLICY를 변경할 수 있다는 것을 의미합니다. 리턴 코드가 Enabled(사용)이면, 정책을 변경할 수 없습니다. 원하는 설정이 교체되는 시스템에 맞으면, 플래너를 계속 사용할 수 있습니다.

  2. TPM_TCM_POLICY를 XCC로 구성합니다.

    • NationZ TPM 2.0 enabled - China only

      TPM을 사용하려는 중국 본토 고객은 이 TPM 정책을 선택해야 합니다.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      TPM을 사용하려는 중국 본토 이외 지역의 고객은 이 TPM 정책을 선택해야 합니다.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      TPM이 없는 중국 본토 고객 및 TPM을 비활성화해야 하는 고객은 이 정책을 선택해야 합니다.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. 재설정 명령을 실행하여 시스템을 재설정합니다.

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. 값을 다시 읽어 변경 사항이 수락되었는지 여부를 확인합니다.

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>

    다시 읽은 값이 일치하면, TPM_TCM_POLICY가 올바르게 설정되었다는 의미입니다.

    imm.TpmTcmPolicy의 정의는 다음과 같습니다.

    • 값 0은 Undefined 문자열을 사용하며, 이는 UNDEFINED 정책을 의미합니다.

    • 값 1은 NeitherTpmNorTcm 문자열을 사용하며, 이는 TPM_PERM_DISABLED를 의미합니다.

    • 값 2는 TpmOnly 문자열을 사용하며, 이는 TPM_ALLOWED를 의미합니다.

    • 값 4는 NationZTPM20Only 문자열을 사용하며, 이는 NationZTPM20_ALLOWED를 의미합니다.

TPM 정책 잠그기

단계:

  1. TpmTcmPolicyLock의 내용을 읽고 TPM_TCM_POLICY가 잠겨 있는지 여부를 확인하십시오.

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    값은 Disabled(사용 안 함)여야 하며, TPM_TCM_POLICY가 잠기지 않아 설정되어야 한다는 것을 의미합니다.

  2. TPM_TCM_POLICY를 잠그십시오.

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Reset 명령을 사용하여 시스템을 재설정합니다. 명령은 다음과 같습니다.

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    재설정하는 동안, UEFI는 imm.TpmTcmPolicyLock에서 값을 읽습니다. 값이 "Enabled(사용)"이고 imm.TpmTcmPolicy 값이 유효한 경우, UEFI는 TPM_TCM_POLICY 설정을 잠급니다.

    imm.TpmTcmPolicy의 유효한 값에는 "NeitherTpmNorTcm", "TpmOnly" 및 "NationZTPM20Only"가 포함됩니다.

    imm.TpmTcmPolicyLock이 "Enabled(사용)"로 설정되어 있지만 imm.TpmTcmPolicy 값이 유효하지 않은 경우, UEFI는 'lock' 요청을 거부하고 imm.TpmTcmPolicyLock을 다시 "Disabled(사용 안 함)"로 변경합니다.

  4. 값을 다시 읽어 Lock(잠금)이 수락 또는 거부되었는지 확인할 수 있습니다. 명령은 다음과 같습니다.

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    다시 읽은 값이 Disabled(사용 안 함)에서 Enabled(사용)로 변경되면, TPM_TCM_POLICY가 성공적으로 잠겨 있음을 의미합니다. 시스템 보드를 교체하는 것 외의 다른 정책을 설정하면, 정책 잠금을 해제할 방법이 없습니다.

    imm.TpmTcmPolicyLock의 정의는 다음과 같습니다.

    값 1은 Enabled 문자열을 사용하며, 이는 정책을 잠근다는 것을 의미합니다. 다른 값은 허용되지 않습니다.