Pular para o conteúdo principal

Usando o Lenovo XClarity Essentials OneCLI

Use esta seção para definir a política do TPM usando Lenovo XClarity Essentials OneCLI.

Definindo a política

Importante

  • A política a ser definida deve corresponder ao dispositivo de hardware TPM. Por exemplo, quando o dispositivo de hardware é um chip integrado para clientes fora da China Continental, se a política estiver definida como NationZ TPM 2.0 enabled - China only, ocorrerá uma falha na configuração.

  • Depois que a política for definida usando comandos OneCLI, por motivos de segurança, ela deverá ser bloqueada em locais de campo.

  • Depois que a política for definida e bloqueada com êxito, a política não poderá ser desbloqueada e redefinida em locais de campo.

Etapas:

  1. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    O valor imm.TpmTcmPolicyLock deve ser "Desativado", o que significa que a TPM_TCM_POLICY NÃO está bloqueada e alterações na TPM_TCM_POLICY são permitidas. Se o código de retorno estiver Habilitado, as alterações na política serão permitidas. O planar ainda poderá ser usado se a configuração desejada estiver correta para o sistema que está sendo substituído.

  2. Configure a TPM_TCM_POLICY no XCC:

    • NationZ TPM 2.0 enabled - China only

      Os clientes na China Continental que pretendem habilitar o TPM devem selecionar essa política do TPM.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      Os clientes fora da China Continental que pretendem habilitar o TPM devem selecionar essa política do TPM.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      Os clientes na China Continental sem TPM ou os clientes que requerem desabilitar o TPM devem selecionar essa política.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. Emita o comando de redefinição para redefinir o sistema:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. Leia novamente o valor para verificar se a alteração foi aceita:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota

    Se houver correspondência com o valor de retorno de leitura, isso significa que a TPM_TCM_POLICY foi definida corretamente.

    imm.TpmTcmPolicy é definido da seguinte forma:

    • O valor 0 usa string Undefined, o que significa política UNDEFINED.

    • O valor 1 usa string NeitherTpmNorTcm, o que significa TPM_PERM_DISABLED.

    • O valor 2 usa string TpmOnly, o que significa TPM_ALLOWED.

    • O valor 4 usa string NationZTPM20Only, o que significa NationZTPM20_ALLOWED.

Bloqueando a política do TPM

Etapas:

  1. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Nota

    O valor deve ser Desativado, isso significará que a TPM_TCM_POLICY não está bloqueada e deve ser definida.

  2. Bloqueie a TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Emita um comando de redefinição para redefinir o sistema; o comando é este a seguir:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    Durante a redefinição, o UEFI lerá o valor do imm.TpmTcmPolicyLock, se o valor for "Ativado" e o valor imm.TpmTcmPolicy for válido, o UEFI bloqueará a configuração de TPM_TCM_POLICY.

    O valor válido de imm.TpmTcmPolicy inclui "NeitherTpmNorTcm", "TpmOnly" e "NationZTPM20Only".

    Se o imm.TpmTcmPolicyLock for definido como "Ativado", mas o valor imm.TpmTcmPolicy for inválido, o UEFI rejeitará a solicitação de "bloquear" e alterará imm.TpmTcmPolicyLock de volta para "Desativado".

  4. Leia novamente o valor para verificar se o bloqueio foi aceito ou rejeitado. O comando é o seguinte:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Nota
    Se o valor de retorno de leitura for alterado de Desativado para Habilitado, significa que a TPM_TCM_POLICY foi bloqueada com êxito. Não há nenhum método para desbloquear uma política depois que ela foi definida de outra forma que não seja pela substituição da placa-mãe.

    imm.TpmTcmPolicyLock é definido como abaixo:

    O valor 1 usa a string Habilitada, o que significa bloquear a política. Outros valores não são aceitos.