跳到主要内容

使用 Lenovo XClarity Essentials OneCLI

请参阅本节中的说明使用 Lenovo XClarity Essentials OneCLI 设置 TPM 策略。

设置策略

重要

  • 要设置的策略必须与 TPM 硬件设备匹配。例如,如果硬件设备是针对中国大陆以外客户的板载芯片,而将该策略设置为 NationZ TPM 2.0 enabled - China only,该设置将失败。

  • 使用 OneCLI 命令设置策略后,为安全起见,必须在现场站点将其锁定。

  • 策略一经成功设置并锁定后,都将无法在现场站点进行解锁和重置。

步骤:

  1. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已锁定:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    imm.TpmTcmPolicyLock 值必须为“Disabled”,这表示 TPM_TCM_POLICY 未锁定,允许对 TPM_TCM_POLICY 进行更改。如果返回代码为Enabled,则不允许更改策略。如果所需设置适用于要更换的系统,则平板仍将可以使用。

  2. 将 TPM_TCM_POLICY 配置到 XCC 中:

    • NationZ TPM 2.0 enabled - China only

      在中国大陆,想要启用 TPM 的客户应当选择此 TPM 策略。

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      在中国大陆以外,想要启用 TPM 的客户应当选择此 TPM 策略。

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      在中国大陆,没有 TPM 或需要禁用 TPM 的客户应当选择此策略。

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. 发出 reset 命令以重置系统:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. 读回值以检查更改是否已被接受:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>

    如果读回值匹配,则表示已正确设置 TPM_TCM_POLICY

    imm.TpmTcmPolicy 定义如下:

    • 值 0 使用字符串Undefined,这表示 UNDEFINED 策略。

    • 值 1 使用字符串NeitherTpmNorTcm,这表示 TPM_PERM_DISABLED 策略。

    • 值 2 使用字符串TpmOnly,这表示 TPM_ALLOWED 策略。

    • 值 4 使用字符串NationZTPM20Only,这表示 NationZTPM20_ALLOWED

锁定 TPM 策略

步骤:

  1. 读取 TpmTcmPolicyLock 以检查 TPM_TCM_POLICY 是否已锁定:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    值必须为Disabled,这表示 TPM_TCM_POLICY 未锁定并且必须设置。

  2. 锁定 TPM_TCM_POLICY

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. 发出 reset 命令以重置系统,命令如下:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    重置期间,UEFI 将会从 imm.TpmTcmPolicyLock 读取值,如果值为“Enabled”且 imm.TpmTcmPolicy 值有效,UEFI 将会锁定 TPM_TCM_POLICY 设置。

    imm.TpmTcmPolicy 的有效值包括“NeitherTpmNorTcm”、“TpmOnly”和“NationZTPM20Only”。

    如果 imm.TpmTcmPolicyLock 设置为“Enabled”,但是 imm.TpmTcmPolicy 值无效,UEFI 将会拒绝“锁定”请求并将 imm.TpmTcmPolicyLock 改回为“Disabled”。

  4. 读回该值以检查“锁定”请求是被接受还是被拒绝,命令如下:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    如果读回值从Disabled更改为Enabled,则表示 TPM_TCM_POLICY 已成功锁定。策略在设置之后无法解锁,除非更换主板。

    imm.TpmTcmPolicyLock 定义如下:

    值 1 使用字符串Enabled,这表示锁定策略。不接受其他值。