Configuración de la política TPM
De forma predeterminada, una placa del sistema de sustitución se envía con la política de TPM establecida como indefinida. Debe modificar este valor para que coincida con el valor que existía en la placa del sistema se está sustituyendo.
Desde Lenovo XClarity Provisioning Manager
Para especificar la política de TPM desde Lenovo XClarity Provisioning Manager:Inicie el servidor y presione la tecla según las instrucciones en pantalla para mostrar la interfaz de Lenovo XClarity Provisioning Manager.
Si se requiere la contraseña de administrador de encendido, ingrese la contraseña.
En la página Resumen del sistema, haga clic en Actualizar VPD.
- Establezca la política en uno de los siguientes valores.
NationZ TPM 2.0 habilitado: solo para China. Los clientes en China continental deben elegir este valor si hay un adaptador de NationZ TPM 2.0 instalado.
TPM habilitado - ROW. Los clientes que estén fuera de China continental deben elegir este valor.
Permanentemente deshabilitado. Los clientes en China continental deben usar este valor si no hay un adaptador de TPM instalado.
NotaAunque el valor indefinido esté disponible como valor de la política, no se debe usar.
Desde Lenovo XClarity Essentials OneCLI
NotaTenga en cuenta que se deben configurar un usuario y contraseña Local IPMI enLenovo XClarity Controller para tener acceso remoto al sistema de destino. Para especificar la política de TPM desde Lenovo XClarity Essentials OneCLI:Lea TpmTcmPolicyLock para comprobar si se bloqueó TPM_TCM_POLICY:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
NotaEl valor imm.TpmTcmPolicyLock debe estar “Deshabilitado”, lo que significa que TPM_TCM_POLICY NO está bloqueado y se permite realizar cambios en TPM_TCM_POLICY. Si el código de retorno está “Habilitado”, no se permiten cambios en la política. La placa puede usarse si la configuración deseada es correcta para el sistema que se sustituye.
Configurar TPM_TCM_POLICY en el XCC:
Para los clientes en China continental sin clientes TPM, o clientes que requieren deshabilitar TPM:
OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --imm <userid>:<password>@<ip_address>
Para los clientes en China continental que requieren habilitar TPM:
OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
Para los clientes fuera de China continental que requieren habilitar TPM:
OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
Emita el comando de restablecimiento para restablecer el sistema:
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
Lea el valor para comprobar si se aceptó el cambio:
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
NotaSi el valor de lectura coincide significa que TPM_TCM_POLICY se estableció correctamente.
imm.TpmTcmPolicy está definido del siguiente modo:El valor 0 usa la cadena “Undefined”, lo que significa una política UNDEFINED.
El valor 1 usa la cadena “NeitherTpmNorTcm”, lo que significa TPM_PERM_DISABLED.
El valor 2 usa la cadena “TpmOnly”, lo que significa TPM_ALLOWED.
El valor 4 usa la cadena “NationZTPM20Only”, lo que significa NationZ_TPM20_ALLOWED.
Los siguientes 4 pasos también debe utilizarse para 'bloquear' TPM_TCM_POLICY al utilizar los comandos OneCli/ASU:
Lea TpmTcmPolicyLock para comprobar si se bloqueó TPM_TCM_POLICY, el comando es el siguiente:
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
El valor debe estar “Deshabilitado”, significa que TPM_TCM_POLICY NO está bloqueado y debe configurarse.
Bloquee TPM_TCM_POLICY:
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --imm <userid>:<password>@<ip_address>
Emita el comando de restablecimiento para restablecer el sistema, el comando es el siguiente:
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
Durante el restablecimiento, la UEFI lee el valor desde imm.TpmTcmPolicyLock, si el valor está “Habilitado” y el valor imm.TpmTcmPolicy es válido, UEFI bloqueará el valor TPM_TCM_POLICY.NotaLos valores válidos para imm.TpmTcmPolicy incluyen 'NeitherTpmNorTcm', 'TpmOnly' y 'NationZTPM20Only'.
Si imm.TpmTcmPolicyLock está establecido como “Habilitado” pero el valor imm.TpmTcmPolicy no es válido, UEFI rechazará la solicitud de “bloqueo” y cambiará el imm.TpmTcmPolicyLock de vuelta a “Deshabilitado”.
Lea el valor para comprobar si el “Bloqueo” se aceptó o rechazó. Dé las instrucciones que se indican a continuación:
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
NotaSi se cambia el valor de espera de lectura de “Desactivado” a “Habilitado”, esto significa que TPM_TCM_POLICY se bloqueó correctamente. No hay ningún método para desbloquear una política una vez que se ha establecido como distinta de sustituir la placa del sistema.imm.TpmTcmPolicyLock está definido del siguiente modo:
El valor 1 usa la cadena “Enabled”, lo que significa bloquear la política. No se admiten otros valores.