Aller au contenu principal

Définition de la stratégie TPM

Par défaut, une carte d’E-S système de rechange est expédiée avec la stratégie TPM réglée sur Non définie. Vous devez modifier ce paramètre afin qu’il corresponde à celui qui était en vigueur sur la carte d’E-S système en cours de remplacement.

Il existe deux méthodes disponibles pour définir la stratégie TPM :

  • À partir de Lenovo XClarity Provisioning Manager

    Pour définir la stratégie TPM à partir de Lenovo XClarity Provisioning Manager :

    1. Démarrez le serveur et appuyez sur la touche indiquée dans les instructions à l’écran pour afficher l’interface Lenovo XClarity Provisioning Manager.

    2. Si le mot de passe administrateur est obligatoire pour le démarrage, entrez le mot de passe.

    3. Cliquez sur dans le coin supérieur droit de l’interface Lenovo XClarity Provisioning Manager, puis cliquez sur Mise à jour VPD.

    4. Définissez la stratégie selon l’un des paramètres suivants.

      • NationZ TPM 2.0 activé - Chine uniquement. Les clients de Chine continentale doivent choisir ce paramètre si un adaptateur NationZ TPM 2.0 est installé.

      • TPM activé - Reste du monde. Les clients en dehors de la Chine continentale doivent choisir ce paramètre.

      • Définitivement désactivé. Les clients en Chine continentale doivent utiliser ce paramètre si aucun adaptateur TPM n’est installé.

      Remarque

      Bien que le paramètre Non défini est disponible sous forme de paramètre de stratégie, il ne doit pas être utilisé.

  • À partir de Lenovo XClarity Essentials OneCLI

    Remarque
    Veuillez noter qu’un utilisateur IPMI local et un mot de passe doivent être définis dans Lenovo XClarity Controller pour avoir accès à distance au système cible.
    Pour définir la stratégie TPM à partir de Lenovo XClarity Essentials OneCLI :

    1. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé :

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Remarque

      Le module BMC.TpmTcmPolicyLock doit indiquer « Disabled », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et que les modifications apportées à TPM_TCM_POLICY sont autorisées. Si le code de retour est « Enabled », aucune modification de la stratégie n’est autorisée. La carte peut néanmoins être utilisée si le paramètre souhaité est correct pour le système à remplacer.

    2. Configurez le TPM_TCM_POLICY dans XCC :

      • À l’attention des clients en Chine continentale sans TPM, ou des clients devant désactiver le TPM :

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • À l’attention des clients en Chine continentale devant activer le TPM :

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • À l’attention des clients en dehors de la Chine continentale devant activer le TPM :

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Exécutez la commande de réinitialisation pour réinitialiser le système :

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Relisez la valeur pour vérifier si la modification a été acceptée :

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Remarque

      • Si la valeur lue correspond, cela signifie que TPM_TCM_POLICY a bien été défini.

        Le module BMC.TpmTcmPolicy est défini comme suit :

        • La valeur 0 utilise la chaîne « Undefined », ce qui signifie stratégie UNDEFINED.

        • La valeur 1 utilise la chaîne « NeitherTpmNorTcm », ce qui signifie TPM_PERM_DISABLED.

        • La valeur 2 utilise la chaîne « TPMOnly », ce qui signifie TPM_ALLOWED.

        • La valeur 5 utilise la chaîne « NationZTPM20Only », ce qui signifie NationZ_TPM20_ALLOWED.

      • Il faut également utiliser les 4 étapes ci-dessous pour « verrouiller » TPM_TCM_POLICY lors de l’utilisation des commandes OneCli/ASU :

    5. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé :

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      La valeur doit indiquer « Disabled », ce qui signifie que TPM_TCM_POLICY n’est PAS verrouillé et doit être défini.

    6. Verrouillez TPM_TCM_POLICY :

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Exécutez la commande de réinitialisation pour réinitialiser le système :

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      Lors de la réinitialisation, UEFI lit la valeur de BMC.TpmTcmPolicyLock. Si la valeur indique « Enabled » et que la valeur de BMC.TpmTcmPolicy est valide, UEFI verrouillera le paramètre TPM_TCM_POLICY.
      Remarque

      Les valeurs valides pour BMC.TpmTcmPolicy incluent « NeitherTpmNorTcm », « TPMOnly » et « NationZTPM20Only ».

      Si BMC.TpmTcmPolicyLock est défini sur « Enabled », mais que la valeur BMC.TpmTcmPolicy n’est pas valide, UEFI rejettera la demande de « verrouillage » et définira à nouveau BMC.TpmTcmPolicyLock sur « Disabled ».

    8. Relisez la valeur pour vérifier si le « Verrouillage » a bien été activé :

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Remarque
      Si la valeur lue est passée de « Disabled » à « Enabled », cela signifie que TPM_TCM_POLICY a bien été verrouillé. Pour déverrouiller une stratégie une fois qu’elle a été définie, il n’existe pas d’autre méthode que de remplacer la carte d’E-S système.

      BMC.TpmTcmPolicyLock est défini comme suit :

      La valeur 1 utilise la chaîne « Enabled », ce qui signifie verrouiller la stratégie. Les autres valeurs ne sont pas acceptées.