Перейти к основному содержимому

Настройка политики TPM

По умолчанию сменная системная плата ввода-вывода поставляется с политикой TPM в состоянии Не определено. Этот параметр необходимо изменить в соответствии с настройкой заменяемой платы.

Существует два способа настройки политики TPM:

  • Из Lenovo XClarity Provisioning Manager

    Чтобы настроить политику TPM в Lenovo XClarity Provisioning Manager, выполните следующие действия:

    1. Запустите сервер и нажмите клавишу в соответствии с инструкциями на экране для отображения интерфейса Lenovo XClarity Provisioning Manager.

    2. Если при запуске требуется ввести пароль администратора, введите его.

    3. Нажмите в правом верхнем углу интерфейса Lenovo XClarity Provisioning Manager, затем выберите Обновить VPD.

    4. Задайте один из следующих вариантов политики.

      • Модуль NationZ TPM 2.0 включен (только Китай). Если адаптер NationZ TPM 2.0 установлен, пользователям в Материковом Китае нужно выбрать этот вариант политики.

      • Модуль TPM включен (остальные страны мира). Пользователям за пределами Материкового Китая нужно выбрать этот вариант политики.

      • Постоянно выключен. Если адаптер TPM не установлен, пользователям в Материковом Китае нужно использовать этот вариант политики.

      Прим.

      Несмотря на то что параметр Не определено доступен для выбора, использовать его не следует.

  • В Lenovo XClarity Essentials OneCLI

    Прим.
    Обратите внимание, что для удаленного доступа к целевой системе необходимо в Lenovo XClarity Controller настроить локального пользователя и пароль IPMI.
    Чтобы настроить политику TPM в Lenovo XClarity Essentials OneCLI, выполните следующие действия:

    1. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Прим.

      Параметр BMC.TpmTcmPolicyLock должен иметь значение «Disabled» — это означает, что политика TPM_TCM_POLICY не заблокирована и ее можно изменять. Если возвращается код «Enabled», изменение политики невозможно. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

    2. Настройте TPM_TCM_POLICY в XCC:

      • Для клиентов в Материковом Китае без TPM или клиентов, которым требуется отключить TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • Для клиентов в Материковом Китае, которым требуется включить TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • Для клиентов за пределами Материкового Китая, которым требуется включить TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Выполните команду сброса для перезагрузки системы:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Прим.

      • Если считанное значение совпадает с заданным, политика TPM_TCM_POLICY настроена правильно.

        Параметр BMC.TpmTcmPolicy определяется следующим образом:

        • Значение 0 использует строку «Undefined», что означает неопределенную политику (UNDEFINED).

        • Значение 1 соответствует строке «NeitherTpmNorTcm» — состояние TPM_PERM_DISABLED.

        • Значение 2 соответствует строке «TPMOnly» — состояние TPM_ALLOWED.

        • Значение 5 соответствует строке «NationZTPM20Only» — состояние NationZ_TPM20_ALLOWED.

      • При использовании команд OneCli/ASU для блокировки политики TPM_TCM_POLICY необходимо выполнить следующие 4 шага:

    5. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      Параметр должен иметь значение «Disabled» — это означает, что политика TPM_TCM_POLICY не заблокирована и ее необходимо задать.

    6. Заблокируйте политику TPM_TCM_POLICY:

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Выполните команду сброса для перезагрузки системы:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      При перезагрузке UEFI считывает значение из параметра BMC.TpmTcmPolicyLock. Если значение «Enabled» и параметр BMC.TpmTcmPolicy имеет допустимое значение, UEFI заблокирует настройку TPM_TCM_POLICY.
      Прим.

      Допустимые значения параметра BMC.TpmTcmPolicy: «NeitherTpmNorTcm», «TPMOnly» и «NationZTPM20Only».

      Если параметр BMC.TpmTcmPolicyLock имеет значение «Enabled», но значение BMC.TpmTcmPolicy недопустимо, UEFI отклонит запрос блокировки и вернет параметру BMC.TpmTcmPolicyLock значение «Disabled».

    8. Считайте значение параметра, чтобы проверить успешность блокировки:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Прим.
      Если считанное значение изменилось с «Disabled» на «Enabled», политика TPM_TCM_POLICY успешно заблокирована. После установки политики разблокировать ее можно только путем замены системной платы ввода-вывода.

      Параметр BMC.TpmTcmPolicyLock определяется следующим образом:

      Значение 1 соответствует строке «Enabled» — политика заблокирована. Другие значения неприемлемы.