Pular para o conteúdo principal

Definir a política do TPM

Por padrão, uma placa de E/S do sistema de substituição é enviada com a política do TPM configurada como Indefinida. Você deve modificar esta configuração para corresponder à configuração que estava em vigor para a placa de E/S do sistema que está sendo substituída.

Há dois métodos disponíveis para definir a política do TPM:

  • No Lenovo XClarity Provisioning Manager

    Para definir a política do TPM no Lenovo XClarity Provisioning Manager:

    1. Inicie o servidor e pressione a tecla de acordo com as instruções na tela para exibir a interface do Lenovo XClarity Provisioning Manager.

    2. Se a senha de administrador de ativação for necessária, insira a senha.

    3. Clique em no canto superior direito da interface Lenovo XClarity Provisioning Manager e, em seguida, clique em Atualizar VPD.

    4. Defina a política como uma das seguintes configurações.

      • NationZ TPM 2.0 habilitado - apenas na China. Clientes na China Continental devem escolher esta configuração se um adaptador NationZ TPM 2.0 está instalado.

      • TPM ativado - ROW. Os clientes fora da China Continental devem escolher essa configuração.

      • Permanentemente desativado. Clientes na China Continental devem usar esta configuração se nenhum TPM estiver instalado.

      Nota

      Embora a configuração Indefinida esteja disponível como uma configuração da política, ela não deve ser usada.

  • No Lenovo XClarity Essentials OneCLI

    Nota
    Observe que um usuário do IPMI Local e uma senha devem ser configurados no Lenovo XClarity Controller para acesso remoto ao sistema de destino.
    Para definir a política do TPM de Lenovo XClarity Essentials OneCLI:

    1. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Nota

      O valor de BMC.TpmTcmPolicyLock deve ser "Disabled", o que significa que TPM_TCM_POLICY NÃO está bloqueada e alterações em TPM_TCM_POLICY são permitidas. Se o código de retorno for "Enabled", não são permitidas alterações na política. O planar ainda poderá ser usado se a configuração desejada estiver correta para o sistema que está sendo substituído.

    2. Configure a TPM_TCM_POLICY no XCC:

      • Para clientes na China Continental sem TPM ou clientes que requerem desabilitar o TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • Para clientes na China Continental que requerem habilitar o TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • Para clientes fora da China Continental que requerem habilitar o TPM:

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Emita o comando de redefinição para redefinir o sistema:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Leia novamente o valor para verificar se a alteração foi aceita:

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Nota

      • Se houver correspondência com o valor de retorno de leitura, isso significa que a TPM_TCM_POLICY foi definida corretamente.

        BMC.TpmTcmPolicy é definida da seguinte forma:

        • O valor 0 usa string "Undefined", o que significa política UNDEFINED.

        • O valor 1 usa a string "NeitherTpmNorTcm", o que significa TPM_PERM_DISABLED.

        • O valor 2 usa a string "TPMOnly", o que significa TPM_ALLOWED.

        • O valor 5 usa a string "NationZTPM20Only", que significa NationZ_TPM20_ALLOWED.

      • As seguintes 4 etapas também devem ser usadas para "bloquear" a TPM_TCM_POLICY ao usar os comandos OneCli/ASU:

    5. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      O valor deve ser "Disabled", isso significará que a TPM_TCM_POLICY não está bloqueada e deve ser definida.

    6. Bloqueie a TPM_TCM_POLICY:

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Emita o comando de redefinição para redefinir o sistema:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      Durante a redefinição, UEFI lerá o valor de BMC.TpmTcmPolicyLock. Se o valor for "Enabled" e o valor de BMC.TpmTcmPolicy for válido, o UEFI vai bloquear a configuração TPM_TCM_POLICY.
      Nota

      Os valores válidos de BMC.TpmTcmPolicy incluem "NeitherTpmNorTcm", "TPMOnly" e "NationZTPM20Only".

      Se o BMC.TpmTcmPolicyLock for definido como "Enabled", mas o valor BMC.TpmTcmPolicy for inválido, o UEFI rejeitará a solicitação de "bloquear" e alterará BMC.TpmTcmPolicyLock de volta para "Disabled".

    8. Leia novamente o valor para verificar se o "bloqueio" foi ativado com sucesso:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Nota
      Se o valor de retorno de leitura for alterado de "Disabled" para "Enabled", significa que a TPM_TCM_POLICY foi bloqueada com êxito. Não há nenhum método para desbloquear uma política depois que ela foi definida de outra forma que não seja pela substituição da placa de E/S do sistema.

      BMC.TpmTcmPolicyLock é definido da seguinte forma:

      O valor 1 usa a string "Enabled", o que significa bloquear a política. Outros valores não são aceitos.