Перейти к основному содержимому

С помощью Lenovo XClarity Essentials OneCLI

Воспользуйтесь информацией из этого раздела, чтобы настроить политику TPM с помощью Lenovo XClarity Essentials OneCLI.

Настройка политики

Важное замечание

  • Настраиваемая политика должна соответствовать аппаратному устройству TPM. Например, если аппаратным устройством является встроенная микросхема для клиентов За пределами материкового Китая и для политики задано значение NationZ TPM 2.0 enabled - China only, настройка завершится ошибкой.

  • После настройки политики с использованием команд OneCLI в целях безопасности ее необходимо заблокировать на объектах.

  • После настройки и блокировки политики ее невозможно разблокировать и сбросить на сайтах на местах.

Шаги:

  1. Прочитайте TpmTcmPolicyLock, чтобы проверить, заблокирована ли TPM_TCM_POLICY:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Прим.

    Значение imm.TpmTcmPolicyLock должно быть «Disabled». В этом случае политика TPM_TCM_POLICY НЕ заблокирована и внесение изменений в TPM_TCM_POLICY разрешено. Если код возврата — «Enabled», внесение изменений в политику не разрешено. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

  2. Настройте TPM_TCM_POLICY в XCC:

    • NationZ TPM 2.0 enabled - China only

      Клиенты в Материковом Китае, которые планируют включить TPM, должны выбрать эту политику TPM.

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      Клиенты за пределами Материкового Китая, которые планируют включить TPM, должны выбрать эту политику TPM.

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      Клиенты в Материковом Китае без TPM или клиенты, которым требуется отключить TPM, должны выбрать эту политику.

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. Введите команду перезагрузки, чтобы перезагрузить систему:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Прим.

    Если считанное значение соответствует, политика TPM_TCM_POLICY установлена правильно.

    imm.TpmTcmPolicy определяется следующим образом:

    • Значение 0 использует строку Undefined, что означает политику UNDEFINED.

    • Значение 1 использует строку NeitherTpmNorTcm, что означает TPM_PERM_DISABLED.

    • Значение 2 использует строку TpmOnly, что означает TPM_ALLOWED.

    • Значение 4 использует строку NationZTPM20Only, что означает NationZTPM20_ALLOWED.

Блокировка политики TPM

Шаги:

  1. Прочитайте TpmTcmPolicyLock, чтобы проверить, заблокирована ли TPM_TCM_POLICY:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
    Прим.

    Значение должно быть «Disabled». При таком значении политика TPM_TCM_POLICY НЕ заблокирована и ее необходимо настроить.

  2. Блокировка TPM_TCM_POLICY:

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. Введите команду перезагрузки, чтобы перезагрузить систему; команда следующая:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    При перезагрузке интерфейс UEFI считывает значение из imm.TpmTcmPolicyLock. Если это значение «Enabled» и значение imm.TpmTcmPolicy допустимо, UEFI блокирует настройку TPM_TCM_POLICY.

    Допустимое значение для imm.TpmTcmPolicy — «NeitherTpmNorTcm», «TpmOnly» и «NationZTPM20Only».

    Если для imm.TpmTcmPolicyLock установлено значение «Enabled», но значение imm.TpmTcmPolicy недопустимо, UEFI отклоняет запрос на «блокировку» и восстанавливает для imm.TpmTcmPolicyLock значение «Disabled».

  4. Выполните считывание значения, чтобы выяснить, принят ли запрос на блокировку, команда следующая:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    Прим.
    Если считанное значение изменилось с Disabled на Enabled, политика TPM_TCM_POLICY успешно заблокирована. Единственный способ разблокировать политику после ее настройки — замена материнской платы.

    imm.TpmTcmPolicyLock определяется следующим образом:

    Значение 1 использует строку Enabled, что означает блокировку политики. Другие значения неприемлемы.