跳至主要内容

使用 Lenovo XClarity Essentials OneCLI

使用本節中的說明使用 Lenovo XClarity Essentials OneCLI 來設定 TPM 原則。

設定原則

重要

  • 要設定的原則必須與 TPM 硬體裝置相符。例如,當硬體裝置是適用於中國大陸以外客戶的機載晶片時,若將原則設定為NationZ TPM 2.0 enabled - China only,則該設定將失敗。

  • 使用 OneCLI 指令設定原則後,為了安全起見,必須在現場站點將其鎖定。

  • 成功設定並鎖定原則後,就無法在現場站點將其解除鎖定並重設。

步驟:

  1. 讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否已鎖定:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    imm.TpmTcmPolicyLock 值必須是「Disabled」,這表示 TPM_TCM_POLICY 未遭鎖定且允許對 TPM_TCM_POLICY 進行變更。如果回覆碼為Enabled,即不允許對原則進行任何變更。如果欲更換的系統所需的設定正確無誤,即表示介面板可能仍在使用中。

  2. 配置 TPM_TCM_POLICY 轉入 XCC:

    • NationZ TPM 2.0 enabled - China only

      計劃啟用 TPM 的中國大陸客戶應選取此 TPM 原則。

      OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

    • TPM enabled - ROW

      計劃啟用 TPM 的中國大陸以外客戶應選取此 TPM 原則。

      OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    • Permanently disabled

      沒有 TPM 的中國大陸客戶或需要停用 TPM 的客戶應選取此原則。

      OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

  3. 發出 reset 指令以重設系統:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

  4. 讀回其值以檢查是否已接受變更:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>

    如果讀回相符的值,即表示已正確設定 TPM_TCM_POLICY

    imm.TpmTcmPolicy 的定義如下:

    • 值 0 使用字串Undefined,表示 UNDEFINED 的原則。

    • 值 1 使用字串NeitherTpmNorTcm,表示 TPM_PERM_DISABLED

    • 值 2 使用字串TpmOnly,表示 TPM_ALLOWED

    • 值 4 使用字串NationZTPM20Only,表示 NationZTPM20_ALLOWED

鎖定 TPM 原則

步驟:

  1. 讀取 TpmTcmPolicyLock 以檢查 TPM_TCM_POLICY 是否已鎖定:

    OneCli.exe config show imm.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

    其值必須是Disabled,這表示 TPM_TCM_POLICY 未遭鎖定且必須進行設定。

  2. 鎖定 TPM_TCM_POLICY

    OneCli.exe config set imm.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

  3. 發出 reset 指令以重設系統,指令如下:

    OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    重設過程中,UEFI 將從 imm.TpmTcmPolicyLock 讀取值,如果其值為「Enabled」且 imm.TpmTcmPolicy 值有效,UEFI 便會鎖定 TPM_TCM_POLICY 設定。

    imm.TpmTcmPolicy 的有效值包括「NeitherTpmNorTcm」、「TpmOnly」和「NationZTPM20Only」。

    如果 imm.TpmTcmPolicyLock 設定為「Enabled」但 imm.TpmTcmPolicy 值無效,UEFI 便會拒絕「鎖定」要求並將 imm.TpmTcmPolicyLock 變更回「Disabled」。

  4. 讀回其值以檢查鎖定已獲接受還是遭到拒絕,指令如下:

    OneCli.exe config show imm.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
    如果讀回的值從Disabled變更為Enabled,即表示已成功鎖定 TPM_TCM_POLICY。原則一經設定之後,便無法再解除鎖定該原則,除非更換主機板。

    imm.TpmTcmPolicyLock 的定義如下:

    值 1 使用字串Enabled,表示鎖定原則。其他值概不接受。