Pular para o conteúdo principal

Definir a política do TPM

Por padrão, uma placa-mãe de substituição é enviada com a política do TPM configurada como indefinida. Modifique essa configuração para corresponder à configuração que estava em vigor para a placa-mãe sendo substituída.

Há dois métodos disponíveis para definir a política do TPM:
  • No Lenovo XClarity Provisioning Manager

    Para definir a política do TPM de Lenovo XClarity Provisioning Manager:
    1. Inicie o servidor e pressione F1 para exibir a interface do Lenovo XClarity Provisioning Manager.

    2. Se a senha de administrador de ativação for necessária, insira a senha.

    3. Na página de Resumo do sistema, clique em Atualizar VPD.

    4. Defina a política como uma das seguintes configurações.
      • NationZ TPM 2.0 habilitado - apenas na China. Clientes na China Continental devem escolher esta configuração se um adaptador NationZ TPM 2.0 está instalado.

      • TPM ativado - ROW. Os clientes fora da China Continental devem escolher essa configuração.

      • Permanentemente desativado. Clientes na China Continental devem usar esta configuração se nenhum TPM estiver instalado.

      Nota

      Embora a configuração indefinida esteja disponível como uma configuração da política, ela não deve ser usada.

  • No Lenovo XClarity Essentials OneCLI

    Nota
    Observe que um usuário do IPMI Local e uma senha devem ser configurados no Lenovo XClarity Controller para acesso remoto ao sistema de destino.
    Para definir a política do TPM de Lenovo XClarity Essentials OneCLI:
    1. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada:
      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Nota

      O valor imm.TpmTcmPolicyLock deve ser "Desativado", o que significa que a TPM_TCM_POLICY NÃO está bloqueada e alterações na TPM_TCM_POLICY são permitidas. Se o código de retorno estiver "Habilitado", as alterações na política serão permitidas. O planar ainda poderá ser usado se a configuração desejada estiver correta para o sistema que está sendo substituído.

    2. Configure a TPM_TCM_POLICY no XCC:

      • Para clientes na China Continental sem TPM ou clientes que requerem desabilitar o TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • Para clientes na China Continental que requerem habilitar o TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • Para clientes fora da China Continental que requerem habilitar o TPM:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. Emita o comando de redefinição para redefinir o sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. Leia novamente o valor para verificar se a alteração foi aceita:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      • Se houver correspondência com o valor de retorno de leitura, isso significa que a TPM_TCM_POLICY foi definida corretamente.

        imm.TpmTcmPolicy é definido da seguinte forma:
        • O valor 0 usa string "Indefinida", o que significa política UNDEFINED.

        • O valor 1 usa a string "NeitherTpmNorTcm", o que significa TPM_PERM_DISABLED.

        • O valor 2 usa a string "TpmOnly", o que significa TPM_ALLOWED.

        • O valor 4 usa a sequência "NationZTPM20Only", que significa NationZ_TPM20_ALLOWED.

      • As 4 etapas a seguir também devem ser usadas para "bloquear" a TPM_TCM_POLICY ao usar os comandos OneCli/ASU:

    5. Leia TpmTcmPolicyLock para verificar se a TPM_TCM_POLICY foi bloqueada; o comando é este a seguir:

                     OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      O valor deve ser "Desativado", isso significará que a TPM_TCM_POLICY não está bloqueada e deve ser definida.

    6. Bloqueie a TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. Emita um comando de redefinição para redefinir o sistema; o comando é este a seguir:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      Durante a redefinição, a UEFI lerá o valor do imm.TpmTcmPolicyLock, se o valor for "Ativado" e o valor imm.TpmTcmPolicy for válido, a UEFI bloqueará a configuração de TPM_TCM_POLICY.
      Nota

      Os valores válidos de imm.TpmTcmPolicy incluem "NeitherTpmNorTcm", "TpmOnly" e "NationZTPM20Only".

      Se o imm.TpmTcmPolicyLock for definido como "Ativado", mas o valor imm.TpmTcmPolicy for inválido, o UEFI rejeitará a solicitação de "bloquear" e alterará imm.TpmTcmPolicyLock de volta para "Desativado".

    8. Leia novamente o valor para verificar se o "bloqueio" foi aceito ou rejeitado. O comando é o seguinte:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      Se o valor de retorno de leitura for alterado de "Desativado" para "Ativado", significa que a TPM_TCM_POLICY foi bloqueada com êxito. Não há nenhum método para desbloquear uma política depois que ela foi definida de outra forma que não seja pela substituição da placa-mãe.

      imm.TpmTcmPolicyLock é definido da seguinte forma:

      O valor 1 usa a string "Ativada", o que significa bloquear a política. Outros valores não são aceitos.