Перейти к основному содержимому

Настройка политики TPM

У материнской платы, поставляемой для замены, для политики TPM по умолчанию установлено значение Не определено. Необходимо установить для этого параметра то же значение, что было установлено на предыдущей материнской плате.

Существует два способа настройки политики TPM:

  • Из Lenovo XClarity Provisioning Manager

    Чтобы настроить политику TPM в Lenovo XClarity Provisioning Manager, выполните следующие действия:

    1. Запустите сервер и нажмите клавишу, указанную в инструкциях на экране, чтобы отобразить интерфейс Lenovo XClarity Provisioning Manager. (Дополнительные сведения см. в разделе Запуск в документации по LXPM для вашего сервера по адресу Страница портала Lenovo XClarity Provisioning Manager.)

    2. Если при запуске требуется ввести пароль администратора, введите его.

    3. На странице общих сведений о системе щелкните Обновить VPD.

    4. Задайте один из следующих вариантов политики.

      • Модуль NationZ TPM 2.0 включен (только Китай). Если адаптер NationZ TPM 2.0 установлен, пользователям в Материковом Китае нужно выбрать этот вариант политики.

      • Модуль TPM включен (остальные страны мира). Пользователям за пределами Материкового Китая нужно выбрать этот вариант политики.

      • Постоянно выключен. Если адаптер TPM не установлен, пользователям в Материковом Китае нужно использовать этот вариант политики.

      Прим.

      Несмотря на то что параметр Не определено доступен для выбора, использовать его не следует.

  • В Lenovo XClarity Essentials OneCLI

    Прим.
    Обратите внимание, что для удаленного доступа к целевой системе необходимо в Lenovo XClarity Controller настроить локального пользователя и пароль IPMI.
    Чтобы настроить политику TPM в Lenovo XClarity Essentials OneCLI, выполните следующие действия:
    1. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY:
      OneCli.exe config show IMM.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Прим.

      Параметр IMM.TpmTcmPolicyLock должен иметь значение «Disabled» — это означает, что политика TPM_TCM_POLICY не заблокирована и ее можно изменять. Если код возврата — Enabled, внесение изменений в политику не разрешено. Планарный корпус можно по-прежнему использовать, если требуемая настройка правильна для заменяемой системы.

    2. Настройте TPM_TCM_POLICY в XCC:

      • Для клиентов в Материковом Китае без TPM или клиентов, которым требуется отключить TPM:

        OneCli.exe config set IMM.TpmTcmPolicy "NeitherTpmNorTcm" --override  --bmc <userid>:<password>@<ip_address>

      • Для клиентов в Материковом Китае, которым требуется включить TPM:

        OneCli.exe config set IMM.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • Для клиентов за пределами Материкового Китая, которым требуется включить TPM:

        OneCli.exe config set IMM.TpmTcmPolicy "TpmOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Введите команду перезагрузки, чтобы перезагрузить систему:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Выполните считывание значения, чтобы выяснить, было ли принято изменение:

      OneCli.exe config show IMM.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Прим.

      • Если считанное значение совпадает с заданным, политика TPM_TCM_POLICY настроена правильно.

        imm.TpmTcmPolicy определяется следующим образом:

        • Значение 0 использует строку «Undefined», что означает неопределенную политику (UNDEFINED).

        • Значение 1 использует строку NeitherTpmNorTcm, что означает TPM_PERM_DISABLED.

        • Значение 2 использует строку TpmOnly, что означает TPM_ALLOWED.

        • Значение 4 использует строку NationZTPM20Only, что означает NationZ_TPM20_ALLOWED.

      • При использовании команд OneCli/ASU для блокировки политики TPM_TCM_POLICY необходимо выполнить следующие 4 шага:

    5. Выполните считывание значения TpmTcmPolicyLock, чтобы выяснить, заблокирована ли политика TPM_TCM_POLICY; команда следующая:

      OneCli.exe config show IMM.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      Значение должно быть «Disabled». При таком значении политика TPM_TCM_POLICY не заблокирована и ее необходимо настроить.

    6. Заблокируйте политику TPM_TCM_POLICY:

      OneCli.exe config set IMM.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Введите команду перезагрузки, чтобы перезагрузить систему; команда следующая:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      При перезагрузке интерфейс UEFI считывает значение из imm.TpmTcmPolicyLock. Если это значение — Enabled и значение imm.TpmTcmPolicy допустимо, UEFI блокирует настройку TPM_TCM_POLICY.
      Прим.

      Допустимые значения для imm.TpmTcmPolicy — NeitherTpmNorTcm, TpmOnly и NationZTPM20Only.

      Если для imm.TpmTcmPolicyLock установлено значение Enabled, но значение imm.TpmTcmPolicy недопустимо, UEFI отклоняет запрос на «Enabled» и восстанавливает для imm.TpmTcmPolicyLock значение «Disabled».

    8. Выполните считывание значения, чтобы выяснить, принят ли запрос Lock. Команда следующая:

      OneCli.exe config show IMM.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Прим.
      Если считанное значение изменилось с «Disabled» на «Enabled», политика TPM_TCM_POLICY успешно заблокирована. Единственный способ разблокировать политику после ее настройки — замена материнской платы.

      imm.TpmTcmPolicyLock определяется следующим образом:

      Значение 1 соответствует строке «Enabled» — политика заблокирована. Другие значения неприемлемы.