Zum Hauptinhalt springen

TPM-Richtlinie festlegen

Standardmäßig ist die TPM-Richtlinie bei Austausch-System-E/A-Platinen auf Nicht definiert festgelegt. Sie müssen diese Einstellung ändern, um sie an die der ausgetauschten System-E/A-Platine anzupassen.

Es gibt zwei Möglichkeiten zum Festlegen der TPM-Richtlinie:

  • Über Lenovo XClarity Provisioning Manager

    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Provisioning Manager fest:

    1. Starten Sie den Server und drücken Sie Taste gemäß den Anweisungen auf dem Bildschirm, um die Lenovo XClarity Provisioning Manager-Schnittstelle anzuzeigen.

    2. Wenn das Administratorkennwort erforderlich ist, geben Sie das Kennwort ein.

    3. Klicken Sie oben rechts in der Lenovo XClarity Provisioning Manager-Benutzeroberfläche auf und anschließend auf VPD-Update.

    4. Legen Sie die Richtlinie auf eine der folgenden Einstellungen fest.

      • NationZ TPM 2.0 aktiviert – (nur China). Kunden auf dem chinesischen Kontinent sollten diese Einstellung auswählen, wenn ein NationZ TPM 2.0-Adapter installiert ist.

      • TPM aktiviert – restliche Welt. Kunden außerhalb des chinesischen Kontinents sollten diese Einstellung auswählen.

      • Permanent deaktiviert. Kunden auf dem chinesischen Kontinent sollten diese Einstellung verwenden, wenn kein TPM-Adapter installiert ist.

      Anmerkung

      Obwohl die Einstellung Nicht definiert als Richtlinieneinstellung verfügbar ist, sollte sie nicht verwendet werden.

  • Vom Lenovo XClarity Essentials OneCLI

    Anmerkung
    Hinweis: Ein lokaler IPMI-Benutzer mit Kennwort muss in Lenovo XClarity Controller konfiguriert sein, damit der Fernzugriff auf das Zielsystem funktioniert.
    So legen Sie die TPM-Richtlinie mit Lenovo XClarity Essentials OneCLI fest:

    1. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob die TPM_TCM_POLICY gesperrt wurde:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Anmerkung

      Der Wert BMC.TpmTcmPolicyLock muss „Disabled“ sein. Das bedeutet, dass TPM_TCM_POLICY NICHT gesperrt ist und Änderungen an der TPM_TCM_POLICY zulässig sind. Wenn der Rückgabecode„Enabled“ ist, sind keine Änderungen an der Richtlinie erlaubt. Die Platine kann weiterhin verwendet werden, wenn die gewünschte Einstellung für das zu ersetzende System korrekt ist.

    2. Konfigurieren Sie die TPM_TCM_POLICY in XCC:

      • Für Kunden auf dem chinesischen Kontinent ohne TPM oder Kunden, die TPM deaktivieren müssen:

        OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>

      • Für Kunden auf dem chinesischen Kontinent, die TPM aktivieren müssen:

        OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>

      • Für Kunden außerhalb des chinesischen Kontinents, die TPM aktivieren müssen:

        OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>

    3. Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>

    4. Lesen Sie den Wert zurück, um zu überprüfen, ob die Änderung akzeptiert wurde:

      OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>
      Anmerkung

      • Wenn der Rücklesewert übereinstimmt, bedeutet das, dass TPM_TCM_POLICY korrekt festgelegt wurde.

        BMC.TpmTcmRichtlinie ist wie folgt definiert:

        • Wert 0 verwendet die Zeichenkette „Undefined“, was für die UNDEFINED-Richtlinie steht.

        • Wert 1 verwendet die Zeichenkette „NeitherTpmNorTcm“, was für TPM_PERM_DISABLED steht.

        • Wert 2 verwendet die Zeichenkette „TPMOnly“, was für TPM_ALLOWED steht.

        • Wert 5 verwendet die Zeichenfolge „NationZTPM20Only“, was für NationZ_TPM20_ALLOWED steht.

      • Die folgenden 4 Schritte müssen ebenfalls verwendet werden, um die TPM_TCM_POLICY bei der Verwendung von OneCli/ASU-Befehlen zu „sperren“:

    5. Lesen Sie TpmTcmPolicyLock, um zu überprüfen, ob die TPM_TCM_POLICY gesperrt wurde:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>

      Der Wert muss „Disabled“ sein. Das bedeutet, dass TPM_TCM_POLICY NICHT gesperrt ist und festgelegt werden muss.

    6. Sperren Sie die TPM_TCM_POLICY:

      OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>

    7. Erteilen Sie den Reset-Befehl, um das System zurückzusetzen:

      OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>
      Beim Zurücksetzen liest UEFI den Wert von BMC.TpmTcmPolicyLock aus. Wenn der Wert auf „Enabled“ gesetzt ist und der BMC.TpmTcmPolicy-Wert gültig ist, sperrt UEFI die TPM_TCM_POLICY-Einstellung.
      Anmerkung

      Gültige Wert für BMC.TpmTcmPolicy sind „NeitherTpmNorTcm“, „TPMOnly“ und „NationZTPM20Only“.

      Wenn BMC.TpmTcmPolicyLock auf „Enabled“ gesetzt ist, der Wert BMC.TpmTcmPolicy aber ungültig ist, lehnt UEFI die Anforderung zum Sperren ab und ändert BMC.TpmTcmPolicyLock wieder in „Disabled“.

    8. Lesen Sie den Wert zurück, um zu überprüfen, ob die „Sperre“ erfolgreich aktiviert wurde:

      OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>
      Anmerkung
      Wird der Rücklesewert von „Disabled“ zu „Enabled“ geändert, bedeutet dies, dass die TPM_TCM_POLICY erfolgreich gesperrt wurde. Wenn eine Richtlinien einmal gesperrt ist, gibt es keine Möglichkeit mehr, sie zu entsperren, außer durch das Austauschen der System-E/A-Platine.

      BMC.TpmTcmPolicyLock ist wie folgt definiert:

      Wert 1 verwendet die Zeichenkette „Enabled“, was bedeutet, die Richtlinie zu sperren. Andere Werte sind nicht zulässig.