TPM 정책 설정
기본값으로, 교체용 시스템 I/O 보드는 TPM 정책이 정의되지 않음으로 설정된 상태로 출고됩니다. 이 설정을 교체되는 시스템 I/O 보드의 이전 설정과 일치하도록 수정해야 합니다.
Lenovo XClarity Provisioning Manager에서
Lenovo XClarity Provisioning Manager에서 TPM 정책을 설정하는 방법:서버를 시작하고 화면의 안내에 따라 키를 눌러 Lenovo XClarity Provisioning Manager 인터페이스를 표시하십시오.
시동 관리자 암호가 필요한 경우 암호를 입력합니다.
Lenovo XClarity Provisioning Manager 인터페이스의 오른쪽 상단에 있는
를 클릭한 다음, VPD 업데이트를 클릭합니다.- 다음 설정 중 하나에 대한 정책을 설정하십시오.
NationZ TPM 2.0 사용 - 중국만 해당. 중국 본토 고객은 NationZ TPM 2.0 어댑터가 설치되어 있는 경우 이 설정을 선택해야 합니다.
TPM 사용 - ROW. 중국 본토 이외의 지역에 있는 고객은 이 설정을 선택해야 합니다.
영구적으로 사용 안 함. 중국 고객은 TPM 어댑터가 설치되지 않은 경우 설정을 사용해야 합니다.
주정의되지 않음 설정을 정책 설정으로 사용할 수는 있지만 사용해서는 안 됩니다.
Lenovo XClarity Essentials OneCLI에서
주대상 시스템에 원격으로 액세스할 수 있도록Lenovo XClarity Controller에서 로컬 IPMI 사용자 및 비밀번호를 설정해야 합니다. Lenovo XClarity Essentials OneCLI에서 TPM 정책을 설정하는 방법:TpmTcmPolicyLock을 읽고 TPM_TCM_POLICY가 잠겼는지 확인합니다.
OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>주BMC.TpmTcmPolicyLock 값은 'Disabled'이어야 하며, 이 값은 TPM_TCM_POLICY가 잠금 상태가 아니어서 TPM_TCM_POLICY를 변경할 수 있다는 것을 의미합니다. 반환 코드가 'Enabled'이면, 정책을 변경할 수 없습니다. 원하는 설정이 교체되는 시스템에 맞으면, 플래너를 계속 사용할 수 있습니다.
TPM_TCM_POLICY를 XCC로 구성합니다.
TPM이 없는 중국 본토 고객 및 TPM을 비활성화해야 하는 고객의 경우:
OneCli.exe config set BMC.TpmTcmPolicy "NeitherTpmNorTcm" --override --bmc <userid>:<password>@<ip_address>TPM을 활성화해야 하는 중국 본토 고객의 경우:
OneCli.exe config set BMC.TpmTcmPolicy "NationZTPM20Only" --override --bmc <userid>:<password>@<ip_address>TPM을 활성화해야 하는 중국 이외 지역 고객의 경우:
OneCli.exe config set BMC.TpmTcmPolicy "TPMOnly" --override --bmc <userid>:<password>@<ip_address>
재설정 명령을 실행하여 시스템을 재설정하십시오.
OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>값을 다시 읽어 변경 사항이 수락되었는지 여부를 확인합니다.
OneCli.exe config show BMC.TpmTcmPolicy --override --bmc <userid>:<password>@<ip_address>주다시 읽은 값이 일치하면, TPM_TCM_POLICY가 올바르게 설정되었음을 의미합니다.
BMC.TpmTcmPolicy의 정의는 다음과 같습니다.값 0은 "Undefined" 문자열을 사용하며, UNDEFINED 정책을 의미합니다.
값 1은 "NeitherTpmNorTcm" 문자열을 사용하며, TPM_PERM_DISABLED를 의미합니다.
값 2는 "TPMOnly" 문자열을 사용하며, TPM_ALLOWED를 의미합니다.
값 5는 "NationZTPM20Only"라는 문자열을 사용하며, NationZ_TPM20_ALLOWED를 의미합니다.
OneCli/ASU 명령을 사용할 때 TPM_TCM_POLICY를 잠그려면, 아래 4단계를 사용해야 합니다.
TpmTcmPolicyLock을 읽고 TPM_TCM_POLICY가 잠겼는지 확인합니다.
OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>값은 반드시 'Disabled'로 설정되어야 하며, 이는 TPM_TCM_POLICY가 아직 잠금 상태가 아니므로 반드시 설정해야 함을 의미합니다.
TPM_TCM_POLICY를 잠급니다.
OneCli.exe config set BMC.TpmTcmPolicyLock "Enabled" --override --bmc <userid>:<password>@<ip_address>재설정 명령을 실행하여 시스템을 재설정하십시오.
재설정하는 동안 UEFI는 BMC.TpmTcmPolicyLock의 값을 읽습니다. 값이 'Enabled'이고 BMC.TpmTcmPolicy 값이 유효하면, UEFI는 TPM_TCM_POLICY 설정을 잠급니다.OneCli.exe misc ospower reboot --bmc <userid>:<password>@<ip_address>주BMC.TpmTcmPolicy의 유효한 값에는 'NeitherTpmNorTcm', 'TPMOnly' 및 'NationZTPM20Only'가 포함됩니다.
BMC.TpmTcmPolicyLock이 'Enabled'로 설정되어 있지만 BMC.TpmTcmPolicy 값이 유효하지 않은 경우, UEFI는 '잠금' 요청을 거부하고 BMC.TpmTcmPolicyLock을 다시 'Disabled'로 변경합니다.
값을 다시 읽어 'Lock'이 성공적으로 사용되었는지 확인합니다:
OneCli.exe config show BMC.TpmTcmPolicyLock --override --bmc <userid>:<password>@<ip_address>주다시 읽은 값이 'Disabled'에서 'Enabled'로 변경되면, TPM_TCM_POLICY가 성공적으로 잠긴 것입니다. 정책이 한 번 설정되면, 시스템 I/O 보드를 교체하는 것 외에는 정책을 잠금 해제할 방법이 없습니다.BMC.TpmTcmPolicyLock의 정의는 다음과 같습니다.
값 1은 'Enabled'이라는 문자열을 사용하며, 정책을 잠근다는 것을 의미합니다. 다른 값은 허용되지 않습니다.