본문으로 건너뛰기

TPM 정책 설정

기본적으로 교체 시스템 보드는 TPM 정책이 정의되지 않음으로 설정된 상태로 제공됩니다. 교체하는 시스템 보드에 맞게 준비된 설정과 일치하도록 이 설정을 수정해야 합니다.

TPM 정책을 설정할 수 있는 두 가지 방법이 있습니다.
  • Lenovo XClarity Provisioning Manager에서

    Lenovo XClarity Provisioning Manager에서 TPM 정책을 설정하는 방법:
    1. 서버를 시작하고 화면의 안내에 따라 키를 눌러 Lenovo XClarity Provisioning Manager 인터페이스를 표시합니다.

    2. 시동 관리자 암호가 필요한 경우 암호를 입력하십시오.

    3. 시스템 요약 페이지에서 VPD 업데이트를 클릭하십시오.

    4. 다음 설정 중 하나에 대한 정책을 설정하십시오.
      • NationZ TPM 2.0 사용 - 중국만 해당. 중국 본토 고객은 NationZ TPM 2.0 어댑터가 설치되어 있는 경우 이 설정을 선택해야 합니다.

      • TPM 사용 - ROW. 중국 본토 이외의 지역에 있는 고객은 이 설정을 선택해야 합니다.

      • 영구적으로 사용 안 함. 중국 고객은 TPM 어댑터가 설치되지 않은 경우 설정을 사용해야 합니다.

      정의되지 않음 설정을 정책 설정으로 사용할 수는 있지만 사용해서는 안 됩니다.

  • Lenovo XClarity Essentials OneCLI에서

    대상 시스템에 원격으로 액세스할 수 있도록 Lenovo XClarity Controller에서 로컬 IPMI 사용자 및 비밀번호를 설정해야 합니다.
    Lenovo XClarity Essentials OneCLI에서 TPM 정책을 설정하는 방법:
    1. TpmTcmPolicyLock을 읽고 TPM_TCM_POLICY가 잠겼는지 확인합니다.

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      imm.TpmTcmPolicyLock 값은 'Disabled'이어야 하며, 이 값은 TPM_TCM_POLICY가 잠겨 있지 않으며 TPM_TCM_POLICY를 변경할 수 있다는 것을 의미합니다. 리턴 코드가 'Enabled'이면, 정책을 변경할 수 없습니다. 원하는 설정이 교체되는 시스템에 맞으면, 플래너를 계속 사용할 수 있습니다.

    2. TPM_TCM_POLICY를 XCC로 구성합니다.

      • TPM이 없는 중국 본토 고객 및 TPM을 비활성화해야 하는 고객의 경우:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>
      • TPM을 활성화해야 하는 중국 본토 고객의 경우:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>
      • TPM을 활성화해야 하는 중국 이외 지역 고객의 경우:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>
    3. 재설정 명령을 실행하여 시스템을 재설정합니다.

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
    4. 값을 다시 읽어 변경 사항이 수락되었는지 여부를 확인합니다.

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      • 다시 읽은 값이 일치하면, TPM_TCM_POLICY가 올바르게 설정되었음을 의미합니다.

        imm.TpmTcmPolicy의 정의는 다음과 같습니다.
        • 값 0은 "정의되지 않음" 문자열을 사용하며, UNDEFINED 정책을 의미합니다.

        • 값 1은 "NeitherTpmNorTcm" 문자열을 사용하며, TPM_PERM_DISABLED를 의미합니다.

        • 값 2는 "TpmOnly" 문자열을 사용하며, TPM_ALLOWED를 의미합니다.

        • 값 4는 "NationZTPM20Only"라는 문자열을 사용하며, NationZ_TPM20_ALLOWED를 의미합니다.

      • OneCli / ASU 명령을 사용할 때 TPM_TCM_POLICY를 잠그려면, 아래 4단계를 사용해야 합니다.

    5. TpmTcmPolicyLock을 읽어 TPM_TCM_POLICY가 잠겼는지 확인합니다. 명령은 다음과 같습니다.

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      값은 'Disabled'여야 하며, TPM_TCM_POLICY가 잠기지 않아 설정되어야 한다는 것을 의미합니다.

    6. TPM_TCM_POLICY를 잠급니다.

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
    7. Reset 명령을 사용하여 시스템을 재설정합니다. 명령은 다음과 같습니다.

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      재설정하는 동안, UEFI는 imm.TpmTcmPolicyLock에서 값을 읽습니다. 값이 'Enabled'이고 imm.TpmTcmPolicy 값이 유효한 경우, UEFI는 TPM_TCM_POLICY 설정을 잠급니다.

      imm.TpmTcmPolicy의 유효한 값에는 'NeitherTpmNorTcm', 'TpmOnly' 및 'NationZTPM20Only'가 포함됩니다.

      imm.TpmTcmPolicyLock이 'Enabled'로 설정되어 있지만 imm.TpmTcmPolicy 값이 유효하지 않은 경우, UEFI는 'lock' 요청을 거부하고 imm.TpmTcmPolicyLock을 다시 'Disabled'로 변경합니다.

    8. 값을 다시 읽어 'Lock'이 수락 또는 거부되었는지 확인할 수 있습니다. 명령은 다음과 같습니다.

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      다시 읽은 값이 'Disabled'에서 'Enabled'로 변경되면, TPM_TCM_POLICY가 성공적으로 잠겨 있음을 의미합니다. 시스템 보드를 교체하는 것 외의 다른 정책을 설정하면, 정책 잠금을 해제할 방법이 없습니다.

      imm.TpmTcmPolicyLock의 정의는 다음과 같습니다.

      값 1은 "Enabled"라는 문자열을 사용하며, 정책을 잠근다는 것을 의미합니다. 다른 값은 허용되지 않습니다.