Saltar al contenido principal

Establecimiento de la política TPM

De forma predeterminada, una placa del sistema de sustitución se suministra con la política TPM establecida en sin definir. Debe modificar este valor para que coincida con el valor vigente en la placa del sistema que se va a reemplazar.

Hay dos métodos disponibles para configurar la política TPM:

  • Mediante Uso de Lenovo XClarity Provisioning Manager

    Para establecer la política TPM desde Uso de Lenovo XClarity Provisioning Manager:

    1. Inicie el servidor y pulse la tecla de acuerdo con las instrucciones en pantalla para mostrar la interfaz Uso de Lenovo XClarity Provisioning Manager.

    2. Si se requiere la contraseña de administrador de encendido, ingrese la contraseña.

    3. En la página Resumen del sistema, haga clic en Actualizar VPD.

    4. Establezca la directiva a uno de los valores siguientes.

      • NationZ TPM 2.0 activado - China solamente. Los clientes de China continental deben elegir este ajuste si tienen instalado un adaptador NationZ TPM 2.0.

      • TPM habilitada: ROW. Los clientes fuera de China continental deben elegir este ajuste.

      • Permanentemente deshabilitada. Los clientes de China continental deben utilizar este ajuste si no tienen instalado un adaptador TPM.

      Nota

      Aunque la configuración sin definir está disponible como un valor de la política, no debe utilizarse.

  • Mediante Lenovo XClarity Essentials OneCLI

    Nota
    Tenga en cuenta que es necesario configurar un usuario y una contraseña IPMI locales en Lenovo XClarity Controller para acceder remotamente al sistema de destino.
    Para establecer la política TPM desde Lenovo XClarity Essentials OneCLI:

    1. Lea TpmTcmPolicyLock para comprobar si se ha bloqueado TPM_TCM_POLICY:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
      Nota

      El valor de imm.TpmTcmPolicyLock debe ser "Disabled" (Desactivado), lo que significa que TPM_TCM_POLICY NO está bloqueado y se permiten cambios en TPM_TCM_POLICY. Si el código de retorno es "Enabled" (Activado), no se permiten cambios en la política. Todavía se puede utilizar el planar si el ajuste deseado es correcto para el sistema que se va a sustituir.

    2. Configure TPM_TCM_POLICY en XCC:

      • Para los clientes de China continental sin TPM o clientes que requieren deshabilitar TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NeitherTpmNorTcm" --override  --imm <userid>:<password>@<ip_address>

      • Para clientes de China continental que requieren habilitar TPM:

        OneCli.exe config set imm.TpmTcmPolicy "NationZTPM20Only" --override --imm <userid>:<password>@<ip_address>

      • Para clientes fuera de China continental que requieren habilitar TPM:

        OneCli.exe config set imm.TpmTcmPolicy "TpmOnly" --override --imm <userid>:<password>@<ip_address>

    3. Utilice el comando de reinicio para reiniciar el sistema:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>

    4. Vuelva a leer el valor para comprobar si se ha aceptado la modificación:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota

      • Si el valor leído coincide, significa que se ha configurado TPM_TCM_POLICY correctamente.

        imm.TpmTcmPolicy se define de la forma siguiente:

        • El valor 0 utiliza la cadena “Undefined“, que significa política NO DEFINIDA.

        • El valor 1 utiliza la cadena “NeitherTpmNorTcm”, que significa TPM_PERM_DISABLED.

        • El valor 2 utiliza la cadena "TpmOnly", que significa TPM_ALLOWED.

        • El valor 4 utiliza la cadena "NationZTPM20Only", que significa NationZ_TPM20_ALLOWED.

      • También se deben seguir los 4 pasos siguientes para "bloquear" la TPM_TCM_POLICY cuando se utilizan comandos OneCli/ASU:

    5. Lea TpmTcmPolicyLock para comprobar si se ha bloqueado la TPM_TCM_POLICY; utilice el comando siguiente:

      OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>

      El valor debe ser "Disabled" (Desactivado), lo cual significa que TPM_TCM_POLICY NO está bloqueado y es necesario establecerlo.

    6. Bloquee TPM_TCM_POLICY:

      OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>

    7. Utilice el comando de reinicio para reiniciar el sistema; utilice el comando siguiente:

      OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
      Durante el restablecimiento, UEFI leerá el valor de imm.TpmTcmPolicyLock. Si el valor es "Enabled" (Activado) y el valor de imm.TpmTcmPolicy es válido, UEFI bloqueará el ajuste TPM_TCM_POLICY.
      Nota

      Los valores válidos de imm.TpmTcmPolicy incluyen 'NeitherTpmNorTcm', 'TpmOnly' y 'NationZTPM20Only'.

      Si imm.TpmTcmPolicyLock está configurada con "Enabled" (Habilitado) pero el valor de imm.TpmTcmPolicy no es válido, UEFI rechazará la petición de bloqueo y volverá a cambiar el valor de imm.TpmTcmPolicyLock a "Disabled" (Deshabilitado).

    8. Vuelva a leer el valor para comprobar si se ha aceptado o rechazado el comando de bloqueo. Utilice el comando siguiente:

      OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
      Nota
      Si el valor leído ha cambiado de "Disabled" (Desactivado) a "Enabled" (Activado); significa que se ha bloqueado TPM_TCM_POLICY correctamente. No hay ningún método para desbloquear una política después de configurarla, excepto sustituir la placa del sistema.

      La definición de imm.TpmTcmPolicyLock es la siguiente:

      El valor 1 utiliza la cadena "Enabled" (Habilitado), que significa bloquear la política. No se aceptan otros valores.