– La valeur 2 utilise la chaîne « TpmOnly », ce qui signifie TPM_ALLOWED.
– La valeur 4 utilise la chaîne « NationZTPM », ce qui veut dire NationZ_TPM20_ALLOWED.
– Les 4 étapes ci-dessous doivent également être utilisées pour « verrouiller » TPM_TCM_POLICY
lors de l'utilisation des commandes OneCli/ASU :
5. Lisez TpmTcmPolicyLock pour vérifier si TPM_TCM_POLICY a été verrouillé, commande comme ci-
dessous :
OneCli.exe config show imm.TpmTcmPolicyLock --override --imm <userid>:<password>@<ip_address>
La valeur doit être « Désactivée », ce qui signifie que TPM_TCM_POLICY n'est PAS verrouillé et doit
être défini.
6. Verrouillez TPM_TCM_POLICY :
OneCli.exe config set imm.TpmTcmPolicyLock "Enabled"--override --imm <userid>:<password>@<ip_address>
7. Problème de commande de réinitialisation pour la réinitialisation du système, commande ci-dessous :
OneCli.exe misc ospower reboot --imm <userid>:<password>@<ip_address>
Lors de la réinitialisation, l'UEFI lira la valeur à partir du module imm.TpmTcmPolicyLock, si la valeur
est « Activée » et si la valeur du module imm.TpmTcmPolicy est valide, l'UEFI verrouillera le
paramètre TPM_TCM_POLICY.
Remarque : Les valeurs valides pour imm.TpmTcmPolicy incluent « NeitherTpmNorTcm »,
« TpmOnly » et « NationZTPM20Only ».
Si imm.TpmTcmPolicyLock est défini sur « Activé », mais que la valeur imm.TpmTcmPolicy n'est pas
valide, UEFI va rejeter la demande de « verrouillage » et définir imm.TpmTcmPolicyLock sur
« Désactivé ».
8. Relisez la valeur pour vérifier si le « Verrouillage » est accepté ou rejeté. Commande ci-dessous :
OneCli.exe config show imm.TpmTcmPolicy --override --imm <userid>:<password>@<ip_address>
Remarque : Si la valeur a changé de « Désactivée » à « Activée », cela signifie que TPM_TCM_
POLICY a été verrouillé avec succès. Une fois qu'une stratégie a été définie, il n'existe aucune autre
méthode que le remplacement de la carte mère pour la déverrouiller.
imm.TpmTcmPolicyLock est défini comme suit :
La valeur 1 utilise la chaîne « Activé », ce qui signifie verrouiller la stratégie. Les autres valeurs ne sont
pas acceptées.
Masquage/observation de TPM
La stratégie TPM est activée par défaut afin de chiffrer les transferts de données pour le fonctionnement du
système. En option, il est possible de désactiver le TPM à l'aide de Lenovo XClarity Essentials OneCLI.
Pour désactiver le TPM, procédez comme suit :
1. Téléchargez et installez Lenovo XClarity Essentials OneCLI.
Pour télécharger Lenovo XClarity Essentials OneCLI, accédez au site suivant :
https://datacentersupport.lenovo.com/solutions/HT116433
2. Exécutez la commande suivante :
OneCli.exe config set TrustedComputingGroup.HideTPMfromOS "Yes" --imm <userid>:<password>@<ip_address>
--override
où :
• <userid>:<password> correspond aux données d'identification utilisés pour accéder au BMC
(interfaceLenovo XClarity Controller) de votre serveur. L'ID utilisateur par défaut est USERID, et le mot
de passe par défaut est PASSW0RD (avec un zéro, et non la lettre o majuscule)
.
Chapitre 5
Procédures de remplacement de matériel
241