execInstalledOnly の適用を有効にするか、以前に有効にした execInstalledOnly の適用を無効にするかを選択できます。ESXi ホストの TPM の設定を変更するには、ESXCLI を使用する必要があります。execInstalledOnly の適用を有効にする前に、UEFI セキュア ブートの適用を有効にする必要があります。

このタスクは、TPM を備えた ESXi ホストにのみ適用されます。execInstalledOnly の高度な ESXi ブート オプションを TRUE に設定すると、VMkernel が VIB の一部としてパッケージ化および署名されたバイナリのみを実行することが保証されます。このブート オプションの有効化は、TPM を使用してすべてのブートで実行できます。

前提条件

  • execInstalledOnly の適用を有効にするには、最初に UEFI セキュア ブートの適用を有効にする必要があります。execInstalledOnly の適用は、UEFI セキュア ブートの適用の上に構築されます。セキュアな ESXi 構成のセキュア ブートの適用の有効化/無効化を参照してください。
  • ESXCLI コマンド セットにアクセス可能であること。ESXCLI コマンドはリモートで実行することも、ESXi シェルで実行することもできます。
  • ESXCLI スタンドアローン バージョンまたは PowerCLI を使用するために必要な権限:ホスト.構成.設定

手順

  1. ESXi ホストの現在の設定を一覧表示します。
    esxcli system settings encryption get
       Mode: TPM
       Require Executables Only From Installed VIBs: false
       Require Secure Boot: true
    execInstalledOnly の適用が有効になっている場合、[インストールされた VIB からのみ実行可能ファイルを要求する] に「true」と表示されます。execInstalledOnly の適用が無効になっている場合、[インストールされた VIB からのみ実行可能ファイルを要求する] に「false」と表示されます。execInstalledOnly の適用を有効にするには、セキュア ブートの適用を有効にする必要があります。この場合、[セキュア ブートが必要] には「true」と表示されます。
    モード が NONE と表示される場合は、ホストのファームウェアで TPM を有効にし、次のコマンドを実行してモードを設定する必要があります。
    esxcli system settings encryption set --mode=TPM
    また、[セキュア ブートが必要] に「False」と表示されている場合は、 セキュアな ESXi 構成のセキュア ブートの適用の有効化/無効化を参照して適用を有効にします。
  2. execInstalledOnly の適用を有効または無効にする
    オプション 説明
    有効化
    1. セキュア ブート オプションが適用されていることを確認します。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      [セキュア ブートが必要] に「true」と表示されていることを確認します。表示されていない場合は、セキュアな ESXi 構成のセキュア ブートの適用の有効化/無効化を参照してください。

    2. execInstalledOnly ブート オプションの実行時の値を TRUE に構成するには、次の ESXCLI コマンドを実行します。
      esxcli system settings kernel set -s execInstalledOnly -v TRUE
    3. ホストを正常にシャットダウンします。

      たとえば、vSphere ClientESXi ホストを右クリックし、[電源] > [シャットダウン] を選択します。

    4. ホストを再起動します。
    5. execInstalledOnly の適用を設定するには、次の ESXCLI コマンドを実行します。
      esxcli system settings encryption set --require-exec-installed-only=T 
    6. 変更を確認します。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: true
         Require Secure Boot: true

      [インストールされた VIB からのみ実行可能ファイルを要求する] に「true」と表示されていることを確認します。

    7. 設定を保存するには、次のコマンドを実行します。
      /sbin/auto-backup.sh
    無効化
    1. 次の ESXCLI コマンドを実行します。
      esxcli system settings encryption set --require-exec-installed-only=F
    2. 変更を確認します。
      esxcli system settings encryption get
         Mode: TPM
         Require Executables Only From Installed VIBs: false
         Require Secure Boot: true

      [インストールされた VIB からのみ実行可能ファイルを要求する] に「false」と表示されていることを確認します。

    3. 設定を保存するには、次のコマンドを実行します。
      /sbin/auto-backup.sh

      TPM は、execInstalledOnly ブート オプションを適用しなくなりました。

結果

ESXi ホストは、選択に応じて、execInstalledOnly の適用を有効または無効にして実行されます。