<div dir="ltr">I got this working in the end.<div><br></div><div>A few key takeaways if anyone else is looking at this.</div><div><br></div><div>If you are using debian for the nfsroot, you have to use buster, as Secure Boot was not supported properly on any release before that.</div><div><br></div><div>The nfsroot should contain these packages: shim-signed, grub-efi-amd64-signed</div><div><br></div><div>You have to use grub as the boot loader, not syslinux.</div><div><br></div><div>Make sure the following files are copied into your tftp dir:</div><div><br></div><div><font face="monospace">NFSROOT/usr/lib/shim/shimx64.efi.signed -> bootx64.efi<br>NFSROOT/usr/lib/grub/x86_64-efi-signed/grubnetx64.efi.signed -> grubx64.efi<br>NFSROOT/usr/share/grub/unicode.pf2 -> grub/fonts/unicode.pf2<br>NFSROOT/usr/lib/grub/x86_64-efi -> grub/x86_64-efi<br></font></div><div><br></div><div>You may also need to symlink the grub dir back from the tftp root, in our case that looked like: <font face="monospace">TFTP_DIR/grub -> TFTP_DIR/fai/grub</font></div><div><br></div><div>Then you need a grub.cfg in: <font face="monospace">TFTP_DIR/fai/grub/grub.cfg</font><br clear="all"><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div><br></div><div>Ours looked a little like this:</div><div><br></div><div><font face="monospace">set default="0"<br>set timeout=1<br><br>if loadfont unicode ; then<br>  set gfxmode=auto<br>  set locale_dir=$prefix/locale<br>  set lang=en_US<br>fi<br>terminal_output gfxterm<br><br>set menu_color_normal=white/black<br>set menu_color_highlight=black/light-gray<br>if background_color 44,0,30; then<br>  clear<br>fi<br><br>menuentry 'FAI' {<br>        linux fai/vmlinuz console=ttyS0,115200n8 console=tty0 ip=dhcp root=1.2.3.4:/srv/fai/nfsroot/filesystem.dir rootovl FAI_FLAGS=verbose,sshd,createvt,reboot FAI_ACTION=install rd.net.timeout.carrier=20 rd.net.timeout.ifup=30 BOOTIF=$net_default_mac<br>        initrd fai/initrd.img<br>}</font><br></div><div><br></div><div><br></div><div><br></div><div><br></div>Cheers,<div>Just</div></div></div><br></div></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, 25 Feb 2021 at 16:05, Justin Cattle <<a href="mailto:j@ocado.com">j@ocado.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi FAI-ers,<div><br></div><div><br></div><div>Has anyone done any work on using FAI on hardware that has Secure Boot enabled ?</div><div>In particular I'm interested in what you are doing in your nfsroot.</div><div><div dir="ltr"><div><br></div><div><br></div>Cheers,<div>Just</div></div></div></div>
</blockquote></div>

<br>
<p style="margin:0px;background-color:rgb(255,255,255)"><font face="Calibri, sans-serif" color="#aeaaaa"><span style="font-size:14.6667px">Notice: <br>This email is confidential and may contain copyright material of members of the Ocado Group. Opinions and views expressed in this message may not necessarily reflect the opinions and views of the members of the Ocado Group.<br><br>If you are not the intended recipient, please notify us immediately and delete all copies of this message. Please note that it is your responsibility to scan this message for viruses.<br><br>References to the "Ocado Group" are to Ocado Group plc (registered in England and Wales with number 7098618) and its subsidiary undertakings (as that expression is defined in the Companies Act 2006) from time to time. The registered office of Ocado Group plc is Buildings One & Two, Trident Place, Mosquito Way, Hatfield, Hertfordshire, AL10 9UL.</span></font></p>