Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.3 リリースノート

Red Hat Enterprise Linux 7

Release Notes for Red Hat Enterprise Linux 7.3

概要

本リリースノートでは、Red Hat Enterprise Linux 7.3 での改良点および実装された追加機能の概要、本リリースにおける既知の問題などを説明します。また、重要なバグ修正、テクニカルプレビュー、非推奨の機能などの詳細も説明します。

はじめに

個別のセキュリティー、機能拡張、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux のマイナーリリースになります。『Red Hat Enterprise Linux 7.3 リリースノート』 では、このマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステム、および付随するアプリケーションに追加された主な変更を説明します。また、既知の問題、および現在利用可能なすべてのテクノロジープレビューの詳細な一覧も紹介します。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限は、https://access.redhat.com/articles/rhel-limits で利用可能な Red Hat ナレッジベースの記事を参照してください。
Red Hat Enterprise Linux のライフサイクルに関する詳細は、https://access.redhat.com/support/policy/updates/errata/ を参照してください。

第1章 概要

セキュリティー

  • SELinux ユーザー空間がリベースされ、さまざまな機能強化とパフォーマンスが向上しました。特に、新しい SELinux モジュールストアは優先度をサポートし、SELinux Common Intermediate Language (CIL)が導入されました。
  • OpenSCAP ワークベンチで、新しい SCAP セキュリティーガイド統合ダイアログが提供され、グラフィカルツールを使用して SCAP ポリシーを変更できるようになりました。
  • OpenSCAP スイートには、atomic scan コマンドを使用したスキャンコンテナーのサポートが含まれるようになりました。
  • 新しいトランザクションモデルが原因で、firewalld の起動および再起動が大幅に速くなります。また、接続、インターフェイス、ソース、新しいデフォルトのロギングオプション、および ipset サポートの管理も改善します。
  • audit デーモンにより新しいフラッシュ技術が導入され、パフォーマンスが大幅に向上します。監査ポリシー、設定、およびロギングが強化され、多くの新しいオプションがサポートされるようになりました。
  • イーサネットを介したメディアアクセス制御セキュリティー(MACsec)暗号化がサポートされるようになりました。
セキュリティー強化の詳細は、15章セキュリティー を参照してください。

ID 管理

Identity Management (IdM)に関する主な新機能および改善点は次のとおりです。
  • 大規模な顧客環境での IdM サーバーとクライアントの両方のパフォーマンスを改善
  • トポロジー管理およびレプリカのインストールの強化(
  • Active Directory (AD)ユーザーの拡張スマートカードサポート
  • ワンタイムパスワード(OTP)認証の詳細な設定
  • IdM クライアントのトラブルシューティング機能が改善されました。
Red Hat Enterprise Linux 7.2 では、フェデレーションされたシングルサインオン(SSO)用に Ipsilon アイデンティティープロバイダーサービスが導入されました。その後、Red Hat は Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat 製品ポートフォリオ全体の標準の Web SSO ソリューションとして指定されています。
Red Hat Single Sign-On の詳細は、以下を参照してください。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除されます。
Red Hat Single Sign-On のエンタイトルメントは現在、Red Hat JBoss Middleware または OpenShift Container Platform サブスクリプションを使用して利用できます。
IdM の変更に関する詳細は、5章認証および相互運用性 を参照してください。

コアカーネル

  • CRIU (Checkpoint/Restore in User space)のサポートが IBM Power Systems アーキテクチャーのリトルエンディアンバリアントに拡張されました。
  • 異種メモリー管理(HMM)機能がテクノロジープレビューとして導入されました。
カーネル機能の詳細は、12章カーネル を参照してください。カーネルに関連するテクノロジープレビューの詳細は、42章カーネル を参照してください。

ネットワーク

  • Open vSwitch は、カーネル軽量トンネルサポートを使用するようになりました。
  • メモリーアロケーターサブシステムの一括サポートがサポートされるようになりました。
  • NetworkManager は、新しいデバイスタイプ、仮想デバイスのスタック、LLDP、安定したプライバシー IPv6 アドレス(RFC 7217)、重複した IPv4 アドレスを検出し、systemd-hostnamed を介してホスト名を制御するようになりました。さらに、DHCP タイムアウトプロパティーと DNS 優先度を設定することもできます。
ネットワーク機能の詳細は、14章ネットワーク を参照してください。

プラットフォームハードウェアの有効化

  • Coherent Accelerator Processor Interface (CAPI)フラッシュブロックアダプターのサポートが追加されました。詳細は、10章ハードウェアの有効化 を参照してください。

Real-Time Kernel

  • 新しいスケジューラーポリシー SCHED_DEADLINE がテクノロジープレビューとして導入されました。この新しいポリシーはアップストリームカーネルで利用可能で、特定の Realtime ユースケースの promise を表示します。詳細は、43章Real-Time Kernel を参照してください。

ストレージとファイルシステム

  • NVDIMM (Non-Volatile Dual In-line Memory Module)永続メモリーアーキテクチャーのサポートが追加されました。これには、libnvdimm カーネルサブシステムが追加されました。NVDIMM メモリーは、Red Hat Enterprise Linux 7.3 で完全にサポートされているブロックストレージデバイス、または Red Hat Enterprise Linux 7.3 ではテクノロジープレビューとして ext4 ファイルシステムおよび XFS ファイルシステムによって提供される Direct Access (DAX)モードのいずれかとしてアクセスできます。詳細は、テクノロジープレビュー機能の部分の 17章ストレージ および 12章カーネル を参照してください。ストレージ の 39章ファイルシステム
  • 新しい Ceph File System (CephFS)カーネルモジュールがテクノロジープレビューとして導入されたため、Red Hat Enterprise Linux ノードは Red Hat Ceph Storage クラスターから Ceph ファイルシステムをマウントできます。詳細は、 を参照してください。39章ファイルシステム
  • pNFS SCSI ファイル共有のサポートがテクノロジープレビューとして導入されました。詳細は、 を参照してください。39章ファイルシステム
  • RAID レベルのテイクオーバー(RAID タイプ間の切り替え機能)の LVM2 のサポートが、テクノロジープレビューとして利用できるようになりました。詳細は、45章ストレージ を参照してください。

クラスタリング

Red Hat Enterprise Linux 7.3 では、Red Hat High Availability Add-On は以下の主要な拡張機能をサポートします。
  • 強化された Pacemaker アラートの導入により、マネージドクラスターのステータスが変わると、通知の設定やトリガーが強化されました。
  • Booth チケットマネージャーを使用して障害復旧およびスケーラビリティーを確保するために、geo 全体でマルチサイトクラスターを管理するように Pacemaker を設定する機能。この機能はテクノロジープレビューとして提供されます。
  • クラスターのサードパーティー判別デバイスとして機能する個別のクォーラムデバイス(QDevice)を使用してストレッチクラスターを管理するように Pacemaker を設定する機能。この機能はテクノロジープレビューとして提供されており、その主な使用方法として、クラスターは標準のクォーラムルールで許可されるよりも多くのノード障害を維持できるようにするためです。
Red Hat High Availability Add-On の機能拡張に関する詳細は、テクノロジープレビューの新機能パートおよび 38章クラスタリング6章クラスタリング を参照してください。

デスクトップ

  • 新しいインスタントメッセージングクライアント pidgin が導入されました。これは、オフレコード(OTR)メッセージングと Microsoft Lync インスタントメッセージングアプリケーションをサポートします。
デスクトップの変更に関する詳細は、8章デスクトップ を参照してください。

インターネット

  • Red Hat Enterprise Linux 7.3 は、Bluetooth Low Energy (LE)デバイスへの接続のサポートを含む最新の Bluetooth サポートを提供します。14章ネットワーク を参照してください。
  • コントローラーエリアネットワーク(CAN)デバイスドライバーがサポートされるようになりました。詳細は、12章カーネル を参照してください。
  • Red Hat Enterprise Linux 7 カーネルは、組み込み MMC (eMMC)インターフェイスバージョン 5.0 を使用できるようになりました。詳細は、10章ハードウェアの有効化 を参照してください。

Linux コンテナー

  • System Security Services Daemon (SSSD)コンテナーが、テクノロジープレビューとして Red Hat Enterprise Linux Atomic Host で利用できるようになりました。詳細は、37章認証および相互運用性 を参照してください。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスを利用できます。Red Hat Insights は、デプロイメントに影響を与える前に既知の技術的問題を特定、検証、および解決できるように設計されたプロアクティブなサービスです。Insights は、Red Hat サポートエンジニアの知識、文書化されたソリューション、および解決された問題を活用して、関連する実用的な情報をシステム管理者に提供します。
このサービスは、カスタマーポータルの https://access.redhat.com/insights/ で、または Red Hat Satellite を介してホストされ、提供されます。システムを登録するには、Getting Started Guide for Insights に従ってください。詳細情報、データセキュリティー、および制限は、https://access.redhat.com/insights/splash/ を参照してください。

Red Hat Customer Portal Labs

Red Hat カスタマーポータルラボ は、カスタマーポータルの https://access.redhat.com/labs/ セクションで利用可能なツールセットです。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの向上、問題の迅速なトラブルシューティング、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイメントおよび設定に役立ちます。最も一般的なアプリケーションには、以下のものがあります。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.3 は、以下のアーキテクチャーで 1 つのキットとして利用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (ビッグエンディアン) [2]
  • IBM POWER8 (リトルエンディアン) [3]
  • IBM z Systems [4]


[1] Red Hat Enterprise Linux 7.3 のインストールは、64 ビットハードウェアでのみ対応していることに注意してください。Red Hat Enterprise Linux 7.3 は、以前のバージョンの Red Hat Enterprise Linux を含む 32 ビットのオペレーティングシステムを仮想マシンとして実行できます。
[2] Red Hat Enterprise Linux 7.3 (ビッグエンディアン)は、現在、Red Hat Enterprise Virtualization for Power および PowerVM の KVM ゲストとしてサポートされています。
[3] Red Hat Enterprise Linux 7.3 (リトルエンディアン)は、現在、PowerVM および PowerNV (ベアメタル)で、Red Hat Enterprise Virtualization for Power の KVM ゲストとしてサポートされています。
[4] Red Hat Enterprise Linux 7.3 は、IBM zEnterprise 196 ハードウェア以降をサポートしていることに注意してください。IBM z10 Systems アーキテクトシステムはサポートされなくなり、Red Hat Enterprise Linux 7.3 は起動しません。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに、Red Hat Enterprise Linux 7.3 に同梱されるカーネルの重要な変更点の概要を説明します。この変更には、proc エントリー、sysctl および sysfs のデフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、注目すべき動作の変更などが含まれます。
apic_extnmi=[APIC,X86]
外部NMI(Nonmaskable Interrupt)配信設定を提供します。
形式:{ bsp (デフォルト)| all | none }。
bsp: 外部 NMI は CPU 0 にのみ配信されます。
all: 外部 NMI は、CPU 0 のバックアップとしてすべての CPU にブロードキャストされます。
None: 外部 NMI はすべての CPU に対してマスクされます。これは、ダンプキャプチャーカーネルが NMI によってスクリーンショットを外さないようにするのに役立ちます。
BAU=[X86_UV]SGI UV で BAU を有効にします。
デフォルトの動作では、BAU (bau=0)が無効になります。
形式: { "0" | "1" }
0: BAU を無効にします。
1: BAU を有効にします。
unset: BAU を無効にします。
cpu_init_udelay=N [X86]
プロセッサーを開始する APIC INIT のアサートとデサートの間に N マイクロ秒の遅延を設定します。この遅延は、起動など、オンラインのすべての CPU で発生し、サスペンドから再開します。
デフォルト値:10000
hardlockup_all_cpu_backtrace=[KNL]
ハードロックアップ検出は、すべての cpu でバックトレースを生成します。
形式:integer
intel_iommu=[DMAR] Intel iommu driver (DMAR) option [...]
ecs_off [Default Off]
デフォルトでは、ハードウェアが拡張テーブル自体と PASID サポートの両方をサポートすることをハードウェアがアドバタイズすると、拡張コンテキストテーブルがサポートされます。このオプションを設定すると、拡張テーブルをサポートする必要があるハードウェアでは使用されません。
kernelcore=nn[KMG] [KNL,X86,IA-64,PPC]
このパラメーター
kernelcore=[KNL,X86,IA-64,PPC]
Format: nn[KMGTPE] | "mirror"
メモリー nn[KMGTPE] の量を指定する代わりに、mirror オプションを指定できます。mirror オプションが指定されている場合、ミラーリングされたメモリーは移動不可能な割り当てに使用され、残りのメモリーが移動可能なページに使用されます。nn[KMGTPE] オプションと mirror オプションはいずれも排他的です。ユーザーは、nn[KMGTPE] オプションと mirror オプションを同時に指定することはできません。
libata.force=[LIBATA]
* [no]ncqtrim: キューに入れられた DSM TRIM をオンにします。
memmap=nn[KMG]!ss[KMG] [KNL,X86]
特定のメモリーを保護済みとしてマークします。使用するメモリー領域(ss から ss+nn)。メモリーリージョンは e820 タイプ 12 (0xc)とマークされ、NVDIMM または ADR メモリーである必要があります。
module_blacklist=[KNL]
モジュールのコンマ区切りリストは読み込まれません。この機能は、問題モジュールのデバッグに役立ちます。
nfs4.layoutstats_timer=[NFSv4.2]
カーネルが、pNFS メタデータサーバーにレイアウト統計を送信するレートを変更します。
この値をゼロに設定すると、カーネルはレイアウトドライバーがデフォルトに設定した値を使用します。ゼロ以外の値は、レイアウト統計の送信間の最小間隔を秒単位で設定します。
nmi_watchdog=[KNL,BUGS=X86]
SMP カーネルのデバッグ機能。
形式:[panic,][nopanic,][num]
有効な num: 0 または 1
0 - nmi_watchdog をオフにします。
1 - nmi_watchdog をオンにします。
nohugeiomap [KNL,x86]
カーネルの大きな I/O マッピングを無効にします。
watchdog
このパラメーターは、ソフトロックアップ検出および NMI ウォッチドッグによって同時に保証されるハードロックアップ検出を無効または有効にします。
0 - ロックアップ検出の両方を無効にします。
1: ロックアップ検出の両方を有効にします。
ソフトロックアップ検出と NMI ウォッチドッグは、soft_watchdog および nmi_watchdog パラメーターを使用して個別に無効または有効にすることもできます。cat /proc/sys/kernel/watchdog コマンドを実行して watchdog パラメーターを読み取る場合、このコマンドの出力値(0 または 1)は、soft_watchdog および nmi_watchdog の論理 OR を表示します。
noxsaveopt [X86]
x86 拡張レジスターの状態の保存に使用される xsaveopt を無効にします。カーネルは xsave を使用して状態を保存するようにフォールバックします。このパラメーターを使用すると、xsaveopt は変更された最適化をサポートしておらず、xsaveopt が xsaveopt 対応システムでサポートするため、状態の保存のパフォーマンスが低下します。
noxsaves [X86]
xsave 領域の圧縮形式で x86 拡張レジスター状態を保存し、復元するために使用される xsaves および xrstors を無効にします。カーネルは xsaveopt および xrstor を使用して、標準の xsave 領域で状態を保存し、復元するようにフォールバックします。このパラメーターを使用すると、プロセスごとに xsave 領域を有効にすると、xsaves が有効なシステムでより多くのメモリーを占有できます。
nompx [X86]
Intel メモリー保護拡張を無効にします。
この機能の詳細は、Documentation/x86/intel_mpx.txt を参照してください。
nowatchdog [KNL]
ロックアップ検出(soft-lockup および NMI ウォッチドッグ)の両方を無効にします(ハードロックアップ)。
watchdog_cpumask
この値は、ウォッチドッグを実行できる CPU を設定するために使用されます。デフォルトの cpumask はすべて可能なコアですが、カーネル設定で NO_HZ_FULL が有効で、コアが nohz_full=boot 引数で指定されている場合、これらのコアはデフォルトで除外されます。オフラインコアはこのマスクに追加できます。コアが後でオンラインになると、マスク値に基づいてウォッチドッグが開始されます。この値は、カーネルのロックアップがそれらのコアで疑われた場合に、デフォルトでウォッチドッグを実行していないコアを再度有効にする nohz_full ケースでのみ変更できます。引数の値は、cpumasks の標準の cpulist 形式です。
以下に例を示します。
コア 0、2、3、および 4 でウォッチドッグを有効にするには、以下のコマンドを使用します。
echo 0,2-4 /proc/sys/kernel/watchdog_cpumask
watchdog_thresh
この値は、hrtimer および NMI イベントの頻度と、ソフトロックアップおよびハードロックアップのしきい値を設定するために使用されます。デフォルトのしきい値は 10 秒です。ソフトロックのしきい値は 2 * watchdog_thresh です。このパラメーターをゼロに設定すると、ロックアップ検出を完全に無効にします。
schedstats=[KNL,X86]
スケジューラーの統計を有効または無効にします。
使用できる値は enable および disable です。
この機能はスケジューラーに少量のオーバーヘッドが発生しますが、デバッグおよびパフォーマンスチューニングに役立ちます。
usbcore.usbfs_snoop_max=[USB]
各 USB Request Block (URB)で最大バイト数を snoop に設定します。デフォルト値は 65536 です。
usb-storage.quirks=[...]
j = NO_REPORT_LUNS
report luns コマンド( UAS のみ)を使用しません。
workqueue.watchdog_thres
CONFIG_WQ_WATCHDOG が設定されている場合、workqueue は停止状態を警告し、内部状態をダンプしてデバッグに役立ちます。値 0 は workqueue stall 検出を無効にします。そうでない場合は、停止しきい値(秒単位)です。デフォルト値は 30 で、対応する sysfs ファイルに書き込むことでランタイム時に更新できます。
workqueue.power_efficient
CPU ごとのワークキューは、キャッシュ局所性によりパフォーマンスが向上するため、一般的に推奨されますが、バインドされていないワークキューよりも多くの電力を消費します。このカーネルパラメーターにより、CPU ごとの作業キューが作成され、消費電力が大幅にバインドされず、パフォーマンスのオーバーヘッドが小さくなり、電力使用量が大幅に低下します。
perf_event_paranoid
CAP_SYS_ADMIN のない非特権ユーザーによるパフォーマンスイベントの使用を制御します。
デフォルト値は 1 です。
-1 - すべてのユーザーがすべてのイベントを使用できるようにします。
>=0: CAP_IOC_LOCK を使用しないユーザーによる raw トレースポイントアクセスを拒否します。
>=1 - CAP_SYS_ADMIN を使用しないユーザーによる CPU イベントアクセスを拒否します。
>=2: CAP_SYS_ADMIN を使用しないユーザーによるカーネルプロファイリングを拒否します。
/proc/sys/fs
pipe-user-pages-hard:
非特権ユーザーがパイプに割り当てることができるページの最大数を設定します。
この制限に達すると、使用量が制限を上回るまで、新しいパイプを割り当てることができません。0 に設定すると、制限は適用されません。これはデフォルト設定です。
pipe-user-pages-soft:
非特権ユーザーがパイプサイズを 1 ページに制限する前にパイプに割り当てることができるページの最大数を設定します。この制限に達すると、新しいパイプは、合計のメモリー使用量を制限するため、このユーザーのサイズが単一ページに制限されます。fcntl ()関数を使用してページの総数を増やしようとすると、使用量が制限を下回るまで拒否されます。デフォルト値を使用すると、デフォルトサイズで最大 1024 個のパイプを割り当てることができます。0 に設定すると、制限は適用されません。
/proc/sys/kernel
hardlockup_all_cpu_backtrace:
この値は、詳細なデバッグ情報の収集に関するハードロックアップ検出動作を制御します。有効にすると、アーキテクチャー固有のすべての CPU スタックダンプが開始されます。
0 - 何も実行しません。これがデフォルトの動作です。
1 - 検出では、より多くのデバッグ情報をキャプチャーします。

パート I. 新機能

ここでは、Red Hat Enterprise Linux 7.3 の新機能について説明します。

第4章 全般的な更新

systemdの色分けされた出力を無効にする新しい変数

今回の更新で、systemdSYSTEMD_COLORS 環境変数が導入され、systemd のカラー出力を有効またはオフにできるようになりました。SYSTEMD_COLORS は有効なブール値に設定する必要があります。(BZ#1265749)

systemd ユニットがエイリアスを使用して有効にできるようになりました。

systemd init システムはエイリアスを使用します。エイリアスはサービスファイルへのシンボリックリンクで、実際のサービス名の代わりにコマンドで使用できます。たとえば、/usr/lib/systemd/system/nfs-server.service サービスを提供するパッケージは、nfs-server.service へのシンボリックリンクであるエイリアス /usr/lib/systemd/system/nfs.service も提供します。これにより、たとえば systemctl status nfs-server.service の代わりに systemctl status nfs.service を使用できるようになります。
以前は、実際のサービス名の代わりにエイリアスを使用して systemctl enable コマンドを実行するとエラーを出して失敗しました。今回の更新でバグが修正され、systemctl enable がエイリアスによって参照されるユニットを正常に有効にできるようになりました。(BZ#1142378)

新しい systemd オプション: RandomizedDelaySec

今回の更新で、systemd タイマーの RandomizedDelaySec オプションが導入されました。このオプションは、後でイベントを乱数で行うようにスケジュールします。たとえば、オプションを 10 に設定すると、イベントは 0 から 10 までのランダムな秒数で延期されます。新しいオプションは、同時に複数のイベントが実行されないように、長期間ワークロードを分散するのに便利です。(BZ#1305279)

第5章 認証および相互運用性

多くのエリアでサーバーのパフォーマンスが向上しました。

Identity Management の一部の操作は、はるかに高速に実行されるようになりました。たとえば、この機能拡張により、50,000 ユーザーおよびホストを超える大規模なデプロイメントでのスケーラビリティーが向上します。主な改善点は次のとおりです。
  • ユーザーおよびホストの迅速な追加
  • すべてのコマンドの高速 Kerberos 認証
  • ipa user-find コマンドおよび ipa host-find コマンドの実行が速くなる
多数のエントリーのプロビジョニングに必要な時間を短縮する方法は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuningを参照してください。
検索操作をより迅速に行うために、ipa *-find コマンドは、デフォルトでメンバーシップを表示しなくなりました。メンバーシップを表示するには、--all オプションを ipa *-find に追加するか、ipa *-show コマンドを使用します。(BZ#1298288, BZ#1271321, BZ#1268449, BZ#1346321)

強化された IdM トポロジー管理

Identity Management (IdM)トポロジーに関する情報は、共有ツリーの中央サイトで維持されるようになりました。その結果、コマンドラインまたは Web UI を使用して、IdM サーバーからトポロジーを管理できるようになりました。
さらに、トポロジー管理操作の一部(特に以下)が簡素化されました。
  • トポロジーコマンドは IdM コマンドラインインターフェイスに統合され、ネイティブの IdM コマンドラインツールを使用してすべてのレプリカ操作を実行できるようにします。
  • 新しいワークフローを使用し、Web UI またはコマンドラインからレプリカ合意を管理できます。
  • Web UI には IdM トポロジーのグラフが含まれており、レプリカ関連の現在の状態を視覚化するのに役立ちます。
  • IdM には、トポロジーから最後の認証局(CA)マスターを誤って削除したり、他のサーバーからサーバーを分離することを防ぐ安全対策が含まれています。
  • トポロジー内のどのサーバーがどのサービスをホストするかを簡単に判断したり、これらのサービスをサーバーにインストールする簡単な方法としてサーバーロールのサポート。
新機能では、ドメインレベルを 1 に増やす必要があることに注意してください。https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#1298848, BZ#1199516)を参照してください。

レプリカのインストールの簡素化

レプリカをインストールすると、初期サーバーにログインし、Directory Manager (DM)認証情報を使用し、初期サーバーからレプリカ情報ファイルをコピーします。たとえば、これにより、外部インフラストラクチャー管理システムを使用したプロビジョニングを容易にし、適切なレベルのセキュリティーを維持できます。
さらに、ipa-replica-install ユーティリティーも、既存のクライアントをレプリカにプロモートできるようになりました。
新機能では、ドメインレベルを 1 に増やす必要があることに注意してください。https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#837369)を参照してください。

IdM が AD ユーザーのスマートカード認証に対応

今回の更新で、Identity Management (IdM)でスマートカードのサポートが拡張されました。信頼できる Active Directory (AD)のユーザーは、ssh とローカルの両方でスマートカードを使用して認証できるようになりました。ローカル認証では、以下の方法がサポートされます。
  • テキストコンソール
  • Gnome Display Manager (GDM) などのグラフィカルコンソール
  • susudoなどのローカル認証サービス
IdM は、スマートカード認証用に上記のローカル認証サービスと ssh のみに対応していることに注意してください。FTP などの他のサービスには対応していません。
AD ユーザーのスマートカード証明書は、AD に直接保存するか、AD ユーザーの IdM オーバーライドオブジェクトに保存できます。

IdM が TGS 承認の決定をサポート

Identity Management (IdM)環境では、任意でマルチファクター認証を使用してログインできます。チケット保証サーバー(TGS)の Kerberos チケットには、標準パスワードを使用した二要素認証とワンタイムパスワード(OTP)の組み合わせが使用されている場合にインジケーターが含まれるようになりました。これにより、管理者はリソースのサーバー側のポリシーを設定できます。また、ユーザーはログインのタイプに基づいてアクセスできるようになります。たとえば、管理者は 1 要素認証または 2 要素認証を使用してデスクトップにログインできるようになりましたが、仮想プライベートネットワーク(VPN)ログインには 2 要素認証が必要です。
デフォルトでは、すべてのサービスはすべてのチケットを受け入れます。この粒度を有効にするには、IdM Web ユーザーインターフェイスでポリシーを管理するか、ipa service-* コマンドおよび ipa host-* コマンドを使用します。(BZ#1224057, BZ#1340304, BZ#1292153)

SSSD が、オプションの 2 要素認証を提供するようになりました。

System Security Services Daemon (SSSD)では、2 要素認証が有効になっているユーザーは、標準のパスワードおよびワンタイムパスワード(OTP)を使用するか、標準のパスワードのみを使用して、サービスに対して認証できるようになりました。オプションの 2 要素認証により、管理者は単一の要素を使用してローカルログインを設定できますが、VPN ゲートウェイへのアクセスなどの他のサービスは両方の要素を要求できます。その結果、ログイン時に、ユーザーは両方の要素を入力するか、オプションでパスワードのみを入力できます。その後、Kerberos チケットは認証インジケーターを使用して、使用された要素を一覧表示します。(BZ#1325809)

新しい SSSD コントロールおよびステータスユーティリティー

sssctl ユーティリティーは、System Security Services Daemon (SSSD)のステータスに関する情報を取得するためのシンプルで統一された方法を提供します。たとえば、アクティブなサーバー、自動検出されたサーバー、ドメイン、キャッシュされたオブジェクトに関するステータス情報をクエリーできます。さらに、sssctl ユーティリティーを使用すると、SSSD データファイルを管理し、サービスの実行中に安全な方法で SSSD のトラブルシューティングを行うことができます。
sssctl でサポートされるオプションには、client-data-backup および cache-remove が含まれており、SSSD キャッシュをバックアップおよび削除します。以前は、キャッシュされたデータなしで SSSD を起動する必要がある場合、管理者はキャッシュファイルを手動で削除する必要があります。
ユーティリティーが提供する機能の詳細は、sssctl --help を実行します。

SSSD 設定ファイルの検証

以前は、System Security Services Daemon (SSSD)は、/etc/sssd/sssd.conf ファイルを手動でチェックするツールを提供していませんでした。そのため、サービスが起動に失敗した場合に、管理者が設定ファイルで問題を見つける必要がありました。今回の更新で、sssctl コマンドの config-check オプションを使用して、設定ファイルの問題を見つけるようになりました。また、SSSD はサービスの起動後に設定ファイルの有効性を自動的にチェックし、誤った設定のレベル 0 デバッグメッセージを表示します。(BZ#988207, BZ#1072458)

pki cert-find コマンドが失効文字列に対応

pki cert-find コマンドが拡張され、文字列形式の失効理由に対応するようになりました。その結果、Key_compromise などの文字列を、対応する数値ではなく --revocationReason オプションに渡すことができます。サポートされる失効文字列の一覧は、を参照してください。
# pki cert-find --help
(BZ#1224365)

IdM が、サーバーまたはレプリカのインストール時に個々の Directory Server オプションの設定に対応

Identity Management (IdM) ipa-server-install コマンドおよび ipa-replica-install コマンドが強化されました。新しい --dirsrv-config-file パラメーターにより、管理者は IdM のインストール中およびインストール後に使用されるデフォルトの Directory Server 設定を変更できます。たとえば、上記の状況でセキュアな LDAP バインドを無効にするには、以下を実行します。
LDIF 形式の 設定でテキストファイルを作成します。
dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off
--dirsrv-config-file パラメーターおよびファイルをインストールスクリプトに渡して、IdM サーバーのインストールを開始します。
# ipa-server-install --dirsrv-config-file filename.ldif
(BZ#825391)

IdM が admin グループおよび ipaservers ホストグループを有効にするようになりました。

Identity Management (IdM)に、2 つの新しいグループが追加されました。
  • ユーザーグループ管理 - メンバーには、IdM の完全な管理パーミッションがあります。
  • ホストグループ ipaservers - このグループ内のホストは、完全な管理者権限を持たないユーザーがレプリカにプロモートできます。すべての IdM サーバーがこのグループのメンバーである。(BZ#1211595)

IdM が Web UI で OTP 生成に対応

Identity Management (IdM)は、Web UI でホストを追加する際のワンタイムパスワード(OTP)生成をサポートするようになりました。Add host ダイアログで Generate OTP チェックボックスを選択します。ホストを追加すると、生成された OTP が表示されます。このパスワードを使用して、ホストをドメインに参加させることができます。この手順では、プロセスを簡素化し、強力な OTP を提供します。OTP を上書きするには、ホストの詳細ページに移動し、アクション をクリックして、Reset One-Time-Password を選択します。(BZ#1146860)

sudo ルールの有効期限が切れていることを示す新しい sss_cache オプション

今回の更新で、SSSD (System Security Services Daemon)から sss_cache コマンドが強化されました。1 つまたはすべての sudo ルールの有効期限が切れていることを示すオプション -r および -R が追加されました。これにより、管理者は次の sudo ルックアップで新しいルールを強制的に更新できます。sudo ルールは、ユーザーおよびグループエンティティーとは異なるアルゴリズムを使用して更新されることに注意してください。このメカニズムの詳細は、sssd-sudo (5) man ページを参照してください。(BZ#1031074)

新しいパッケージ: custodiapython-jwcrypto

今回の更新で、custodia パッケージとその依存関係 python-jwcrypto が Red Hat Enterprise Linux 7 に追加されました。
Custodia は、シークレットを要求および配布するための HTTP ベースのパイプラインです。シークレット管理の認証、承認、要求処理、およびストレージステージを処理します。custodia は現在、Red Hat Identity Management の内部サブシステムとしてのみサポートされています。
python-jwcrypto パッケージは、Python での JavaScript オブジェクトの署名および暗号化(JOSE) Web 規格の実装です。Custodia の依存関係としてインストールされます。(BZ#1206288)

新規パッケージ: python-gssapi

今回の更新で、python-gssapi パッケージが Red Hat Enterprise Linux 7 に追加されました。Python 2 および 3 と互換性のある汎用セキュリティーサービス API (GSSAPI)を提供します。Identity Management (IdM)は、Python 2 のみをサポートする python-krbV および python-pykerberos の代わりとして パッケージを使用します(BZ#1292139)。

新しいパッケージ: python-netifaces

今回の更新で、python-netifaces パッケージが Red Hat Enterprise Linux 7 に追加されました。この Python モジュールにより、オペレーティングシステムからシステムネットワークインターフェイスに関する情報を読み取ることができます。Red Hat Identity Management (IdM)の依存関係として追加されました。(BZ#1303046)

新規パッケージ: mod_auth_openidc

今回の更新で、mod_auth_openidc パッケージが Red Hat Enterprise Linux 7 に追加されました。これにより、Apache HTTP サーバーは、シングルサインオン(SSO)または OAuth 2.0 リソースサーバーとして OpenID Connect として機能します。Web アプリケーションは モジュールを使用して、Keycloak オープンソースプロジェクトや Red Hat Single Sign-On (SSO)製品を含むさまざまな OpenID Connect サーバー実装と対話できます。(BZ#1292561)

IdM が DNS の場所に対応

今回の更新で、クロスサイトの実装を改善するために、Identity Management (IdM)統合 DNS サーバーに DNS の場所管理のサポートが追加されました。以前は、DNS レコードを使用して IdM サーバーを見つけるクライアントは、ローカルサーバーをリモートの地理的な場所にあるサーバーと区別できませんでした。今回の更新で、DNS 検出を使用するクライアントが最も近いサーバーを見つけ、最適化された方法でネットワークを使用できるようになりました。これにより、管理者は DNS の場所を管理し、IdM Web ユーザーインターフェイスとコマンドラインでサーバーを割り当てることができます。

IdM が AD ドメインへの外部信頼の確立に対応

Red Hat Enterprise Linux Identity Management (IdM)は、フォレスト内の Active Directory (AD)ドメインへの外部信頼確立をサポートするようになりました。外部の信頼は推移的ではなく、AD フォレスト内の任意のドメインに対して確立できます。これにより、AD フォレスト全体を信頼するのではなく、信頼できる関係を特定のドメインに制限できます。(BZ#1314786)

IdM が、別の UPN でのログインに対応しました。

Active Directory (AD)フォレストでは、別のユーザープリンシパル名(UPN)接尾辞をデフォルトのドメイン名ではなくユーザー名に関連付けることができます。Identity Management (IdM)では、信頼された AD フォレストのユーザーが別の UPN でログオンできるようになりました。
さらに、SSSD (System Security Services Daemon)は、IdM サーバーが別の UPN に対応しているかどうかを検出するようになりました。SSSD がサポートされている場合、SSSD はこの機能をクライアントで自動的にアクティブにします。
信頼された AD フォレストで UPN 接尾辞を追加または削除する場合は、IdM マスターで ipa trust-fetch-domains を実行して、IdM データベースの信頼済みフォレストの情報を更新します。

IdM がサブ CA に対応

Identity Management (IdM)は、IdM ドメイン内で発行されたすべての証明書に署名するために使用された認証局(CA)を 1 つだけサポートしていました。これで、軽量のサブ CA を使用して、証明書を使用できる目的をより適切に制御できるようになりました。たとえば、仮想プライベートネットワーク(VPN)サーバーは、その目的のために作成されたサブ CA が発行する証明書のみを受け入れるように設定できます。これにより、スマートカード CA などの他のサブ CA が発行する証明書を拒否します。
この機能をサポートするために、certmonger で証明書を要求する際に、IdM 軽量のサブ CA を指定できるようになりました。

SSSD が Kerberos ホストキータブの自動更新をサポート

以前は、System Security Services Daemon (SSSD)は、Active Directory (AD)の Kerberos ホストキータブファイルの自動更新をサポートしていませんでした。セキュリティー上の理由から、有効期限のないパスワードを使用できない環境では、ファイルを手動で更新する必要がありました。今回の更新で、SSSD は Kerberos ホストキータブファイルを自動的に更新できるようになりました。
SSSD は、マシンアカウントのパスワードが /etc/sssd/sssd.conf ファイルの ad_maximum_machine_account_password_age パラメーターで設定された日数以前の場合は、1 日あたり 1 回確認します。

IdM がユーザープリンシパルのエイリアスに対応

Identity Management (IdM)は、ユーザー名を使用した認証のみをサポートしていました。ただし、一部の環境では、メールアドレスまたはエイリアス名で認証する必要があります。IdM が拡張され、プリンシパルエイリアスに対応するようになりました。SSSD (System Security Services Daemon)も、この機能をサポートするように更新されました。
エイリアス ualiasuser@example.com をアカウント ユーザー に追加するには、以下のコマンドを実行します。
# ipa user-add-principal user ualias user\\@example.com
エイリアスの場合は kinit コマンドに -C オプションを使用し、エンタープライズプリンシパル名を使用する場合は -E オプションを使用します。
# kinit -C ualias
# kinit -E user@example.com
(BZ#1328552, BZ#1309745)

SSSD キャッシュ更新のパフォーマンス向上

以前は、キャッシュの有効期限のタイムアウトが経過した後に、SSSD (System Security Services Daemon)は常にキャッシュされたすべてのエントリーを更新していました。これにより、変更されていないエントリーのクライアントおよびサーバーの不必要なリソースが消費されました。SSSD が拡張され、キャッシュされたエントリーに更新が必要かどうかを確認するようになりました。変更されていないエントリーのタイムスタンプの値を増やし、新しい SSSD データベース /var/lib/sss/db/timestamps_$domain.ldb に保存されます。今回の機能拡張により、グループなど、サーバー側でほとんど変更されないエントリーのパフォーマンスが向上します。(BZ#1290380)

SSSD が IdM スキーマに保存されている sudo ルールに対応

以前は、System Security Services Daemon (SSSD)は、互換性プラグインによって生成された ou=sudoers コンテナーを使用して sudo ルールを取得していました。SSSD は、Identity Management (IdM)ディレクトリースキーマに保存されている cn=sudo コンテナーで sudo ルールをサポートするように拡張されました。
この機能を有効にするには、/etc/sssd/sssd.conf ファイルの ldap_sudo_search_base パラメーターの設定を解除します。(BZ#789477)

SSSD が、RID 番号が高い環境で AD クライアントの ID 範囲を自動的に調整するようになりました。

System Security Services Daemon (SSSD)サービスに含まれる自動 ID マッピングメカニズムは、ID 範囲ドメインをマージできるようになりました。ID 範囲の SSSD のデフォルトサイズは 200,000 です。大規模な Active Directory (AD)インストールでは、Active Directory 相対 ID (RID)が RID に対応するように 200,000 を超えると、管理者は SSSD によって割り当てられる ID 範囲を手動で調整する必要がありました。
今回の機能拡張により、ID マッピングを有効にしている AD クライアントでは、SSSD は上記の状況で ID 範囲を自動的に調整するようになりました。その結果、管理者は ID 範囲を手動で調整する必要がなく、デフォルトの ID マッピングメカニズムは大規模な AD インストールでは機能します。(BZ#1059972)

新しい sssctl オプション remove-cache

今回の更新で、sssctl ユーティリティーに remove-cache オプションが追加されました。オプションは、ローカルの System Security Services Daemon (SSSD)データベースコンテンツを削除し、sssd サービスを再起動します。これにより、管理者は SSSD を使用してクリーンな状態から起動し、キャッシュファイルを手動で削除する必要がなくなります。(BZ#1007969)

レガシー IdM クライアントでのパスワードの変更

以前は、Red Hat Enterprise Linux には、ユーザーがレガシー Identity Management (IdM)クライアントでパスワードを変更できない slapi-nis のバージョンが含まれていました。これにより、slapi-nis 互換性ツリーを介してクライアントにログインしているユーザーは、IdM Web UI を使用してパスワードを更新するか、Active Directory (AD)で直接更新できました。パッチが適用され、その結果、ユーザーはレガシーの IdM クライアントでパスワードを変更できるようになりました。(BZ#1084018)

ldapsearch コマンドが、すべての操作属性を返すようになりました。

LDAP 検索は、IETF RFC 3673 で説明されているようにすべての操作属性を返すようになりました。検索で + 文字を使用すると、バインドされた識別名(DN)がアクセスできるすべての操作属性が生成されます。返される結果は、適用可能なアクセス制御手順(ACI)に応じて制限される場合があります。
検索例は、以下のようになります。
ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com
この機能の詳細は、https://tools.ietf.org/html/rfc3673 を参照してください。(BZ#1290111)

ログタイムスタンプの精度の向上

今回の更新で、Directory Server ログのタイムスタンプの精度が 1 秒の精度から、デフォルトでナノ秒の精度に引き上げられます。今回の機能拡張により、Directory Server でのイベントのより詳細な分析が可能になり、外部ログシステムが Directory Server からのログを正しく再ビルドおよびインターイブできるようになりました。
以前のバージョンでは、ログエントリーには以下の例のようにタイムスタンプが含まれていました。
[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
今回の更新により、同じログエントリーに、より正確なタイムスタンプが含まれるようになりました。
[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
古いタイムスタンプの形式に戻すには、cn=confignsslapd-logging-hr-timestamps-enabled 属性を false に設定します。(BZ#1273549)

ユーザーパスワードの変更が常に shadowLastChange 属性を更新するようになりました。

以前は、ユーザーのパスワードを変更する方法によっては、passwordExpirationTime 属性を更新することができましたが、shadowLastChange 属性は更新できませんでした。Active Directory などの Directory Server とインターフェイスできるシステムによっては、両方の属性が更新される必要があるため、この動作により同期エラーが発生する可能性があります。今回の更新で、ユーザーパスワードを変更すると、両方の属性が更新され、同期の問題は発生しなくなりました。(BZ#1018944)

ns-slapd が監査ログで失敗した操作をログに記録

以前のバージョンでは、ns-slapd はディレクトリーへの正常な変更のみをログに記録します。今回の更新で、失敗した変更、それらのコンテンツ、および失敗の理由のロギングがサポートされるようになりました。これにより、ディレクトリーコンテンツの変更や攻撃の検出に失敗するアプリケーションのデバッグが容易になります。(BZ#1209094)

Directory Server インスタンスのステータスを表示する新しいユーティリティー

Directory Server は、1 つまたはすべてのインスタンスのステータスを出力する status-dirsrv コマンドラインユーティリティーを提供するようになりました。以下のコマンドを使用して、既存のインスタンスの一覧を取得します。
status-dirsrv
特定のインスタンスのステータスを表示するには、コマンドにインスタンス名を追加します。詳細と戻りコードの一覧は、status-dirsrv (8) man ページを参照してください。(BZ#1209128)

IdM が最大 60 台のレプリカに対応

Identity Management (IdM)は、IdM ドメインごとに最大 20 のレプリカをサポートしていました。今回の更新で、IdM ドメインごとにサポート制限が 60 レプリカに増えます。

SSSD が、/etc/sssd/conf.d/からオプションの *.conf ファイルを読み取るようになりました。

SSSD (System Security Services Daemon)が、/etc/sssd/conf.d/ ディレクトリーから *.conf ファイルを読み取るように強化されました。これにより、すべてのクライアントで一般的な /etc/sssd/sssd.conf ファイルを使用し、個々のクライアントに合わせて追加の設定ファイルに追加設定を追加できます。SSSD は、最初に一般的な /etc/sssd/sssd.conf ファイルを読み込み、次に、/etc/sssd/conf.d/ の他のファイルをアルファベット順で読み取ります。同じファイルが異なるファイルに複数回表示される場合、デーモンは最後の読み取り設定パラメーターを使用します。(BZ#790113)

スキーマでの引用符の使用を可能にする新しいオプション

今回の更新で、スキーマディレクトリーの引用符を使用して古いスタイルスキーマのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTED 環境変数が導入されました。この機能を有効にするには、/etc/sysconfig/dirsrv-INSTANCE 設定ファイルに以下の変数を設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1368484)

OpenLDAP が SHA2 パスワードハッシュに対応

Red Hat Enterprise Linux 7.3 の OpenLDAP サーバーは、SHA2 サポートのモジュールを提供するようになりました。pw-sha2 モジュールを読み込むには、以下の行を /etc/openldap/slapd.conf ファイルに追加します(moduleload pw-sha2)。
これにより、以下のハッシュを使用して、パスワードを OpenLDAP に保存できます。
  • SSHA-512
  • SSHA-384
  • SSHA-256
  • SHA-512
  • SHA-384
  • SHA-256 (BZ#1292568)

pki cert-request-find コマンドが、完了した失効要求のシリアル番号を表示するようになりました。

この更新により、pki サブコマンド cert-request-find は、完了した失効要求に対して、失効した証明書の証明書 ID を表示するようになりました。(BZ#1224642)

IdM パスワードポリシーで有効期限のないパスワードが有効になりるようになりました。

以前は、Identity Management (IdM)のすべてのユーザーパスワードに有効期限が定義されている必要がありました。今回の更新により、管理者はパスワードポリシー Max lifetime の値を 0 に設定することで、ユーザーパスワードを無期限に有効にするように設定することができるようになりました。
新しいパスワードポリシー設定は新しいパスワードにのみ適用されます。変更を有効にするには、既存のユーザーがパスワードを更新する必要があります。(BZ#826790)

ipa-getkeytab が IdM サーバーを自動的に検出できるようになりました。

Identity Management (IdM)サーバーで ipa-getkeytab ユーティリティーを実行する場合は、-s オプションを使用してサーバー名を指定する必要がなくなりました。この状況では、ipa-getkeytab ユーティリティーは IdM サーバーを自動的に検出します。(BZ#768316)

ipa-replica-manage ユーティリティーで強化されたサブコマンド

ipa-replica-manage ユーティリティーが強化され、以下のサブコマンドで o=ipaca バックエンドもサポートされるようになりました。
  • list-ruv
  • clean-ruv
  • abort-clean-ruv
さらに、clean-dangling-ruv サブコマンドが ipa-replica-manage ユーティリティーに追加されました。これにより、管理者はレプリカ更新ベクトル(RUV)を自動的に削除できます。(BZ#1212713)

samba がバージョン 4.4.4 にリベース

samba パッケージがアップストリームバージョン 4.4.4 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • WINS nsswitch モジュールは、WINS クエリーに libwbclient ライブラリーを使用するようになりました。モジュールを使用する WINS 名を解決するには、winbind デーモンが実行している必要があることに注意してください。
  • winbind expand groups オプションのデフォルト値が 1 から 0 に変更になりました。
  • smbget コマンドの -u オプションおよび -g オプションは、他の Samba コマンドのパラメーターに一致するように -U オプションに置き換えられました。-U オプションは username[%password] 値を受け入れます。また、smbgetrc 設定ファイルの username および password パラメーターは user パラメーターに置き換えられました。
  • smbget コマンドの -P パラメーターが削除されました。
  • Kerberos 認証情報で CUPS バックエンドを使用して印刷するには、samba-krb5-printing パッケージをインストールし、CUPS を適切に設定する必要があります。
  • Kerberos 認証情報で CUPS バックエンドを使用して、Samba をプリントサーバーとして設定できるようになりました。これを行うには、samba-krb5-printing パッケージをインストールし、CUPS を適切に設定します。
  • samba をインストールすると、Samba および CTDB ヘッダーファイルが自動的にインストールされなくなりました。
Samba は、smbd デーモン、nmbd デーモン、または winbind デーモンの起動時に、その tdb データベースファイルを自動的に更新します。Samba を起動する前にデータベースファイルをバックアップします。Red Hat は、tdb データベースファイルのダウングレードには対応していないことに注意してください。
SMB プロトコル 3.1.1 で Linux カーネル CIFS モジュールを使用することは現在実験的なものであり、Red Hat が提供するカーネルでは機能が利用できないことに注意してください。
主な変更の詳細は、更新前にアップストリームのリリースノートを参照してください。

AD DNS の更新を防ぐ新しい net ads join オプション

net ads join コマンドで --no-dns-updates オプションが提供されるようになりました。これにより、クライアントを Active Directory (AD)に参加する際に DNS サーバーをマシン名で更新できなくなります。このオプションを使用すると、管理者は DNS サーバーがクライアントの更新を許可しない場合に DNS 登録をバイパスできるため、DNS の更新はエラーメッセージを出して失敗しました。(BZ#1263322)

NetBIOS 名を設定する新しい realm join オプション

realm join コマンドは、--computer-name オプションを提供し、個別の NetBIOS 名を設定するようになりました。これにより、管理者はホスト名とは異なる名前を使用してマシンをドメインに参加させることができます。(BZ#1293390)

DRMTool の名前が KRATool に変更

Certificate System (CS)の Data Recovery Manager (DRM)コンポーネントは、Key Recovery Authority (KRA)と呼ばれるようになりました。この変更との整合性を保つために、今回の更新では DRMTool ユーティリティーの名前を KRATool に変更します。移行を容易にするために、互換性シンボリックリンクが提供されることに注意してください。リンクにより、DRMTool を参照するスクリプトが引き続き機能することを確認できます。(BZ#1305622)

OpenJDK 1.8.0 の明示的な依存関係

現在の PKI コードは、OpenJDK 1.8.0 でのみ動作することが検証されています。以前は、PKI は代替が提供する汎用 Java リンクに依存し、リンクが OpenJDK 1.8.0 を参照していることが前提とされていました。代替設定はさまざまな理由で変更される可能性があるため、PKI にいくつかの問題が発生する可能性があります。
PKI が常に適切に動作するように、PKI は、特に Java インストールに関係なく、OpenJDK 1 .8.0 の最新更新を常に参照する jre_1.8.0_openjdk リンクに依存するように変更されました。(BZ#1347466)

ipa *-find コマンドがメンバーエントリーを表示しなくなる

Identity Management (IdM) ipa *-find コマンドの新しいデフォルト設定には、ホストグループなどのメンバーエントリーが表示されなくなりました。多数のメンバーエントリーを解決することはリソース集約型であり、コマンドの出力には時間がかかり、読み取れない可能性があります。その結果、デフォルトが変更されました。メンバーエントリーを表示するには、ipa *-find コマンドで --all オプションを使用します。以下に例を示します。
# ipa hostgroup-find --all
(BZ#1354626)

Certificate System が CRL の開始 ID の設定に対応

Red Hat Certificate System は、/etc/pki/default.cfg ファイルの pki_ca_starting_crl_number オプションを使用して、証明書失効リスト(CRL)の開始 ID の設定をサポートするようになりました。これにより、管理者は CRL がすでに Certificate System に発行された認証局(CA)を移行できます。(BZ#1358439)

発行者 DN を証明書に追加する新しい pki-server サブコマンド

Certificate Server の拡張機能は発行者 DN を新しい証明書レコードに保存し、REST API 証明書検索により発行者 DN による証明書のフィルターリングがサポートされるようになりました。発行者 DN を既存の証明書レコードに追加するには、以下を実行します。
# pki-server db-upgrade
(BZ#1305992)

Certificate System が古い CRL を削除するようになりました。

以前は、ファイルベースの証明書失効リスト(CRL)公開機能が Certificate System で有効にされている場合、サービスは古い CRL ファイルを削除せずに定期的に新しい CRL ファイルを作成していました。これにより、Certificate System を実行しているシステムは、最終的に領域が不足する可能性がありました。この問題に対処するために、/etc/pki/pki-tomcat/ca/CS.cfg ファイルに 2 つの新しい設定オプションが追加されました。
  • maxAge - ファイルが期限切れになり、パージされるまでの日数を設定します。デフォルトは 0 (never)です。
  • maxFullCRLs: 保持する CRL の最大数を設定します。新しいファイルが公開されると、最も古いファイルがパージされます。デフォルトは 0 (制限なし)です。
これにより、Certificate System が古い CRL ファイルを処理する方法を設定できるようになりました。(BZ#1327683)

クローン作成のための pkispawn 設定で証明書のニックネーム名の指定

クローンインストール時に、クローンは pkispawn 設定ファイルの pki_clone_pkcs12_path パラメーターで指定された PKCS #12 ファイルからシステム証明書をインポートします。以前は、PKCS #12 ファイルで証明書の nick 名を指定する必要はありません。
新しい IPA 要件により、証明書のインポートメカニズムを変更する必要があります。今回の更新で、証明書が適切な信頼属性でインポートされるようにするには、PKCS #12 ファイルの CA 署名証明書と、PKCS #12 ファイルの監査署名証明書を以下のパラメーターに指定する必要があります。
  • pki_ca_signing_nickname
  • pki_audit_signing_nickname (BZ#1321491)

既存の CA 証明書および鍵を使用した Certificate System のデプロイ

以前は、Certificate System は、認証局(CA)証明書の鍵を内部で生成していました。今回の更新で、鍵の生成は任意となり、Certificate System は、PKCS#12 ファイルまたはハードウェアセキュリティーモジュール(HSM)を使用して提供できる既存の CA 証明書および鍵の再利用をサポートするようになりました。このメカニズムにより、管理者は既存の CA から Certificate System に移行できます。(BZ#1289323)

クライアントとして動作するインスタンスの個別の暗号リスト

この機能以前は、Certificate System インスタンスがサーバーおよびクライアントとして機能したときに、server.xml ファイルで指定された暗号リストが使用されていました。場合によっては、特定の暗号が望ましくないか、機能しない可能性があります。今回の更新で、管理者が 2 つの Certificate System サブシステム間の通信にクライアントとして機能する際に、管理者が SSL 暗号の許可されるリストを指定できるようになりました。この暗号リストは、サーバーに保存されている一覧とは異なります。(BZ#1302136)

BEGIN/END PKCS7 ラベルを使用した PKCS #7 証明書チェーンのサポート

RFC 7468 に準拠するために、PKI ツールは、BEGIN/END CERTIFICATE CHAIN ラベルではなく、BEGIN/END PKCS7 ラベルで PKCS #7 証明書チェーンを受け入れて生成するようになりました。(BZ#1353005)

krb5 がバージョン 1.14.1 にリベースされました。

krb5 パッケージがアップストリームバージョン 1.14.1 に更新され、機能強化、新機能、バグ修正が数多く追加されました。特に、セキュリティーを強化するために認証インジケーターサポートを実装します。詳細は、http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html を参照してください(BZ#1292153)

Kerberos クライアントが設定スニペットに対応

/etc/krb5.conf ファイルは、/ etc/krb5.conf.d/ ディレクトリーから設定スニペットを読み込むようになりました。これにより、既存のディストリビューション設定標準および暗号化ポリシー管理への準拠が可能になります。その結果、ユーザーは設定ファイルを分割し、スニペットを /etc/krb5.conf.d/ ディレクトリーに保存できるようになりました。(BZ#1146945)

IdM がバージョン 4.4.0 にリベース

ipa* パッケージがアップストリームバージョン 4.4.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
  • 多くのメンバーを使用したプロビジョニング、Kerberos 認証、ユーザーおよびグループの操作など、Identity Management (IdM)サーバーのパフォーマンスが改善されました。
  • DNS の場所。ブランチオフィスのクライアントが、リモートサーバーにフォールバックできるローカルサーバーのみに接続することができます。
  • 中央レプリケーショントポロジー管理。
  • サポートされるレプリケーションパートナーの数が 20 から 60 のレプリカに増えました。
  • ワンタイムパスワード(OTP)および RADIUS の認証インジケーターのサポート。認証インジケーターは、ホストおよびサービスに対して個別に有効にできます。
  • サブ CA サポートを使用すると、管理者は個別の認証局を作成して特定のサービスの証明書を発行できます。
  • Active Directory (AD)ユーザーのスマートカードサポートの強化により、管理者はスマートカード証明書を AD または IdM のオーバーライドに保存できます。
  • IdM サーバー API のバージョン管理。
  • AD での外部信頼を確立するためのサポート。
  • 代替 AD ユーザープリンシパル名(UPN)接尾辞。(BZ#1292141)

SSSD で、AD サーバーから autofs マップの取得が可能に

/etc/sssd/sssd.conf ファイルの [domain] セクションで autofs_provider=ad 設定を使用できるようになりました。この設定では、SSSD (System Security Services Daemon)が Active Directory (AD)サーバーから autofs マップを取得します。
以前は、autofs マップを AD に保存する必要がある場合、AD サーバー管理者は autofs_provider=ldap 設定を使用し、バインド方法、検索ベースなどのパラメーターを含む LDAP プロバイダーを手動で設定する必要がありました。今回の更新では、sssd.confautofs_provider=ad のみを設定する必要があります。
SSSD は、AD に保存されている autofs マップが RFC2307 で定義されている形式に従うことを想定しています: https://tools.ietf.org/html/rfc2307 (BZ# 874985)。

dyndns_server オプションを使用すると、DNS サーバーを指定して動的 DNS 更新を受け取ることができます。

SSSD (System Security Services Daemon)が、/etc/sssd/sssd.conf ファイルの dyndns_server オプションに対応するようになりました。オプションは、dyndns_update オプションが有効な場合に DNS レコードで自動的に更新される DNS サーバーを指定します。
このオプションは、たとえば DNS サーバーが ID サーバーとは異なる環境で役に立ちます。このような場合は、dyndnds_server を使用して、SSSD が指定の DNS サーバーの DNS レコードを更新できるようにすることができます。(BZ#1140022)

SSSD は、full_name_format=%1$s を使用して AD 信頼されるユーザーの出力名を短縮名に設定するようになりました。

以前は、信頼設定では、特定の System Security Services Daemon (SSSD)機能では、/etc/sssd/sssd.conf ファイルの full_name_format オプションのデフォルト値を使用する必要がありました。full_name_format=%1$s を使用して、信頼された Active Directory (AD)ユーザーの出力形式を短縮名に設定すると、その他の機能が中断します。
今回の更新により、ユーザー名の内部表現が出力形式から分離されるようになりました。他の SSSD 機能を中断せずに full_name_format=%1$s を使用できるようになりました。
sssd.confdefault_domain_suffix オプションが使用されている場合を除き、入力名は修飾されている必要があることに注意してください。(BZ#1287209)

ドキュメントでは、AD DNS ホスト名を使用した IdM クライアントの設定および制限を説明します。

Identity Management (IdM)のドキュメントが強化され、信頼された Active Directory (AD)ドメインの DNS ネームスペースにある IdM クライアントの設定を説明します。これは推奨される設定ではなく、いくつかの制限があります。たとえば、シングルサインオンの代わりに、これらのクライアントにアクセスするためにパスワード認証のみを使用できます。Red Hat は、AD が所有する DNS ゾーンに IdM クライアントを常にデプロイし、IdM ホスト名を使用して IdM クライアントにアクセスすることを推奨します。

証明書システムが、個別インストールの SSL 暗号の設定に対応

以前は、インストール中に使用されたデフォルトの暗号と重複しない既存の Certificate Server で暗号セットをカスタマイズすると、既存のインスタンスと連携するように新しいインスタンスをインストールすることができませんでした。今回の更新で、Certificate System により、2 ステップインストールを使用して SSL 暗号をカスタマイズできるようになりました。これにより、この問題が回避されます。Certificate System インスタンスのインストール時に暗号を設定するには、次のコマンドを実行します。
1.pki_skip_configuration=True オプションが含まれるデプロイメント設定ファイルを準備します。
2.デプロイメント設定ファイルを pkispawn コマンドに渡して、インストールの初期部分を開始します。
3./var/lib/pki/<instance>/conf/server.xml ファイルの sslRangeCiphers オプションで暗号を設定します。
4.デプロイメント設定ファイルで pki_skip_configuration=True オプションを pki_skip_installation=True に置き換えます。
5.同じ pkispawn コマンドを実行してインストールを完了します。(BZ#1303175)

レプリカリリースタイムアウトを設定するための新しい属性

複数マスターが同時に更新を受信するマルチマスターレプリケーション環境では、ネットワーク接続の速度が遅いため、単一マスターがレプリカへの排他的アクセスを取得し、非常に長い時間保持することができました。この間、他のマスターが同じレプリカへのアクセスをブロックしていたため、レプリケーションプロセスが大幅に遅くなっていました。
今回の更新で、新しい設定属性 nsds5ReplicaReleaseTimeout が追加されました。これは、タイムアウトを秒単位で指定するために使用できます。指定されたタイムアウト期間が経過すると、マスターはレプリカを解放し、他のマスターがレプリカにアクセスし、それらの更新を送信できるようにします。(BZ#1349571)

第6章 クラスタリング

Pacemaker がアラートエージェントに対応

クラスターイベントの発生時に Pacemaker アラートエージェントを作成して外部アクションを実行できるようになりました。クラスターは、環境変数を用いてイベントの情報をエージェントに渡します。エージェントは、メールメッセージの送信、ログのファイルへの送信、監視システムの更新など、この情報を使用して必要なあらゆる操作を行うことができます。アラートエージェントの設定については、Red Hat Enterprise Linux 7 High Availability Add-On Reference: https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html を参照してください。(BZ#1315371)

PacemakerSBD フェンシング設定に対応

SBD デーモンは、Pacemaker (ウォッチドッグデバイス)と統合して、フェンシングが必要な場合にノードが確実に自己終了するように配置します。今回の更新で、PacemakerSBD を設定するために pcs stonith sbd コマンドが追加され、Web UI から SBD を設定できるようになりました。SBD フェンシングは、従来のフェンシングメカニズムが不可能な環境で特に役立ちます。PacemakerSBD を使用する方法は、Red Hat ナレッジベースアーティクル https://access.redhat.com/articles/2212861 を参照してください。(BZ#1164402)

アクティブな Pacemaker リモートノードで pacemaker_remote サービスが停止する場合のリソースの正常な移行

アクティブな Pacemaker リモートノードで pacemaker_remote サービスが停止すると、クラスターは、ノードを停止する前に、ノードからリソースを正常に移行します。以前のリリースでは、ノードが最初にクラスターから明示的に取得されていない限り、サービスが停止したときに( yum updateなどのコマンドを含む) Pacemaker リモートノードがフェンシングされていました。ソフトウェアのアップグレードやその他のルーチンメンテナーンス手順は、Pacemaker リモートノードでの実行がはるかに簡単になりました。
注記:クラスターのすべてのノードが、任意のノードで使用する前に、この機能をサポートするバージョンにアップグレードする必要があります。(BZ#1288929)

ゲストノードの作成に使用される Pacemaker クラスターリソースが、リソースグループのメンバーになる可能性がある

以前の Pacemaker バージョンは、グループにゲストノードを含めることをサポートしていませんでした。Red Hat Enterprise Linux 7.3 では、ゲストノードの作成に使用される VirtualDomain などの Pacemaker クラスターリソースが、リソースグループのメンバーになりました。これは、仮想マシンをストレージに関連付ける場合などに役立ちます。(BZ#1303765)

pcsd が SSL オプションおよび暗号の設定に対応

以前は、プロトコルバージョンまたは暗号が弱であると見なされる脆弱性が発見された場合、pcsd サービスは、SSL または TSL プロトコルの暗号または特定のバージョンを簡単に無効にできませんでした。今回の更新で、ユーザーは pcsd で SSL オプションと暗号を簡単に設定でき、RC4 暗号と TLS プロトコルバージョン 1.1 以前はデフォルトで無効になりました。(BZ#1315652)

pcs が、ライブクラスターでの期待される投票の設定に対応

ノードがクラスターで障害が発生した場合、ユーザーはクラスターを復元するために予想される投票を手動で下げる必要がある場合があります。pcs quorum expected-votes コマンドを使用して、ライブクラスターに期待される投票を設定できるようになりました。(BZ#1327739)

Pacemaker の使用率属性の設定にサポートを追加

pcs コマンドおよび pcsd Web UI を使用して、Pacemaker 使用率属性を設定できるようになりました。これにより、特定のノードが提供する容量、特定のリソースに必要な容量、およびリソース配置の全体的なストラテジーを設定できます。使用率および配置ストラテジーの詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html を参照してください。(BZ#1158500)

第7章 コンパイラーおよびツール

IBM z Systems z13 での新しい手順のサポート

新しいバージョンの GCC は、IBM z Systems z13 の新しいハードウェア命令をサポートし、SIMD 命令に対応します。新しい侵入を有効にするには、-march=z13 コマンドラインオプションが必要です。(BZ#1182152)

GCC が POWER8 に最適なコードを生成するようになりました。

PowerPC 64 LE アーキテクチャーでは、GCC コンパイラーが --with-cpu=power8 パラメーターおよび --with-tune=power8 パラメーターで設定され、GCC が POWER8 プラットフォームに最適なコードを生成するようになりました。(BZ#1213268)

Intel メモリー保護キー(IMPK)のサポート

GCC コンパイラーの今回の更新で、IMPK に対応するようになりました。コンパイラーは、新しい PKU 命令を生成できるようになりました。新しい手順は、-mpku コマンドラインオプションを使用すると有効にできます。(BZ#1304449)

gcc-libraries がリベース

gcc-libraries パッケージが最新の GCC 5 バージョンにリベースされ、アップストリームバージョンのバグ修正および機能拡張が数多く追加されました。(BZ#1265252)

GDB が IBM z13 機能に対応

今回の更新で、IBM z13 機能を使用するコードのデバッグ用の GDB 拡張機能が提供されます。これには、拡張された IBM z13 命令のアセンブルと、128 ビットワイドベクトルを使用した SIMD 命令 のサポートが含まれます。IBM z13 に最適化されたコードは、inferior 呼び出し中に正しい命令 mnemonics、ベクトルレジスター、および取得とパスを表示する GDB によりデバッグできるようになりました。(BZ#1182151)

binutils がバージョン 2.25.1 にリベースされました。

リベースされた新しい binutils パッケージのハイライトには、以下が含まれます。
  • 文字列 プログラムには、読み込み可能な初期化データセクションで文字列のみを出力する --data コマンドラインオプションが含まれるようになりました。デフォルトの動作が、--all コマンドラインオプションに一致するように変更されました。
  • 文字 プログラムには --include-all-whitespace コマンドラインオプションが追加され、表示されていない ASCII 文字を文字列の一部として処理できるようになりました。これには、キャリッジリターン文字や改行文字が含まれており、行用語とみなされます。
  • objcopy プログラムには、named セクションの内容を抽出し、それらを別のファイルにコピーする --dump-section コマンドラインオプションが含まれるようになりました。
  • objcopy プログラムが、セクション名を取るコマンドラインオプションのワイルドカード文字をサポートするようになりました。
  • as assembler には、コードごとのセクション DWARF.debug_line セクションの生成を可能にする --gdwarf-sections コマンドラインオプションが含まれるようになりました。これにより、リンカーのガベージコレクションによって対応するコードセクションが削除された場合に、これらのセクションを削除できます。(BZ#1341730)

IBM z Systems アーキテクチャーへの z13 拡張のサポート。

今回の更新で、複数のアップストリームパッチが 1 つのパッチに含まれ、Red Hat Enterprise Linux 7 binutils パッケージに適用されるようになりました。z13 拡張機能がサポートされるようになりました。(BZ#1364516)

MWAITXのサポート

32 ビット AMD および Intel アーキテクチャー用の更新された binutils パッケージが、MWAITX 命令に対応するようになりました。(BZ#1335684)

Zeppelinのサポート

32 ビット AMD および Intel アーキテクチャーの更新された binutils パッケージにより、Zeppelin 拡張機能がサポートされるようになりました。(BZ#1335313)

大規模システム拡張機能のサポート

更新された binutils パッケージは、Large System 拡張機能を AArch64 アセンブラーに提供するようになりました。さらに、.arch_extension 擬似操作のサポートも追加されました。(BZ#1276755)

elfutils がバージョン 0.166 にリベースされました。

elfutils パッケージには、実行可能なコードの作成と保守に関連するユーティリティーとライブラリーが多数含まれています。パッケージがバージョン 0.166 にアップグレードされました。主な改善点は次のとおりです。
  • strip,unstrip - これらのユーティリティーは、マージされた strtab/shstrtab テーブルを持つ ELF ファイルを処理できるようになりました。
  • elfcompress: ELF セクションを圧縮または圧縮解除する新しいユーティリティー。
  • readelf: 新しい -z,--decompress オプション。
  • 圧縮された ELF セクション(elf_compress、elf_compress _gnu、elf32_getchdrelf64_ getchdr、および gelf_getchdr )を処理するために、libelf および libdw に新しい関数が追加されました。
  • libdwelf - a new dwelf_scn_gnu_compressed_size() function.
  • 新しい libelf ファイルおよび libdw pkgconfig (パッケージ設定)ファイル。
(BZ#1296313)

Valgrind がバージョン 3.11.0 にリベース

Valgrind は、メモリーのデバッグ、メモリーリークの検出、およびプロファイリングアプリケーションに使用されるインストルメンテーションフレームワークです。パッケージがアップストリームバージョン 3.11.0 にアップグレードされました。主な改善点は次のとおりです。
  • JIT のレジスターアロケーターが大幅に速くなり、プログラムの起動など、JIT を多用するアクティビティー(プログラムの起動など)が約 5% 短縮されました。
  • Intel AVX2 のサポートが 64 ビットターゲットでより完全になりました。AVX2 対応ホストでは、シミュレーションされる CPUID は AVX2 サポートを示すようになりました。
  • --smc-check オプションのデフォルト値が、自動 D-I キャッシュの一貫性を提供するターゲット上の stack から all-non-file に変更されました。その結果、デフォルトで、すべてのターゲットで生成された JIT および自己変更コードに対して透過的なサポートを提供します。
Memcheck ユーティリティーの主な新機能には、以下が含まれます。
  • --leak-check-heuristics オプションのデフォルト値が none から all に変更になりました。これは、特に C++ アプリケーションにおいて、失われた可能性のあるブロックの数を減らすのに役立ちます。
  • --keep-stacktraces オプションのデフォルト値が、malloc-then-free から malloc-and-free に変更されました。メモリーにはわずかなコストがありますが、Memcheck により、dangling 参照の 3 つのスタックトレースを表示できます。ブロックが割り当てられている場所、解放された場所、および解放後にアクセスされる場所。
  • 特定のベクトルループから生じる誤検出を防ぐために、--partial-loads-ok オプションのデフォルト値が no から yes に変更になりました。
  • 新しい gdb monitor コマンド xb [addr] [len] は、[addr][len] バイトの有効性ビットを表示します。バイトデータ値を対応する有効ビットに関連付ける必要がある場合、モニターコマンド xbget_vbits よりも簡単です。
  • block_list gdb monitor コマンドが強化されました。さまざまな損失レコードを出力できるようになりました。任意の引数の 制限された [max_blocks] を受け入れ、印刷ブロックの数を制御します。ヒューリスティックを使用してブロックが見つかった場合、block_list はブロックサイズの後にヒューリスティックを表示するようになりました。印刷する損失レコード/ブロックは、指定されたヒューリスティックを介して見つかったブロックに制限できます。
  • 新しい --expensive-definedness-checks=yes|no コマンドラインオプションが追加されました。これは、最適化されたコードで無効な無効な初期化されていないエラーを回避するのに役立ちます。これは最大 25% になる可能性があるため、ランタイムのパフォーマンスが低下する可能性があることに注意してください。ただし、速度はアプリケーション固有です。デフォルト値は no です。
(BZ#1296318)

valgrindでのユーザー定義の割り当て機能の傍受

一部のアプリケーションは glibc アロケーターを使用しません。したがって、valgrind でこのようなアプリケーションを実行することは常に便利ではありませんでした。今回の更新で、valgrind は、プログラムが通常の glibc アロケーターを使用しているかのようにユーザー定義のメモリー割り当て機能を自動的にインターセプトしようとするため、これらのプログラムの memcheck などのメモリートレースユーティリティーをそのまま使用できるようになりました。(BZ#1271754)

SystemTap がバージョン 3.0 にリベース

systemtap パッケージがアップストリームバージョン 3.0 に更新され、バグ修正および機能強化が数多く追加されました。たとえば、トランスレーターが改善され、メモリーが少なくなり、より高速なコードの作成、より多くの関数呼び出しのプロービングのサポート、改善された診断のサポート、関数のオーバーロードおよびプライベートスコーピングの言語拡張機能の追加、実験的な --monitor および --interactive モードが導入されました。(BZ#1289617)

7 世代コア i3、i5、および i7 Intel プロセッサーのサポート

今回の更新で、7 世代コア i3、i5、および i7 Intel プロセッサー(Kabylake-U/Y)の完全なパフォーマンス監視イベントが提供されます。(BZ#1310950)

7 世代コア i3、i5、および i7 Intel プロセッサーのサポート

今回の更新で、7 世代コア i3、i5、および i7 Intel プロセッサー(Kabylake-H/S)の完全なパフォーマンス監視イベントが提供されます。(BZ#1310951)

libpfm がバージョン 4.7.0 にリベース

libpfm パッケージがバージョン 4.7.0 にアップグレードされました。このバージョンは、以下の 32 ビット AMD および Intel アーキテクチャーに対応します。
  • Intel Skylake コア PMU
  • Intel Haswell-EP uncore PMUs
  • Intel Broadwell-DE
  • Intel Broadwell (desktop core)
  • Intel Haswell-EP (コア)
  • Intel Haswell-EP (コア)
  • Intel Ivy Bridge-EP uncore PMUs (すべてのボックス)
  • Intel Silvermont コア PMU
  • Intel RAPL イベントのサポート
  • Intel SNB、IVB、HSW イベントテーブルの更新
  • Intel イベントテーブルのメジャー更新
  • AMD Fam15h Northbridge PMU
(BZ#1321051)

gssproxy が RELRO および PIE に対応するようになりました。

GSS-API gssproxy デーモンは、セキュリティー関連の RELRO および PIE のコンパイルタイムフラグを使用して、デーモンを強化できるようになりました。その結果、gssproxy は、ローダーメモリー領域の上書き試行とメモリー破損攻撃に対するセキュリティーを強化します。(BZ#1092515)

iputils がバージョン 20160308 にリベースされました。

iputils パッケージがアップストリームバージョン 20160308 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、ping コマンドはデュアルスタックを認識するようになりました。これは、IPv4 アドレスと IPv6 アドレスの両方を調査するために使用できます。以前の ping6 コマンドは ping コマンドへのシンボリックリンクとなり、以前と同じように機能します。(BZ#1273336)

tftp サーバーのロギング機能が強化されました。

ロギングの改善により、Trivial File Transfer Protocol (TFTP)サーバーが成功と失敗を追跡することができるようになりました。たとえば、クライアントがファイルのダウンロードを正常に終了する場合や、障害発生時に ファイル not found メッセージが提供されると、ログイベントが作成されるようになりました。(BZ#1311092)

arpwatch の新しいオプション: -p

今回の更新で、arpwatch ネットワーク監視ツールの arpwatch コマンドに -p オプションが追加されました。このオプションは、プロミスキャスモードを無効にします。(BZ#1291722)

chrt ユーティリティーに新しいオプションが追加されました。

今回の更新で、chrt ユーティリティー用の新しいコマンドラインオプション( --deadline--sched-runtime--sched-period、および --sched-deadline )が導入されました。これらのオプションは、カーネル SCHED_DEADLINE スケジューラーを利用して、スクリプトおよびコマンドラインの使用時に期限スケジューリングポリシーを完全に制御します。(BZ#1298384)

新しいコマンドラインユーティリティー: lsipc

今回の更新で、プロセス間通信(IPC)機能に関する情報を一覧表示する lsipc ユーティリティーが導入されました。古い ipcs コマンドと比較すると、lsipc はより詳細を提供し、スクリプトで簡単に使用でき、ユーザーフレンドリーに使用できます。これにより、スクリプトおよびコマンドラインの使用時に、IPC 情報の出力をより適切に制御できます。(BZ#1153770)

libmountfindmnt を使用した検索の信頼性が強化されました。

オーバーレイファイルシステムの st_dev は、libmount ライブラリーおよび findmnt ユーティリティーへの信頼できる検索を行うことができません。今回の更新で、st_dev 以外の方法でマウントテーブルの libmount および findmnt 検索を検索するようになり、信頼性が向上します。(BZ#587393)

alternatives ユーティリティーの新しい --family オプション

今回の更新で、alternatives ユーティリティーに新しい --family オプションが追加されました。ソフトウェアパッケージャーは、このオプションを使用して、同じグループの同様の代替パッケージをファミリーにグループ化できます。グループ内のファミリーにより、現在使用されている代替手段が削除され、ファミリーに属する場合、現在の代替手段は、ファミリー外ではなく、同じファミリー内で最も優先順位の高いパッケージに変更されます。
たとえば、システムには、同じ 代替 グループに a1a2a3b の 4 つのパッケージがインストールされます(優先順位の増加にリストされています)。a1a2、および a3 のパッケージが同じファミリーに属します。a1 は現在使用されている代替手段です。a1 が削除されると、現在使用されている代替手段が a3 に変更されます。ba1 のファミリーの外にあり、a2a3 よりも優先度が低いため、b ではありません。
このオプションは、各代替に優先順位を設定するだけで十分でない場合に役立ちます。たとえば、すべての openjdk パッケージを同じファミリーに配置し、それらをアンインストールすると、別の openjdk パッケージに java-1.7.0-oracle パッケージではなく、別の openjdk パッケージに切り替えることができます(別の openjdk パッケージがインストールされている場合)。(BZ#1291340)

sos がバージョン 3.3 にリベース

sos パッケージがアップストリームバージョン 3.3 に更新され、以下のような機能強化、新機能、バグ修正が数多く追加されました。
  • Support for OpenShift Enterprise 3.x
  • OpenStack プラグインの改善および拡張
  • Open vSwitch のサポートを強化
  • Kubernetes データ収集の強化
  • systemd ジャーナルコレクションのサポートを改善
  • ディスプレイマネージャーおよび 3D アクセラレーションデータキャプチャーの強化
  • Pacemaker を含む Linux クラスターのサポートを改善
  • 拡張された CPU および NUMA トポロジーコレクション
  • 拡張された企業(IBM z Systems)の対象
  • マルチパストポロジーのコレクション(BZ#1293044)

ethtool がバージョン 4.5 にリベース

ethtool ユーティリティーを使用すると、特にイーサネットデバイス、多くのネットワークデバイスで、速度、ポート、オートネゴシエーション、PCI の場所、チェックサムオフロードなどの設定をクエリーおよび変更できます。パッケージがアップストリームバージョン 4.5 にアップグレードされました。以下は、主な改善点です。
  • SFP シリアル番号と日付が EEPROM ダンプに含まれるようになりました(オプション -m)。
  • 足りない速度、10GbE と 56GbE の組み合わせを追加
  • VMware vmxnet3 の登録ダンプのサポートを追加(オプション -d
  • デフォルトの Rx フロー間接テーブルを設定するサポートを追加(オプション -X
(BZ#1318316)

pcp がバージョン 3.11.3 にリベース

Performance Co-Pilot (PCP)は、システムレベルのパフォーマンス測定の標準化、アーカイブ、および分析を行うためのツール、サービス、およびライブラリーのスイートです。パッケージがバージョン 3.11.3 にアップグレードされました。主な改善点は次のとおりです。
  • pcp-ipcs - プロセス間の通信を表示する新しいコマンド
  • pcp-atopsar - http://atoptool.nl をベースとした新しい PMAPI sar コマンド
  • pcp-vmstat - pmstat のラッパーが vmstatのように変更になりました。
  • libpcp - 新しい fetchgroup API
  • pmdamic - Intel MIC カードメトリック用の新しい PMDA
  • pmdaslurm - HPC スケジューラーメトリックをエクスポートする新しい PMDA
  • pmdapipe - コマンド出力イベントキャプチャー PMDA
  • pmdaxfs - デバイスごとの XFS メトリックのサポート
  • pmdavmware - 現在の VMWare Perl API と連携するように更新
  • pmdaperfevent - 派生メトリックに関するさまざまな改善。NHM および WSM の参照クロックサイクルを追加しました。
  • pmdaoracle - 利用可能で更新された Oracle データベースメトリクス
  • pmdads389 - 正規化された dn キャッシュメトリクスを追加しました。
  • pmdalinux - numa ノードメモリー帯域幅、共有メモリーセグメント、IPC、MD ドライバー統計、Transparent-huge-page ゼロページの割り当てカウンター、NVME デバイス、IPv6 メトリックのメトリクスが追加されました。
  • pmdaelasticsearch - デフォルトでローカルノードのメトリックに制限し、elasticsearch API の変更に調整します。
  • pmdaxfs - デバイスごとの XFS メトリックのサポート
  • pmrep - 強力かつ汎用の metric-reporting ユーティリティー
  • pmlogconf - mmvが提供する Oracle データベース、nginx、elasticsearch、memcache、およびアプリケーションメトリックの自動記録をサポートします。
  • zbxpcp - Zabbix v2 および v3 を同時にサポートする PCP メトリックの Zabbix Agent ロード可能なモジュール
  • pmcd - pmdaroot を介して PMDA を起動するサポート。pmcd 自体を再起動しなくても PMDA の失敗で再起動できます。
  • sar2pcp - 追加の mem.util メトリックおよび Na-11. 0.1 コマンドのサポート
  • pmmgr - 一般的な monitor-program 起動オプションが追加されました
  • pcp-atop - 最新の atop 機能で更新(特に NFS 関連)
  • libpcp - サーバー証明書の名前のカスタマイズを許可。永続的、グローバル派生メトリック、およびマルチアーカイブコンテキストのサポートが追加されました。
  • pmdaproc - cgroup blkio スロットルスループットと IOPS メトリック
  • pcp-iostat - 正規表現を使用したデバイス名マッチングの -R フラグと、合計 の、avgmin、または max の統計-G フラグが追加されました。
  • pmieconf - 応答しない PMDA の再起動を自動化する新しいルール
(BZ#1284307)

OpenJDK 8 が ECC に対応

今回の更新で、Elliptic Curve Cryptography (ECC)および TLS 接続に関連する暗号のサポートが OpenJDK 8 に追加されました。ほとんどの場合、ECC は、安全なネットワーク接続を確立するために古い暗号ソリューションよりも推奨されます。(BZ#1245810)

PYCURL は TLSv1.1 または 1.2 を必要とするオプションを提供

今回の更新で、pycurl が拡張され、TLS プロトコルの 1.1 または 1.2 バージョンの使用を要求し、通信のセキュリティーが向上しました。(BZ#1260407)

Perl Net:SSLeay が楕円曲線パラメーターに対応

OpenSSL ライブラリーへのバインディングが含まれる Perl Net:SSLeay モジュールに elliptic-curve パラメーターのサポートが追加されました。つまり、EC_KEY_new_by_curve_name ()、EC_ KEY_free*()SSL_CTX_set_tmp_ecdh ()、および OBJ_txt2nid () サブルーチンがアップストリームから移植されました。これは、IO::Socket::SSL Perl モジュールでの Elliptic Curve Diffie-Hellman Exchange (ECDHE)キー交換のサポートに必要です。(BZ#1316379)

Perl IO::Socket::SSL が ECDHE をサポート

Elliptic Curve Diffie-Hellman Exchange (ECDHE)のサポートが IO::Socket::SSL Perl モジュールに追加されました。新しい SSL_ecdh_curve オプションは、オブジェクト識別子(OID)または名前識別子(NID)で適切な曲線を指定するために使用できます。その結果、IO::Socket:SSL を使用して TLS クライアントを実装する際に、デフォルトの楕円曲線パラメーターをオーバーライドできるようになりました。(BZ#1316377)

tcsh がシステム割り当て機能を使用するようになる

tcsh コマンド言語インタープリターは、ビルトイン割り当て機能の代わりに glibc ライブラリーからの割り当て関数を使用するようになりました。これにより、malloc () ライブラリー呼び出しに関する以前の問題がなくなります。(BZ#1315713)

Python のパフォーマンスの向上

CPython インタープリターは、Python バイトコードを実行するメインの switch ステートメントで計算された goto ステートメントを使用するようになりました。今回の機能拡張により、インタープリターが switch ステートメントの C99 標準で必要とされる境界チェックを回避でき、CPU がより効率的なブランチ予測を実行できるようになり、パイプラインのフラッシュを削減できるようになりました。この機能強化により、Python コードは以前よりも大幅に速く解釈されます。(BZ#1289277)

telnet は、ログインの呼び出し時に IP アドレスを使用するように -i を受け入れるようになりました。

ネットワーク上のコンピューターに複数の IP アドレスがある場合は、以前は 1 つのアドレスを使用して telnet サーバーに接続できますが、他のアドレスは /var/run/utmp ファイルに保存されます。telnet ユーティリティーが DNS ルックアップを実行しないようにし、login ユーティリティーの呼び出し時に telnet が特定の IP アドレスを使用するようにするには、-i オプションを使用できるようになりました。-i は、Debian システムの -N オプションと同じように機能することに注意してください。(BZ#1323094)

sg3_utils が バージョン 1.37-7 にリベースされました。

sg3_utils パッケージは、Small Computer System Interface (SCSI)コマンドセットを使用するデバイスにコマンドラインユーティリティーを提供します。今回の更新により、sg_inq ユーティリティーおよび sg_vpd ユーティリティーにより、ストレージデバイスの機能情報のデコードが可能になりました。また、日付と時刻の情報の表示が正しく表示されるようになりました。sg_rdac ユーティリティーも修正され、10 バイトの Command Descriptor Block (CDB)モードがサポートされるようになりました。これにより、最大 256 個の論理ユニット番号(LUN)を管理できるようになりました。(BZ#1170719)

Python 標準ライブラリーの HTTP クライアントの SSL/TLS 証明書の検証用の新しい設定オプション

Python 標準ライブラリーの HTTP クライアントに、SSL/TLS 証明書の検証用のアプリケーションごとおよびプロセスごとの設定オプションが追加されました。オプションは、493 Python Enhancement Proposal (https://www.python.org/dev/peps/pep-0493/)で説明されています。デフォルトのグローバル設定は、引き続き証明書を検証しません。詳細は、https://access.redhat.com/articles/2039753 を参照してください。(BZ#1315758)

glibc が BIG5-HKSCS-2008 文字セットをサポート

以前は、glibc は以前のバージョンの Hong Kong Supplementary Character Set、BIG5-HKSCS-2004 をサポートしていました。BIG5-HKSCS 文字セットマップが標準の HKSCS-2008 リビジョンに更新されました。これにより、Red Hat Enterprise Linux のお客様は、このバージョンの標準でエンコードされたアプリケーション処理テキストを作成できます。(BZ#1211823)

memtest86+ が バージョン 5.01 にリベース

memtest86+ パッケージがアップストリームバージョン 5.01 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • AMD64 および Intel 64 CPU での最大 2 TB の RAM のサポート
  • 新しい Intel および AMD CPU のサポート(例:Intel Haswell)
  • 実験的 SMT は最大 32 コアをサポートします
詳細な変更は、http://www.memtest.org/#change (BZ#1280352)を参照してください。

mcelog がバージョン 136 にリベース

mcelog パッケージがアップストリームバージョン 136 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、第 5 世代 Intel Core プロセッサー(Broadwell-DE/SoC、Broadwell-EP、Broadwell-EX、および Skylake クライアント)のサポートが含まれています。(BZ#1336431)

xz がバージョン 5.2.2 にリベース

xz パッケージがアップストリームバージョン 5.2.2 にアップグレードされ、複数の最適化の修正、競合状態、翻訳、移植性の修正、および以前はテストにのみ利用できた新しい安定化された API が提供されています。さらに、--flush-timeout オプション(デフォルトでは off)によって制御される新しい実験的な機能が導入されました。圧縮時に、以前のフラッシュおよびより多くの入力がブロックされてから timeout ミリ秒を超える(正の整数)が渡されると、保留中の入力データはすべてエンコーダーからフラッシュされ、出力ストリームで利用可能になります。これは、xz ユーティリティーを使用して、ネットワーク経由でストリーミングされるデータを圧縮する場合に便利です。(BZ#1160193)

tapset に tapestat が追加されました

iostat パッケージ は、テープドライブのパフォーマンスの監視に使用できる tapestat ユーティリティーを提供するようになりました。(BZ#1332662)

多数のプロセッサーに対応しました。

Na パッケージ は、Linux カーネルがサポートするプロセッサーの最大数(Red Hat Enterprise Linux 7.3 のリリース時点で 8192)に対応するようになりました。以前は、sysstat は 2048 を超えるプロセッサーを処理できませんでした。(BZ#1258990)

Ruby がバージョン 2.0.0.648 にリベース

ruby パッケージがアップストリームバージョン 2.0.0.648 にアップグレードされ、バグ修正およびセキュリティー修正が数多く追加されました。これは、アップストリームで非推奨となったため、Ruby 2.0.0 の最新のアップストリーム安定したリリースです。Ruby の最新バージョンは、Red Hat Software Collections を参照してください。(BZ#1197720)

abrt レポートワークフローの強化

abrt でワークフローを報告する問題が強化され、全体的なクラッシュレポートエクスペリエンスおよび顧客ケースの作成が改善されました。機能強化は、以下のとおりです。
  • Provide additional information 画面では、問題が繰り返し発生するかどうかを選択できるようになり、問題を再現する手順を提供する追加の入力フィールドが含まれるようになりました。
  • 新しいレポートワークフローは、報告された問題が重要ではなく、Red Hat サポートチームのサポートが必要ない場合に使用する必要のある匿名レポート を送信 します。
  • 新しいテストが内部ロジックに追加され、Red Hat がリリースする重大な問題およびソフトウェアのケースのみを開くようになりました。(BZ#1258482)

abrt が、特定のプログラムを除外してコアダンプを生成できないようにする

以前は、abrt でブラックリストに登録されたプログラムのクラッシュを無視しても、ディスクに書き込まれるコアダンプを作成して削除できませんでした。この方法では、ディスク領域を使用して不要なクラッシュダンプを保存しないときに、システム管理者にクラッシュを通知できるようになりました。ただし、これらのダンプを作成して後でのみ削除することは、システムリソースが不必要に無駄になっていました。今回の更新で、/etc/abrt/plugins/CCpp.conf 設定ファイルに新しい設定オプション IgnoredPaths が追加されました。これにより、ファイルシステムパスパターンのコンマ区切りリストを指定できるようになり、コアダンプは生成されません。(BZ#1277848)

abrtに追加されたユーザーおよびグループのホワイトリスト

以前は、abrt により、すべてのユーザーがコアダンプを生成および収集できました。これにより、すべてのユーザーが多数のコアダンプを生成し、システムリソースを無駄化できる可能性がありました。今回の更新で、abrt にホワイトリスト機能が追加され、特定のユーザーまたはグループのみがコアダンプを生成できるようになりました。/etc/abrt/plugins/CCpp.conf 設定ファイルの新しい AllowedUsers = user 1、user2、... オプション、および AllowedGroups = group 2, ... オプションを使用して、コアダンプの生成とコレクションをこれらのユーザーまたはグループに制限するか、これらのオプションを空にして、すべてのユーザーとグループのコアダンプを処理するように abrt を設定します。(BZ#1277849)

ABRT が送信したメールの形式が設定可能に

ABRT が送信する電子メールの形式は、reporter-mailx ユーティリティーの新しい -F FORMAT_FILE コマンドラインオプションを使用すると設定できます。このオプションを使用すると、独自の形式を定義できます。-F オプションを指定しないと、reporter-mailx はデフォルトの形式を使用します。これは、重要度ですべての重要な要素をソートします。ファイルのフォーマットに関する詳細は、reporter-mailx (1) の man ページを参照してください。(BZ#1281312)

Oracle ACFS が既知のファイルシステムに含まれるようになりました。

以前は、Oracle ASM Cluster File System (ACFS)は、stat ユーティリティーおよび tail ユーティリティーの既知のファイルシステム間で一覧表示されませんでした。その結果、tail ユーティリティーは、ファイルシステムが認識されなかったことを示すエラーメッセージを出力します。既知のファイルシステムの一覧に ACFS が追加され、上記の状況ではエラーメッセージが表示されなくなりました。
さらに、アップストリームが認識する他のファイルシステムも既知のファイルシステムのリストに追加されました。つまり、bpf_fsbtrfs_testconfigfshfs+hfsxibrixlogfsm1fsnsfsoverlayfsprl_fs、および tracefs。(BZ#1280357)

swigが使用する Octave 3.8 のサポート

以前は、swig 2.0.10 によって生成された Octave コードは、変数やマクロなどの非推奨のビットが含まれるため、10 年 10 月 3.8 では機能しませんでした。今回の更新により、swig はバージョン 3.0.5、3.2.4、3.4.3、3.6.4、および 3.8.0 で動作するコードを生成するようになりました。(BZ#1136487)

sos クラスター プラグインは、タイプ固有のプラグインに分割されました。

sos パッケージの クラスター プラグインは、複数のプラグイン(cmandlmgfs2、および pacemaker)に分割されています。新しいプラグイン組織は、2 つの異なるタイプのクラスター(cman および pacemaker)があることを反映し、特定のコマンドを複数回実行する必要がないようにします。(BZ#1187258)

libvpd がバージョン 2.2.5 にリベースされました。

libvpd パッケージがアップストリームバージョン 2.2.5 に更新され、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、バッファーオーバーフローやメモリー割り当ての検証など、いくつかのセキュリティー修正も実装します。(BZ#1182031)

pchrt および ptaskset の man ページが python-schedutilsに追加されました。

今回の更新で、python-schedutils パッケージで提供される pchrt ユーティリティーおよび ptaskset ユーティリティーに man ページが追加されました。(BZ#948381)

subscription-manager クライアントの SSL 接続のソケットタイムアウト値が設定可能に

以前のバージョンでは、エンタイトルメントサーバーへの SSL 接続のソケットタイムアウト値がハードコーディングされていました。今回の更新で、ユーザーは /etc/rhsm/rhsm.conf ファイルにカスタムの SSL タイムアウト値を設定できるようになりました。より大きな SSL タイムアウトを設定すると、多くのサブスクリプションに関連するコストの高い操作を完了するのに十分な時間を確保できます。(BZ#1346417)

redhat-uep.pem CA 証明書は python-rhsm-certificates パッケージに移動

/etc/rhsm/ca/redhat-uep.pem 認証局(CA)証明書は、以前は python-rhsm パッケージに含まれていました。この更新により、この証明書が、証明書のみを提供する簡素化された python-rhsm-certificates パッケージに移動します。これにより、python-rhsm で必要なすべてのパッケージの依存関係(特に python パッケージ)なしで、コンテナーイメージが python-rhsm-certificates でのみビルドできるようになりました。(BZ#1104332)

gfs2-utils がバージョン 3.1.9 にリベース

gfs2-utils パッケージがアップストリームバージョン 3.1.9 に更新され、以下のような機能強化、新機能、バグ修正が数多く追加されました。
  • fsck.gfs2 が使用するメモリーが少なくなります。
  • fsck.gfs2 の拡張属性およびリソースグループチェックの改善と修正
  • mkfs.gfs2 が進捗を報告し、ユーザーが長い mkfs 操作中にアクティブな状態であることをユーザーに通知できるようにします。
  • mkfs.gfs2 の -t オプションは、より長いクラスター名とファイルシステム名を受け入れるようになりました。
  • udev ヘルパースクリプトが、withdraw でデバイスを一時停止するためにインストールされました。これによりハングできなくなりました。
  • de_rahead フィールドおよび de_cookie dirent フィールドのサポートが追加されました。
  • gfs2_edit savemeta パフォーマンスの向上
  • ロック関連のパフォーマンスの問題を分析するのに役立つ glocktop ユーティリティーが追加されました。
  • man ページの mkfs.gfs2 (8)が再動作しました。
  • man ページの gfs2 (5)に、rgrplbv および loccookie マウントオプションが追加されました。
  • ツリー外のビルドおよびテストの修正(BZ#1271674)

system-switch-java がバージョン 1.7 にリベース

システムのデフォルト Java ツールセットを選択するための使いやすいツールを提供する system-switch-java パッケージがバージョン 1.7 に更新されました。最新の JDK パッケージをサポートするように新しいバージョンが書き換えられました。主な機能強化には、複数の Java インストールのサポート、-debug パッケージの追加、および JDK 9 のサポートが含まれます。(BZ#1283904)

特定の Intel マイクロアーキテクチャーに対するオプションのブランチ予測の最適化

第 2 世代 Xeon Phi および 3 世代 Atom マイクロアーキテクチャーのブランチ予測は、ブランチとブランチターゲット間の 32 ビットオフセットのみをサポートします。ブランチとそのターゲットが 4 GiB を超える場合、パフォーマンスは非常に低下しました。
今回の更新で、LD_PREFER_MAP_32BIT_EXEC 環境変数が設定されている場合、glibc はメインプログラムと共有オブジェクトをアドレス空間の最初の 31 ビットにマッピングし、上記のアーキテクチャーでパフォーマンスを向上するようになりました。この改善により、アドレス空間レイアウトのランダム化(ASLR)が削減されるため、デフォルトでは有効になっていないことに注意してください。(BZ#1292018)

AVX 512 を使用した Intel ハードウェア用に最適化されたメモリールーチン

今回の更新で、AVX 512 を使用して Intel ハードウェア用のコア C ライブラリー(glibc)に最適化されたメモリーコピールーチンが提供されます。これらの最適化されたルーチンは、アプリケーションが AVX 512 対応ハードウェアで C ライブラリー memcpy ()memmove ()、または memset () 関数を使用する場合に自動的に選択されます。
AVX 512 対応メモリーコピールーチンは、特に第 2 世代 Xeon Phi システムでこの機能をサポートする最新の Intel ハードウェアで最適なパフォーマンスを提供します。(BZ#1298526)

better-performance memset () ルーチン

今回の更新で、Intel Xeon v5 サーバーハードウェアのコア C ライブラリー memset () ルーチンに鍵の最適化が提供されます。AMD64 および Intel 64 アーキテクチャー用の既存の memset () ルーチンは、一時的なストアを多用し、ハードウェアバリアント間で統一されたパフォーマンスを提供しないハードウェア機能です。新しい memset () は、Intel Xeon v5 ハードウェアを含むハードウェアバリアント全体でパフォーマンスが向上します。(BZ#1335286)

glibcでの --instLangs オプションのサポート

glibc-common パッケージは、glibc でサポートされるすべてのロケールのデータを含む大きなロケールアーカイブを提供します。通常のインストールにはこれらのロケールのサブセットのみが必要で、それらをすべてインストールすることは無駄です。今回の更新により、必要なロケールのみを含むシステムインストールおよびコンテナーイメージを作成できるようになり、イメージサイズが大幅に削減されるようになりました。(BZ#1296297)

glibc for IBM POWER8 の最適化

今回の更新で、glibc が提供するすべてのライブラリーがコンパイルされ、POWER8 ハードウェアで最適実行が可能になりました。64 ビット IBM POWER7 および POWER8 ハードウェア用に最適化されたメモリーおよび文字列操作ルーチンがコア C ライブラリー(glibc)に追加されました。これらの最適化されたルーチンは、アプリケーションが strncat ()や strnc mp ()などの C ライブラリールーチンを使用すると自動的に選択され ます。これらの POWER7 および POWER8- 対応ルーチンは、最新の IBM ハードウェアで最適なパフォーマンスを提供します。(BZ#1213267, BZ#1183088, BZ#1240351)

glibc for IBM z Systems z13 の最適化

コア C ライブラリー(glibc)が拡張され、IBM z Systems z13 ハードウェアに最適化されたサポートを提供できるようになりました。strncpy ()memcpy ()などのコア文字列とメモリー操作ルーチンはすべて最適化されています。z13 対応のルーチンは、最新の IBM ハードウェアで可能な限り最高のパフォーマンスを提供します。(BZ#1268008)

sos パッケージに追加された元のプラグイン

作成 のプラグインが sos パッケージに追加されました。プラグインは、OpenShift Origin および関連製品に関する情報( Atomic Platform または OpenShift Enterprise 3 以降など)を収集します。これにより、ユーザーは OpenShift Origin デプロイメントについての情報を収集できます。(BZ#1246423)

gssproxykrb5 1.14 に対応するようになりました。

GSSAPI 認証情報および GSSAPI 内部プラグインへのアクセスを管理するデーモンを提供する gssproxy パッケージがアップストリームバージョン 0.4.1-10 に更新されました。gssproxy は、バージョン 1.14 の krb5 パッケージに対応するようになりました。(BZ#1292487)

ABRT reporter-upload ツールのオプションの SSH キーファイルを設定する可能性が追加されました。

今回の更新で、ABRT (Automatic Bug Reporting Tool)の reporter-upload ユーティリティーで SSH キーを設定できるようになりました。キーファイルを指定するには、次のいずれかの方法を選択します。
  • /etc/libreport/plugins/upload.conf 設定ファイルで SSHPublicKey および SSHPrivateKey オプションを使用
  • 公開鍵と秘密鍵にそれぞれ -b および -r コマンドラインオプションを使用
  • Upload_SSHPublicKey および Upload_SSHPrivateKey 環境変数をそれぞれ設定します。
これらのオプションまたは変数が指定されていない場合、reporter-upload はユーザーの ~/.ssh/ ディレクトリーからのデフォルトの SSH キーを使用します。(BZ#1289513)

第8章 デスクトップ

新規パッケージ: pidgin および pidgin-sipe

今回の更新で、以下が追加されました。
  • 未記録(OTR)メッセージングと Microsoft Lync インスタントメッセージングアプリケーションをサポートする pidgin インスタントメッセージングクライアント。
  • Lync のサポートを実装するバックエンドコードが含まれる pidgin-sipe プラグイン。
ユーザーは、Microsoft Lync を使用するには、アプリケーションとプラグインの両方が必要です。(BZ#1066457, BZ#1297461)

GNOME ターミナルで設定可能な wheel インクリメントをスクロール

今回の更新で、_gnome-terminal パッケージがアップグレードされ、スクロール wheel 設定が GNOME 端末で設定できるようになりました。スクロール設定には、チェックボタンとスピンボタンが含まれており、動的スクロールまたは固定スクロールの増分を選択できます。デフォルトのオプションは、表示される行数に基づく動的なスクロール増加です。(BZ#1103380)

vinagre ユーザーエクスペリエンスの改善

Vinagre リモートデスクトップビューアーにより、以下のユーザーエクスペリエンスが強化されました。
  • 最小ボタンはフルスクリーンツールバーで利用できるため、カスタムオプションへのアクセスが容易になります。
  • Remote Desktop Protocol (RDP)セッションをスケーリングできるようになりました。Connect ダイアログでセッションサイズを設定できます。
  • シークレットサービスを使用して、リモート認証情報を安全に保存および取得できるようになりました。(BZ#1291275)

ターミナルタブまたはウィンドウのカスタムタイトル

今回の更新で、ユーザーは gnome-terminal のターミナルウィンドウまたはタブにカスタムタイトルを設定できるようになりました。タイトルは、gnome-terminal ユーザーインターフェイスで直接変更できます。(BZ#1296110)

タブとウィンドウを復元するための別のメニュー項目

今回の更新で、gnome-terminal でタブとウィンドウを開くための別のメニュー項目が復元されます。キーボードショートカットに慣れることなく、タブとウィンドウの組み合わせを簡単に開くことができるようになりました。(BZ#1300826)

ネイティブ Gnome/GTK+ Qt アプリケーションを検索します。

以前は、デフォルトの Qt スタイルは Qt アプリケーションの一貫性を提供していなかったため、Gnome デスクトップには適合しませんでした。これらのアプリケーションに新しい adwaita-qt スタイルが提供され、Qt と GTK+ アプリケーションの視覚的な違いが最小限になりました。(BZ#1306307)

Rhythmbox が バージョン 3.3.1 にリベースされました。

Rhythmbox は GNOME のデフォルトマスプレーヤーです。簡単に使用でき、プレイリスト、Pod キャスト再生、音声ストリーミングなどの機能が含まれます。rhythmbox パッケージがアップストリームバージョン 3.3.1 にアップグレードされました。以下は、主な変更点です。
  • Android デバイスのサポートを改善
  • 追跡リストの下に新しいタスクの進捗が表示されます。
  • composer、disk、および track total tags のサポート
  • 再生制御およびソースリストの新しいスタイル
  • さまざまな警告および予期しない終了エラーに関するバグ修正が数多く追加されました(BZ#1298233)

libreoffice がバージョン 5.0.6.2 にリベースされました。

libreoffice パッケージがアップストリームバージョン 5.0.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下に例を示します。
  • ステータスバーとさまざまなサイドバーのデククが改善されました。
  • ユーザービリティーを向上させるために、さまざまなツールバーとコンテキストメニューがクリーンアップまたは再編成されました。
  • 色セレクターが再機能しました。
  • 新規テンプレートが作成されました。
  • テンプレートは Start Center に直接表示され、そこから選択できるようになりました。
  • libreoffice に、ドキュメントが読み取り専用モードで開かれているときに表示される情報バーが表示されるようになりました。
  • 非推奨の NPAPI を使用して、特定の Web ブラウザーに libreoffice を埋め込む可能性は削除されました。
  • libreoffice から直接、SharePoint 2010 および 2013 および OneDrive に接続することができます。
  • 式をダイレクト値、マスタードキュメントテンプレートに変換したり、.ase 形式での Swatch Exchange カラーパレットを読み取ったり、PageMaker ドキュメントをインポートしたり、デジタル署名された PDF ファイルをエクスポートしたりするためのサポート。
  • A:A または 1:1 表記を使用して、列全体または行への参照を指定できるようになりました。
  • Microsoft Office ドキュメントの形式との相互運用性が改善されました。
このアップグレードで提供されるバグ修正および機能拡張の完全な一覧は、https://wiki.documentfoundation.org/ReleaseNotes/4.4 および https://wiki.documentfoundation.org/ReleaseNotes/5.0 を参照してください。(BZ#1290148)

Windows Server 2012 R2、Windows 10、および Windows 8.1 の GNOME ボックスサポート

GNOME ボックスは、Windows Server 2012 R2、Windows 10、および Windows 8.1 での仮想マシンの作成に対応するようになりました。(BZ#1257865, BZ#1257867, BZ#1267869)

vmware グラフィックドライバーが VMware Workstation 12 で 3D アクセラレーションをサポートするようになりました

以前は、Red Hat Enterprise Linux の vmware グラフィックドライバーは、VMware Workstation 12 仮想マシン(VM)で 3D アクセラレーションをサポートしていませんでした。その結果、GNOME デスクトップは GPU ではなくホストの CPU でレンダリングされました。ドライバーは、VMware Workstation 12 仮想グラフィックスアダプターをサポートするように更新されました。その結果、GNOME デスクトップは 3D アクセラレーションを使用してレンダリングされるようになりました。(BZ#1263120)

libdvdnav がバージョン 5.0.3 にリベース

libdvdnav ライブラリーを使用すると、任意のオペレーティングシステムの DVD メニューをナビゲートできます。libdvdnav パッケージがバージョン 5.0.3 にアップグレードされました。以下は、主な変更点です。
  • メニューレス DVD のバグを修正しました。
  • 複数変更 DVD での再生の問題を修正
  • DVD ドライブに現在設定されている領域とは異なるリージョンから DVD を再生すると予期せぬ終了を修正
  • 特定の DVD を読み取る際のメモリーバグを修正(BZ#1068814)

GIMP がバージョン 2.8.16 にリベースされました。

GNU Image Manipulation Program (GIMP)がバージョン 2.8.16 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
Core:
  • XCF ファイルのより堅牢なロード
  • XCF ファイルを書き込む際のパフォーマンスと動作の改善
GUI:
  • ウィジェットの方向は、GUI 用に設定された言語の方向に自動的に一致します。
  • タグの大きなスクロール領域
  • ドラッグアンドドロップ(DND)カーソルによるドックタブの切り替えを修正しました。
  • DND は 1 つのドック可能なイメージ間で機能します
  • 保存ダイアログに予期しない終了の問題がない
プラグイン:
  • script-fu サーバーのセキュリティーの強化
  • BMP 形式のファイルの読み取りおよび書き込みを修正
  • PDF プラグインでのフォントのエクスポートを修正しました。
  • OpenRaster ファイルでのレイヤーグループのサポート
  • レイヤーグループを使用した PSD ファイルのロードを修正(BZ# 1298226)

gimp-help がバージョン 2.8.2 にリベース

gimp-help パッケージがアップストリームバージョン 2.8.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべきは、ブラジルポルトガル語への完全な翻訳も実装することです。(BZ#1370595)

Qt5 が Red Hat Enterprise Linux 7 に追加

Red Hat Enterprise Linux 7 に新しいバージョンの Qt ライブラリー(Qt5)が追加されました。このバージョンの Qt は、開発者や、以前のバージョンで欠けていたモバイルデバイスのサポートに多くの機能を提供しています。(BZ#1272603)

system-config-languageで新しい言語を設定する場合の UI メッセージの改善

以前は、言語 グラフィカルツール( system-config-language パッケージ)でインストールする新しい言語を選択し、選択した言語グループが利用できないと、表示されるエラーメッセージが十分に明確ではありませんでした。たとえば、イタリア語(スイス) を選択している場合は、表示されるメッセージは以下のようになります。
Due to comps cleanup italian-support group got removed and no longer exists. Therefore only setting the default system language
今回の更新により、メッセージが更新され、以下の例のようになります。
Due to comps cleanup, italian-support group no longer exists and its language packages will not be installed. Therefore only setting Italian as the default system language.
新しいメッセージは、新しいパッケージをインストールせずに新しい言語が有効になっていることを意味します。次に再起動すると、システムは選択した言語で起動します。(BZ#1328068)

新しいパッケージ: pavucontrol

今回の更新で、PulseAudio サウンドサーバーの GTK ベースのボリューム制御アプリケーションである PulseAudio Volume Control を含む pavucontrol パッケージが追加されました。このアプリケーションを使用すると、異なるオーディオストリームの出力を headsets や speakers などのさまざまな出力デバイスに送信できます。すべてのオーディオ制御パネルが同じ出力デバイスに送信するデフォルトのオーディオ制御パネルで、個別のルーティングは不可能です。(BZ#1210846)

libdvdread がバージョン 5.0.3 にリベース

libdvdread パッケージがバージョン 5.0.3 にリベースされました。以下は、主な変更点です。
  • 多数のクラッシュ、アサーション、および破損の修正
  • C++ アプリケーションのコンパイルを修正
  • .MAP ファイルを再マッピングするための未使用の機能を削除
  • dvdnavmini ライブラリーの削除
  • DVDOpenStream API を追加
API が変更されたため、.so バージョンも変更になりました。libdvdread に依存するサードパーティーソフトウェアは、この新しいバージョンに対して再コンパイルする必要があります。(BZ#1326238)

gnome-weather用の新しい weather サービス

gnome-weather アプリケーションは、National Oceanic および Atmospheric Administration (NOAA)が提供する METAR サービスを使用していました。ただし、NOAA は METAR サービスを提供するために停止しました。今回の更新で、Aviation Weather Center (AWC)および gnome-weather が提供する新しい METAR サービスが期待どおりに機能するようになりました。(BZ#1371550)

libosinfo がバージョン 0.3.0 にリベース

libosinfo パッケージがバージョン 0.3.0 に更新されました。以前のバージョンに対する主な変更点は、最新バージョンの Red Hat Enterprise Linux および Ubuntu のオペレーティングシステムのデータの改善、およびいくつかのメモリーリークの修正が含まれます。(BZ#1282919)

第9章 ファイルシステム

XFS ランタイムの統計は、/sys/fs/ ディレクトリーのファイルシステムごとに利用できます。

既存の XFS グローバル統計ディレクトリーは、/proc/fs/xfs/ ディレクトリーから /sys/fs/xfs/ ディレクトリーに移動し、/proc/fs/xfs/stat のシンボリックリンクと、以前のバージョンとの互換性を維持します。/sys/fs/xfs/sdb 7/stats および /sys/fs/xfs/ sdb 8 /stats などのファイルシステムごとの統計に対して、新しいサブディレクトリーが作成され、維持されます。以前は、XFS ランタイム統計はサーバーごとにのみ利用可能でした。XFS ランタイム統計がデバイスごとに利用できるようになりました。(BZ#1269281)

mkfs.gfs2に進捗インジケーターが追加されました。

mkfs.gfs2 ツールは、ジャーナルとリソースグループの構築時に進捗を報告するようになりました。mkfs.gfs2 が大規模または低速なデバイスで完了するのに時間がかかる可能性があるため、報告が出力されるまで mkfs.gfs2 が正常に機能している場合は明確ではありませんでした。mkfs.gfs2 に進捗バーが追加されました。これは進行状況を示します。(BZ#1196321)

fsck.gfs2 が拡張され、大規模なファイルシステムで非常に少ないメモリーを必要とするようになりました。

今回の更新以前は、Global File System 2 (GFS2)ファイルシステムチェッカー fsck.gfs2 では、大容量のファイルシステムで大量のメモリーを実行し、100 TB を超えるファイルシステムで fsck.gfs2 を実行することが実用的でした。今回の更新で、fsck.gfs2 が大幅に少ないメモリーで実行するように強化されました。これにより、スケーラビリティーが向上し、fsck.gf2 をはるかに大きなファイルシステムで実行できるようになります。(BZ#1268045)

GFS2 が拡張され、glock のスケーラビリティーが向上しました。

Global File System 2 (GFS2)で、再度閉じても多数のファイルを開いたり、作成したりして、スラブメモリーに多くの GFS2 クラスターロック(glocks)を残します。glock の数が数百万であった場合、GFS2 は以前は速度低下を開始していました。特にファイル create の場合、GFS2 はファイル作成に徐々に遅くなりました。今回の更新で、GFS2 が拡張され、glock のスケーラビリティーが向上するようになり、GFS2 は数百万のファイル作成で優れたパフォーマンスを維持できるようになりました。(BZ#1172819)

xfsprogs がバージョン 4.5.0 にリベース

xfsprogs パッケージがアップストリームバージョン 4.5.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。Red Hat Enterprise Linux 7.3 カーネル RPM では、アップグレードされたバージョンの xfsprogs が必要です。これは、新しいデフォルトのディスク上のフォーマットでは、xfs_repair ユーティリティーの実行時にログサイクル番号を特別な処理する必要があるためです。以下は、主な変更点です。
  • メタデータ周期冗長性チェック(CRC)およびディレクトリーエントリーファイルタイプがデフォルトで有効になりました。以前のバージョンの Red Hat Enterprise Linux 7 で使用されていた古い mkfs のオンディスク形式を複製するには、mkfs.xfs コマンドラインで -m crc=0 -n ftype=0 オプションを使用します。
  • GETNEXTQUOTA インターフェイスが xfs_quota に実装されるようになりました。これにより、ユーザーデータベースのエントリー数が非常に大きい場合でも、すべてのオンディスククォータでの高速な反復が可能になりました。
また、アップストリームと Red Hat Enterprise Linux 7.3 では、以下の違いに注意してください。
  • 実験的なスパース inode 機能は利用できません。
  • 以前の Red Hat Enterprise Linux 7 カーネルバージョンとの互換性を確保するために、空き inode btree (finobt)機能はデフォルトで無効になっています。(BZ#1309498)

CIFS カーネルモジュールがバージョン 6.4 にリベース

Common Internet File System (CIFS)がアップストリームバージョン 6.4 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下に例を示します。
  • Kerberos 認証のサポートが追加されました。
  • MFSymlink のサポートが追加されました。
  • 名前付きパイプ mknod および mkfifo が許可されるようになりました。
また、いくつかのメモリーリークを特定して修正しました。(BZ#1337587)

クォータ が、利用できない クォータ RPC サービスを使用した NFS マウントポイントに関する警告の抑制に対応

ユーザーがクォータツールでディスククォータを一覧表示し、ローカルシステムがクォータ RPC サービスを提供しなかった NFS サーバーでネットワークファイルシステムをマウントした場合、クォータ ツールが サーバーに クォータ を取得する際 にエラーを返しました。クォータツールは、クォータ RPC サービスなしで、到達不能な NFS サーバーと到達可能な NFS サーバーを区別できるようになり、2 番目のケースではエラーが報告されなくなりました。(BZ#1155584)

/proc/ ディレクトリーは、red-black ツリーの実装を使用してパフォーマンスを向上するようになりました。

以前は、/proc/ ディレクトリーエントリーの実装はリンクリストを 1 つ使用し、エントリーが多数含まれるディレクトリーの操作が遅くなりました。今回の更新で、リンクされた単一のリスト実装が、赤いブラックツリー実装に置き換えられました。これにより、ディレクトリーエントリーの操作のパフォーマンスが向上します。(BZ#1210350)

第10章 ハードウェアの有効化

CAPI フラッシュブロックアダプターのサポートが追加されました。

Coherent Accelerator Processor Interface (CAPI)は、I/O アダプターがホストメモリーに一貫してアクセスできるようにするテクノロジーであるため、パフォーマンスが向上します。今回の更新で、IBM の CAPI フラッシュブロックアダプターをサポートする cxlflash ドライバーが追加されました。(BZ#1182021)

MMC カーネルがバージョン 4.5 にリベース

今回の更新で、Multimedia Card (MMC)カーネルサブシステムがアップストリームバージョン 4.5 にアップグレードされ、複数のバグが修正され、Red Hat Enterprise Linux 7 カーネルが組み込み MMC (eMMC)インターフェイスバージョン 5.0 を使用できるようになりました。さらに、更新により、MMC デバイスのサスペンドおよび再開機能と、その一般的な安定性が改善されます。(BZ#1297039)

iWARP マッパーサービスの追加

今回の更新で、Red Hat Enterprise Linux 7 に Internet Wide Area RDMA Protocol (iWARP)マッパーのサポートが追加されました。iWARP マッパーは、以下の iWARP ドライバーが標準のソケットインターフェイスを使用して TCP ポートを要求できるようにするユーザー空間サービスです。
  • Intel i40iw
  • NES
  • chelsio cxgb4
iWarp マッパーサービス(iwpmd)を正常に開始するには、iw_cm および ib_core カーネルモジュールの両方を読み込む必要があることに注意してください。(BZ#1331651)

新しいパッケージ: memkind

今回の更新で、jemalloc メモリーアロケーターの拡張として構築されたユーザー拡張ヒープマネージャーライブラリーを提供する memkind パッケージが追加されました。このライブラリーを使用すると、オペレーティングシステムポリシーが仮想アドレス範囲に適用される際に定義されるメモリータイプ間で配置されたメモリーヒープのパーティション設定が可能になります。さらに、memkind を使用すると、ユーザーはメモリーのパーティション機能を制御し、指定したメモリー機能セットでメモリーを割り当てることができます。(BZ#1210910)

AHCI ドライバーのポートごとの MSI-X サポート

Advanced Host Controlled Interface (AHCI)のドライバーは、ポートごとのメッセージシグナル割り込み(MSI-X)ベクトルに対して更新されました。これは、この機能をサポートするコントローラーにのみ適用されることに注意してください。(BZ#1286946)

IBM z Systems のランタイムインストルメンテーションが完全にサポートされるようになりました。

以前はテクノロジープレビューとして利用できた Runtime Instrumentation 機能は、IBM z Systems の Red Hat Enterprise Linux 7 で完全にサポートされるようになりました。ランタイムのインストルメンテーションにより、IBM zEnterprise EC12 システムで利用可能な多くのユーザー空間アプリケーションの高度な分析と実行が可能になります。(BZ#1115947)

第11章 インストールおよび起動

インストール時にネットワークトラフィックがブロックされた場合のロギングの改善

今回の更新で、インストール時にネットワークリポジトリーへの接続を試行する際にロギングが改善されました。インストール時にネットワークリポジトリーに接続に問題がある場合、ログに問題の原因に関する詳細な情報が含まれるようになりました。(BZ#1240379)

メモリーアドレス範囲ミラーリングのサポート

今回の更新で、互換性のあるハードウェア上の EFI ベースのシステムで、新しい --mirror-below-4G オプションおよび --mirror-above-4G オプションとともに efibootmgr ユーティリティーを使用して、メモリーアドレス範囲ミラー リングを設定できるようになりました。(BZ#1271412)

Yum および NetworkManagerにおけるデフォルトのログレベルの増加

今回の更新で、Yum ユーティリティーおよび NetworkManager ユーティリティーでデフォルトのログレベルが増加しました。(BZ#1254368)

ドライバー更新ディスクは、読み込まれたモジュールを置き換えることができるようになりました

Driver Update Disk を使用して、元のモジュールが使用されていない場合に、すでに読み込まれているモジュールを置き換えることができるようになりました。(BZ#1101653)

第12章 カーネル

protobuf-c パッケージが IBM Power Systems アーキテクチャーのリトルエンディアンバリアントで利用可能になりました。

今回の更新で、IBM Power Systems アーキテクチャーのリトルエンディアンバリアントに protobuf-c パッケージが追加されました。protobuf-c パッケージは、Google の Protocol Buffer の C バインディングを提供し、上記のアーキテクチャーの criu パッケージの前提条件です。criu パッケージは、CRIU (Checkpoint/Restore in User space)機能を提供します。これにより、プロセスのグループまたはプロセスのグループをチェックポイントおよび復元できます。(BZ#1289666)

CAN プロトコルがカーネルで有効になっている。

CAN (Controller Area Network)プロトコルカーネルモジュールが有効になり、CAN デバイスドライバーのデバイスインターフェイスが提供されています。CAN は元々自動車バス仕様で、自動車体系でさまざまなマイクロコントローラーを接続することを目的としており、他の領域に拡張しました。CAN は、高性能インターフェイスが必要で、RS-485 などの他のインターフェイスでは不十分である industrial および machine コントロールでも使用されます。CAN プロトコルモジュールからエクスポートされた関数は、CAN デバイスドライバーによって使用され、カーネルがデバイスを認識し、アプリケーションがデータを接続および転送できるようにします。カーネルで CAN を有効にすると、サードパーティーの CAN ドライバーおよびアプリケーションを使用して CAN ベースのシステムを実装できます。(BZ#1311631)

kexec-toolsへの永続メモリーサポートの追加

Linux カーネルは、NVDIMM (Non-Volatile Dual In-line Memory Module)メモリーデバイスの E820_PRAM および E820_PMEM タイプに対応するようになりました。アップストリームからパッチがバックポートされ、kexec-tools がこれらのメモリーデバイスもサポートするようになりました。(BZ#1282554)

libndctl - ユーザー空間 nvdimm 管理ライブラリー

libndctl ユーザー空間ライブラリーが追加されました。これは、カーネル libnvdimm サブシステムによって提供される ioctl および sysfs エントリーポイントへの C インターフェイスのコレクションです。ライブラリーは、NVDIMM 対応プラットフォームの高レベルの管理ソフトウェアを有効にし、NVDIMM を管理するためのコマンドラインインターフェイスも提供します。(BZ#1271425)

hpvsa ドライバーおよび hpdsa ドライバーをサポートする kABI ホワイトリストの新しいシンボル

今回の更新で、カーネル Application Binary Interface (kABI)ホワイトリストに一連のシンボルが追加され、hpvsa ドライバーおよび hpdsa ドライバーがサポートされるようになりました。
新たに追加されたシンボルは以下のとおりです。
  • scsi_add_device
  • scsi_adjust_queue_depth
  • scsi_cmd_get_serial
  • scsi_dma_map
  • scsi_dma_unmap
  • scsi_scan_host (BZ#1274471)

crash がバージョン 7.1.5 にリベース

crash パッケージがアップストリームバージョン 7.1.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべきは、このリベースにより、s の dis -s、di-f、sys -ilist -l、64 ビット ARM アーキテクチャーで生成される Quick Emulator (QEMU)が生成した Executable および Linkable Format (ELF) vmcore の新しいサポート、および最新のアップストリームカーネルのサポートに必要な更新が複数追加されまし た。個別のパッチをバックポートするよりも、クラッシュ パッケージをリベースするより安全かつ効率的です。(BZ#1292566)

新しいパッケージ: crash-ptdump-command

crash-ptdump-command は、crash ユーティリティーに ptdump サブコマンドを追加するためのクラッシュ拡張モジュールを提供する新しい rpm パッケージです。ptdump サブコマンドは、Intel プロセッサートレース機能によって生成されたログバッファーを vmcore ファイルから取得およびデコードし、ファイルに出力します。この新しいパッケージは、EM64T および AMD64 アーキテクチャー向けに設計されています。(BZ#1298172)

アンビエント機能がサポートされるようになりました

機能は、従来スーパーユーザー権限に関連付けられた権限を複数の個別のユニットに分割するために Linux カーネルによって使用されるスレッドごとの属性です。今回の更新で、カーネルへのアンビエント機能のサポートが追加されました。アンビエント機能は、execve () システムコールを使用してプログラムを実行する場合に保持される一連の機能です。許可および継承可能な機能のみがアンビエントできます。prctl () 呼び出しを使用して、アンビエント機能を変更できます。一般的なカーネル機能の詳細は capabilities (7) man ページと、prctl 呼び出しの詳細は prctl (2 ) man ページを参照してください。(BZ#1165316)

CPUID が 利用可能に

今回の更新で、Red Hat Enterprise Linux で cpuid ユーティリティーが利用できるようになりました。このユーティリティーは、CPUID 命令から収集された CPU に関する詳細情報をダンプし、CPU の正確なモデルも決定します。Intel、AMD、および VIA CPU をサポートします。(BZ#1307043)

FC-FCoE シンボルが KABI ホワイトリストに追加されました。

今回の更新で、libfc および libfcoe カーネルモジュールに属するシンボルの一覧が、カーネル Application Binary Interface (KABI)ホワイトリストに追加されました。これにより、libfc および libfcoe に依存する Fibre Channel over Ethernet (FCoE)ドライバーが、新たに追加されたシンボルを安全に使用できるようになりました。(BZ#1232050)

新しいパッケージ:OpenPower システム用の opal-prd

新しい opal-prd パッケージには、ハードウェア固有のリカバリープロセスを処理するデーモンが含まれており、起動後にバックグラウンドのシステムプロセスとして実行する必要があります。OPAL ファームウェアと対話してハードウェアエラーの原因を取得し、管理プロセッサーにログイベントを取得し、必要に応じて回復可能なエラーを処理します。(BZ#1224121)

新規パッケージ: libcxl

新しい libcxl パッケージには、カーネル cxl 関数を介して CAPI ハードウェアにアクセスするためのユーザー空間のアプリケーション用のユーザー空間ライブラリーが含まれています。IBM Power Systems および IBM Power Systems アーキテクチャーのリトルエンディアンバリアントで利用できます。(BZ#1305080)

新たに追加された iproute コマンドのカーネルサポート

今回の更新で、新たに追加された iproute コマンドの正しい機能を確保するために、カーネルサポートが追加されました。提供されるパッチセットには以下が含まれます。
  • IPsec インターフェイスの拡張機能。接頭辞のポリシーをハッシュ化できます。
  • 事前盗まれたしきい値に基づいてハッシュの接頭辞が付けられたポリシーを追加します。
  • netlink によるポリシーハッシュテーブルしきい値の設定。(BZ#1222936)

PID cgroup コントローラーのバックポート

今回の更新で、新しい Process Identifier (PID)コントローラーが追加されました。このコントローラーは cgroup ごとのプロセスに対応し、cgroup 階層が特定の制限に達した後に新規タスクをフォークしたり、クローンしたりできないようにすることができます。(BZ#1265339)

mpt2sas および mpt3sas がマージ

mpt2sas ドライバーおよび mpt3sas ドライバーのソースコードがマージされました。アップストリームとは異なり、Red Hat Enterprise Linux 7 は互換性のために 2 つのバイナリードライバーを維持します。(BZ#1262031)

ksc で複数の .ko ファイルを指定できるようにします。

以前は、ksc ユーティリティーの 1 回の実行に複数の .ko ファイルを追加できませんでした。したがって、複数のカーネルモジュールを含むドライバーは、1 回の実行で ksc に渡されませんでした。今回の更新により、-k オプションが同じ実行で複数回指定できるようになりました。したがって、ksc の 1 回の実行を使用して、複数のカーネルモジュールが使用するシンボルをクエリーできます。これにより、すべてのモジュールで使用されるシンボルを含む 1 つのファイルが生成されます。(BZ#906659)

dracut update

dracut initramfs ジェネレーターは、以前のバージョンに比べて多くのバグ修正と機能拡張で更新されました。以下に例を示します。
  • dracut が新しいカーネルコマンドラインオプション rd.emergency=[reboot|poweroff|halt] を取得しました。これは、重大な障害が発生した場合に実行するアクションを指定します。rd.emergency=[reboot|poweroff|halt] を使用する場合は、rd.shell=0 オプションも指定する必要があります。
  • reboot コマンド、poweroff コマンド、および halt コマンドが dracut の緊急シェルで動作するようになりました。
  • dracut がカーネルコマンドラインで複数のボンディング、ブリッジ、および VLAN 設定をサポートするようになりました。
  • デバイスタイムアウトは、rd.device.timeout=<seconds> オプションを使用してカーネルコマンドラインで指定できる ようになりました。
  • カーネルコマンドラインで指定された DNS ネームサーバーが DHCP で使用されるようになりました。
  • dracut が 20 バイトの MAC アドレスをサポートするようになりました。
  • Maximum Transmission Unit (MTU)および MAC アドレスが DHCP および IPv6 Stateless Address AutoConfiguration (SLAAC)に対して正しく設定されるようになりました。
  • ip= カーネルコマンドラインオプションが括弧内の MAC アドレスに対応するようになりました。
  • dracut が NFS over RDMA (NFSoRDMA)モジュールに対応するようになりました。
  • kdump のサポートが Fibre Channel over Ethernet (FCoE)デバイスに追加されました。FCoE デバイスの設定は、kdump initramfs でコンパイルされます。カーネルクラッシュダンプを FCoE デバイスに保存できるようになりました。
  • dracut--install-optional <file list > オプションと install_optional_items+= <file>[ <file> ...] 設定ファイル ディレクティブをサポートするようになりました。新しいオプションまたはディレクティブを使用する場合は、ファイルが存在する場合はインストールされ、存在しない場合はエラーが返されません。
  • dracut DHCP は、rfc3442-classless-static-routes オプションを認識するようになりました。これにより、クラスレスネットワークアドレスを使用できます。(BZ#1359144, BZ#1178497, BZ#1324454, BZ#1194604, BZ#1282679, BZ#1282680, BZ#1332412, BZ#1319270, BZ#1271656, BZ#1271656, BZ#1367374, BZ#1169672, BZ#1222529, BZ#1260955)

Wacom Cintiq 27 QHD のサポート

Wacom Cintiq 27 QHD タブレットが Red Hat Enterprise Linux 7 でサポートされるようになりました。(BZ#1342989)

Intel® Omni-Path Architecture (OPA)カーネルドライバーの完全サポート

以前はテクノロジープレビューとして利用できた Intel® Omni-Path Architecture (OPA)カーネルドライバーが完全にサポートされるようになりました。Intel® OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送(高帯域幅、高メッセージレート、低レイテンシー)のために、初期化とセットアップを備えた Host Fabric Interconnect (HFI)ハードウェアを提供します。
Intel® Omni-Path Architecture のドキュメントを取得する方法については、https://access.redhat.com/articles/2039623 を参照してください。(BZ#1374826)

root 以外のユーザーが利用できる Cyclitest --smi オプション

今回の更新で、ユーザーが リアルタイム グループに属する場合、root 以外のユーザーとして --smi オプションを指定して cyclictest プログラムを使用できるようになりました。システム管理割り込み(SMI)をサポートするプロセッサーでは、--smi は、以前は root ユーザーでのみ利用できたシステムの SMI に関するレポートを表示します。(BZ#1346771)

新しい Smart Array ストレージアダプターのサポートを追加

Red Hat Enterprise Linux 7.2 以前のバージョンでは、新しい Smart Array ストレージアダプターが正式にサポートされていません。ただし、これらのアダプターは aacraid ドライバーによって検出され、システムが正しく機能するように表示されました。今回の更新で、新しい Smartpqi ドライバーで、新しい Smart Array ストレージアダプター 適切にサポートされるようになりました。更新すると、これらのアダプターのドライバー名が変更されることに注意してください。(BZ#1273115)

Linux カーネルが、信頼済み Virtual Function (VF)の概念に対応

アップストリームのコードは Linux カーネルにバックポートされ、信頼できる Virtual Function (VF)の概念のサポートを提供します。その結果、信頼できる VF はマルチキャストプロミスキャスモードを有効化できるようになりました。これにより、30 を超える IPv6 アドレスを割り当てることができます。信頼できる VF は、メディアアクセス制御(MAC)アドレスを上書きすることもできます。(BZ#1302101)

seccomp モード 2 が IBM Power Systems でサポートされるようになりました。

今回の更新で、IBM Power Systems で seccomp モード 2 のサポートが追加されました。seccomp モード 2 には、システムコールのフィルターリングを定義する Berkeley Packet Filter (BPF)設定ファイルの解析が含まれます。このモードは、IBM Power Systems 上の Linux でのコンテナー導入に欠かせない主なセキュリティー機能強化を提供します。(BZ#1186835)

メモリー帯域幅の監視が追加されました。

今回の更新で、Linux カーネルにメモリー帯域幅の監視(MBM)が追加されました。MBM は、特定のタスクまたはリソース監視 ID (RMID)に関連するタスクのメモリー帯域幅の使用状況を追跡するために使用されるプラットフォーム Quality of Service (QoS)機能ファミリーに含まれる CPU 機能です。(BZ#1084618)

brcmfmac が Broadcom ワイヤレスカードに対応

brcmfmac カーネルドライバーが更新され、Broadcom BCM4350 および BCM43602 ワイヤレスカードに対応するようになりました。(BZ#1298446)

autojoin オプションが ip addr コマンドに追加され、マルチキャストグループの結合または離脱を許可するようになりました。

以前は、マルチキャストプルーニングを実行するイーサネットスイッチに Internet Group Management Protocol (IGMP)メンバーシップを示す方法はありませんでした。そのため、これらのスイッチはホストのポートにパケットを複製しませんでした。今回の更新で、ip addr コマンドが autojoin オプションを指定して拡張されました。これにより、ホストがマルチキャストグループに参加したり、離脱したりできるようになりました。(BZ#1267398)

Open vSwitch が NAT をサポート

今回の更新で、Open vSwitch カーネルモジュールにネットワークアドレス変換(NAT)サポートが追加されました。(BZ#1297465)

ページテーブルが並行して初期化されるようになりました。

以前は、Intel EM64T、Intel 64、および AMD64 アーキテクチャーをベースとした NUMA (Non-Uniform Memory Access)システムで、ページテーブルが順次に初期化されていました。その結果、起動時に大きなサーバーのパフォーマンスが遅くなる可能性があります。今回の更新により、一連のパッチがバックポートされ、ノードのアクティブ化の一環として、ノードローカル CPU によってメモリーの初期化が並行して行われるようになりました。その結果、メモリーが 16TB から 32TB のシステムは、以前のバージョンと比較して 2 倍速く起動するようになりました。(BZ#727269)

Linux カーネルが Intel MPX に対応

今回の更新で、Intel Memory Protection Extensions (MPX)のサポートが Linux カーネルに追加されました。Intel MPX は、Intel 64 アーキテクチャーの拡張セットです。Intel MPX とコンパイラー、ランタイムライブラリー、およびオペレーティングシステムのサポートにより、コンパイル時の通常の意図がバッファーオーバーフローが原因で悪用される可能性があるポインターの参照をチェックすることにより、ソフトウェアの堅牢性とセキュリティーが向上します。(BZ#1138650)

ftrace がコマンド名を予想通りに出力するようになりました。

trylock ()関数がロックを正常に取得しなかった場合、ftrace カーネルトレーサーへのコマンド名の保存に失敗していました。そのため、ftrace/sys/kernel/debug/tracing ファイルにコマンド名を正しく出力しませんでした。今回の更新で、コマンド名の録画が修正され、ftrace がコマンド名を予想通りに出力するようになりました。ユーザーは、saved_cmdlines_size カーネル設定パラメーターを設定することで、保存されたコマンドの数を設定できるようになりました。(BZ#1117093)

スワップアウトされた共有メモリーが /proc/<pid>/smaps に表示されるようになりました。

今回の更新以前は、スワップアウトした共有メモリーは、/proc/<pid>/status ファイルや /proc/<pid>/smaps ファイルには表示されませんでした。今回の更新で、sysV shm、共有匿名マッピング、tmpfs ファイルへのマッピングなど、スワップアウトした共有メモリーのプロセスごとのアカウンティングが追加されました。swapped-out 共有メモリーが /proc/<pid>/smaps に 表示されるようになりました。ただし、スワップアウトした共有メモリーは /proc/<pid>/status に反映されず、swapped-out shmem ページは、procps などの特定のツールでは表示されません。(BZ#838926)

カーネル UEFI サポートの更新

カーネルの Unified Extensible Firmware Interface (UEFI)のサポートが、アップストリームカーネルから選択したパッチのセットで更新されました。このセットでは、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。(BZ#1310154)

マウスコントローラーが Secure Boot を使用するゲストで動作するようになりました。

Red Hat Enterprise Linux は、セキュアブート機能が有効になっているゲスト仮想マシンでマウスコントローラーをサポートするようになりました。これにより、デフォルトでセキュアブートを有効にするハイパーバイザーで実行している Red Hat Enterprise Linux ゲストのマウス機能が確保されます。(BZ#1331578)

RealTek RTS520 カードリーダーがサポートされるようになりました。

今回の更新で、RealTek RTS520 カードリーダーのサポートが追加されました。(BZ#1280133)

トンネルデバイスがロックレス xmitに対応

以前のバージョンでは、デフォルトで pfifo_fast キュー間隔を使用するトンネルデバイスは、tx パスのシリアル化ロックが必要でした。今回の更新により、CPU ごとの変数が統計アカウンティングに使用され、tx パスのシリアル化ロックは必要ありません。その結果、ユーザー空間は xmit パスでロックを必要としない noqueue キューイングラインを設定できるようになりました。これにより、トンネルデバイスの xmit パフォーマンスが大幅に改善されました。(BZ#1328874)

Chelsio ドライバーの更新

Chelsio NIC、iWARP、vNIC、および iSCSI ドライバーが最新バージョンに更新され、以前のバージョンにバグ修正や機能強化が複数追加されました。
以下は、主な変更点です。
  • アダプター統計を取得するための ethtool サポート
  • チャンネル統計をダンプするための ethtool サポート
  • ループバックポートの統計をダンプするための ethtool
  • CIM MA ロジックアナライザーログをダンプするための debugfs エントリー
  • CIM PIF ロジックアナライザーの内容をダンプするための debugfs エントリー
  • チャンネルレートをダンプする debugfs エントリー
  • バックドアアクセスを有効にする debugfs エントリー
  • meminfo をダンプするための debugfs サポート
  • MPS トレースサポート
  • RX のハードウェアタイムスタンプのサポート
  • T6 アダプターのデバイス ID (BZ#1275829)

Chelsio ドライバーの 25G、50G、および 100G 速度モードのサポート

今回の更新で、Chelsio ドライバーの 25G、50G、および 100G 速度モードの定義を追加する Linux カーネルにパッチのセットがバックポートされました。また、このパッチセットにより、リンクモードマスク API が cxgb4 および cxgb4vf ドライバーに追加されます。(BZ#1365689)

mlx5 が NFSoRDMA に対応

今回の更新で、mlx5 ドライバーが、Remote Direct Memory Access (NFSoRDMA)でのネットワークファイルシステムのエクスポートに対応するようになりました。これにより、RDMA 経由で NFS 共有をマウントし、クライアントコンピューターから次のアクションを実行できるようになりました。
  • ls コマンドを使用して、NFS 共有上のファイルを一覧表示します。
  • 新しいファイルでの touch コマンドの使用
この機能により、共有ストレージから一部のジョブを実行できます。これは、サイズを拡大し続ける大規模な InfiniBand 接続済みのグリッドが実行されている場合に役立ちます。(BZ#1262728)

I2C が第 6 世代 Intel Core プロセッサーで有効になっている

この更新以降、カーネルドライバーが制御する I2C デバイスは、第 6 世代 Intel Core プロセッサーでサポートされています。(BZ#1331018)

mlx4 および mlx5 が RoCE をサポート

今回の更新で、RoCE (Remote Direct Memory Access Over Converged Ethernet)ネットワークプロトコルのタイムスパンのサポートが mlx4 ドライバーおよび mlx5 ドライバーに追加されました。RoCE は、レスイーサネットネットワークが非常に低レイテンシーで、RDMA (Remote Direct Memory Access)を介して効率的なサーバー間のデータ転送を提供するメカニズムです。RoCE は、RoCEv1 - dedicated ether type (0x8915)- RoCEv2 - User Datagram Protocol (UDP)および専用の UDP ポート(4791)の 2 つのイーサネットパケットのいずれかで InfiniBand (IB)トランスポートをカプセル化します。
RoCE バージョンの両方が mlx4 および mlx5 でサポートされるようになりました。今回の更新で、mlx4 は RoCE Virtual Function Link Aggregation プロトコルをサポートしており、フェイルオーバーおよびリンクアグリゲーション機能を mlx4 デバイスの物理ポートに提供します。2 つの物理ポートを表す IB ポートのみがアプリケーション層に公開されます。(BZ#1275423、BZ#1275187、BZ#1275209) (BZ#1275423)

チャネル間の同期のサポート

この更新以降、Linux カーネルは、AMD64 および Intel 64、IBM Power Systems、および 64 ビット ARM アーキテクチャーでのチャネル間の同期をサポートします。デバイスには、ホストソフトウェアからの介入なしに、異なるワークキューでの I/O 操作の実行を同期またはシリアライズできるようになりました。(BZ#1275711)

SGI UV4 のサポートが Linux カーネルに追加されました。

この更新以降、Linux カーネルは SGI UV4 プラットフォームをサポートします。(BZ#1276458)

TPM 2.0 のサポートを更新しました。

バージョン 2.0 の Trusted Platform Module (TPM)のサポートが Linux カーネルで更新されました。(BZ#1273499)

RAM 12 TB のサポート

今回の更新で、カーネルは 12 TB の RAM に対応することが認定されています。この新機能は、メモリー技術における進捗事項に対応し、Red Hat Enterprise Linux 7 のライフサイクル期間中にリリースされる将来のサーバーの技術的要件を満たすことができます。この機能は、AMD64 および Intel 64 のアーキテクチャーで利用できます。(BZ#797488)

RDMA の 10GbE RoCE Express 機能の完全サポート

Red Hat Enterprise Linux 7.3 では、10GbE RDMA over Converged Ethernet (RoCE) Express 機能が完全にサポートされるようになりました。これにより、IBM z Systems で、RDMA (Ethernet and Remote Direct Memory Access) API、DAPL (Direct Access Programming Library)および OpenFabrics Enterprise Distribution (OFED) API を使用できます。
IBM z13 システムでこの機能を使用する前に、最低限必要なサービス(z/VM APAR UM34525 および HW ycode N98778.057)が適用されていることを確認してください。(BZ#1289933)

IBM z Systems で完全にサポートされる zEDC 圧縮

Red Hat Enterprise Linux 7.3 以降では、Generic Workqueue (GenWQE)エンジンデバイスドライバーを完全にサポートします。ドライバーの初期タスクは、zlib スタイルの圧縮を実行し、RFC1950、RFC1951、および RFC1952 形式の展開を実行しますが、他のさまざまなタスクを加速するために調整できます。(BZ#1289929)

IBM z Systems の LPAR Watchdog

IBM z Systems の拡張ウォッチドッグドライバーが完全にサポートされるようになりました。このドライバーは、Linux 論理パーティション(LPAR)および z/VM ハイパーバイザーの Linux ゲストに対応し、Linux システムが応答しなくなった場合に自動再起動および自動ダンプ機能を提供します。(BZ#1278794)

第13章 Real-Time Kernel

Red Hat Enterprise Linux for Real Time Kernel について

Red Hat Enterprise Linux for Real Time Kernel は、非常に高い決定論要件を持つシステム向けに、微調整を可能にするように設計されています。結果の一貫性を大幅に向上させるには、標準カーネルを調整する必要があります。リアルタイムカーネルを使用すると、標準カーネルを調整することで得られる増加に加え、わずかな増加も得ることができます。
リアルタイムカーネルは、rhel-7-server-rt-rpms リポジトリーで利用できます。Installation Guide にはインストール手順が記載されています。その他のドキュメントは Red Hat Enterprise Linux for Real Time の製品ドキュメント で入手できます。

リアルタイムカーネルに対して can-dev モジュールが有効になっている

can-dev モジュールは、リアルタイムカーネルに対して有効にされ、Controller Area Network (CAN)デバイスドライバーのデバイスインターフェイスを提供します。CAN は元々自動車バス仕様で、自動車体系でさまざまなマイクロコントローラーを接続することを目的としており、他の領域に拡張しました。CAN は、高性能インターフェイスが必要で、RS-485 などの他のインターフェイスでは不十分である industrial および machine コントロールでも使用されます。
can-dev モジュールからエクスポートされた関数は、CAN デバイスドライバーにより、カーネルがデバイスを認識し、アプリケーションがデータを接続および転送できるようにするために使用されます。
リアルタイムカーネルで CAN を有効にすると、サードパーティーの CAN ドライバーおよびアプリケーションを使用して CAN ベースのシステムを実装できます。(BZ#1328607)

第14章 ネットワーク

Bluetooth LE を含む最新の Bluetooth のサポート

今回の更新で、Bluetooth Low Energy (LE)デバイスへの接続のサポートなど、最新の Bluetooth サポートが提供されます。これにより、モノのインターネット(IoT)デバイスの適切な機能を確保するのに役立ちます。(BZ#1296707)

Open vSwitch がカーネル軽量トンネルサポートを使用するようになる

今回の更新により、Open vSwitch (OVS)実装は、VXLAN、GRE、および GENEVE トンネルのカーネル軽量トンネルサポートを使用するようになりました。これにより、OVS vport 実装で重複する機能を排除でき、移行先キャッシュのサポートやハードウェアのオフロードなど、ベースカーネルの機能およびパフォーマンスの向上による OVS の利点を活用できます。(BZ#1283886)

メモリーアロケーターサブシステムの一括サポート

今回の更新で、カーネルはメモリー割り当てとメモリーの解放のバッチ処理をサポートするようになりました。現在、このパフォーマンスの最適化は、連続するネットワークパケットを解放するためにネットワークスタックでのみ使用されます。(BZ#1268334)

NetworkManager が LLDP に対応

今回の更新で、NetworkManager は指定のインターフェイスで LDP (Link Layer Discovery Protocol)メッセージをリッスンし、D-bus および nmcli を介して隣接するノードの情報を公開できるようになりました。この機能はデフォルトでは無効になっていますが、ifcfg ファイルの connection.lldp プロパティーまたは LLDP 変数で有効にできます。(BZ#1142898)

NetworkManager での DHCP タイムアウトは設定可能です。

DHCP (Dynamic Host Configuration Protocol)ネゴシエーションの高速フォールバックは、サーバーが存在しない場合に役に立ちます。今回の更新で、ユーザーは ifcfg ファイルで ipv4.dhcp-timeout プロパティーの値または IPV4_DHCP_TIMEOUT オプションを設定できるようになりました。これにより、NetworkManager は、特定の時間のみ DHCP サーバーからの応答を待機します。(BZ#1262922)

NetworkManager が重複する IPv4 アドレスを検出するようになりました。

今回の更新で、NetworkManager は、新しい接続をアクティブ化する際に、重複した IPv4 アドレスを検出するためのチェックを実行します。LAN のアドレスがすでに割り当てられている場合、接続のアクティベーションは失敗します。この機能はデフォルトでは無効になっていますが、ifcfg ファイルの ipv4.dad-timeout プロパティーまたは ARPING_WAIT 変数で有効にできます。(BZ#1259063)

NetworkManager が systemd-hostnamedを使用してホスト名を制御するようになりました。

今回の更新で、NetworkManager は systemd-hostnamed サービスを使用して、/etc/hostname ファイルに保存されている静的ホスト名の読み取りおよび書き込みを行います。この変更により、/etc/hostname ファイルに加えられた手動の変更が NetworkManager によって自動的に取得されなくなりました。ユーザーは hostnamectl ユーティリティーを使用してシステムホスト名を変更する必要があります。また、/etc/sysconfig/network ファイルでの HOSTNAME 変数の使用が非推奨になりました。(BZ#1367916)

NetworkManager がワイヤレスネットワークスキャン中にランダムな MAC アドレスを使用するようになる

NetworkManager はワイヤレスネットワークスキャン中に、プライバシーにランダム化された MAC アドレスを使用するようになりました。これは、設定で明示的に無効にできます。(BZ#1388471)

bridge_netfilter がバージョン 4.4 にリベース

bridge_netfilter サブシステムがアップストリームバージョン 4.4 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に注目すべきは、ブリッジ転送のパフォーマンスが大幅に改善され、bridge_netfilter フックはデフォルトで登録されず、フラグメント転送の機能問題が修正されています。(BZ#1265259)

libnl3 がバージョン 3.2.28 にリベースされました。

libnl3 パッケージがバージョン 3.2.28 にアップグレードされ、バグ修正および機能強化が数多く追加されました。その他:
  • ライブラリーのシンボルバージョニングが追加されました。
  • 新しいカーネル機能とデバイスタイプの Suport が追加されました。
  • 新しい libnl-xfrm-3 ライブラリーが追加されました。
  • このバージョンは、アップストリームとの再同期を提供します(BZ#1296058)。

PR-SCTP 拡張の追加ポリシーがサポートされるようになりました。

RFC3758 で定義されている Partially Reliable SCTP (PR-SCTP)拡張機能は、ユーザーメッセージを破棄するための一般的な方法を提供します。今回の更新により、3 つの追加の PR-SCTP ポリシーがサポートされるようになりました。
  • Timed Reliability: これにより、送信者はユーザーメッセージのタイムアウトを指定できます。SCTP スタックは、タイムアウトの期限が切れた後にユーザーメッセージを破棄します。
  • Limited Retransmission Policy: 再送信の数の制限を許可します。
  • Priority Policy: 送信バッファーに優先度の高いメッセージの領域が必要な場合に優先順位の低いメッセージを削除できます。(BZ#965453)

tc フィルターアクションの man ページが iproute パッケージに追加されました。

今回の更新で、iproute ユーティリティーの tc filter アクションの man ページが追加されました。すべての tc アクションには、概要、オプション、詳細な機能の説明を含む、対応する man ページが含まれるようになりました。(BZ#1275426)

iproute ユーティリティーが、MACVLAN で使用される物理インターフェイスがデフォルトでプロミスキャスモードに入るのを防ぐことができるようになりました。

新しい MACVLAN_FLAG_NOPROMISC フラグを使用すると、パススルーモードを作成および設定した後に、デフォルトでプロミスキャスモードで物理インターフェイスの入力を制御できます。この機能は、すべてのエンドツーエンドの MAC アドレスが認識され、ユーザーがインターフェイスを受信するすべてのパケットを処理するオーバーヘッドを回避したい場合に便利です。(BZ#1013584)

自動ルート作成を防ぐために新しい IFA_F_NOPREFIXROUTE フラグ

以前のバージョンでは、複数のインターフェイスが同じローカルネットワークに属する場合、ユーザーは優先インターフェイスを明示的に選択できませんでした。今回の更新により、IFA_F_NOPREFIXROUTE netlink フラグを使用すると、ネットワークインターフェイスに新しい IPv4 アドレスを追加する際の自動ルート作成を防ぐことができます。(BZ#1221311)

ip コマンドがブリッジ設定を表示できるようになりました。

今回の更新で、brctl ツールの代わりに ip ツールを使用して、ネットワークブリッジの設定を表示できるようになりました。(BZ#1270763)

ss が、接続 TCP 再送信ごとの監視をサポートするようになりました。

今回の更新で、ss コマンドの出力には、null でない限り、bytes_ackedbytes_receivedsegs_in、および segs_out フィールドが含まれます。この機能により、リンク品質の監視が改善されます。(BZ#1269051)

iPXE パッケージが物理コンピューター上の IPv6 をサポートするようにリベース

ipxe-bootimgs パッケージおよび ipxe-roms パッケージがアップストリームコミット 6366fa7a にリベースされ、Red Hat Enterprise Linux 7 の物理インストールでの IPv6 を介したネットワークブートをサポートするようになりました。(BZ#1298313)

新しいパッケージ: libvma

libvma は、RDMA (Remote Direct Memory Access)対応ネットワークインターフェイスコントローラーを介した TCP および UDP ネットワーク負荷の高いアプリケーションのパフォーマンスを透過的に強化するための、動的にリンクされたユーザー空間ライブラリーです。これにより、ユーザー領域から完全なネットワークスタックをバイパスして標準のソケット API アプリケーションを実行できます。これにより、レイテンシーの削減、スループットの向上、およびパケットレートが向上します。
libvma は現在、Mellanox ConnectX-3 Infiniband ポート、および Mellanox ConnectX-4 イーサネットポートに限定されます。Mellanox ConnectX-4 Infiniband ポートはサポートされません。(BZ#1271624)

curlの新しい --unix-socket オプション

curl ユーティリティーは、新しい --unix-socket オプションが指定されている場合は、TCP/IP ではなく Unix ドメインソケットを介して接続できるようになりました。この機能は、Docker REST API によって監視に使用されます。(BZ#1263318)

新たに追加された iproute コマンドのカーネルサポート

Red Hat Enterprise Linux 7 の今回の更新バージョンでは、新たに追加された iproute コマンドの適切な機能に到達するためのカーネルサポートが追加されました。提供されるパッチセットには、IPsec インターフェイスの -extension が含まれます。これにより、プレフィッドしきい値に基づいて、接頭辞が付けられたポリシーをハッシュできます - netlink によるポリシーハッシュテーブルしきい値の設定(BZ#1212026)

第15章 セキュリティー

SELinux ユーザー空間パッケージがバージョン 2.5 にリベース

SELinux ユーザー空間パッケージがアップストリームバージョン 2.5 にアップグレードされ、以前のバージョンに対する機能強化、バグ修正、およびパフォーマンスの向上が数多く追加されました。SELinux ユーザー空間 2.5 で最も重要な新機能は次のとおりです。
  • 新しい SELinux モジュールストアは優先度をサポートします。優先度の概念により、システムモジュールの優先度が高いモジュールを上書きすることができます。
  • SELinux Common Intermediate Language (CIL)は、高レベルのコンパイラー、分析ツール、およびポリシー生成ツールで簡単に読み取り、解析、生成しやすい、明確かつ簡単な構文を提供します。
  • ポリシーのインストールや新しいポリシーモジュールの読み込みなど、時間のかかる SELinux 操作が大幅に速くなりました。
注記:SELinux モジュールのデフォルトの場所は、Red Hat Enterprise Linux 7 の /etc/selinux/ ディレクトリーに残りますが、アップストリームバージョンは /var/lib/selinux/ を使用します。移行用にこの場所を変更するには、/etc/selinux/semanage.conf ファイルに store-root= オプションを設定します。(BZ#1297815)

scap-workbench がバージョン 1.1.2 にリベースされました。

scap-workbench パッケージがバージョン 1.1.2 にリベースされ、新しい SCAP セキュリティーガイド統合ダイアログが提供されています。このダイアログは、管理者がコンテンツファイルを選択する代わりにスキャンする必要のある製品を選択するのに役立ちます。新しいバージョンでは、調整ウィンドウでルール検索を改善し、GUI を使用して SCAP コンテンツでリモートリソースをフェッチする可能性、ドライラン機能など、多くのパフォーマンスおよびユーザー拡張の改善も提供します。ドライラン機能により、ユーザーはスキャンを実行する代わりに、診断ウィンドウに oscap コマンドライン引数を取得できます。(BZ#1202854)

OpenSCAP がバージョン 1.2.10 にリベース

標準の Security Content Automation Protocol (SCAP)行の統合を可能にする OpenSCAP スイートが、最新のアップストリームバージョン 1.2.10 にリベースされました。openscap パッケージは、OpenSCAP ライブラリーおよび oscap ユーティリティーを提供します。注目すべきは、今回の更新で atomic scan コマンドを使用してコンテナーをスキャンするサポートが追加されたことです。さらに、今回の更新では、以下の機能強化が追加されました。
  • oscap-vm: 仮想マシンのオフラインスキャンツール
  • oscap-chroot は、任意のパスにマウントされているファイルシステムのオフラインスキャンツール
  • Open Vulnerability and Assessment Language (OVAL) 5.11.1 の完全サポート
  • リモート .xml.bz2 ファイルのネイティブサポート
  • さまざまな基準に応じた HTML レポート結果のグループ化
  • HTML レポートの改善
  • OVAL 評価のデバッグの詳細モード(BZ#1278147)

firewalld がバージョン 0.4.3.2 にリベースされました。

firewalld パッケージがアップストリームバージョン 0.4.3.2 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
  • パフォーマンスの向上:同時に適用される新しいトランザクションモデルにより、firewalld の起動と再起動が大幅に速くなります。このモデルは、iptables 復元コマンドを使用します。また、firewall-cmd ツール、firewall-offline-cmd ツール、firewall-config ツール、および firewall-applet ツールが改善され、パフォーマンスを念頭に置いています。
  • 接続、インターフェイス、およびソースの管理が改善されました。ユーザーは、NetworkManager の接続のゾーン設定を制御できるようになりました。また、インターフェイスのゾーン設定は、firewalld および ifcfg ファイルでも制御されます。
  • デフォルトのロギングオプション:新しい LogDenied 設定を使用すると、ユーザーは拒否されたパケットを簡単にデバッグし、ログに記録できます。
  • ipset サポート: firewalld は、リッチおよびダイレクトルール内で、複数の IP セットをゾーンソースとしてサポートするようになりました。Red Hat Enterprise Linux 7.3 では、firewalld は以下の ipset タイプのみに対応していることに注意してください。

audit がバージョン 2.6.5 にリベース

audit パッケージには、Linux カーネルの audit サブシステムによって生成された監査レコードを保存および検索するためのユーザー空間ユーティリティーが含まれます。audit パッケージがアップストリームバージョン 2.6.5 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
  • 監査 デーモンに incremental_async と呼ばれる新しいフラッシュ技術が含まれるようになり、パフォーマンスは約 90 回改善されました。
  • 監査 システムには、監査 ポリシーに設定可能な多くのルールが含まれるようになりました。これらの新しいルールには、STIG (Security Technical Implementation Guide)、PCI Data Security Standard、および 32 ビットのシステムコールの発生、大きな電力使用量、モジュールの読み込みなどのその他の機能のサポートが含まれます。
  • auditd.conf 設定ファイルと auditctl コマンドが、多くの新しいオプションに対応するようになりました。
  • 監査 システムは、Enriched と呼ばれる新しいログ形式をサポートするようになりました。これにより、UID、GID、syscall、アーキテクチャー、およびネットワークアドレスが解決されます。これは、ログの生成先とは異なるマシンのログ分析に役立ちます。(BZ#1296204)

MACsec (IEEE 802.1AE)に対応

今回の更新で、イーサネットを介した Media Access Control Security (MACsec)暗号化がサポートされるようになりました。MACsec は、LAN のすべてのトラフィックを GCM-AES-128 アルゴリズムで暗号化し、認証します。(BZ#1104151)

rsyslog RELP モジュールが特定のルールセットにバインドするようになりました。

今回の更新で、rsyslog Reliable Event-Logging Protocol (RELP)モジュールが、各入力インスタンスで特定のルールセットにバインドできるようになりました。input () インスタンスルールセットが module ()ルールセットよりも優先度が高くなります。(BZ#1223566)

rsyslog imfile モジュールがワイルドカードファイル名に対応

rsyslog パッケージは、強化されたマルチスレッドの syslog デーモンを提供します。今回の更新で、rsyslog imfile モジュールは、ファイル名内でワイルドカードを使用し、実際のファイル名をメッセージのメタデータに追加することをサポートするようになりました。これは、rsyslog がディレクトリー内のログを読み取る必要があり、事前にファイルの名前がわからない場合に役立ちます。(BZ#1303617)

audit.log の syscall がテキストに変換されるようになりました。

今回の更新で、auditd は、異議申し立てイベントマルチプレクサーを介して syslog デーモンに転送する前に、システムコール番号を名前に変換するようになりました。(BZ#1127343)

監査 サブシステムがプロセス名でフィルターリングできるようになりました。

ユーザーは、( -F exe=<path-to-executable> オプションを使用して)実行 名で監査できるようになりました。これにより、多くの新しい監査ルールの式が可能になります。この機能を使用すると、ネットワーク接続を開く bash シェルなどのイベントを検出できます。(BZ#1135562)

mod_security_crs がバージョン 2.2.9 にリベース

mod_security_crs パッケージがアップストリームバージョン 2.2.9 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。以下は、主な変更点です。
  • PHP の不正使用を検出する新しい PHP ルール(958977)。
  • JS はファイルを上書き し、正常な XSS プローブを特定します。
  • 新しい XSS 検出ルール。
  • セッションハイジャックルールが修正されました。(BZ#1150614)

opencryptoki がバージョン 3.5 にリベースされました。

opencryptoki パッケージがバージョン 3.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。
以下は、主な変更点です。
  • openCryptoki サービスは、lock/ ディレクトリーと log/ ディレクトリーが存在しない場合は自動的に作成します。
  • PKCS#11 API は、すべてのトークンで SHA ハッシュを使用したハッシュベースのメッセージ認証コード(HMAC)をサポートします。
  • openCryptoki ライブラリーは、OPENCRYPTOKI_TRACE_LEVEL 環境変数によって設定された動的トレースを提供します。(BZ#1185421)

gnutls が中央の証明書ストアを使用するようになる

gnutls パッケージは、SSL、TLS、DTLS などの暗号化アルゴリズムおよびプロトコルを実装する GNU Transport Layer Security (GnuTLS)ライブラリーを提供します。今回の更新で、GnuTLS は p11-kit パッケージを介して Red Hat Enterprise Linux の中央証明書ストアを使用するようになりました。認証局(CA)の更新、および証明書のブラックリストがランタイム時にアプリケーションに表示されるようになりました。(BZ#1110750)

firewall-cmd コマンドが、詳細情報を提供できるようになりました。

今回の更新で、firewalld にサービス、ゾーン、および ICMP タイプの詳細が表示されます。さらに、ユーザーはソース XML ファイルへの完全パスを一覧表示できます。firewall-cmd の新しいオプションは次のとおりです。
  • [--permanent] --info-zone=zone
  • [--permanent] --info-service=service
  • [--permanent] --info-icmptype=icmptype (BZ#1147500)

pam_faillockunlock_time=neverで設定可能に

pam_faillock モジュールでは、複数の認証失敗によって引き起こされたユーザー認証ロックが期限切れにならない unlock_time=never オプションの使用を指定できるようになりました。(BZ#1273373)

libica がバージョン 2.6.2 にリベース

libica パッケージがアップストリームバージョン 2.6.2 に更新され、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべきは、今回の更新で、更新されたセキュリティー仕様 NIST SP 800-90A に従って、DRBG (Arimistic Random Bit Generator)のサポートが追加されたことです。(BZ#1274390)

新しい lastlog オプション

lastlog ユーティリティーに新しい --clear オプションおよび --set オプションが追加されました。これにより、システム管理者は、ユーザーの最後のログエントリーを、n never ログイン した値または現在の時間にリセットできるようになりました。つまり、アクティブではないことが原因で、以前にロックされたユーザーアカウントを再度有効にできるようになりました。(BZ#1114081)

Libreswan がバージョン 3.15 にリベース

Libreswan は、Linux 用の Internet Protocol Security (IPsec)および Internet Key Exchange (IKE)の実装です。libreswan パッケージがアップストリームバージョン 3.15 にアップグレードされ、以前のバージョンに対する機能強化およびバグ修正が数多く追加されました。注目すべき変更点は次のとおりです。
  • SHA2 アルゴリズムを使用する場合、RFC 要件を満たすために nonce サイズが増えます。
  • Libreswan は、接続エラーが発生した場合に NetworkManager ヘルパーを呼び出すようになりました。
  • 証明書内のすべての CRL ディストリビューションポイント が処理されるようになりました。
  • Libreswan は、存在しない IPsec Security Associations (SA)の削除を試行しなくなりました。
  • pluto IKE デーモンには、CAP_DAC_READ_SEARCH 機能が追加されました。
  • オンデマンドトンネルが使用されると、pluto がクラッシュしなくなりました。
  • pam_acct_mgmt が適切に設定されるようになりました。
  • リグレッションが修正され、keyingtries=0 のトンネルは無限にトンネルを確立しようとします。
  • 残っているよう設定された削除されたトンネルを再確立するまでの遅延は、1 秒未満になりました。(BZ#1389316)

nettle の SHA-3 実装が FIPS 202 に準拠するようになりました。

Net tle は、ほとんどすべてのコンテキストで簡単に適合するように設計された暗号化ライブラリーです。今回の更新で、Secure Hash Algorithm 3 (SHA-3)実装が更新され、最終的な FIPS (Federal Information Processing Standard) 202 ドラフトに対応するようになりました。(BZ#1252936)

scap-security-guide がバージョン 0.1.30 にリベース

scap-security-guide プロジェクトは、最終的なシステムのセキュリティーの観点からシステムを設定するためのガイドを提供します。パッケージがバージョン 0.1.30 にアップグレードされました。以下は、主な改善点です。
  • NIST Committee on National Security Systems (CNSS) Instruction No. 1253 プロファイルが含まれ、Red Hat Enterprise Linux 7 用に更新されるようになりました。
  • 米国Center for Internet Security (CIS)ベンチマークが受ける government Commercial Cloud Services (C2S)プロファイルが提供されるようになりました。
  • 修復 スクリプトがベンチマークに直接含まれ、外部シェルライブラリーが不要になりました。
  • Red Hat Enterprise Linux 7 の Defense Information Systems Agency (DISA) Security Technical Implementation Guide (STIG)プロファイルが、Red Hat Enterprise Linux 6 の DISA STIG プロファイルと同等になるように更新されました。
  • Criminal Justice Information Services (CJIS) Security Policy プロファイルのドラフトが Red Hat Enterprise Linux 7 で利用可能になりました。(BZ#1390661)

第16章 サーバーおよびサービス

Squid がバージョン 3.5.20 にリベースされました。

Squid は、Web プロキシーおよびコンテンツ提供アプリケーションを開発するための豊富なアクセス制御、承認、およびロギング環境を提供する、フル機能の HTTP プロキシーです。squid パッケージがバージョン 3.5.20 にアップグレードされました。以下は、主な変更点です。
  • libecap バージョン 1.0 のサポート
  • 認証ヘルパークエリーエクステンション
  • 名前付きサービスのサポート
  • squidclient ユーティリティーのアップグレード
  • 同時実行チャネルのヘルパーサポート
  • ネイティブ FTP リレー
  • PROXY プロトコル、バージョン 1、および 2 を受け取ります。
  • SSL サーバー証明書バリデーター
  • トランザクションにアノテーションを付ける際の注記ディレクティブ
  • BSD システムの TPROXY サポート
  • TPROXY スプーフィングを管理するための spoof_client_ip ディレクティブ
  • アクセス制御の各種更新
  • ヘルパーの OK、ERR、および BH 応答コードと kv-pair オプションのサポート
  • パイプラインキューの設定が改善されました。
  • マルチキャスト DNS
重要: squid を更新すると、特定の設定ディレクティブが新しいバージョンに変更されることに注意してください。これらの変更は後方互換性がありますが、予期しない設定変更を防ぐには、squid-migration-script パッケージを使用して、squid 設定の更新結果をプレビューできます。詳細は、https://access.redhat.com/solutions/2678941 を参照してください。(BZ#1273942)

PHP cURL モジュールが TLS 1.1 および TLS 1.2 に対応

以前は curl ライブラリーで利用可能であった TLS プロトコルバージョン 1.1 および 1.2 のサポートが PHP cURL 拡張に追加されました。(BZ#1291667)

OpenSSLSCTP がサポートされるようになりました。

OpenSSL ライブラリーの SCTP (Stream Control Transmission Protocol)のサポートが、OpenSSL DTLS (Datagram Transport Layer Security)プロトコル実装に対して有効になりました。(BZ#1225379)

dovecot で tcp_wrappers サポートが有効になっている

dovecot は IMAP サーバーで、主にセキュリティーを念頭に置いています。また、小さな POP3 サーバーが含まれており、Maildir または Mbox 形式の電子メールをサポートします。
今回の更新で、Dovecot は、tcp_wrappers サポートが有効な状態で構築されています。セキュリティーの追加レイヤーとして tcp_wrappers を使用して、Dovecot へのネットワークアクセスを制限できます。(BZ#1229164)

log4j を Tomcat ロギングメカニズムとして許可するために必要なクラス

tomcat-juli.jar ファイルおよび tomcat-juli-adapters.jar ファイルがないため、log4j ユーティリティーを Tomcat ロギングメカニズムとして使用できませんでした。必要なクラスが追加され、log4j をロギングに使用できるようになりました。また、シンボリックリンクユーティリティーは、上記の .jar ファイルを使用して extras フォルダーを参照するようにインストールまたは更新する必要があります。(BZ#1133070)

mysql-python がバージョン 1.2.5 にリベースされました。

MySQL-python パッケージがアップストリームバージョン 1.2.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、neutron および cinder サービスの ResourceClosedError の原因となっていたバグが修正されました。(BZ#1266849)

BIND が GeoIP ベースの ACL に対応

今回の更新で、BIND DNS サーバーが GeoIP データベースを使用できるようになりました。この機能を使用すると、管理者はクライアントの地理的な場所に基づいてクライアントアクセス制御リスト(ACL)を実装できます。(BZ#1220594)

BIND サーバーが CAA レコードに対応

認証局の承認(CAA)のサポートが、BIND (Berkeley Internet Name Domain)サーバーに追加されました。ユーザーは、DNS レコードを指定して認証局を制限できます。(BZ#1306610)

Unbound DNS 検証リゾルバーが DNSSEC の ECDSA 暗号をサポートするようになりました

今回の更新で、Unbound DNS 検証リゾルバーで ECDSA 暗号が有効になりました。その結果、DNS リゾルバーは、ECDSA アルゴリズムで DNSSEC を使用して署名された DNS 応答を検証できるようになりました。(BZ#1245250)

Tomcat がバージョン 7.0.69 にリベースされました。

tomcat パッケージがバージョン 7.0.69 にリベースされました。以下は、主な変更点です。
  • 多数のバグおよび脆弱性の解決
  • HSTS および VersionLoggerListener 機能を追加
  • BZ#1311622 に概説されている NoSuchElementException バグを修正(BZ#1287928)

servicelog がバージョン 1.1.14 にリベース

servicelog パッケージがアップストリームバージョン 1.1.14 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。(BZ#1182028)

第17章 ストレージ

新しいカーネルサブシステム: libnvdimm

今回の更新で、NVDIMM (Non-Volatile Dual Inline Memory Modules)の検出、設定、および管理を行うカーネルサブシステムである libnvdimm が追加されました。したがって、NVDIMMs がシステムに存在する場合は、/dev/pmem* デバイスノードで公開され、ndctl ユーティリティーを使用して設定できます。(BZ#1269626)

NVDIMM 対応のハードウェア

Red Hat Enterprise Linux 7.3 のリリース時点では、NVDIMM (Non-Volatile Dual Inline Memory Module)ハードウェアのサポートを追加するプロセスにおいて、多くの元の機器メーカー(OEM)が搭載されています。これらの製品が市場に導入されているにつれ、Red Hat はこれらの OEM と連携してこれらの設定をテストし、可能であれば Red Hat Enterprise Linux 7.3 でそのサポートをアナウンスします。
これは新しいテクノロジーであるため、各製品およびサポート対象の設定について特定のサポートステートメントが発行されます。これは、Red Hat テストに成功し、OEM による文書化されたサポートの後に行われます。
現在サポートされている NVDIMM 製品は以下のとおりです。
  • HPE NVDIMM (HPET システム上)特定の設定については、Hewlett Packard Enterprise Company support statement を参照してください。
このリストにない NVDIMM 製品および設定はサポートされていません。NVDIMM 製品がサポート対象の製品一覧に追加されると、Red Hat Enterprise Linux 7.3 リリースノートが更新されます。(BZ#1389121)

新規パッケージ: nvml

nvml パッケージには、メモリーマッピングの永続性を使用するライブラリーのコレクションである Non-Volatile Memory Library (NVML)が含まれます。これは永続メモリー専用に最適化されています。(BZ#1274541)

SCSI が複数のハードウェアキューをサポート

nr_hw_queues フィールドが Scsi_Host 構造に存在するようになり、ドライバーが フィールドを使用できるようになりました。(BZ#1308703)

exclusive_pref_bit オプションの引数が マルチパス ALUA prioritizer に追加されました。

exclusive_ pref _bit 引数が マルチパス 非対称論理ユニットアクセス(ALUA)優先値に追加され、パスに Target Port Group Support (TPGS)のプレフビットが設定されている場合、マルチパス はそのパスのみを使用してパスグループを作成し、優先度をパスに割り当てます。ユーザーは、優先パスを、デフォルトのオプションである他のパスとパスグループに配置できるようにするか、exclusive_pref_bit 引数を追加してパスグループに実行できるようになりました。(BZ#1299652)

multipathd が、multipathd 形式の出力コマンドで raw 形式モードに対応

multipathd 形式の出力コマンドは、ヘッダーとフィールド間の追加パディングを削除する raw 形式モードを提供するようになりました。追加の形式のワイルドカードのサポートも追加されました。Raw 形式モードでは、特にスクリプトで使用する場合に、マルチパスデバイスに関する情報の収集および解析が容易になります。(BZ#1299651)

LVM ロックインフラストラクチャーの改善

lvmlockd は、LVM の次の世代ロックインフラストラクチャーです。これにより、dlm または sanlock ロックマネージャーを使用して、LVM が複数のホストから共有ストレージを安全に管理できます。Sanlock を使用すると、lvmlockd は、クラスターインフラストラクチャー全体を使用せずに、ストレージベースのロックを介してホストを調整できます。詳細は、lvmlockd (8) man ページを参照してください。
この機能は当初、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Red Hat Enterprise Linux 7.3 では、lvmlockd が完全にサポートされています。(BZ#1299977)

制限のあるシンプロビジョニングされた論理ボリュームのキャッシュのサポート

Red Hat Enterprise Linux 7.3 は、シンプロビジョニングされた論理ボリュームをキャッシュする機能を提供します。これにより、特定のシンプールに関連付けられたすべてのシン論理ボリュームにキャッシュの利点が得られます。ただし、この方法でシンプールを設定すると、キャッシュ層を最初に削除せずにシンプールを拡張することはできません。これは、シンプールの自動拡張機能が利用できないことも意味します。領域が不足しないように、シンプールの完全性と消費率を監視するように注意してください。LVM キャッシュボリュームの詳細は、man ページの lvmthin (7)および lvmcache (7)を参照してください。(BZ#1371597)

device-mapper-persistent-data がバージョン 0.6.2 にリベース

device-mapper-persistent-data パッケージがアップストリームバージョン 0.6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、プール内のシンボリュームに関する情報を提供できる thin_ls ツールが利用できるようになりました。(BZ#1315452)

指定されたハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーが認定し、特定の HBA およびストレージアレイ設定を完全にサポートしている場合に、Red Hat Enterprise Linux 7.3 で完全にサポートされています。DIF/DIX は、他の設定ではサポートされていません。ブートデバイスでの使用もサポートされておらず、仮想化ゲストでの使用もサポートされていません。
現在、このサポートを提供するベンダーは以下のとおりです。
FUJITSU は、以下で DIF および DIX をサポートしています。
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW (以下と共に)
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW (以下と共に)
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3
T10 DIX には、ディスクブロックでチェックサムの生成および検証を行うデータベースまたはその他のソフトウェアが必要です。現在サポートされている Linux ファイルシステムにはこの機能はありません。
EMC は以下で DIF をサポートしています。
EMULEX 8G FC HBA:
  • LPe12000-E および LPe12002-E with firmware 2.01a10 以降 (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP (以下と共に)
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新のステータスは、ハードウェアベンダーのサポート情報を参照してください。
他の HBA およびストレージアレイの場合、DIF/DIX へのサポートはテクノロジープレビューのままとなります。(BZ#1379689)

iprutils がバージョン 2.4.13 にリベース

iprutils パッケージがアップストリームバージョン 2.4.13 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべきは、この更新により、8247-22L および 8247-21L ベース Serial Attached SCSI (SAS)バックプレーンでアダプター書き込みキャッシュを有効にするサポートが追加され、パフォーマンスが大幅に向上します。(BZ#1274367)

multipathd コマンドが、JSON 形式でマルチパスデータを表示可能に

今回のリリースで、multipathd に show maps json コマンドが含まれ、JSON 形式でマルチパスデータが表示されるようになりました。これにより、他のプログラムが multipathd show maps 出力を解析するのが容易になります。(BZ#1353357)

Huawei XSG1 アレイにデフォルト設定を追加

今回のリリースで、マルチパスが Huawei XSG1 アレイのデフォルト設定を提供するようになりました。(BZ#1333331)

マルチパスには、Ceph RADOS ブロックデバイスのサポートが含まれるようになりました。

RDB デバイスには、特別な uid 処理と、デバイスを修復する機能を持つ独自のチェッカー機能が必要です。このリリースでは、RADOS ブロックデバイス上でマルチパスを実行できるようになりました。ただし、マルチパス RBD のサポートは、排他的ロック 機能が有効になっている RBD イメージが複数のクライアント間で共有されている場合にのみ使用してください。(BZ#1348372)

PURE FlashArray のサポートが追加されました。

今回のリリースで、multipath に PURE FlashArray の組み込み設定サポートが追加されました(BZ#1300415)。

MSA 2040 アレイにデフォルト設定を追加

今回のリリースで、マルチパスが MSA 2040 アレイのデフォルト設定を提供するようになりました。(BZ#1341748)

kpartx パーティションの作成を省略することができる新しい skip_kpartx 設定オプション

multipath.conf ファイルの defaults、devices、multipaths セクションに skip_kpartx オプションが追加されました。このオプションを yes に設定すると、skip_kpartx で設定されるマルチパスデバイスには、パーティションデバイスは作成されません。これにより、デバイスにパーティションテーブルがある場合でも、パーティションを作成せずにマルチパスデバイスを作成することができます。このオプションのデフォルト値は no です。(BZ#1311659)

multipaths weightedpath prioritizer が wwn キーワードをサポート

multipaths weightedpath prioritizer は wwn キーワードをサポートするようになりました。これを使用すると、デバイスに一致する正規表現の形式は host_wwnn:host_wwpn:target_wwnn:target_wwpn です。これらの識別子は sysfs で検索することも、%N:%R:%n:%rmultipathd show paths 形式 のワイルドカードを使用して検索することもできます。
以前は、weightedpath prioritizer は HBTL とデバイスの nam 正規表現 の一致のみを許可していました。これらはいずれも再起動後も維持されないため、起動時に毎回 weightedpath prioritizer 引数を変更する必要がありました。この機能は、永続的なデバイス識別子を使用して weightedpath prioritizer を使用する方法を提供します。(BZ#1297456)

新しいパッケージ: nvme-cli

nvme-cli パッケージは、NVMe コントローラーを管理および設定する NVMe (Non-Volatile Memory Express)コマンドラインインターフェイスを提供します。(BZ#1344730)

自動サイズが設定されていない場合に LVM2 に警告メッセージが表示されるようになりました。

シンプールのデフォルト動作では、スペースを使い切ったときにシンプールを自動調整しません。領域を使い切ると、さまざまな悪影響が生じる可能性があります。ユーザーが autoresize を使用しておらず、シンプールが満杯になると、シンプールのサイズを変更するなどの適切なアクションを実行したり、シンボリュームの使用を停止したりできるように、新しい警告メッセージがユーザーに潜在的な問題を通知します。(BZ#1189221)

dmstats が、dmstats リージョンへのファイルのマッピングに対応

dmstats コマンドの --filemap オプションを使用すると、ファイルシステムで指定したファイルへの I/O 操作を追跡する dmstats リージョンを簡単に設定できるようになりました。以前は、I/O 統計はデバイス全体またはデバイスのリージョンでのみ利用可能でした。これにより、管理者による I/O パフォーマンスに関する洞察がファイルごとに制限されていました。--filemap オプションを使用すると、ユーザーは デバイスマッパーデバイス に使用されるのと同じツールを使用してファイル I/O パフォーマンスを検査できるようになりました。(BZ#1286285)

LVM が外部ボリュームに LV ポリシーを適用しなくなりました

以前は、LVM は、外部ボリュームでも LVM シン論理ボリューム(LV)用に独自のポリシーを適用していたため、予期しない動作が発生していました。今回の更新で、シンプールの外部ユーザーが外部シンボリュームの独自の管理を使用できるようになりました。また、LVM は、このようなボリュームに LV ポリシーを適用しなくなりました。(BZ#1329235)

シンプールは、新しいシンボリュームを作成するときに常に十分な領域をチェックするようになりました。

ユーザーがシンプールの監視で autoresize を使用していない場合でも、シンプールは、新しいシンボリュームを作成するときに常に十分な領域をチェックするようになりました。
以下の状況で、新しいシンボリュームを作成できなくなりました。
  • シンプールは、データボリューム容量の 100% に達しています。
  • 16 MiB 未満のメタデータには、シンプールメタデータの空き領域が 25% 未満です。
  • メタデータには、4 MiB 未満の空き領域があります。(BZ#1348336)

LVM がキャッシュプールチャンクの最大数を設定できるようになりました。

lvm.conf ファイル( cache_pool_max_chunks )の割り当てセクションにある新しい LVM 割り当てパラメーターは、キャッシュプールチャンクの最大数を制限します。このパラメーターが定義されていない場合や、0 に設定されている場合には、組み込みのデフォルト値が使用されます。(BZ#1364244)

論理ボリュームからキャッシュプールを切り離す機能のサポート

キャッシュプール内のデバイスに障害が発生した場合に、LVM で論理ボリュームからキャッシュプールを識別できるようになりました。以前は、このタイプの障害では、キャッシュプールを作成元の論理ボリュームから分離するために、LVM メタデータに手動で介入と複雑な変更が必要でした。
cache-pool から論理ボリュームをアンバウンスするには、次のコマンドを使用します。
# lvconvert --uncache *vg*/*lv*
以下の制限事項に注意してください。
  • キャッシュ論理ボリュームは非アクティブである必要があります(再起動が必要です)。
  • ライトバック キャッシュには、データを破棄できない可能性があるため、--force オプションが必要です。
(BZ#1131777)

LVM は、削除されたシンプロビジョニングのスナップショット論理ボリュームを追跡および表示できるようになりました。

lvm.conf 設定ファイルで record_lvs_history メタデータオプションを有効にすることで、削除したシンプロビジョニングのスナップショット論理ボリュームを追跡するようにシステムを設定できるようになりました。これにより、元の依存関係チェーンから削除され、過去の論理ボリュームになった論理ボリュームを含む、完全なシンスナップショット依存関係チェーンを表示できます。過去の LV を含む完全な依存関係チェーンは、新しい lv_full_ancestors および lv_full_descendants レポートフィールドで表示できます。過去の論理ボリュームの設定と表示については、論理ボリューム 管理 を参照し てください。(BZ#1240549)

第18章 システムおよびサブスクリプション管理

デフォルトの登録 URL は subscription.rhsm.redhat.com になりました。

Red Hat Enterprise Linux 7.3 以降、デフォルトの登録 URL が subscription.rhsm.redhat.com に変更されました。(BZ#1396085)

subscription-manager は、ネットワークインターフェイスに関連付けられているすべてのアドレスを表示します

以前は、ネットワークインターフェイスに複数のアドレスが関連付けられていても、subscription-manager ユーティリティーはネットワークインターフェイスごとに 1 つのアドレスのみを表示していました。今回の更新で、各ネットワークインターフェイスに対応する接尾辞 _list を持つ新しいシステムファクトが、コンマ区切りの値の文字列が含まれるエンタイトルメントサーバーに報告されるようになりました。その結果、subscription-manager は、ネットワークインターフェイスに関連付けられたすべてのアドレスを表示できるようになりました。(BZ#874735)

rct でサブスクリプションデータのみを表示可能に

rct ユーティリティーは、--no-content オプションを受け入れるようになりました。--no-contentrct cat-manifest コマンドに渡すと、rct がサブスクリプションデータのみを表示します。(BZ#1336883)

rct cat-manifestvirt-who が必要かどうかを判断するための情報を表示するようになりました。

rct cat-manifest [MANIFEST_ZIP] コマンドの出力に Virt Limit および Requires Virt-who のフィールドが含まれるようになりました。これらのフィールドは、デプロイメントに virt-who コンポーネントが必要であるかどうかを判断するのに役立ちます。(BZ#1336880)

needs-restarting ユーティリティーに新しい --services オプションが追加されました。

今回の更新で、need -restarting ユーティリティーに新しい --services オプションが追加されました。新しいオプションを指定すると、need -restarting はプロセス ID ではなく改行で区切られたサービス名を一覧表示します。これにより、システム管理者は、yum update を実行して更新の恩恵を受けるために再起動する必要のある systemd サービスを探すことができます。(BZ#1335587)

needs-restarting ユーティリティーに新しい --reboothint オプションが追加されました。

今回の更新で、need -restarting ユーティリティーに新しい --reboothint オプションが追加されました。needs-restarting --reboothint を実行すると、前回の起動以降に更新されたコアパッケージ(存在する場合)、再起動が推奨されるかどうかを示すメッセージが出力されます。これにより、システム管理者は、すべての更新を活用するためにシステムを再起動する必要があるかどうかを確認することができます。アドバイスは情報提供のみであり、システムをすぐに再起動する必要があるわけではありません。(BZ#1192946)

yumの新しい skip_missing_names_on_install オプションおよび skip_missing_names_on_update オプション

skip_missing_names_on_install オプションおよび skip_missing_names_on_update オプションが yum リポジトリー設定に追加されました。/etc/yum.conf ファイルで skip_missing_names_on_installFalse に設定すると、 yum install コマンドを使用して、指定したパッケージ、グループ、または RPM ファイルの 1 つが見つからない場合に失敗します。skip_missing_names_on_updateFalse に設定すると、yum update コマンドを使用して、指定したパッケージ、グループ、または RPM ファイルの 1 つを検出できない場合、またはそれらが利用可能な場合はインストールされていない場合、yum update コマンドを使用して失敗します。(BZ#1274211)

yumの新しい compare_providers_priority オプション

今回の更新で、compare_providers_priority オプションが yum リポジトリー設定に追加されました。/etc/yum.conf ファイルに設定すると、このオプションを使用すると、依存関係の解決時に yum がリポジトリーの優先順位を尊重できます。これを使用して、複数の異なるリポジトリーのパッケージで満たできる依存関係が発生した場合に yum が何をするかに影響を与えるために使用できます。(BZ#1186690)

第19章 仮想化

VT-d posted interrupts

Red Hat Enterprise Linux は、CPU 側の投稿割り込みで Directed I/O (VT-d)の Intel Virtualization Technology に対応するようになりました。VT-d posted interrupts 機能を有効にすると、ゲストが非 root モードで実行されていても、仮想マシンマネージャーによるサポートなしに、直接割り当てられたデバイスからの外部割り込みをゲストに配信できます。(BZ#1172351)

Hyper-V ストレージドライバー(storvsc)の更新

Hyper-V ストレージドライバー(storvsc)がアップストリームから更新されました。これにより、特定のワークロードに Hyper-V storvsc ドライバーを使用する場合に I/O 操作の中程度のパフォーマンスが向上します。(BZ#1287040)

Hyper-V クロックソースが TSC ページを使用するように変更

今回の更新で、TSC (Time Stamp Counter)ページが Hyper-V クロックソースとして使用されるようになりました。TSC ページは、以前使用されたモデル固有のレジスター(MSR)よりもゲストごとの参照カウンター値を算出するより効率的な方法を提供します。その結果、読み取りのタイムスタンプに関連するカーネル操作が速くなりました。(BZ#1300325)

libguestfs がバージョン 1.32.7 にリベース

libguestfs パッケージがアップストリームバージョン 1.32.6 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき変更点は次のとおりです。
  • virt-get-kernel ユーティリティーが追加されました。これを使用して、ディスクイメージファイルからカーネルと初期 RAM ファイルシステム(initramfs)を抽出できます。詳細は、virt-get-kernel (1)の man ページを参照してください。
  • virt-dib ユーティリティーが追加されました。その機能には、ディスクイメージファイルと ramdisk の構築が含まれます。詳細は、virt-dib (1)の man ページを参照してください。
  • virt-customize ユーティリティー、virt-builder ユーティリティー、および virt-systprep ユーティリティーに複数のオプションが追加されました。(BZ#1218766)

virt-v2v および virt-p2v は、最新の Windows リリースのサポートを追加

virt-v2v ユーティリティーには、Windows 8、8.1、10、および Windows Server 2012 および 2012R2 を使用する仮想マシンを、VMWare ハイパーバイザーから KVM、Red Hat Enterprise Virtualization、および OpenStack で実行するための変換がサポートされるようになりました。さらに、virt-p2v ユーティリティーには、上記の Windows システムを使用する物理マシンを KVM、Red Hat Enterprise Virtualization、および OpenStack と互換性のある仮想マシンに変換できるようになりました。(BZ# 1190669)

Libvirt 管理 API が追加されました。

今回の更新で、libvirtd サービスの管理インターフェイスが有効になりました。 libvirtd.conf ファイルを使用して調整でき、変更するたびにデーモンを再起動する必要がある永続的な libvirtd 設定とは異なり、管理インターフェイスを使用するといつでもデーモン設定を変更できます。さらに、管理インターフェイスは現在のデーモン設定を監視する複数の方法を提供します。
具体的には、API が有効にする操作には以下が含まれます。
  • すべてのデーモンサーバーの一覧表示
  • すべてのクライアント接続の一覧表示
  • クライアント接続に関する詳細情報の提供
  • 個々のクライアント接続を強制的に閉じる
  • ホストで許可されたクライアントおよびアクティブなワーカースレッドの数に制限を再設定します。
管理インターフェイスは、既存の virsh クライアントを基にした virt-admin ユーティリティーを使用して制御できます。詳細は、virt-admin (1) man ページを参照してください。(BZ#735385)

virt-p2v に完全対応

Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入された virt-p2v ツールは、完全にサポートされるようになりました。これにより、物理マシンを KVM ハイパーバイザーと互換性のある仮想マシンに変換でき、以前はテクノロジープレビューとして利用できていました。
virt-p2v は、最小限の Red Hat Enterprise Linux ディストリビューションとツール自体を含む ISO イメージとして提供されます。物理マシンを変換するには、ISO イメージを CD に書き込み、これを使用して物理マシンを起動します。PXE ブートおよび USB ブートもサポートされます。その後、画面の指示に従って手動変換を実行するか、自動変換を有効にします。
詳細は、virt-v2v パッケージをインストールし、virt-p2v (1)の man ページを参照するか、以下のナレッジベースアーティクルを参照してください。

新しいパッケージ: libvirt-nss

Red Hat Enterprise Linux 7.3 は、libvirt-nss パッケージを追加します。これにより、libvirt Network Security Services (NSS)モジュールを使用できます。このモジュールを使用すると、TLS、SSL、SSH、およびその他のリモートログインサービスを使用したゲストへの接続が容易になります。さらに、ping などのホスト名の翻訳を使用するユーティリティーを利用できます。詳細は、Red Hat Enterprise Linux 7 仮想化の導入および管理ガイドを参照してください。(BZ#1325996)

KVM ゲストでサポートされる Intel Xeon v5 プロセッサー

Intel Xeon v5 プロセッサーのサポートが、KVM ハイパーバイザーおよびカーネルコード、および libvirt API に追加されました。これにより、KVM ゲスト仮想マシンが MPX、XSAVEC、XGETBV1 の機能を使用できるようになります。(BZ#1327599)

VirtIO 1.0 フルサポート

テクノロジープレビューとして Red Hat Enterprise Linux 7.2 で導入された virtio 1.0 デバイスが完全にサポートされるようになりました。(BZ#1227339)

libvirt iptables ルールは、指定したネットワークに対して手動で管理できます。

libvirt は、作成するネットワークのタイプごとに、iptables ルールを自動的に生成し、適用します。ルールは、各ネットワークの設定の forward モード で制御されます。以前は、ユーザーはこれらの自動生成された iptables ルールを無効にし、iptables ルールを手動で管理する方法はありませんでした。現在のリリースでは、open network forward モード が追加されました。ネットワークに指定されると、libvirt はネットワークの iptables ルールを生成しません。その結果、libvirt のスコープ外に追加された iptables ルールは中断されず、ユーザーは iptables ルールを手動で管理できます。(BZ#846810)

open-vm-tools がバージョン 10.0.5 にリベースされました。

open-vm-tools パッケージがアップストリームバージョン 10.0.5 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。特に、ゲスト OS のカスタマイズ(GOSC)および休止スナップショット機能が導入されました。(BZ#1268537)

virt-who が HTTP エラー 429 を適切に処理

Subscription Manager の負荷が大きすぎると、HTTP エラーコード 429 がクライアントとの通信をレート制限に返す可能性があります。以前は、virt-who はこのエラーコードを適切に処理せず、最適な動作が発生していました。今回の更新で、virt-who が HTTP エラーコード 429 を適切に処理し、後で Subscription Manager との通信を再試行するようになりました。(BZ#1286945)

virt-whoでサポートされる暗号化された Hyper-V 接続

以前は、virt-who は暗号化されていない Hyper-V 接続を使用していました。すべてのデータがプレーンテキストで送信されました。これにより、セキュリティー上の影響があり、Hyper-V サーバーで特別な設定を許可する必要がありました。今回の更新で、virt-who が Windows NT LAN Manager (NTLM)のシールおよび署名を使用して Hyper-V サーバーとの通信を保護するようになりました。(BZ#1278637)

Red Hat Enterprise Linux ベースではないハイパーバイザーを登録するための新しいチャンネル

以前は、virt-who は、登録済みハイパーバイザーが Red Hat Enterprise Linux ベースではない場合でも、登録済みのハイパーバイザーごとに 1 つの Red Hat Enterprise Linux 6 サブスクリプションを使用していました。この更新により、virt-who は、Satellite 5 でのハイパーバイザー登録に Hypervisor Base という名前の新しいチャンネルを作成して使用します。その結果、virt-who は、新しく登録されたハイパーバイザーにハイパーバイザー ベース チャネルを使用し、不要な Red Hat Enterprise Linux 6 サブスクリプションを消費しなくなりました。(BZ#1245035)

IBM z Systems での Diag0c の完全サポート

Red Hat Enterprise Linux 7.3 は、IBM z Systems の Diag0c 機能に完全に対応します。Diag0c のサポートにより、z/VM ハイパーバイザーが提供する CPU パフォーマンスメトリックを読み取り、診断タスクが実行される Linux ゲストの各オンライン CPU の管理時間を取得できるようになります。(BZ#1278795)

libvirt API が USB デバイスのアドレスを生成する

今回の更新で、libvirt が USB デバイスのアドレスを生成するようになりました。これらのデバイスは、libvirtが生成したアドレスの子とともに、ドメイン XML ファイルにあります。これにより、将来起動、復元、および移行操作に、ゲストの USB デバイスのアドレスの一貫性が確保されます。これにより、USB デバイスが接続されている仮想マシンを移行できます。(BZ#1215968)

WALinuxAgent がバージョン 2.2.0 にリベース

Windows Azure Linux Agent がアップストリームバージョン 2.2.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。このエージェントは、Windows Azure クラウドでの Linux 仮想マシンのプロビジョニングおよび実行をサポートし、Windows Azure 環境で実行するためにビルドされた Linux イメージにインストールする必要があります。WALinuxAgent パッケージは Extras チャンネルで提供されます。(BZ#1387783)

第20章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全かつ軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知の問題、テクノロジープレビューについては、Atomic Host and Containers Release Notes を参照してください。

第21章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージを提供する Red Hat のコンテンツセットのことで、AMD64 および Intel 64 のアーキテクチャー上の Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 のすべてのサポートされるリリースにインストールして使用できます。Red Hat Developer Toolset は、別の Software Collection として提供されています。
Red Hat Developer Toolset は、Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されています。GNU Compiler Collection、GNU Debugger、その他の開発用ツールやデバッグ用ツール、およびパフォーマンス監視ツールの現行バージョンを提供します。Red Hat Software Collections 2.3 以降、Eclipse 開発プラットフォームは別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーに基づく代替のパッケージ化メカニズムを使用して、パッケージの並列セットを提供しています。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンのパッケージを使用することもできます。scl ユーティリティーを使用すると、いつでも実行するパッケージバージョンを選択できます。
重要
Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は、Red Hat Software Collections Product Life Cycle を参照してください。
セットに含まれるコンポーネント、システム要件、既知の問題、使用方法、および各 Software Collection の詳細は、Red Hat Software Collections documentation を参照してください。
このソフトウェアコレクション、インストール、使用方法、既知の問題などに含まれるコンポーネントの詳細は、Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

本パートでは、ユーザーに大きな影響を及ぼしていた Red Hat Enterprise Linux 7.3 のバグで修正されたものを説明します。

第22章 全般的な更新

長いネットワークデバイス名の短縮

ネットワークデバイスによっては、許容範囲で長い名前がある場合があります。これは、カーネルがユーザー空間に渡すデバイスの オンボードインデックス 値など、特定のファームウェアが意味のないデータを報告するためです。
以前は、これにより、特に VLAN で名前の最大長に問題が生じていました。今回の更新で、systemd は受け入れられない長い名前を拒否するようになり、別の命名スキームにフォールバックします。その結果、長いネットワークデバイス名が表示されなくなりました。
重要:これは、既存のインストールの名前が変更され、影響を受けるネットワークデバイスがオンラインにならないことを意味します。
名前の変更は、X が 16383 を超える enoX という名前のネットワークカードで行われます。これは主に vmware マシンに影響します。ファームウェアには上記の問題があるためです。(BZ#1230210)

デバイス識別バイトを正しく読み取るための systemd の修正

エンディアン性の問題により、Red Hat Enterprise Linux 7.2 の systemd のバージョンはデバイス識別バイトを間違った順序で読み取り、dev/disk/by-id/wwn-* シンボリックリンクが誤って生成される原因となります。デバイス ID バイトを正しい順序で配置するためのパッチが適用され、シンボリックリンクが正しく生成されるようになりました。/dev/disk/by-id/wwn-* から取得した値に依存する参照は、Red Hat Enterprise Linux 7.3 以降で正しく動作するように変更する必要があります。(BZ#1308795)

net.unix.max_dgram_qlen の値が 512 に増加

以前は、net.unix.max_dgram_qlen カーネルオプションのデフォルト値は 16 でした。その結果、ネットワークトラフィックが高すぎると、特定のサービスが予期せず終了する可能性がありました。今回の更新で、値を 512 に設定され、この問題が回避されるようになりました。ユーザーは、この変更を適用するためにマシンを再起動する必要があります。(BZ#1267707)

/lib/ および /lib 64 / の非ルートファイルシステムへのリンクは、ldconfig.serviceによって削除されます。

Red Hat Enterprise Linux 7.2 では、root 以外のファイルシステムをマウントする前に、ブートプロセスの初期段階で実行される ldconfig.service が導入されました。今回の更新以前は、ldconfig.service が実行されると、まだマウントされていないファイルシステムを参照している場合は、 /lib/ ディレクトリーおよび /lib64 / ディレクトリーのリンクが削除されていました。Red Hat Enterprise Linux 7.3 では、ldconfig.service が削除され、問題は発生しなくなりました。(BZ#1301990)

多くのプロセスが短い間隔で終了すると、systemd がハングしなくなりました。

以前は、プロセスを取得しないアルゴリズムにより、短い間隔で多数のプロセスが終了すると、systemd サービスが応答しなくなっていました。今回の更新でアルゴリズムが改善され、systemd がプロセスをより速く取得できるようになり、上記の systemd がハングしなくなりました。(BZ#1360160)

gnome-dictionary multilib パッケージの競合が発生しなくなる

gnome-dictionary multilib パッケージの 32 ビットパッケージと 64 ビットパッケージの両方がインストールされていると、Red Hat Enterprise Linux 7.2 から Red Hat Enterprise Linux 7.3 へのアップグレードに失敗していました。この問題を修正するために、32 ビットパッケージが Red Hat Enterprise Linux 7.3 から削除されました。その結果、この状況でのアップグレードは期待どおりに機能します。(BZ#1360338)

第23章 認証および相互運用性

keep alive エントリーのロギングレベルの変更

keep alive エントリーは、スキップされた更新が、一部レプリケーションで複数回評価されないようにするために使用されます。多数の更新がスキップされると、これらのエントリーは非常に頻繁に更新できます。また、各エントリーは、更新前にすでに存在するかどうかを確認するためにテストされるため、一意のエントリーのみが作成されます。
このテストは以前は Fatal レベルでログに記録されていたため、フィルターリングできなかった不要なメッセージでエラーログが入力されていました。今回の更新で、keep alive エントリーのログレベルが Fatal から Replication debugging (8192)に変更され、エントリーをフィルターリングできるようになりました。(BZ#1314557)

cleanAllRUV タスクが false attrlist_replace エラーをログに記録しなくなる

cleanAllRUV タスクのメモリー破損のバグにより、attrlist_replace エラーメッセージが誤ってログに記録されていました。このタスクは、メモリーコピーに別の関数を使用するように更新され、誤ったエラーメッセージをログに書き込まなくなりました。(BZ#1288229)

接続オブジェクトのデッドロックが発生しなくなる

以前のバージョンでは、不要なロックが接続オブジェクトで取得される可能性があり、デッドロックが生じる可能性がありました。不要なロックを削除するパッチが適用され、デッドロックが発生しなくなりました。(BZ#1278755)

簡単なページ結果検索の破棄要求によってクラッシュが発生しなくなる

今回の更新以前は、Directory Server は、破棄チェックが完了した後、結果が完全に送信される前に、破棄された結果検索の破棄要求を受け取る可能性がありました。この場合、結果の送信中に破棄要求が処理され、Directory Server がクラッシュしていました。今回の更新で、結果がすでに送信されている間に破棄要求が処理されなくなり、クラッシュが発生しなくなりました。(BZ#1278567)

単純なページ結果検索スロットが、障害後に正しく解放されるようになりました

以前のバージョンでは、簡素なページングされた結果結果検索がバックエンドで失敗した場合、簡素なページングされた結果スロットはリリースされませんでした。そのため、複数の簡単なページ結果スロットを接続オブジェクトに蓄積できます。今回の更新で、検索に失敗すると、簡素なページングされた結果スロットが正しく解放され、未使用の単純なページングされた結果スロットが接続オブジェクトに残されなくなりました。(BZ#1290242)

cn=config以外の接尾辞では、DES から AES パスワード変換を手動で実行する必要があります。

Directory Server が起動すると、データ暗号化標準(DES)アルゴリズムで暗号化した現在のパスワードはすべて、より安全な Advanced Encryption Standard (AES)アルゴリズムを使用するように自動的に変換されます。DES- 暗号化されたパスワードは、インデックスなしの内部検索を使用して検出されていましたが、これは非常に大きなユーザーデータベースでは遅すぎるため、起動プロセスがタイムアウトし、Directory Server が起動しない場合がありました。今回の更新で、設定接尾辞 cn=config のみが DES パスワードがないかチェックされ、新しい slapi タスク des2aes が利用できるようになりました。管理者は、サーバーを起動して、必要に応じて特定のデータベースの AES にパスワードを変換できるようになりました。その結果、ユーザーデータベースのサイズに関係なく、サーバーが起動します。(BZ#1342609)

バックエンドデータベースを削除してもデッドロックが発生しなくなる

トランザクション情報は、以前はバックエンドの削除時にデータベースヘルパー関数のいずれかに渡されませんでした。そのため、プラグインがトランザクションによってロックされた領域のデータにアクセスしようとするとデッドロックが発生していました。今回の更新で、トランザクション情報が必要なすべてのデータベースヘルパー関数に渡され、デッドロックが発生しなくなりました。(BZ#1273555)

同じ LDAP 属性を削除して追加すると等価インデックスが正しく更新されるようになりました。

以前は、ldapmodify コマンドを使用して同じ LDAP 属性の複数の値が削除され、同じ操作中に少なくとも 1 つの値が再び追加された場合、等価インデックスは更新されませんでした。そのため、再追加された属性値の正確な検索は、そのエントリーを返しませんでした。インデックスコードのロジックは、エントリー内の少なくとも 1 つの値が変更された場合にインデックスを更新するように変更され、再追加された属性値の正確な検索が正しいエントリーを返すようになりました。(BZ#1290600)

簡単なページ結果検索で破棄要求によってデッドロックが発生しなくなる

以前は、排他的接続ロックは、簡単なページ結果検索で破棄要求に関連するバグ修正の一部として追加されました。ただし、特定の状況では、この新しいロックにより自己デッドロックが発生します。今回の更新で、ロックが再設定され、簡単なページ結果の検索中に自己デッドロックが発生しなくなりました。(BZ#1295947)

簡素なページングされた結果検索では、実際の結果ではなく 0 が返されなくなりました。

以前は、簡素なページングされた結果、SIZELIMIT_EXCEEDED などのエラーのために接続が破棄された場合に、破棄されたスロットが適切にクリーンアップされませんでした。その後、このスロットを再利用する検索は、常に 0 を返します。今回の更新で、破棄されたページングされた結果スロットが正しくクリーンアップされ、再利用されたスロットがある場合でも正しい結果が返されるようになりました。(BZ#1331343)

pblock オブジェクトがないため ACL プラグインがクラッシュしなくなる

十分なパーミッションなしで バインド ユーザーによって永続的な検索(psearch)を起動すると、キャッシュ内のアクセスパーミッションオブジェクトは、初期 pblock 構造を永続構造を参照するようにリセットできませんでした。その結果、アクセス制御リスト(ACL)プラグインは、pblock オブジェクトがないためにサーバーがクラッシュする可能性がありました。今回の更新で、初期オブジェクトが永続構造にリセットされ、この状況で Directory Server がクラッシュしなくなりました。(BZ#1302823)

レプリケーション changelog が正しく更新を誤ってスキップしなくなりました

changelog イテレーターバッファーのバグにより、バッファーをリロードするときに誤った位置を参照していました。これにより、レプリケーションが変更ログの一部をスキップするため、一部の変更は複製されませんでした。このバグは修正され、変更ログバッファーを誤ってリロードすることでレプリケーションデータの損失が発生しなくなりました。(BZ#1321124)

古いスキーマスタイルを一重引用符で正しく使用できるようになりました。

バージョン 1.3.2 以降、389-ds-base パッケージは RFC 4512 で説明されているスキーマ定義に準拠しており、古いバージョンではスキーマを使用できません。以前のバージョンからの移行を容易にするために、nsslapd-enquote-sup-oc パラメーターが導入されました。ただし、このパラメーターの実装には、古いスキーマスタイルを一重引用符で処理できないバグがありました。以下に例を示します。
SYNTAX oid
このバグは修正され、古いスキーマスタイルで一重引用符を使用できるようになりました。
また、今回の更新で、スキーマディレクトリーに古いスタイルスキーマのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTES 環境変数が導入されました。この機能を有効にするには、/etc/sysconfig/dirsrv-INSTANCE 設定ファイルに以下の変数を設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1303641)

DES から AES へのパスワード変換が適切に動作するようになりました。

Red Hat Enterprise Linux 7.1 から 7.2 へのアップグレード中に、Reversible Password プラグイン が使用する暗号化アルゴリズムが DES から AES に変更になりました。Directory Server は、アップグレード時にすべてのパスワードを新しいアルゴリズムに自動的に変換します。ただし、定義されたバックエンドに top エントリーがない場合は、パスワード変換が 32 エラー を出して失敗しました。また、変換に失敗しても 389-ds-baseDES プラグインを無効にしていたため、既存のパスワードはデコードできませんでした。
このバグは修正され、変換するパスワードのバックエンドを検索する際に 389-ds-base がエラーを無視するようになり、DES プラグインは、すべてのパスワードが AES に正常に変換された後にのみ無効になりました。(BZ#1320715)

キープアライブエントリーがレプリケーションを破損しなくなりました。

以前は、レプリケーション中にキープアライブエントリーが過剰に発生する機会が多すぎるため、レプリカ changelog にエントリーを追加する際に競合状態が発生し、操作がレプリケーションからドロップされる可能性がありました。今回の更新により、不要なキープアライブエントリーの作成がなくなり、レプリケーション中にキープアライブエントリーで操作が不足しなくなりました。(BZ#1307151)

次のセッションで失敗したレプリケーションの更新が適切に再試行されるようになりました。

レプリカの更新がコンシューマー側で失敗し、その後に成功した更新が続くと、コンシューマーのレプリケーションステータスは正常な更新によって更新され、コンシューマーは最新の状態であるかのように表示されました。その結果、失敗した更新は再試行されず、データの損失が発生していました。今回の更新により、レプリケーションの失敗が接続を閉じ、レプリケーションセッションを停止するようになりました。これにより、追加の更新がコンシューマーのレプリケーションステータスを変更しないようにし、サプライヤーが次のセッションで失敗した操作を再試行できるようにし、データの損失を防ぎます。(BZ#1310848)

LICENSE ファイルに正しいライセンス情報が表示されるようになりました。

以前は、rpm -qi 389-ds-base コマンドの出力に以前のライセンスフィールド GPLv2 (例外あり)が表示されていました。この問題は修正され、389-ds-base パッケージで LICENSE ファイルに正しいライセンス情報( GPLv3+ ライセンス)が提供されるようになりました。(BZ#1315893)

管理者がリセットしたパスワードがパスワード履歴に保存されるようになりました。

管理者によりユーザーパスワードがリセットされると、古いパスワードはユーザーのパスワード履歴に保存されていませんでした。これにより、ユーザーはリセット後に同じパスワードを再利用できました。今回の更新により、管理者が手動でリセットされるパスワードがパスワード履歴に保存されるようになり、ユーザーは別のパスワードを使用する必要があります。(BZ#1332709)

複数のプラグインで拒否されたエントリーが検索に表示されなくなる

以前は、エントリーが複数のバックエンドトランザクションプラグイン( Auto MembershipManaged Entryなど)で同時に拒否された場合、エントリーキャッシュは一貫性のない状態のままになりました。これにより、エントリーが追加されていなくても、検索でエントリーを返すことができました。今回の更新で、追加 操作が失敗した場合にエントリーの識別名(DN)を保存するエントリーキャッシュが適切にクリーンアップされ、拒否されたエントリーが ldapsearch によって返されなくなりました。(BZ#1304682)

オプションなしで db2index を実行してもレプリケーションが失敗しなくなる

オプションなしで db2index スクリプトを実行すると、これらのエントリーに親エントリーがないため、スクリプトはディスク上の Replica Update Vector (RUV)エントリーの処理に失敗していました。既存の RUV はスキップされ、新しい RUV が代わりに生成され、ID の不一致が原因で次のレプリケーションが失敗しました。今回の更新で、db2index の RUV エントリーの処理が修正され、オプションを指定せずにこのスクリプトを実行しても、レプリケーションが失敗することはなくなりました。(BZ#1340307)

ビジーなデータベースの削除時に Directory Server がクラッシュしなくなる

以前は、インポートの進行中にコンソールを使用してバックエンドデータベースを削除しようとすると、Directory Server がクラッシュしていました。今回の更新により、削除スクリプトは最初にバックエンドがビジーかどうかを確認し、削除が安全である場合にのみ続行されるようになりました。したがって、この状況で Directory Server がクラッシュしなくなりました。(BZ#1355760)

重複する ID エラーが原因でコンシューマーのマスターへのプロモートに失敗しなくなりました。

以前のバージョンでは、コンシューマーインスタンスをマスターにプロモートすると、レプリカ更新ベクトル(RUV)の最後に新しい要素が追加されました。ただし、新たにプロモートされたマスターから複製しようとすると、リモートは最後のマスターではなく RUV の最初の要素をチェックし、ID が重複しているためレプリケーションセッションを中止していました。今回の更新により、レプリカをマスターにプロモートする際に RUV が再設定され、以前にレプリカされていたマスターからのレプリケーションが失敗しなくなりました。(BZ#1278987)

nsslapd が作業ディレクトリーを正しく設定

以前のバグ修正で発生したリグレッションにより、nsslapdsystemd によってデフォルトで作業ディレクトリー( nsslapd-workingdir 属性)の設定を省略します。このバグは修正され、作業ディレクトリーは起動時に再度設定されました。(BZ#1360447)

IdM アップグレードスクリプトが正常に実行されるようになりました。

以前は、Identity Management (IdM)サーバーのアップグレードスクリプトは、バージョン変更を検出できませんでした。その結果、IdM サーバーのアップグレードに失敗していました。このバグは修正され、アップグレードが正常に実行されるようになりました。(BZ#1290142)

libkadm5* ライブラリーが libkadm5 パッケージに移動しました。

Red Hat Enterprise Linux 7.3 では、libkadm5* ライブラリーが krb5-libs から新しい libkadm5 パッケージに移動しました。これにより、yumkrb5-libs パッケージを自動的にダウングレードできません。ダウングレードを行う前に、libkadm5 パッケージを手動で削除します。
# rpm -e --nodeps libkadm5
パッケージを手動で削除したら、yum downgrade コマンドを使用して krb5-libs パッケージを以前のバージョンにダウングレードします。(BZ#1347403)

シングルサインオンが、複数の AD フォレストルートドメインとの信頼で正しく機能するようになりました。

以前は、Identity Management (IdM)が相互に信頼する 2 つの異なる Active Directory (AD)フォレストへの信頼を確立し、IdM がいずれかの DNS サブドメインに設定されている場合、他の AD フォレストは IdM と AD との間で名前接尾辞のルーティングの競合を報告していました。その結果、IdM と、名前ルーティングの競合を特定した AD フォレストとの間で、シングルサインオンに失敗していました。この手順では、信頼を確立する際にこのような競合を検出するようになりました。信頼の確立中に AD 管理者の認証情報を指定すると、除外エントリーが自動的に作成され、名前接尾辞のルーティングの競合が解決されます。これにより、IdM が AD フォレストの DNS サブドメインにデプロイされると、シングルサインオンが期待どおりに機能します。(BZ#1348560)

特定の multilib SSSD パッケージが原因で Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗しなくなりました。

SSSD (System Security Services Daemon)の一部として提供される sssd-common パッケージおよび sssd-krb5 -common パッケージは、複数のアーキテクチャーに対応しなくなりました。以前は、パッケージが 32 ビットバージョンと 64 ビットバージョンの両方でインストールされると、Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗していました。この問題を修正するために、Red Hat Enterprise Linux 7.3 から 32 ビットバージョンの sssd-common および sssd-krb5-common が削除されました。これにより、アップグレードが正常に実行されるようになります。(BZ#1360188)

OpenLDAP が NSS 設定を正しく設定

以前は、OpenLDAP サーバーはネットワークセキュリティー設定(NSS)コードの誤った処理を使用していました。そのため、olcTLSProtocolMin などの特定の NSS オプションが正しく機能しませんでした。今回の更新でバグに対応し、影響を受ける NSS オプションが期待どおりに機能するようになりました。(BZ#1249093)

スマートカードで Kerberos を使用する場合、sudo コマンドが正しく機能するようになりました。

以前は、フォーク操作中に、pam_krb5 モジュールが多くのファイル記述子に閉じられていました。その結果、/etc/passwd ファイルの最初の 4096 文字内にパスワードエントリーが見つからない場合、Kerberos およびスマートカードを使用して認証するユーザーの sudo コマンドは失敗していました。このバグが修正され、nsswitch などのライブラリーがファイル記述子を使用でき、sudo が正常に機能するようになりました。(BZ#1263745)

Certificate System は、CSR の PKCS#10 拡張のサポートを復元します。

以前は、外部署名証明書を使用した Certificate System のインストール時に生成される証明書署名要求(CSR)には、一部の外部認証局(CA)で必要な PKCS#10 拡張が含まれていませんでした。今回の更新で、Certificate System は、基本的な制約やキーの使用拡張機能、および任意のユーザー定義拡張を含む、デフォルトの拡張機能で CSR を作成するようになりました。(BZ#1329365)

IdM CA サービスが IPv6 のみのインストールで正常に起動するようになりました。

以前は、IPv6 用にのみ設定されたシステムでは、Identity Management (IdM)のインストール時に pki-tomcat サービスが IPv4 ループバックデバイスに誤ってバインドされていました。そのため、認証局(CA)サービスは起動できませんでした。IdM 設定は、IPv6 プロトコルのみが設定されているシステムで IPv6 ループバックデバイスにバインドするようになりました。その結果、CA サービスが正常に起動します。(BZ#1082663)

pki コマンドが失効の詳細を表示するようになりました。

この更新により、pki サブコマンド cert-show および cert-find は、以下のような取り消された証明書に関する情報を表示するようになりました。
  • 失効日
  • 取り消し(BZ#1224382)

ipa-replica-install --setup-dns が DNS にすでに存在する DNS 名の DNS ゾーンを作成しなくなりました。

以前は、ipa-replica-install ユーティリティーで --setup-dns オプションを使用すると、その DNS ゾーンが別の DNS サーバーに存在している場合でも、プライマリー Identity Management (IdM)ドメイン名と IdM サーバーのゾーン名と同じ DNS ゾーンが常に作成されていました。これにより、複数の DNS サーバーがドメインの権威サーバーとして誤って機能した場合に、クライアント側で特定の問題が生じました。この問題を修正するために、IdM は、他の DNS サーバーにすでに存在する場合に DNS ゾーンを作成しなくなりました。IdM インストーラーは競合を適切に検出し、このような状況ではインストールに失敗します。(BZ#1343142)

他のモジュールと使用すると idmap_hash モジュールが正しく機能するようになりました。

以前は、idmap_hash モジュールは、他のモジュールとともに使用されていると誤って機能していました。そのため、ユーザー ID とグループ ID が適切にマッピングされませんでした。設定済みのモジュールをスキップするパッチが適用されました。ハッシュモジュールは、デフォルトの idmap 設定バックエンドとして使用でき、ID は正しく解決されるようになりました。(BZ#1316899)

CA が netHSM への接続を失うと、CRL がより少ないメッセージを生成するようになりました。

以前は、CA が Thales netHSM への接続を失うと、CRL 生成が CRL 生成の途中で HSM や LDAP などの依存コンポーネントが利用できないことが原因でループに入る可能性がありました。その結果、プロセスは CA が再起動するまで、大量のデバッグログメッセージを生成していました。今回の更新で、ループの速度を低下させる修正が提供され、上記のシナリオで生成されるデバッグメッセージの量が大幅に削減されるようになりました。(BZ#1308772)

Gemalto Safenet LunaSA (HSM)でインストールされると、KRA がキーの回復に失敗しなくなりました。

以前は、Gemalto Safenet LunaSA ハードウェアセキュリティーモジュール(HSM)にインストールされている場合、Red Hat Certificate System キーリカバリー認証局(KRA)サブシステムはキーを回復できませんでした。HSM が FIPS 以外のモードに設定されている場合、パッチが適用され、リカバリーが期待どおりに機能するようになりました。(BZ#1331596)

より安定した Directory Server のプロセスサイズ

以前は、Directory Server は glibc ライブラリーで提供されるデフォルトのメモリーアロケーターを使用していました。このアロケーターは、Directory Server の malloc () および free ()パターンを処理するのに十分な効率的ではありませんでした。その結果、Directory Server のメモリー使用量が非常に高くなる可能性があり、OOM (Out of Memory) Killer が ns-slapd プロセスを強制終了する可能性がありました。今回の更新で、Directory Server は tcmalloc メモリーアロケーターを使用するようになりました。その結果、Directory Server のプロセスサイズは大幅に低く、安定します。(BZ#1186512)

ns-slapd は、pin.txt ファイルが見つからない場合にピンを正しく要求するようになりました

以前のリリースでは、389-ds-base は、systemd が標準入力をキャプチャーし、389-ds-base が使用を試みていた 389-ds-base が標準出力を出力するため、pin.txt ファイルが見つからない場合にピンを要求するプロンプトを表示しませんでした。今回の更新で、389-ds-base は起動時に systemd がシステムで実行されているかどうかを検出し、必要な場合は正しい systemd API を使用してパスワードプロンプトを表示するようになりました。したがって、Directory Server は pin.txt ファイルなしで起動できます。これにより、管理者は nssdb パスワードをシステムから離れることができます。(BZ#1316580)

レプリカ合意の更新ステータスに、レプリカ合意の失敗に関する詳細が含まれるようになりました。

これまでレプリカ合意の更新ステータスには、エラーが発生した後の一般的なメッセージのみが表示されていたため、レプリカ合意の失敗のトラブルシューティングが困難でした。今回のリリースより、更新ステータスには詳細なエラーメッセージが含まれるようになりました。その結果、すべてのレプリカ合意の更新の失敗が正しく行われ、正確にログに記録されます。(BZ#1370300)

IdM が、より大きなデフォルトのロックテーブルサイズ値を使用するようになりました。

以前は、Identity Management (IdM)データベースのロック数が低くなっていました。その結果、多数のグループメンバーシップ属性を更新すると失敗する可能性があります。この問題に対処するために、デフォルトのロックテーブルサイズが 10000 から 100000 に増えました。その結果、多数のグループメンバーシップ属性の更新に失敗しなくなりました。(BZ#1196958)

ipa-server-certinstall コマンドが、外部署名証明書のインストールに失敗しなくなる

以前は、ipa-server-certinstall コマンドを使用した外部署名証明書のインストール
  • 以前の証明書は、Certificate System で追跡されませんでした。
  • 新しい外部証明書は、Certificate System によって追跡されました。
  • NSS データベースで最初に見つかった証明書が使用されました。
そのため、ipa-server-certinstall コマンドは、外部の認証局(CA)により署名され、サービスを開始できなかったときに、LDAP および Web サーバーの新しい証明書のインストールに失敗していました。コマンドが修正され、Identity Management (IdM) CA が発行する証明書のみを追跡するようになりました。その結果、新しい証明書が正しくインストールされ、上記のシナリオで LDAP および Web サーバーの起動に失敗しなくなりました。(BZ#1294503)

default_domain_suffix が設定されている場合や、完全修飾名が含まれる場合に sudo ルールが正しく機能するようになりました。

以前は、sudo ユーティリティーは、このような状況で sudo ルールを正しく評価しませんでした。
  • default_domain_suffix オプションが /etc/sssd/sssd.conf ファイルで使用されている場合
  • sudo ルールで完全修飾ユーザー名を使用する場合
そのため、sudo ルールは機能しませんでした。今回の更新で、SSSD (System Security Services Daemon)が sudo ルールを変更し、上記の状況で sudo が正しく評価されるようになりました。(BZ#1300663)

SSSD のデフォルト設定ファイルからプロキシー設定が削除される

以前は、System Security Services Daemon (SSSD) /usr/lib64/sssd/conf/sssd.conf のデフォルト設定ファイルは、自動設定ドメインを使用して、すべての要求を /etc/passwd および /etc/groups ファイルにプロキシーしていました。このプロキシー設定は、realmdipa-client-install などの他のユーティリティーと統合できませんでした。非互換性を修正するために、[domain/shadowutils] プロキシー設定が削除され、SSSD が正常に機能するようになりました。(BZ#1369118)

sss_override ユーティリティーでの表示、検索、エクスポートの操作が正しく機能するようになりました。

Red Hat Enterprise Linux 7.3 では、SSSD (System Security Services Daemon)にローカルオーバーライドが導入されました。リグレッションにより、-n オプションなしでオーバーライドが作成されると、sss_override コマンドが失敗しました。このバグが修正され、sss_override が正しく機能するようになりました。(BZ#1373420)

IdM にホームディレクトリーがない場合、ipa コマンドが失敗しなくなりました。

以前は、Identity Management (IdM)がホームディレクトリーの ~/.cache/ipa にキャッシュディレクトリーを作成できない場合、すべての ipa コマンドに失敗していました。この状態は、たとえば、ユーザーにホームディレクトリーがない場合などに発生しました。今回の更新で、キャッシュを作成またはアクセスできない場合でも、IdM は機能を継続できるようになりました。このような場合、すべてのメタデータを繰り返しダウンロードする必要があるため、ipa コマンドは完了するまでに時間がかかる場合があります。(BZ#1364113)

IdM コマンドラインインターフェイスのヘルプの表示に予期しない時間がかかりなくなる

ユーザーが --help オプションを使用して ipa ユーティリティーを実行すると、ipa はプラグインおよびコマンドから必要な情報を収集します。以前は、プラグインおよびコマンドは Python モジュールでした。今回のリリースにより、ipa はサーバーからダウンロードしたスキーマに基づいてプラグインおよびコマンドを生成するようになりました。
このため、特にヘルプにトピックとコマンドのリストが含まれる場合、ヘルプの表示は以前のバージョンの Identity Management (IdM)よりも大幅に長くなることがありました。このバグは修正され、--helpipa の実行に必要な時間が短縮されました。(BZ#1356146)

以前のバージョンの IdM を持つサーバーでのコマンドの実行に時間がかかることがなくなりました。

IdM バージョン 4.4 を実行している Identity Management (IdM)クライアントのユーザーがコマンドを実行すると、IdM はクライアントが問い合わせたサーバーが新しいコマンドスキーマをサポートしているかどうかを確認します。この情報はキャッシュされないため、クライアントがサーバーに問い合わせるたびにチェックが実行されます。これは以前は、以前のバージョンの IdM を実行しているサーバーでコマンドを呼び出すために必要な時間を延長していました。ユーザーが IdM 4.4 に導入された新しいコマンドを実行すると、サーバーが コマンドを認識しないため、操作がまったく完了していないように見えることがあります。このバグが修正され、上記の状況で IdM コマンドの実行に予期しない時間がかかりなくなりました。(BZ#1357488)

信頼された AD フォレストの tree-root ドメインがフォレストルートを介して到達可能としてマークされるようになりました。

Active Directory (AD)フォレストに tree-root ドメイン(別の DNS ドメイン)が含まれる場合、Identity Management (IdM)は認証要求を tree-root ドメインのドメインコントローラーに正しくルーティングできない場合があります。そのため、Tree-root ドメインのユーザーは、IdM でホストされるサービスに対して認証できませんでした。今回の更新でバグが修正され、tree-root ドメインのユーザーはこの状況で期待どおりに認証できるようになりました。(BZ#1318169)

IdM Web UI は、予想通りにサブ CA が発行する証明書を表示します。

認証局(CA)が発行する証明書を表示するには、IdM Web UI は ipa cert-find コマンドを使用して CA 名をクエリーし、ipa cert-show コマンドを使用します。以前は、ipa cert-show は CA 名を使用していませんでした。そのため、サブ CA が発行する証明書の詳細ページを表示しようとすると、Web UI でエラーで失敗しました。このバグは修正され、Web UI は証明書の詳細ページを予想通りに表示できるようになりました。(BZ#1368424)

certmonger が IdM サブ CA からの証明書の要求に失敗しなくなる

certmonger サービスは、以前は誤った API 呼び出しを使用して IdM サブ認証局(サブ CA)から証明書を要求していました。その結果、サブ CA 設定は無視され、証明書は常に IdM ルート CA によって発行されました。今回の更新でバグが修正され、certmonger は IdM サブ CA からの証明書を予想通りに要求するようになりました。(BZ#1367683)

カスタムキーを使用した IdM OTP トークンの追加が期待どおりに機能する

ユーザーが --key オプションを指定して ipa otptoken-add コマンドを実行し、新しいワンタイムパスワード(OTP)トークンを追加すると、Identity Management (IdM)コマンドラインはユーザーが提供するトークンキーを誤って変換します。そのため、IdM で作成された OTP トークンが無効になり、OTP トークンを使用した認証の試行に失敗していました。今回の更新でバグが修正され、この状況で作成された OTP トークンが有効になります。(BZ#1368981)

EE ページを使用して管理者証明書の Web ブラウザーへのインポートが可能に

以前は、EnrollSuccess.template を使用して Certificate System 管理者証明書を Web ブラウザーにインポートすると、以下のエラーで失敗していました。
Error encountered while rendering a response.
今回の更新により、以下の手順に従って証明書をインポートできるようになりました。
1.pki-tomcatd サービスを停止します。
systemctl stop pki-tomcatd@pki-tomcat.service
2./etc/pki/pki-tomcat/ca/CS.cfg ファイルを編集し、以下を追加します。
ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true
3.pki-tomcatd サービスを起動します。
systemctl start pki-tomcatd@pki-tomcat.service
4.新しい Firefox プロファイルを作成します。
5.エンドエンティティー(EE)ページに移動し、Retrieval タブを選択します。
6.CA 証明書をインポートし、信頼できる証明書として設定します。
7.新しい Firefox プロファイル内で https://pki.example.com:8443/ca/admin/ca/adminEnroll.html にアクセスし、フォームに入力します。
8.新しい管理者証明書ソースが生成されます。これを新しい Firefox プロファイルにインポートします。
証明書が正常にインポートされたことを確認するには、それを使用して Agents ページに移動します。(BZ#1274419)

第24章 クラスタリング

Pacemaker が systemd 応答を正しく解釈し、クラスターのシャットダウン時に systemd サービスが適切な順序で停止します。

以前は、Pacemaker クラスターが systemd リソースで設定され、クラスターが停止すると、Pacemaker は、実際に停止する前に systemd サービスが停止したと誤って想定する可能性がありました。その結果、サービスは順番に停止され、障害が発生する可能性がありました。今回の更新により、Pacemaker が systemd 応答を正しく解釈し、クラスターのシャットダウン時に systemd サービスが適切な順序で停止されるようになりました。(BZ#1286316)

Pacemaker は、systemd ユニットを読み込む際に、一時的な障害と致命的な障害を区別するようになりました。

以前は、Pacemaker は、systemd ユニットを読み込むすべてのエラーを致命的として扱いていました。その結果、Pacemaker は、CPU 負荷などの一時的な状態が原因で負荷が失敗しても、systemd ユニットをロードできなかったノードで systemd リソースを起動しませんでした。今回の更新で、Pacemaker は、systemd ユニットの読み込み時に一時的な障害と致命的な障害を区別するようになりました。ログとクラスターのステータスがより適切なメッセージを表示するようになり、一時的なエラーが解消されるとリソースがノードで起動できるようになりました。(BZ#1346726)

Pacemaker は、クラスターから削除されたノードをパージする際に、そのメモリーからノード属性を削除するようになりました。

以前のバージョンでは、Pacemaker のノード属性マネージャーはメモリーから属性値を削除しましたが、クラスターから削除されたノードをパージする場合、属性自体は削除されませんでした。その結果、新規ノードが同じノード ID を持つクラスターに後で追加された場合、元のノードに存在する属性を新規ノードに設定できませんでした。今回の更新により、Pacemaker はノードを削除する際に属性自体をパージし、同じ ID を持つ新規ノードで属性の設定に問題が発生しなくなりました。(BZ#1338623)

Pacemaker は、グループに属する、またはクローンに依存するリソースの想定される結果を正しく判断するようになりました。

以前は、サービスを再起動すると、Pacemaker の crm_resource ツール( pcs resource restart コマンド)は、影響を受けるリソースが正常に起動するタイミングを適切に判断できませんでした。その結果、コマンドはグループのメンバーであるリソースの再起動に失敗するか、再起動したリソースが別のノードに移動したクローンリソースに依存すると無期限にハングする可能性がありました。今回の更新で、コマンドは、グループにある、またはクローンに依存するリソースの想定される結果を適切に判断するようになりました。必要なサービスが再起動し、コマンドが返されます。(BZ#1337688)

クラスター自体がない場合でも、DLM が必要とするときにフェンシングが発生するようになりました。

以前は、クラスター自体がフェンシングを必要としない場合でも、クォーラムの問題により DLM がフェンシングを必要とする可能性がありましたが、開始できませんでした。その結果、DLM および DLM ベースのサービスは、フェンシングを待たずにハングする可能性がありました。今回の修正により、ocf:pacemaker:controld リソースエージェントが DLM がこの状態にあるかどうかを確認し、その場合はフェンシングを要求するようになりました。この状況ではフェンシングが発生し、DLM を回復できるようになりました。(BZ#1268313)

DLM が接続の問題を検出し、報告するようになりました。

以前は、クラスター通信に使用されていた Distributed Lock Manager (DLM)は TCP/IP パケット配信を想定し、応答を無期限に待機していました。そのため、DLM 接続が失われた場合、問題の通知はありませんでした。今回の更新により、クラスター通信が失われた場合に DLM を検出し、報告するようになりました。その結果、DLM 通信の問題を特定し、問題が解決されると応答しなくなったクラスターノードを再起動することができます。(BZ#1267339)

コンピュートインスタンスをオフにすると、管理者以外のユーザーによって作成された高可用性インスタンスの退避が可能に

以前は、fence_compute エージェントは、admin ユーザーが作成したコンピュートインスタンスのみを検索していました。そのため、コンピュートインスタンスをオフにしても、管理者以外のユーザーによって作成されたインスタンスの退避が行われませんでした。今回の更新により、fence_compute がどのユーザーでもインスタンスを検索し、コンピュートインスタンスが想定どおりに新しいコンピュートノードに退避されるようになりました。(BZ#1313561)

nfsserver リソースの起動に失敗しなくなる

var-lib-nfs-rpc_pipefs.mount プロセスがアクティブになると、nfs-idmapd サービスの起動に失敗します。デフォルトではプロセスがアクティブになっています。その結果、nfsserver リソースの起動に失敗していました。今回の更新で、この状況で var-lib-nfs-rpc_pipefs.mount が停止し、nfs-idmapd が起動しなくなりました。これにより、nfsserver が期待どおりに起動します。(BZ#1325453)

LRMd は エラーが期待どおりにログに記録され、クラッシュしなくなりました。

以前は、特定のまれな systemd エラーをログに記録する際に、Pacemaker のローカルリソース管理デーモン(lrmd)は無効な形式の文字列を使用していました。これにより、lrmd はセグメンテーション違反で予期せず終了する可能性があります。形式文字列を修正するためのパッチが適用されました。その結果、lrmd がクラッシュしなくなり、前述のまれなエラーメッセージが想定通りにログに記録されるようになりました。(BZ#1284069)

stonithd は、属性の削除をデバイスの削除と適切に区別するようになりました。

今回の更新以前は、ユーザーがフェンスデバイスから属性を削除すると、Pacemaker の stonithd サービスがデバイス全体を誤って削除していました。その結果、クラスターはフェンスデバイスを使用しなくなりました。このバグを修正するために基礎となるソースコードが変更され、stonithd は属性の削除をデバイスの削除と適切に区別するようになりました。その結果、フェンスデバイス属性を削除しても、デバイス自体が削除されなくなりました。(BZ#1287315)

HealthCPU が CPU 使用率を正しく測定するようになりました

以前は、ocf:pacemaker:HealthCPU リソースは、Red Hat Enterprise Linux 7 で top コマンドの出力を誤って解析していました。そのため、HealthCPU リソースは機能しませんでした。今回の更新により、リソースエージェントが 上位 のバージョンの出力を正しく解析するようになりました。その結果、HealthCPU は CPU 使用率を正しく測定するようになりました。(BZ#1287868)

Pacemaker は、機密情報を取り除く際に収集されたファイルをすべてチェックするようになりました。

Pacemaker には、Pacemaker の crm_report ツールから直接、または sosreport を介して間接的にシステム情報を送信するときに、特定のパターンに一致する機密情報を削除する機能があります。ただし、Pacemaker は特定の収集したファイルのみを確認し、ログファイルの抽出はチェックしません。このため、機密情報はログファイルの抽出に留まる可能性があります。この修正により、Pacemaker は機密情報を取り除く際に収集されたファイルをすべてチェックし、機密情報は収集されなくなりました。(BZ#1219188)

corosync メモリーフットプリントがすべてのノードで再び参加しなくなりました。

以前は、ユーザーがノードに再度参加すると、corosync の一部のバッファーが解放されず、メモリー消費が増加していました。今回の修正により、メモリーリークが発生しなくなり、すべてのノードでメモリーフットプリントが増加しなくなりました。(BZ#1306349)

IPv4 を使用するように設定された corosync は、IPv4 アドレスと IPv6 アドレスの両方を返すように DNS が設定されている場合に正常に起動します。

以前は、pcs によって生成された corosync.conf ファイルが IP アドレスとインターネットプロトコルバージョン 4 (IPv4)の代わりにホスト名を使用し、DNS サーバーが IPV4 アドレスと IPV6 アドレスの両方を返すように設定されている場合、corosync ユーティリティーの起動に失敗していました。今回の修正により、Corosync が IPv4 を使用するように設定されている場合、IPv4 が実際に使用されます。これにより、上記の状況で corosync が想定どおりに起動します。(BZ#1289169)

corosync-cmapctl ユーティリティーは、print_key () 関数のエラーを正しく処理します。

以前は、corosync-cmapctl ユーティリティーは print_key () 関数で corosync エラーを正しく処理しませんでした。そのため、corosync ユーティリティーが強制終了されると、corosync-cmapctl が無限ループに入る可能性がありました。この修正により、Corosync の終了時に返されたすべてのエラーが適切に処理されるようになりました。その結果、corosync-cmapctl はループを離れ、このシナリオで関連するエラーメッセージを表示します。(BZ#1336462)

第25章 コンパイラーおよびツール

GCC での libgomp の OpenMP 4.5 のサポート

今回の更新で、GCC で新しいバージョンの OpenMP に対応し、Developer Toolset のプログラムが正しくリンクして実行できるようになりました。(BZ#1357060)

GCC でのスタック保護の改善

今回の更新以前は、GCC スタック保護は、可変長配列のみが含まれ、その他(または非常に小さい)アレイが含まれない関数では機能しませんでした。その結果、バッファーオーバーフローエラーが発生する可能性がありました。このバグは修正され、コンパイラーはそのような機能でもインストルメント化できるようになりました。(BZ#1289022)

gdbserver がコンテナーからプロセスのシームレスなデバッグをサポート

今回の更新以前は、GDB が Super-Privileged Container (SPC)内で実行され、Red Hat Enterprise Linux Atomic Host の別のコンテナーで実行されていたプロセスに割り当てられている場合、GDB は、デバッグするプロセスによってロードされた主な実行可能ファイルまたは共有ライブラリーのバイナリーイメージを見つけませんでした。
その結果、GDB は、ファイルが存在しない、または存在していないが一致しないことを示すエラーメッセージを表示する可能性があります。また、GDB が正しくアタッチされるように見える場合もありますが、その後のコマンドは、破損した情報が失敗したり、表示される可能性があります。
Red Hat Enterprise Linux 7.3 では、コンテナーからのデバッグプロセスをシームレスにサポートするために、gdbserver が拡張されました。Red Hat Enterprise Linux 7.3 バージョンの gdbserver は、qXfer:exec-file:read パケットおよび vFile:setfs パケットを新たにサポートします。ただし、Red Hat Enterprise Linux 7.3 バージョンの gdb は、これらのパケットを使用できません。Red Hat Developer Toolset 4.1 (またはそれ以降)の gdb バージョンは、コンテナーおよび Red Hat Enterprise Linux 7.3 gdbserver で使用することが推奨されます。Red Hat Developer Toolset バージョンの gdbserver も使用できます。
Red Hat Enterprise Linux 7.3 gdb は、-p パラメーター(または attach コマンド)を使用して実行すると、gdbserver の使用を提案できるようになりました。同時に、接続されているプロセスがコンテナーからいることを検出します。Red Hat Enterprise Linux 7.3 gdb は、デバッグするコンテナー内のプロセス実行可能 ファイル の場所を指定するために、file コマンドの明示的な使用を提案するようになりました。代わりに、Red Hat Developer Toolset バージョンの gdb が使用されている場合は、file コマンドを入力する必要はありません。
今回の更新で、Red Hat Enterprise Linux 7.3 gdbserver は、Red Hat Developer Toolset 4.1 (またはそれ以降)の gdb と共に、コンテナーからプロセスのシームレスなデバッグを提供するようになりました。さらに、Red Hat Enterprise Linux 7.3 gdb は、Red Hat Developer Toolset gdb が利用できない場合に、コンテナーからのプロセスのデバッグをガイドします。(BZ#1186918)

GDB は、削除された実行ファイルを持つ実行中のプロセスを強制終了しなくなりました。

今回の更新以前は、削除された実行ファイルで実行中のプロセスに割り当てようとすると、GDB がプロセスを誤って強制終了していました。このバグは修正され、GDB は削除された実行ファイルを持つプロセスを誤って強制終了しなくなりました。(BZ#1326476)

GDB はより小さなコアファイルを生成し、コアダンプのフィルターリングを反映するようになりました。

GDB に独自のコアダンプ機能を提供する gcore コマンドが更新され、Linux カーネルのコアダンプコードの機能を詳しくシミュレートし、より小さなコアダンプファイルを生成するようになりました。GDB は、コアダンプファイルに書き込まれるメモリーセグメントを制御する /proc/PID/coredump_filter ファイルも尊重するようになりました。(BZ#1265351)

AArch64のエラーメッセージの改善

AArch64 ターゲットでは、プログラムがグローバル変数を整数よりも小さいタイプとして宣言し、別のファイルで整数であるかのように参照されると、リンカーが混乱するエラーメッセージを生成する可能性があります。今回の更新でエラーメッセージが修正され、原因を明確に特定し、考えられる理由をユーザーに提案するようになりました。(BZ#1300543)

大規模な、または高アドレスのプログラムが AArch64で正しくリンクされ、実行されるようになりました。

以前のバージョンでは、リンカーの誤ったコードにより、誤ったブランチスタブが生成される可能性がありました。そのため、非常に大きなプログラムや、プログラマーのコード化されたプログラムの部分が非常に高いアドレスに存在する場合は、リンクできませんでした。バグが修正され、正しい種類のブランチスタブが選択されるようになりました。(BZ#1243559)

opreport ユーティリティーおよび opannote ユーティリティーがアーカイブデータを適切に分析するようになりました。

以前のバージョンでは、oparchive を使用してデータを保存する際に、関連付けられたサンプルがアーカイブに含まれていませんでした。さらに、oprofile ユーティリティーは、アーカイブではなく、現在の作業用 oprofile_data ディレクトリーでデータを選択していました。そのため、opreport ユーティリティーおよび opannote ユーティリティーは、oparchive が生成したアーカイブのデータを適切に分析できませんでした。今回の更新で、プロファイリングサンプルをアーカイブに保存し、アーカイブで使用するように選択するための修正が提供され、opreportopannote が期待どおりに機能するようになりました。(BZ#1264443)

同じ数値ユニットマスクを持つイベントが名前で処理されるようになりました

第 5 世代コア i3、i5、および i7 Intel プロセッサーには、同じ数値を持つ複数のユニットマスクを持つイベントがあります。そのため、一部のイベントのデフォルトのユニットマスクが見つからず、選択されませんでした。今回の更新で、デフォルトのユニットマスクに数値ではなく名前を使用するようにイベントが変更され、このバグが修正されました。(BZ#1272136)

新しい MACRO_INSTS_FUSED イベント識別子

以前は、1 世代の Core i3、i5、および i7 Intel プロセッサーの 2 つの異なるイベントに MACRO_INSTS 識別子が使用されていました。そのため、MACRO_INSTS を使用していずれかのイベントを明確に選択できませんでした。この更新により、イベントの 1 つが MACRO_INSTS_FUSED に変更され、このバグが修正されました。(BZ#1335145)

複数の libpfm 初期化時にアプリケーションがクラッシュしなくなる

以前は、libpfm 初期化コードが複数回呼び出されると(PAPI fmultiplex1 テストなど)、root として実行すると、libpfm 内部データ構造が破損し、予期しない終了が発生していました。この更新により、利用可能なイベントのカウンターが適切にリセットされ、libpfm が再初期化されたときに root として実行されている libpfm を使用するアプリケーションがクラッシュしなくなりました。(BZ#1276702)

物理的に存在しないノードの目的レス警告メッセージの削除

以前は、sysfs ディレクトリーにエントリーを持たないノードで numa_node_to_cpus ()関数が呼び出されると、libnuma ライブラリーは常に無効な sysfs に関する警告メッセージを出力していました。したがって、libnuma は、物理的に存在しないノード(例:連続していないノード番号など)に対して混乱を生じさせる警告メッセージを出力するため、dlsym インターフェイスを使用して関数が呼び出されたときにこの警告が上書きされませんでした。今回の更新で、上記の警告メッセージが最初のスキャン中に見つかった NUMA ノードに対してのみ出力されるようになりましたが、sysfs には表示されませんでした。その結果、libnuma のユーザーは、連続しないノード番号の警告メッセージを受信しなくなりました。(BZ#1270734)

更新間で記憶される OpenJDK バージョンファミリーの選択

今回の更新以前は、ユーザーに複数の JDK がインストールされている場合、ユーザーが以前に優先順位の低い JDK を選択していても、yum update は常に最新の JDK に更新されます。今回の更新で、chkconfig--family スイッチが導入され、システム更新後も選択した JDK がバージョン ファミリー に留まるようになりました。(BZ#1296413)

OpenJDK 6 および OpenJDK 7 では、RC4 がデフォルトで無効になりました。

以前の OpenJDK パッケージでは、TLS (Transport Layer Security)を使用してセキュアな接続を行う際に RC4 暗号化アルゴリズムを使用することができました。このアルゴリズムは安全ではなくなり、本リリースでは無効になっています。これを使用するには、SSLv3、DH keySize < 768 の jdk.tls.disabledAlgorithms の以前の設定に戻す必要があり ます。これは、< java.home>/jre/lib/security/java.security ファイルで永続的に行うか、以下の行を追加します。
jdk.tls.disabledAlgorithms=SSLv3, DH keySize < 768
を新しいテキストファイルにし、-Djava.security.properties=<path to file> 引数を使用して、コマンドラインでそのファイルの場所を Java に 渡します。(BZ#1302385)

zshmalloc () の実行時にデッドロックが発生しなくなる

以前のバージョンでは、zsh プロセスがメモリー割り当て関数の実行中にシグナルを受信し、シグナルハンドラーがメモリーの割り当てまたは解放を試みた場合、zsh はデッドロックになり、応答しなくなりました。今回の更新により、zsh のグローバル状態の処理中またはヒープメモリーアロケーターの使用中にシグナルハンドラーが有効になりなくなりました。これにより、上記のデッドロックが発生しなくなります。(BZ#1267912)

複数の単語で説明した SCSI デバイスタイプが正しく処理されるようになりました。

今回の更新以前は、rescan-scsi-bus.sh ツールは、Medium ChangerOptical Device など、複数の単語を使用して説明した SCSI デバイスタイプを誤って解釈していました。その結果、そのようなデバイスタイプがアタッチされているシステムでスクリプトが実行されると、スクリプトにより、誤解を招くエラーメッセージが複数出力されました。今回の更新で、複数の単語で説明したデバイスタイプが正しく処理され、適切なデバイスタイプの説明がエラーなしでユーザーに戻されるようになりました。(BZ#1298739)

sphinx が FIPS モードで HTML ドキュメントを適切に構築

以前は、Python Sphinx ジェネレーターは、FIPS モードがアクティブ化されたシステムで HTML 形式でドキュメントをビルドできませんでした。今回の更新で、used_for_security パラメーターを false に設定すると、md5 ()関数の使用が修正されました。その結果、Sphinx は想定どおりに HTML ドキュメントをビルドするようになりました。(BZ#966954)

PerlIO ロケール pragma の使用後に Perl インタープリターがクラッシュしなくなる

PerlIO ロケール pragma を使用した後にスレッドが起動すると、Perl インタープリターはセグメンテーション違反で予期せず終了します。アップストリームパッチが適用され、PerlIO::encoding オブジェクトの重複が修正されました。その結果、ファイルハンドルエンコーディングの設定後にスレッドが正しく作成されます。(BZ#1344749)

行の終わりは、テキストモードで Net::FTP Perl モジュールにアップロードされるファイルに保持されるようになりました。

以前は、テキストモードで Net::FTP Perl モジュールでファイルをアップロードすると、アップロードしたファイルの行の末尾が誤って変換されていました。今回の更新で、FTP サーバーにデータをアップロードする際に、ローカルから Network Virtual Terminal (NVT)エンコーディングへの行末正規化が修正され、上記の問題は発生しなくなりました。(BZ#1263734)

スレッド化されたプログラムで glob ()を使用すると Perl インタープリターがクラッシュしなくなる

以前は、スレッドの生成後に Perl glob ()関数を呼び出すと、Perl インタープリターがセグメンテーション違反で予期せず終了していました。glob ()インタープリター全体のデータのクローンにアップストリームパッチが適用され、スレッド化されたプログラムで Perl glob ()を使用するようになりました。(BZ#1223045)

ps -o thcgrを使用して、親プロセス下のスレッドに対して cgroup 値を正しく表示できるようになりました。

以前は、ps コマンドは、親プロセスのコントロールグループ(cgroup)のみを表示していました。そのため、親プロセス下のスレッドの cgroup 値は、親プロセスの cgroup 値と同じでした。今回の更新で、現在の cgroup リストとの互換性を維持するために、新しいオプション thcgr が導入されました。thcgr オプションを使用すると、スレッドの正しい cgroup 値が親プロセスの下に表示されます。(BZ#1284087)

pmap が誤った合計を報告しなくなる

カーネル smaps インターフェイスに VmFlags の導入により、VmFlags エントリーの形式の違いにより、pmap ツールがコンテンツを確実に処理できなくなりました。その結果、pmap は誤った合計を報告していました。基礎となるソースコードにパッチが適用され、pmap が期待どおりに機能するようになりました。(BZ#1262864)

vmstat -d で、名前が長いデバイスを表示できるようになりました。

ディスク統計レポートが必要な場合は、デバイス名の最初の 15 文字のみが、以前は /proc/diskstats ファイルから読み込まれていました。そのため、名前が 15 文字を超えるデバイスは vmstat -d コマンドの出力には表示されませんでした。今回の更新で、フォーマット文字列が最大 31 文字を使用するように変更され、名前が長いデバイスが vmstat -d により正しく表示されるようになりました。(BZ#1169349)

新しい perl-Perl4-CoreLibs サブパッケージには、以前に削除されたファイルが含まれています

provides タグは、perl パッケージに含まれなくなった、以前に非推奨化されたファイルに誤って設定されていました。このバグを修正するために、これらのファイルは以前のバージョンの Perl からバックポートされ、新しく作成された perl-Perl4-CoreLibs サブパッケージで提供されるようになりました。(BZ#1365991)

GSS-Proxy はファイル記述子を頻繁にキャッシュする

以前は、GSS-Proxy のメチカルレイヤーは、プロセスの有効期間中にファイル記述子をキャッシュしていました。その結果、autofs などの UID または GID を変更するデーモンは、予想外に動作する可能性があります。ID が変更されたときに GSS-Proxy への接続を閉じて再度開くパッチが適用されました。その結果、GSS-Proxy はファイル記述子をより頻繁にキャッシュし、UID または GID を変更するデーモンが予想通りに機能するようになりました。(BZ#1340259)

PAPI_L1_TCM イベント計算の修正

以前は、L1 合計キャッシュミス(PAPI_L1_TCM)の PAPI プリセットは、4 世代コア i3、i5、および i7 Intel プロセッサーで誤って計算されていました。今回の更新で、これらのプロセッサーで PAPI_L1_TCM イベントと PAPI_L1_TCM を使用するプログラムの計算が修正され、より正確な測定を取得できるようになりました。(BZ#1277931)

IBM Power7 および IBM Power8 プラットフォームでのより正確な PAPI_L1_DC* イベント

以前は、キャッシュイベントの PAPI イベントは、さまざまな IBM Power7 および Power8 プロセッサーの派生値を誤って計算していました。そのため、PAPI_L1_DCRPAPI_L1_DCW、および PAPI_L1_DCA イベント値が正しくありませんでした。事前設定した計算が修正され、上記のイベントがより正確になりました。(BZ#1263666)

Postfix 式パーサーの改善

以前は、papi_events.csv ファイルの式から派生メトリックを計算するために使用される Postfix 式パーサーは、適切なエラーチェックを実行しておらず、一部の式を誤って解析していました。その結果、パーサーは派生メトリックの値を計算するために使用されるバッファー外で書き込み、一部の式でスタックスマッシングエラーが発生する可能性があります。誤った式でメモリーを上書きしないようにパーサーに修正が提供されています。今回のリリースより、パーサーは papi_events.csvPostfix 式を適切に解析し、メモリーのランダムな領域を上書きするのではなく、不適切な式のエラーを報告するようになりました。(BZ#1357587)

python-dns ツールキットの udp () 関数で未定義の変数が設定されるようになりました。

以前は、python-dns ツールキットは、udp () 関数の finally セクションで未定義の response_time 変数を使用していました。その結果、誤った例外がユーザーに表示されました。このバグは修正され、正しい例外が返されます。(BZ#1312770)

zsh が、エスケープされていない感嘆符を正しく解析する

以前のバージョンでは、zsh パーサーの状態が十分に初期化されませんでした。そのため、zsh はエスケープされていない感嘆符をテキスト文字列で解析できませんでした。今回の更新で、zsh がパーサーの状態を適切に初期化するようになりました。その結果、zsh はエスケープされていない感嘆符を正しく解析するようになりました。(BZ#1338689)

ジョブの終了処理中にシグナルを受信するときに zsh がハングしなくなりました。

以前のバージョンでは、zsh でジョブの終了の処理中にシグナルハンドラーが有効化されていました。その結果、メモリーアロケーターの使用中にシグナルを受信し、そのハンドラーがメモリーの割り当てまたは解放を試みた場合、zsh プロセスはデッドロックになり、応答しなくなりました。今回の更新により、ジョブの終了中にシグナルハンドラーが有効になりなくなりました。代わりに、シグナルはシグナルハンドラーの遅延実行のためにキューに置かれます。その結果、デッドロックが発生しなくなり、zsh がハングしなくなりました。(BZ#1291782)

zshメモリー不足の シナリオを正常に処理するようになりました。

zsh シェルは、メモリー 不足の致命的なエラーメッセージを出力する際にメモリー を割り当てます。以前は、印刷ルーチンがメモリーの割り当てに失敗した場合、無限再帰をトリガーしていました。その結果、スタックオーバーフローが原因で、zsh プロセスが予期せず終了していました。今回の更新で、このシナリオで無限再帰が表示されなくなりました。その結果、致命的なエラーメッセージを出力した後に、メモリーが不足すると、zsh が正常に終了するようになりました。(BZ#1302229)

ksh 互換モードでの構文チェックが、zshで期待どおりに動作するようになりました。

以前は、ksh 互換モードでシェルスクリプトの構文をチェックする際に、$HOME 内部変数を誤って初期化していました。そのため、NULL ポインターを逆参照しようとすると、zsh プロセスが予期せず終了していました。今回の更新で、$HOME 内部変数が適切に初期化されるようになりました。その結果、ksh 互換モードの構文チェックが zsh で期待どおりに機能するようになりました。(BZ#1267251)

コマンド置換の解析でコマンド履歴が破損しなくなる

以前は、$() コマンド置換設定を持つコマンドがコマンド履歴に誤って記録されていました。このバグは修正され、コマンド置換を解析するとコマンド履歴が破損しなくなりました。(BZ#1321303)

HAProxy 設定 ファイルは 32 文字を超えるホスト名を正しく使用できるようになりました。

以前は、haproxy がピアホスト名を使用するように設定されていると、バグにより、ホスト名が 32 文字を超える場合に切り捨てられていました。その結果、haproxy 設定ファイルが無効になりました。このバグは修正され、ピアとして指定されたホスト名が 32 文字を安全に超過できるようになりました。(BZ#1300392)

psacctのインストール後に RPM 検証の失敗が発生しなくなりました。

psacct パッケージをインストールする際に、/var/account/pacct ファイルのモードは、psacctlogrotate ルールで一貫して設定されませんでした。そのため、/var/account/pacct のモードは、インストール後にこれらのルールとは異なり、RPM 検証に失敗しました。今回の更新で、logrotate ghost ファイルルールに合わせて、psacct のインストール時に /var/account/pacct のモードが 0600 に設定されるようになりました。その結果、RPM 検証の失敗は発生しなくなりました。(BZ#1249665)

SIGINT が sadcによって渡されるため、システムが予期せず再起動されなくなりました

競合状態により、sadc コマンドは SIGINT シグナルを init プロセスに渡すことがありました。その結果、システムが予期せずに再起動される可能性があります。今回の更新で、SIGINT シグナルが init プロセスに送信されていないことの検証が追加されました。その結果、システムが予期せず再起動されなくなりました。(BZ#1328490)

pidstat は、特定のフィールドに対して 100% を超える値を出力しなくなりました。

以前は、pidstat コマンドは、有効期限の短いプロセスが多数あるシステムで PID の事前割り当て領域が不足する可能性がありました。その結果、pidstat 出力には、%CPU%user、および %sys フィールドに 100% を超える非センサル値が含まれていました。今回の更新により、pidstat は PID の領域を自動的に再割り当てし、すべてのフィールドに正しい値を出力するようになりました。(BZ#1224882)

nfs-utilsが提供する /sbin/nfsiostat が優先されるため、sysstat が提供する /usr/bin/nfsiostat が非推奨になりました。

以前は、sysstat パッケージにより、/usr/bin/nfsiostat が提供され、nfs-utils パッケージが /sbin/nfsiostat を提供していました。そのため、完全パスが指定されていない限り、どのバイナリーが実行されたかが明確ではありませんでした。syscall が提供する nfsiostat ユーティリティーは 推奨となり、nfs-utils が提供するユーティリティーが採用されました。移行期間中、sysstat パッケージの nfsiostat バイナリーの名前が nfsiostat-sysstat に変更されました。(BZ#846699)

iostat が、72 文字を超えるデバイス名を出力できるようになりました。

以前は、デバイス名フィールドが短すぎるため、iostat コマンドの出力で 72 文字を超えるデバイス名が切り捨てられていました。デバイス名に割り当てられた領域が 128 文字に増え、iostat が出力に長いデバイス名を出力に出力できるようになりました。(BZ#1267972)

cp を使用して、末尾のエクステントを持つスパースファイルをコピーしても、データが破損することがなくなる

スパースファイルの作成時に、fallocate ユーティリティーは FALLOC_FL_KEEP_SIZE を使用して EOF を超えるエクステントを割り当てることができます。そのため、エクステントと EOF の間にギャップ(ホール)があった場合、最後のホールは再現されず、サイズが小さすぎるため、コピーされたファイルにサイレントデータが破損していました。今回の更新で、cp コマンドにより、親ファイルサイズ以外のエクステントが処理されなくなりました。そのため、処理や割り当ては現在サポートされていません。その結果、特定のタイプのスパースファイルでサイレントデータの破損が発生しなくなりました。(BZ#1284906)

autofs によりマウントされた NFS 共有が、dfを使用してローカルマウントを一覧表示する際にタイムアウトが発生しなくなりました。

以前は、df のバグにより、autofs によってマウントされた NFS 共有がローカルマウントとして検出される可能性がありました。df がこれらの誤って検出された共有を一覧表示しようとするため、-l オプションを使用してローカルマウントのみを一覧表示しようとするとタイムアウトしました。このバグは修正され、ローカルマウントの一覧表示が期待どおりに機能するようになりました。(BZ#1309247)

ksh がログインメッセージを正しく表示

インタラクティブなログインシェルにログインすると、初期環境を設定するために /etc/profile スクリプトの内容が実行されます。Korn シェル(ksh)にログインする際にユーザーに表示される必要があるメッセージは、/etc/profile が実行される前に、シェルがすでに設定されている PS1 環境変数の値に依存しているログインシェルであるかどうかを内部テストにより抑制されました。ただし、この環境変数は、/etc/profile の実行後にのみ Korn シェルで設定され、ksh ユーザーにメッセージは表示されません。今回の更新で、/etc/profile の実行前に設定される PS1 変数に依存しない代替テストが提供され、ログイン時に Korn シェルのユーザーにメッセージが適切に表示されるようになりました。(BZ#1321648)

新しい POSIX セマフォ破棄セマンティクス

以前は、glibc での POSIX セマフォの実装は、セマフォが自己同期するための現在の POSIX 要件に準拠していませんでした。これにより、sem_post ()関数および sem_ wait () 関数は破棄された後に semaphore にアクセスするため、予期せず終了したり、EINVAL エラーコードを返す可能性がありました。今回の更新で、待機関数を追跡する新しい POSIX セマフォデストレーションセマンティクスの実装を提供し、セマフォの事前破壊を回避します。glibc によって実装されたセマフォは自己同期であるため、このバグが修正されました。(BZ#1027348)

SELinux の自動再ラベル付け後にディスクが正常にアンマウントされるようになりました

以前は、SELinux の再ラベル付け後に、systemctl --force reboot コマンドを実行して、rhel-autorelabel スクリプトがシステムの再起動を開始していました。そのため、rootfs イメージを正常にアンマウントし、基礎となるデバイスマッパー(DM)デバイスを無効にするために必要な特定の手順が省略されました。このバグを修正するために、再起動前に dracut-initframs-restore スクリプトを呼び出すように rhel-autorelabel スクリプトが変更されました。その結果、上記のシナリオでディスクが正常にアンマウントされるようになりました。(BZ#1281821)

sosreport が ASCII 以外の文字でソースの出力を正しく収集するようになりました。

今回の更新以前は、sosreport ユーティリティーが ASCII 以外の文字を含むファイルまたはコマンドの出力を収集しようとすると、sosreport が完全に生成されませんでした。今回の更新で、ユーティリティーでこのようなファイルおよびコマンドが適切に収集され、報告されるようになりました。(BZ#1296813)

カーネルダンプ設定 GUI で NFS ターゲットの宛先への kdump の設定が可能に

以前は、Kernel Dump Configuration GUI の NFS ターゲット宛先の入力ボックスには、エクスポートパスを入力する必要があることを示すものがありませんでした。そのため、この GUI を使用する際に、NFS ターゲットの宛先に kdump 機能を設定することができませんでした。今回の更新で、入力ボックスラベルが変更され、エクスポートパスが必要であることが示され、ユーザーは上記の状況で kdump を設定できるようになりました。(BZ#1208191)

NFS 共有がアンマウントされた NFS ターゲットに kdump を設定する際の警告メッセージの修正

今回の更新以前は、NFS 共有がマウントされていない場合は、NFS ターゲットの宛先に kdump を設定しようとすると、ユーザーに混乱を生じさせるエラーメッセージが表示されていました。カーネルダンプ設定 GUI を介して操作する system-config-kdump ユーティリティーは、kdump 設定を適用する前に NFS エクスポートをマウントする必要があることを示すものではありませんでした。代わりに、混乱を生じさせるエラーメッセージが複数返されました。今回の更新で、警告メッセージが変更され、NFS エクスポートが現在マウントされておらず、kdump 設定時にすでにマウントされているはずです。この警告メッセージは混乱がなくなり、kdump 設定を正常に完了する方法に関する適切な情報が提供されます。(BZ#1121590)

/proc/interruptsの長い行が原因で lparstat が失敗しなくなる

今回の更新以前は、/proc/interrupts ファイルの SPU 行が 512 文字を超える場合、lparstat コマンドの使用に失敗していました。今回の更新で、lparstat が割り込み行を適切に解析し、上記の状況で正しい結果を返すようになりました。(BZ#1366512)

lparstat のデフォルト出力モードが正しく報告されるようになりました。

以前は、lparstat ユーティリティーのデフォルト出力モードを使用すると、lparstatphysc などの特定のパラメーターの値を誤って 0.00 として報告していました。この問題は修正され、影響を受ける値が適切に表示されるようになりました。(BZ#1347083)

Socket::getnameinfo モジュールがテイントされた値で正しく機能するようになりました。

以前は、Perl Socket::getnameinfo モジュールはテイントされた値を処理できませんでした。今回の更新でパッチが適用され、その結果、モジュールはテイントのマークが付けられた値で正しく機能するようになりました。(BZ#1200167)

python-sphinx モジュールがドキュメントの構築に失敗しなくなる

以前は、python-sphinx パッケージの man-page writer モジュールにより、メタ および インライン のノード機能がなくなっていました。そのため、ドキュメントの構築に失敗する可能性がありました。不足しているノードアーキテクトを追加するためのパッチが提供され、その結果、ドキュメントが正常にビルドされるようになりました。(BZ#1291573)

利用可能な polkit アクションを繰り返し一覧表示すると、プログラムがメモリーを使い果たしなくなりました。

以前のバージョンでは、利用可能なアクションを一覧表示する際に polkit クライアントライブラリーが正しくメモリーを解放することができませんでした。これにより、プログラムがメモリー不足になり、終了する可能性がありました。この更新により、ライブラリーはメモリーを正しく解放し、このシナリオでプログラムがクラッシュしなくなりました。(BZ#1310738)

unzip がフラットではないエンコーディングおよび Non Code 以外のエンコーディングをサポートするようになりました。

以前のバージョンでは、unzip は non-latin および non-unicode エンコーディングをサポートしていないため、正しくない名前を持つファイルが作成される可能性がありました。今回の更新により、unzip-O および -I オプションを使用して、これらのエンコーディングをサポートするようになりました。詳細については、unzip -h コマンドを実行してください。(BZ#1276744)

zlib が RFC1951 準拠のファイルを正しく展開

以前は、zlib のバグにより、RFC1951 準拠のファイルが正しく展開されませんでした。今回の更新でバグが修正され、zlib が RFC1951 準拠のファイルを正しく展開するようになりました。(BZ#1127330)

glibctimes () 関数がバッファーの NULL に対応

以前は、glibctimes () 関数により、ユーザーがバッファーに NULL 値を設定できませんでした。その結果、関数を使用すると、それを使用するアプリケーションが予期せず終了する可能性があります。今回の更新でパッチが適用され、バッファーに NULL 値を設定し、カーネルシステムコールが想定される結果を返すようになりました。(BZ#1308728)

iconv が冗長シフトシーケンスを追加しなくなる

以前は、IBM930、IBM933、IBM935、IBM937、および IBM939 文字セットの iconv が使用する文字変換ルーチンのバグにより、ツールの出力に冗長なシフトシーケンスが含まれる可能性がありました。生成された非適合出力により、出力データを読み取ることができない可能性があります。文字変換ルーチンが修正され、冗長なシフトシーケンスが返されなくなりました。(BZ#1293916)

コア C ライブラリー(glibc)が強化され、malloc ()のスケーラビリティーが向上します。

malloc () 関数の実装に不具合が生じると、スレッド全体でメモリー割り当て要求が不必要にシリアライズされる可能性があります。今回の更新でバグが修正され、スレッドを頻繁に作成または破棄するアプリケーションの割り当て要求の同時スループットが大幅に向上するようになりました。(BZ#1276753)

監査モジュールが別の DSO を提供すると、動的リンカーが失敗しなくなりました。

以前は、監査モジュールが別の DSO (動的共有オブジェクト)パスを提供すると、ld.so 動的リンカーがセグメンテーション違反で予期せず終了していました。今回の更新でバグが修正され、動的リンカーが将来の参照で元の DSO パスを追跡し、上記のシナリオでクラッシュしなくなりました。(BZ#1211100)

selinux-policy により、すべてのファイルシステムタイプの hypervkvpdgetattr を取得できるようになりました。

以前は、Data Exchange オプションが有効になっている仮想マシンでの IP インジェクション後に restorecon コマンドの実行中に SELinux の拒否が発生していました。selinux-policy パッケージが更新され、IP インジェクションが SELinux Permissive モードと Enforcing モードの両方で正しく終了するようになりました。(BZ#1349356)

第26章 デスクトップ

poppler が特定の文字を誤ってレンダリングしなくなる

以前は、Poppler ライブラリーは文字コードに正しくマッピングされませんでした。そのため、Poppler は正しい glyph を表示するのではなく、fi 文字列を表示していましたが、フォントに必要な glyph が含まれていない場合は何も表示されませんでした。今回の更新で、以前は fi 文字列に置き換えられた文字が正しく表示されるようになりました。(BZ#1298616)

poppler がアレイの背後にあるメモリーにアクセスしようとしなくなる

アレイの長さが超過したためにメモリーの破損により、Poppler ライブラリーが予期せず終了していました。Poppler がアレイの背後でメモリーにアクセスしようとしないように修正が適用され、上記の状況では Poppler がクラッシュしなくなりました。(BZ#1299506)

グループ色スペースなしで PDF を処理するときに pdftocairo がクラッシュしなくなる

以前は、Poppler ライブラリーは、グループ色スペースなしで PDF を処理するときに存在しないオブジェクトにアクセスしようとしていました。これにより、Polppler ライブラリーが セグメンテーション違反で予期せず終了しました。グループの色スペースが存在するかどうかを確認するパッチが適用されました。その結果、Pppler が クラッシュしなくなり、上記の状況で pdftocairo ユーティリティーが期待どおりに機能します。(BZ#1299479)

テキスト 抽出中に poppler が予期せず終了しなくなりました

以前は、lines アレイの終了後に書き込みを行うと、メモリーが破損する可能性がありました。これにより、Potler ライブラリーが予期せず終了する可能性がありました。パッチが適用され、アイテムが追加されると配列が常に再配置されるようになりました。その結果、上記の状況で Poppler がクラッシュしなくなりました。(BZ#1299481)

GfxSeparationColorSpace クラスがないため、poppler が予期せず終了しなくなりました。

以前は、Ptpler ライブラリーは 存在しない GfxSeparationColorSpace クラスのコピーを試みていたため、結果として予期せず終了していました。今回の更新で、Pp pler が GfxSeparationColorSpace クラスの存在をチェックするようになり、上記の状況でクラッシュしなくなりました。(BZ#1299490)

暗号化情報をアサートするため、pdfinfo が突然終了しなくなりました。

以前は、Pppler は破損した暗号化所有者情報の取得を試みていました。これにより、pdfinfo ユーティリティーが予期せずに終了します。このバグを修正するための修正が適用され、P osppler は破損した暗号化情報をアサートしなくなりました。その結果、上記の状況で pdfinfo がクラッシュしなくなりました。(BZ#1299500)

PDF の表示時にエンチンがクラッシュしなくなる

以前は、画面アノテーションとフォームフィールドで NULL ポインターが _poppler_action_new に渡され、PopplerEvince アプリケーションで特定の PDF を表示する際に誤った PopplerAction を作成しました。その結果、Evince はセグメンテーション違反で予期せず終了しました。NULL ではなく PopplerDocument を渡すための _poppler_annot_scren_new および poppler_form_field_get_action を変更するパッチが適用されました。その結果、上記の状況で Evince がクラッシュしなくなりました。(BZ#1299503)

GNOME Boxes によって起動した仮想マシンはすべてのユーザーがアクセスできなくなる

以前は、GNOME Boxes によって起動された仮想マシンはローカルの TCP ソケットをリッスンしていました。これにより、ユーザーは別のユーザーが起動した仮想マシンに接続できました。パッチが適用され、GNOME Boxes はデフォルトでこのようなソケットを開かなくなりました。その結果、仮想マシンは、仮想マシンを所有するユーザーのみが SPICE 経由でアクセス可能になりました。(BZ#1043950)

Gnome ボックスがバージョン 3.14.3.1 にリベースされました。

GNOME ボックス アプリケーションがバージョン 3.14.3.1 に更新されました。特に注目すべきは、1 つのバグへのパッチがこのリベースの一部として適用されています。
  • 以前は、GNOME ボックス アプリケーションの仮想ネットワークコンピューティング(VNC)認証パラメーターが正しく処理されませんでした。その結果、認証のある VNC サーバーへの接続に失敗していました。このバグは修正され、認証を使用した VNC サーバーへの接続が期待どおりに機能するようになりました。(BZ#1015199)

free rdp がワイルドカード証明書を認識するようになりました。

以前のバージョンでは、ワイルドカード証明書のサポートは FreeRDP に実装されませんでした。その結果、ワイルドカード証明書は FreeRDP によって認識されず、接続時に以下の警告が表示されました。
WARNING: CERTIFICATE NAME MISMATCH!
欠落している機能がアップストリームからバックポートされ、ホスト名を比較するためのコードが改善されました。その結果、有効なワイルドカード証明書が使用される場合に上記のプロンプトが表示されなくなりました。(BZ#1275241)

重要なセキュリティー更新が自動的にインストールされるようになりました。

以前は、セキュリティー更新を自動的にインストールすることはできませんでした。GNOME は、利用可能な更新についてユーザーに通知しましたが、通知を無視して更新をインストールしないことを選択できます。その結果、重要な更新はアンインストールされる可能性があります。gnome-shell 拡張機能を使用して、重要な更新のインストールを実施できるようになりました。その結果、新しい更新が利用可能になると、更新が適用されることをユーザーに通知し、作業を保存する必要があります。設定可能な時間が経過すると、システムは再起動して保留中の更新をインストールします。(BZ#1302864)

accountsservice 内のアカウントのシェルが常に検証されるようになる

Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 との間で、無効にしたアカウントを判断するための accountsservice パッケージのヒューリスティックです。その結果、UID が 500 - 1000 外にあるユーザーは、シェルが無効であってもユーザー一覧に表示されます。アカウントがリスト可能なユーザーアカウントとして処理される前に、常にアカウントのシェルを検証するパッチが適用されました。その結果、シェルとして /sbin/nologin を持つユーザーは除外されるようになりました。(BZ#1341276)

Nautilus 3 でデスクトップを処理する新しい方法

以前は、デスクトップ上の Nautilus 3 のアイコンは、最も大きなモニターを取り、デスクトップウィンドウを、長方形に適合する最小共通形に適合させようとすることで管理されていました。そのため、一部のモニターのランダム領域にアイコンを配置することができませんでした。そのため、ユーザーの混乱を引き起こす可能性があります。この動作は、デスクトップウィンドウシェイプをプライマリーモニターに制限するように変更されています。この変更により、利用可能なすべてのモニターをデスクトップの一部として使用できませんが、上記のバグが修正されます。(BZ#1207646)

Xvnc セッションでの GLX サポート

Xvnc の GLX サポートコードには、libGL ライブラリーを使用する必要があります。サードパーティーのドライバーがインストールされ、libGL を置き換えた場合、GLX サポートなしで起動した Xvnc セッション。そのため、3D アプリケーションは Xvnc で機能しませんでした。今回の更新で、Xvnc は libGL を必要とするように再構築されました。これは、/usr/lib64/ にインストールされていることが想定されてい ます。サブディレクトリーにインストールされたサードパーティードライバーが Xvnc と競合しなくなり、GLX が正常に初期化されるようになりました。これにより、Xvnc セッションで GLX 機能が再び利用できます。
Xvnc に接続するクライアントアプリケーションは、LD_LIBRARY_PATH 環境変数を使用する必要がある場合がある Xvnc サーバーと同じ libGL バージョンを使用する必要があることに注意してください。(BZ#1326867)

フラットドキュメントコレクション

gnome-documents アプリケーションを使用する場合は、1 つのコレクションを別のコレクションに追加できました。その逆も同様です。その結果、アプリケーションは予期せずに終了しました。今回の更新で、コレクションがフラットであり、コレクションの循環チェーンを許可しないようにし、このバグが修正されました。(BZ#958690)

特殊文字を使用したクエリー時に control-center がクラッシュしなくなる

以前は、新しいプリンターの検索時にユーザーが入力したテキストには特定の文字セットが必要でした。その結果、特殊文字を含むプリンター名を検索すると、control-center ユーティリティーが突然終了する可能性がありました。今回の更新により、テキストは有効な ASCII 形式でエンコードされるようになりました。その結果、control-center がクラッシュしなくなり、プリンターのクエリーが適切に実行されなくなりました。(BZ#1298952)

ゼロ長文字列が原因で gnome-control-center がクラッシュしなくなる

以前は、gnome-control-center ユーティリティーは空の文字列と無効なポインターで機能していました。その結果、予期せずに終了しました。gnome-control-center ユーティリティーは、指定のアプリケーションの識別子が 1 文字以上長いかどうかを確認し、new_app_ids ポインターを初期化するようになりました。その結果、指定した問題は発生しなくなりました。(BZ#1298951)

リリースノートパッケージが正しくインストールされるようになりました。

以前は、Red Hat Enterprise Linux リリースノートパッケージの命名により、そのパッケージは英語とは異なる言語を持つシステムにインストールされませんでした。今回の更新で、yum-languagepacks パッケージで追加の解析ルールが提供されます。その結果、リリースノートパッケージが正しくインストールされるようになりました。(BZ#1263241)

pt_BRzh_CN、および zh_TW のローカリゼーション用に LibreOffice 言語パックが正しくインストールされるようになりました。

以前は、transformed libreoffice-langpack パッケージは、pt_BRzh_CN、および zh_TW のローカリゼーションの言語パックを使用するシステムに自動的にインストールされませんでした。この問題に対処するために、yum 言語プラグインに解析ルールが追加されました。これにより、正しい LibreOffice 言語パックがインストールされます。(BZ#1251388)

第27章 ファイルシステム

クォータ RPC サービスが利用できなくなりました。

nfs-utils パッケージのアップグレード後に、quota Remote Procedure Call (RPC)サービスを開始した後、システムで nfs-rquotad.service systemd サービスが利用できませんでした。このバグを修正するために、クォータ パッケージに新しい rpc-rquotad.service *systemd* サービスが含まれるようになりました。これにより、ネットワーク上でディスククォータのクエリーと設定を可能にするクォータ RPC サービスが提供されます。このサービスは、/etc/sysconfig/rpc-rquotad ファイルで設定できます。また、以前のバージョンとの互換性を確保するために、nfs-rquotad サービスエイリアスも提供されます。その結果、上記の状況で、クォータ RPC サービスが Red Hat Enterprise Linux 7 で利用できるようになりました。(BZ#1207239)

repquota が、ローカルの passwd データベースで定義されていないユーザーのクォータを報告するようになりました。

一部のユーザーが LDAP ディレクトリーでのみ定義されている場合、XFS ファイルシステムですべてのユーザーのクォータを一覧表示すると、ローカル passwd データベースで定義されていないユーザーのクォータは、以前は repquota によって報告されませんでした。現在は、新しいカーネルインターフェイス Q_GETNEXTQUOTA および Q_XGETNEXTQUOTA クォータ IOCTL コマンドを使用して、ファイルシステムに保存されているクォータエントリーをすべて取得できるようになりました。この新しいメソッドでは、すべてのユーザーアカウントを列挙する必要はなく、ローカルシステムに認識されないユーザーでも機能します。その結果、repquota は、ユーザーアカウントがリモート LDAP サーバーから取得されているか、System Security Services Daemon (SSSD)がユーザーアカウントをキャッシュする場合でも、すべてのユーザーのクォータを報告します。(BZ#1305968)

クォータ が猶予期間を正しく報告するようになりました

以前のバージョンでは、クォータツールが現在のユーザーのソフトクォータ 制限を超え、猶予クォータ時間がすでに有効期限が切れている場合に、クォータツールが NFS がマウントされたファイルシステムの猶予期間を表示した場合、整数タイプが誤って解釈されていました。そのため、quota コマンドは none 値ではなく、日数を誤って報告していました。今回の更新で、ネットワーク上で猶予時間を転送するために使用される整数タイプの誤解釈が修正されました。さらに、今回の更新で可能な値の範囲が 32 ビットの符号付き整数境界に制限され、NFS サーバーとクライアント間で異なる CPU 単語サイズの相互運用性が確保されます。その結果、クォータ ツールは -2^31+1 から 2^31 秒までのサーバー時間とは異なる猶予時間を正しく報告します。小さい値は期限切れとして報告され、差異が正しい範囲になるまで変更されない最大可能な時間として報告されます。(BZ#1072858)

cifs.idmap が SID を UID にマップするようになりました。

以前は、cifs.idmap ツールは、Red Hat Enterprise Linux 7 で SID を UID にマッピングできませんでした。そのため、cifs.idmap を使用して、Active Directory (AD)からユーザー名またはグループ名に所有権をマッピングできませんでした。Makefile が変更され、マッピングが機能するように正しいビルドオプションが表示されることを確認するようになりました。その結果、cifs.idmap のマッピングが期待どおりに機能するようになりました。(BZ#1289454)

CIFS-utils がバージョン 6.2 にリベース

cifs-utils パッケージがアップストリームバージョン 6.2 にアップグレードされ、以前のバージョンに比べて多くのバグ修正が提供されています。以下のバグ修正が含まれます。
  • libwbclient の不要なリンクは阻止されます。
  • 2 番目 の大文字またはig_dev のマウントを試行します。
  • paths.hmtab.cに含まれています。
  • backupuidbackupgid の使用は、の man ページに明確化されています。
  • x-* マウントオプションが含まれます。(BZ#1351618)

第28章 ハードウェアの有効化

プライマリーボンドインターフェイスが失敗しないアクティブなインターフェイスを引き継ぎなくなる

primary_reselect=failure ボンディングパラメーターが正しく機能しませんでした。プライマリーインターフェイスは、他のインターフェイスがフェイルオーバーしていなくても常に引き継ぎました。今回の更新では、パラメーターが期待どおりに機能し、プライマリーボンディングインターフェイスは、現在のプライマリー以外のアクティブなインターフェイスが失敗した場合にのみ引き継ぎます。(BZ#1301451)

IBM Power Systems のリトルエンディアンバリアントでの updatepp 操作の失敗で、メモリーが破損しない

以前は、IBM Power Systems のリトルエンディアンバリアントで updatepp 操作に失敗すると、ページテーブルの次のハッシュ挿入操作に誤ったハッシュ値が使用されることがありました。これにより、更新ハッシュページテーブルエントリー(PTE)操作またはハッシュ PTE 操作が無効になり、メモリーが破損する可能性がありました。今回の更新で、updatepp 操作の失敗後にハッシュ値が常に再計算され、メモリーが破損する可能性がなくなりました。(BZ#1264920)

USB デバイスを削除しても競合状態が発生しなくなる

以前は、USB デバイスを削除すると同期の問題が発生し、競合状態が発生していました。その結果、メモリーが破損し、USB ホストコントローラーが失敗しました。今回の更新で、タイマーが早い段階で初期化され、競合状態が発生しなくなり、USB ホストコントローラーが失敗しなくなりました。(BZ#1290202)

AMD Turion II システムでカーネルを起動するようになりました。

以前は、ティックブロードキャストコードのライブロックが原因で、AMD Turion II システムがロックされ、起動時に応答しなくなることがありました。今回の更新で、ライブロックが修正され、AMD Turion II システムでカーネルが確実に起動するようになりました。(BZ#1265283)

実行キューロックの競合により、CPU が多数あるリアルタイムシステムではレイテンシーが大きくならなくなりました。

以前は、リアルタイムシステムでは、複数の CPU が rq ロックを取得しようとしていたため、ロックの競合とレイテンシーが発生していました。レイテンシーは CPU の数で乗算され、多くの CPU を持つシステムではレイテンシーが大きくなりました。今回の更新で、32 コアを超えるシステムが を プル するのではなく、プッシュ アプローチを使用するようになり、重要な領域の CPU の一覧が長くなりました。その結果、CPU が多数あるリアルタイムシステムでは、実行ロックの競合によりレイテンシーが大きくならなくなりました。(BZ#1209987)

NVM Express デバイスドライバーでマルチキューサポートを有効にすると、起動時にカーネルがクラッシュしなくなりました。

コアブロックデバイスコードのバグにより、NVMe (Nonvolatile Memory Express)デバイスドライバーでマルチキューサポートを有効にすると、起動時にカーネルが予期せず終了する場合があります。この問題は nvme ドライバーで確認されましたが、他のブロックデバイスも影響を受ける可能性があります。今回の更新でこのバグが修正され、上記の状況でカーネルがクラッシュしなくなりました。(BZ#1303255)

CPU 周波数が要求された値に到達するようになりました。

以前は、CPU 周波数の値は intel_pstate ドライバーによって誤って丸められていました。その結果、CPU 周波数は要求されたユーザーよりも低くなっていました。今回の更新により、丸めエラーが修正され、CPU 周波数が要求された値に到達するようになりました。(BZ#1279617)

FCoE コードのリアルタイムカーネルスケジューリングコードが修正されました。

リアルタイムカーネルの Fibre Channel over Ethernet (FCoE)ドライバーは、より一般的な get_cpu ()および put_cpu ()関数ではなく、get_cpu_light ()関数および put _cpu_ light ()関数を使用するように変更されました。ただし、get_cpu ()の 1 つは、get_ cpu_ light ()に変更されていませんでした。その結果、プリエンプションは無効になり、FCoE コードで アトミックなバグが発生する間、BUC: スケジューリング が実行されました。今回の更新でコードが修正され、バグが修正されなくなりました。(BZ#1258295)

IBM Power Systems のパフォーマンスは、NUMA ノードが PCI アダプターについて報告されなくなる

以前のリリースでは、リグレッションにより、NUMA (Non-Uniform Memory Access)ノードは PCI アダプターについて報告されませんでした。これにより、Red Hat Enterprise Linux 7 でデプロイされたすべての IBM Power System のパフォーマンスが大幅に低下しました。今回の更新でリグレッションが修正され、この状況でシステムのパフォーマンスが低下しなくなりました。(BZ#1273978)

DMA 転送の設定時にシステムがクラッシュしなくなる

Input/Output Memory Management Unit (IOMMU)、Non-volatile Memory Express (NVMe)デバイス、およびカーネルでページサイズの不整合により、以前は nvme_setup _ prps ()関数で設定が発生していまし た。これにより、DMA (Direct Memory Access)転送の設定時にシステムが予期せず終了する可能性があります。今回の更新で、デフォルトの NVMe ページサイズが 4 キロバイトに設定され、システムクラッシュが発生しなくなりました。(BZ#1245140)

ホットアンプラグ中にカーネルがハングしなくなりました

再試行可能なコマンドエラーにより、NVMe ドライバーは以前は I/O 記述子および DMA マッピングをリークしていました。その結果、ドライブが削除されると、ホットアンプラグ操作中にカーネルが応答しなくなる可能性がありました。今回の更新で、コマンドの再試行時にドライバーのメモリーリークが修正され、この状況でカーネルがハングしなくなりました。(BZ#1271860)

LRO (Large Receive Offload)フラグを無効にすると、正しく伝播されるようになりました。

以前のバージョンでは、Large Receive Offload (LRO)フラグを無効にすると、vlan および bond 階層の上記のデバイスからダウンは伝播されませんでした。その結果、トラフィックのフローが中断しました。今回の更新で問題が修正され、LRO フラグを無効にすると正しく伝播されるようになりました。(BZ#1266578)

Intel Xeon v5 プラットフォームでの P-state の切り替えに成功

以前は、Intel Xeon v5 プラットフォームでは、プロセッサー周波数は常に可能な限り高い頻度に関連付けられていました。その結果、これらのクライアントプラットフォームでの P-state の切り替えに失敗していました。今回の更新により、範囲を決定し、最小および最大パーセント制限値を調整することで、アイドル状態の頻度、ビジー周波数、およびプロセッサー周波数値を設定します。その結果、これらのクライアントプラットフォームで P-state の切り替えが成功するようになりました。(BZ#1264990)

cpuscaling テストが失敗しなくなりました。

以前は、intel-pstate ドライバーの数丸バグが原因で、Red Hat Hardware Certification Test Suite の cpuscaling テストが誤って失敗していました。このバグは修正され、cpuscaling テストは十分に強力なハードウェアにパスするようになりました。(BZ#1263866)

genwqe ドライバーは、メモリー不足中にメモリーを割り当てることができます。

genwqe デバイスドライバーは、以前は、アトミックではない状況であっても、カーネルのアトミックメモリープールから連続するメモリーページを割り当てるために GFP_ATOMIC フラグを使用していました。これにより、メモリー不足中に割り当てが失敗する可能性がありました。今回の更新で、genwqe ドライバーのメモリー割り当てが GFP_KERNEL フラグを使用し、ドライバーはメモリー不足の状態であってもメモリーを割り当てることができるようになりました。(BZ#1270244)

CPU の無効化時にコンソールがハングしなくなりました

以前は、リアルタイムカーネルで CPU ホットプラグ インターフェイスを使用して CPU を無効にすると、ホットプラグ ロックとコンソールセマフォが間違った順序で取得できました。これによりデッドロックが発生し、システムコンソールが応答しなくなる可能性があります。今回の更新により、ロックが正しい順序で取得され、コンソールはハングしなくなりました。(BZ#1269647)

LRO が ixgbe ドライバーでデフォルトで無効になる

Large Receive Offload (LRO)は転送およびブリッジと互換性がなく、パフォーマンスの問題や不安定になる可能性があるため、ixgbe ドライバーではデフォルトで無効になりました。
LRO を有効にするには、以下を実行します。
# ethtool -K ethX lro on
ethX をインターフェイスの名前に置き換えます。(BZ#1266948)

IBM Power Systems の nx842 コプロセッサーが、破損したデータを提供しなくなる

以前は、IBM Power Systems の nx842 コプロセッサーが無効なデータを提供していました。これは、圧縮解除時に発生したデータ破損のバグによって生じました。今回の更新で、nx842 コプロセッサーへのすべての圧縮および非圧縮呼び出しに、循環冗長性チェック(CRC)フラグが含まれるようになりました。これにより、圧縮および非圧縮操作はすべてデータの整合性をチェックするように強制され、コプロセッサーが破損したデータを提供できなくなります。(BZ#1264905)

mlx4_en_recover_from_oom () 関数を呼び出すときにシステムがクラッシュしなくなりました。

以前は、mlx4_en_recover_from_oom ()関数が mlx4_ en ドライブにより負荷の高い TCP ストリームで呼び出されると、オペレーティングシステムが予期せず終了していました。今回の更新でバグが修正され、このシナリオでシステムがクラッシュしなくなりました。(BZ#1258136)

iw が規制情報を正しく表示する

以前は、iw ユーティリティーが iw reg set コマンドで設定された後に規制国を正しく表示しませんでした。今回の更新で、Red Hat Enterprise Linux のワイヤレスコードに合わせて iw コードを調整するようになりました。その結果、iw は規制国情報を期待どおりに表示します。(BZ#1324096)

i40e が起動時に warn_slowpath 警告を発行しなくなりました。

以前は、コードが rx_ring 構造体のクローンを作成しているにもかかわらず、新しいメモリーを割り当てる前にポインターをゼロにしないため、i40e ドライバーはリングサイズの変更時に warn_slowpath 警告を発行していました。今回の更新でバグが修正され、警告が表示されなくなりました。(BZ#1272833)

netprio_cgroups モジュールが起動時にマウントされるようになりました。

以前は、systemd/sys/fs/cgroup/ ディレクトリーを読み取り専用としてマウントしていました。そのため、初期システムセットアップ中に /sys/fs/cgroup/net_prio/ ディレクトリーをマウントしませんでした。そのため、netprio_cgroups モジュールは起動時にマウントされませんでした。今回の更新でこの問題が修正され、起動時に netprio_cgroups モジュールがマウントされるようになりました。(BZ#1262204)

qlcnic でボンディングの設定に失敗しなくなりました。

今回の更新以前は、balance-tlbbalance-alb などの特定のボンディングモードは、適切に保存されていない MAC アドレスを設定していました。この MAC アドレスは、ボンディングを切断したときに復元されず、重複する MAC を残していました。そのため、元の MAC アドレスが存在しないため、ボンディングの再確立に失敗していました。今回の更新で、ボンディングがダウンした場合に MAC アドレスを適切に復元するようにコードが改善されました。その結果、qlcnic デバイスを使用したボンディングは期待どおりに機能します。(BZ#1265058)

第29章 インストールおよび起動

インストール中に ast モジュールを使用したグラフィックカードを使用できるようになりました。

インストールシステムに ast モジュールの依存関係がないため、このモジュールに依存するグラフィックカードは Red Hat Enterprise Linux 7 のインストール時に使用できませんでした。これらの依存関係が追加されました。(BZ#1272658)

無効なパーティションテーブルまたはサポートされていないパーティションテーブルが含まれるディスクで、インストールを実行できるようになりました。

以前は、破損したパーティションテーブルまたはサポート対象外のパーティションテーブルがあるディスクに Red Hat Enterprise Linux 7 をインストールしようとすると、ディスクへの書き込みを試みる際に、インストールが失敗していました。無効なパーティションテーブルおよびサポート対象外のパーティションテーブルの削除のサポートが追加されました。また、このようなパーティションテーブルがあるディスクでインストールが可能になりました。(BZ#1266199)

ドライバーディスクの読み込みで複数の inst.dd オプションに対応

inst.dd オプションに基づいてドライバーディスクを読み込むジョブは、一意の オプションでスケジュールされました。複数の inst.dd ソースが起動オプションとして指定されると、最後のソースのみが実際に読み込まれ、適用されました。この更新により、ジョブは一意として呼び出されなくなりました。その結果、複数の inst.dd 起動オプションを指定して、異なるソースからの複数のドライバー更新イメージを介してドライバーを提供できるようになりました。(BZ#1268792)

インストール中のサブスクリプションマネージャー画面のヘルプ

インストーラーの組み込みヘルプシステムに、サブスクリプションマネージャー画面に関する情報が含まれるようになりました。(BZ#1260071)

初期セットアップ ユーティリティーが正しく起動する

initial-setup-text サービスと initial-setup-graphical サービスの間の競合状態により、Initial Setup ユーティリティーのインターフェイスが正しく起動されないことがありました。2 つのサービスが 1 つのサービスである initial-setup に統合されました。元のサービスは互換性を維持するために利用できますが、デフォルトでは使用されません。その結果、インターフェイスが正しく表示されるようになりました。(BZ#1249598)

IPv6 を使用した VNC インストールが正しく機能する

IPv6 アドレスの処理にエラーが発生したため、IPv6 アドレスルックアップに失敗していました。そのため、IPv6 を使用して VNC を介してインストールできませんでした。このバグは修正されています。(BZ#1267872)

インストール中に使用される HyperPAV エイリアスがインストール済みシステムで利用できるようになりました。

以前は、インストール中にアクティブ化された HyperPAV エイリアスがインストール済みシステムで正しく設定されませんでした。HyperPAV 処理が改善され、インストール中に使用される HyperPAV エイリアスがインストール済みシステムで自動的に設定されます。(BZ#1031589)

カスタムパーティションのエラーが正しく検出される

以前は、カスタムパーティション設定のエラーがユーザーに適切に表示されませんでした。これにより、無効なカスタムパーティション設定を続行できるため、予期しない動作が発生していました。このバグは修正され、カスタムパーティション設定のエラーはユーザーに正しく報告され、インストールを続行する前に調整できるようになりました。(BZ#1269195)

インストール中に設定された静的ルートが、インストール済みシステムで自動的に設定されるようになりました。

以前は、静的ルート設定ファイルはインストール環境からインストール済みシステムにコピーされませんでした。その結果、インストール完了後にインストール中に静的ルート設定が失われました。これらのファイルはコピーされ、インストール中に設定された静的ルートはインストール済みシステムで自動的に設定されます。(BZ#1255801)

grub2-mkconfig ユーティリティーが特定の grubby 設定変数を受け入れるようになりました。

以前は、grubbygrub 設定ファイルにいくつかのエントリーを追加すると、特に デバッグ エントリーのデバッグが、再実行時に grub2-mkconfig がこれらのエントリーを認識および複製できませんでした。今回の更新で、/etc/sysconfig/kernelMAKEDEBUG=yes が指定されている場合、grub2-mkconfig は新しい grubby 設定エントリーを複製するようになりました。(BZ#1226325)

カーネルおよび redhat-release-*のアップグレード時に GRUB2 が正しく設定されるようになりました。

以前は、redhat-release-* パッケージとカーネルパッケージが同じ Yum トランザクションに存在する場合、GRUB2 ブートローダーが正しく再設定されませんでした。これにより、GRUB2 は新しくインストールされたカーネルを起動できませんでした。これにより、GRUB2 が正しく再設定され、この状況で新しいカーネルを起動できるようになりました。(BZ#1289314)

Red Hat Enterprise Linux 6 で有効なキックスタートファイルが ksvalidatorで正しく認識されるようになりました。

以前は、ksvalidator ユーティリティーを使用して、--reserved-percent オプションを指定して logvol コマンドを使用する Red Hat Enterprise Linux 6 用に作成されたキックスタートファイルを検証すると、--reserved-percent が有効なオプションでないと、ksvalidator に誤って指定されていました。このバグは修正されています。(BZ#1290244)

iSCSI デバイスの追加時に Anaconda がクラッシュしなくなる

以前は、Storage 画面の Add a disk ボタンを使用して特定の iSCSI デバイスを追加しようとすると、Anaconda インストーラーが予期せず終了していました。このバグが修正されました。(BZ#1255280)

Anaconda インストーラーで問題のあるディスクの選択を適切に調整可能

以前は、Red Hat Enterprise Linux 7 のインストール時にディスクの選択で問題が発生した場合は、インストール開始後にエラーが表示され、インストールが失敗しました。今回の更新により、適切なタイミングで警告が表示され、続行する前にディスクの選択を調整するようになりました。(BZ#1265330)

anaconda-user-help パッケージが正しくアップグレードされるようになりました。

Red Hat Enterprise Linux 7.1 からアップグレードすると、anaconda-user-help パッケージが正しくアップグレードされませんでした。この問題が修正され、パッケージが正しくアップグレードされるようになりました。(BZ#1275285)

さまざまなパーティションを /bootとして使用できます。

以前は、GRUB2 ブートローダーは 8 ビットのデバイスノードのマイナー番号のみをサポートしていました。その結果、ブートローダーのインストールは、255 を超えるマイナー番号のデバイスノードで失敗していました。有効な Linux デバイスノードのマイナー番号すべてがサポートされるようになりました。その結果、さまざまなパーティションを /boot パーティションとして使用できます。(BZ#1279599)

systemd/ 文字のエスケープが間違っていると、システムが起動しなくなりました。

以前は、systemd は初期 RAM ディスク(initrd) で LABEL=/ オプションを誤って処理していました。そのため、root パーティション LABEL に / 文字が含まれていると、ラベルが見つからず、システムは起動できませんでした。今回の更新で、上記の状況で / が正しくエスケープされ、システムの起動に失敗しなくなりました。Red Hat Enterprise Linux の上位マイナーバージョンに更新すると、カーネルが更新され、initrd が再ビルドされます。dracut -f コマンドを実行して initrd を再構築することもできます。(BZ#1306126)

/boot パーティションのデフォルトサイズは 1 GB になりました。

Red Hat Enterprise Linux 7 の以前のリリースでは、/boot パーティションのデフォルトサイズは 500 MB に設定されていました。これにより、複数のカーネルがあるシステムと、kernel-debuginfo がインストールされている追加パッケージで問題が発生する可能性があります。このようなシナリオでは、/boot パーティションが満杯になったり、ほぼ満杯になったりして、システムをアップグレードできなくなり、追加の領域を解放するために必要な手動クリーンアップが妨げられる可能性があります。
Red Hat Enterprise Linux 7.3 では、/boot パーティションのデフォルトサイズが 1 GB に増え、新たにインストールしたシステムではこれらの問題が発生しなくなりました。以前のバージョンでのインストールでは、/boot パーティションのサイズが変更されず、アップグレードに依然として手動クリーンアップが必要になる場合があります。(BZ#1369837)

biosboot および prepboot が、インストール後にキックスタートファイルに含まれるようになりました。

キックスタートファイルに biosboot パーティションまたは prepboot パーティションを作成する命令が含まれる場合、Blivet モジュールはキックスタートデータでこの情報を渡しませんでした。そのため、キックスタートインストール後に、新たにインストールしたシステムのキックスタートファイルには、biosboot パーティションおよび prepboot パーティションを作成するオプションが含まれず、他のシステムで正常に再利用できませんでした。今回の更新で、キックスタート出力にこれらのオプションが期待どおりに含まれ、キックスタートファイルを他のシステムで使用して biosboot パーティションおよび prepboot パーティションを作成できるようになりました。(BZ#1242666)

os-prober がブートローダー設定でデバイスマッパーのエイリアス名を使用するようになりました。

os-prober コンポーネントは、以前はブートローダー設定で数値デバイスマッパーデバイスを使用していました。再起動後、インストーラーディスクイメージがマウントされなくなると、数値が変更され、ブートエントリーが使用できなくなります。そのため、1 台のマシンに Red Hat Enterprise Linux の 2 つのインスタンスがインストールされていると、そのうちの 1 つが起動に失敗しました。このバグを修正するために、os-prober は、直接列挙されたデバイスマッパー名の代わりにデバイスマッパーのエイリアス名を使用するようになりました。エイリアス名は安定しているため、上記の状況でブートエントリーは期待どおりに機能します。(BZ#1300262)

IBM z Systems へのインストールで正しいキックスタートファイルが生成されるようになる

以前は、システムのインストール時に生成されたキックスタートファイルであり、インストールプロセス時に行われたすべての選択を含む anaconda-ks.cfg ファイルは、IBM z Systems DASD にインストール時にディスクサイズを 10 進数として表していました。このバグにより、キックスタートファイルは、ディスクサイズを指定するときに整数のみが受け入れられ、ユーザーはインストールを再現するためにファイルを手動で編集する必要がありました。このバグは修正され、IBM z Systems へのインストール時に生成されたキックスタートファイルは、編集せずに後続のインストールで使用できるようになりました。(BZ#1257997)

DASD のフォーマットは、テキストベースのインストール時に正しく機能する

以前は、テキストベースのインストール時に DASD が正しくフォーマットされないというバグがありました。そのため、フォーマットされていない、またはフォーマットが間違っている DASD は、使用する前に手動でフォーマットする必要がありました。このバグが修正され、インストーラーはテキストベースのインストールの実行時に DASD をフォーマットできるようになりました。(BZ#1259437)

初期セットアップ に正しいウィンドウタイトルが表示されるようになりました。

初期セットアップ ツールは、インストール後の最初の再起動後に自動的に表示され、ネットワーク接続などの設定を設定し、システムを登録するために、以前はウィンドウタイトルに誤った文字列 __main__.py が表示されていました。今回の更新でバグが修正されました。(BZ#1267203)

キックスタートファイルで %packages --nobase --nocore を使用するとインストールが失敗しなくなる

以前は、%packages セクションが含まれ、--nobase オプションおよび --nocore オプションを同時に指定したキックスタートファイルを使用すると、yum-langpacks パッケージがないためにトレースバックメッセージでインストールに失敗していました。パッケージが利用可能になり、上記の問題が発生しなくなりました。(BZ#1271766)

第30章 カーネル

クラッシュダンプ中に以前に破損した PT_NOTE エントリーの修正

一部の HP サーバーでは、カーネルコードの不具合が原因で、カーネルクラッシュが原因で PT_NOTE エントリーが破損する可能性があります。その結果、カーネルクラッシュダンプユーティリティーは初期化に失敗していました。提供されるパッチは、PT_NOTE エントリーの割り当てに合わせて、1 つの物理ページ内にあるため、書き込みと読み取りが同一になります。その結果、上記の状況でカーネルクラッシュダンプが期待どおりに機能するようになりました。(BZ#1073651)

slub_debug パラメーターを削除してメモリーを保存します。

slub_debug パラメーターは SLUB アロケーターのデバッグを有効にします。これにより、各オブジェクトは追加のメモリーを消費します。slub_debug カーネルパラメーターを使用しても、128 GB システムの自動設定により、kdump キャプチャーカーネルに十分なメモリーが割り当てられませんでした。そのため、kdump init スクリプトのさまざまなタスクが Out Of Memory (OOM)エラーメッセージで終了し、クラッシュダンプは保存されませんでした。提供されたパッチは slub_debug パラメーターを削除し、クラッシュダンプは前述のシナリオで期待どおりに保存されるようになりました。(BZ#1180246)

新しい CPU が割り当てられている際にデッドロックを引き起こす競合状態の削除

以前は、新しい CPU が割り当てられると、CPU ホットプラグと stop_two_cpus ()関数間の競合状態が発生すると、新しい CPU の移行スレッドがすでに アクティブ とマークされ、が有効に なっ ていないとデッドロックが生じる可能性がありました。この競合状態を削除する一連のパッチが適用されました。その結果、新しい CPU が割り当てられているシステムが、意図したとおりに実行されるようになりました。(BZ#1252281)

アップストリームからの hugepage 移行パッチを使用したカーネルの更新

以前は、ヒュージページの移行でカーネルパニックを含むいくつかのバグが発生する可能性がありました。アップストリームのパッチのセットがバックポートされ、これらのバグが修正されました。更新されたカーネルは安定し、AMD64 および Intel 64 以外のアーキテクチャーでは hugepage の移行が自動的に無効にされるようになりました。(BZ#1287322)

UEFI およびセキュアブートが有効になっているカーネルの起動

Unified Extensible Firmware Interface (UEFI)が使用され、セキュアブートが有効になっている場合、オペレーティングシステムは 3.10.0-327.3.1.el7.x86_64 カーネル以降、すべてのカーネルで起動できませんでした。3.10.0-327.4.4.el7 カーネルおよび更新により、システムが想定どおりに起動します。(BZ#1290441)

インストールされたすべてのカーネルの initramfs イメージに追加された新しいマイクロコード

以前は、microcode_ctl パッケージをインストールすると、postinstall スクリプトレットは実行中のカーネルに対してのみ initramfs ファイルを再構築し、その他のインストール済みカーネルには構築されませんでした。そのため、ビルドが完了すると、さらにインストールされていないカーネルの initramfs ファイルがありました。この修正により、インストールしたすべてのカーネルの initramfs イメージに新しいマイクロコードが追加されました。その結果、不要な initramfs ファイルが生成されなくなりました。(BZ#1292158)

GFS2 の競合状態が原因でカーネルの スラブ エラーが発生しなくなる

これまで GFS2 ファイルシステムで競合状態が発生していました。この場合、2 つのプロセスがディレクトリールックアップに使用されるカーネル スラブ メモリーを同時に解放しようとしました。その結果、両方のプロセスが同じメモリーを解放すると、カーネルで スラブ メモリーエラーが発生しました。競合状態を排除するために GFS2 ファイルシステムにパッチが適用され、プロセスが別のプロセスですでに解放されているメモリーの解放を試みることができなくなりました。現在は、メモリーの解放を試みる際に、各プロセスが強制的にオンになります。その結果、カーネルの スラブ エラーは発生しなくなりました。(BZ#1276477)

GFS2 が ファイル内の正しい場所にデータを書き込むようになりました。

以前は、GFS2 ファイルシステムは、4 KB を超える場所で O_DIRECT (Direct I/O)で開かれたファイルを書き込む際に、開始オフセットを誤って計算していました。その結果、ファイルの誤った場所にデータが書き込まれました。GFS2 にパッチを適用し、ダイレクト I/O 書き込みの正しいファイルオフセットを計算します。その結果、GFS2 は ファイル内の正しい場所にデータを書き込むようになりました。(BZ#1289630)

kdump メカニズムが失敗した場合は解放される dump-capture カーネルメモリー

,high および ,low 構文を使用して crashkernel メモリーが割り当てられると、高い部分の予約に成功しても kdump メカニズムの予約に失敗することがありました。この障害は、特にいくつかの理由で大規模なシステムで発生する可能性があります。手動で指定した crashkernel 低メモリーが大きすぎるため、適切な memblock リージョンが見つかりませんでした。kexec ユーティリティーは dump-capture カーネルを正常に読み込むことができますが、メモリーが少ないため、dump-capture カーネルの起動に失敗していました。提供されるパッチセットは、高いメモリー部分が割り当てられた 、dump-capture カーネル用に少ないメモリーを予約します。これにより、kdump メカニズムが失敗すると、dump-capture カーネルメモリーが解放されます。したがって、ユーザーは定期的に計測値を取ることができます。(BZ#1241236)

kabi-whitelists コンポーネントが利用できないため、ksc ユーティリティーがバグのファイルに失敗しなくなりました。

以前の更新では、kabi-whitelists コンポーネントがカーネルコンポーネントの kabi-whitelists サブコンポーネントに変更されました。そのため、kabi-whitelists コンポーネント値がアクティブではなく、以下のエラーメッセージが生成されていたため、ksc ユーティリティーはバグを報告できませんでした。
Could not create bug.<Fault 32000:"The component value 'kabi-whitelists' is not active">
今回の更新で、カーネルコンポーネントの正しいサブコンポーネントは kabi-whitelisted で、ksc ファイルが予想通りにバグされるようになりました。(BZ#1328384)

必須の引数なしで実行すると、ksc がクラッシュする代わりにエラーを返すようになりました。

以前は、必須の引数なしで実行すると、ksc ツールが予期せず終了していました。今回の更新で、ksc はエラーメッセージを返し、上記の状況で正常に終了するようになりました。(BZ#1272348)

ext4 ファイルシステムを期待どおりに変更できるようになりました。

ext4 コードのバグにより、1 キロバイトのブロックサイズを持ち 32 メガバイト未満の ext4 ファイルシステムのサイズを変更できませんでした。このバグを修正するためのパッチが適用され、説明されている ext4 ファイルシステムのサイズを期待どおりに変更できるようになりました。(BZ#1172496)

qdisc を仮想デバイスにアタッチする際の予期しない動作が発生しなくなる

以前は、qdisc を仮想デバイスに割り当てると、パケットが早期にドロップされ、帯域幅が低下するなどの予期しない動作が発生する可能性がありました。今回の更新により、仮想デバイスのデフォルト tx_queue_len が 1000 で、デバイスフラグで表されるようになりました。qdisc を仮想デバイスに割り当てることはデフォルト設定でサポートされ、tx_queue_len=0 の特別な処理が不要になりました。(BZ#1152231)

udev デーモンが dracutにより停止しなくなる

以前は、initramfs プロセスの dracut スクリプトは udevadm control コマンドを使用して udev デーモンを停止していました。これにより、udev デーモンが終了していました。ただし、systemd サービスポリシーは、デーモンを再起動することです。特定の状況では、これによりシステムが起動できませんでした。今回の更新で、udev デーモンを停止するコードが dracut スクリプトから削除され、上記の問題を回避できるようになりました。(BZ#1276983)

multi-fsb バッファーロギングが修正されました。

以前は、ディレクトリーブロックサイズが大きい XFS ファイルシステムのディレクトリーを変更すると、マルチブロックバッファーのロギングに問題があるため、カーネルパニックや結果としてサーバーがクラッシュする可能性がありました。提供されるパッチにより multi-fsb バッファーロギングが修正され、このシナリオでサーバーがクラッシュしなくなりました。(BZ#1356009)

第 6 世代 Intel Core プロセッサーで統合グラフィックスを使用するラップトップで、ハード画面のロックアップが発生しなくなりました。

第 6 世代 Intel Core プロセッサーで統合グラフィックスを使用するラップトップでは、以前は以下の場合にハードスクリーンロックが発生することがありました。
  • モニターのエッジ間でのカーソルの移動
  • 複数のモニター間のカーソルの移動
  • モニター設定のあらゆる側面の変更
  • マシンのドックまたは元に戻す
  • モニターのプラグまたはアンプラグ
このバグが修正され、このような状況で画面のハードロックアップが発生しなくなりました。(BZ#1341633)

永続メモリーを持つシステムで複数の問題を修正

永続的なメモリーを持つシステムで、実際の Non-Volatile Dual In-line Memory Modules (NVDIMMs)または memmap=X!Y カーネルコマンドラインパラメーターを使用してエミュレートされた NVDIMMs のいずれかの起動時に、いくつかの問題が発生することがあります。
永続メモリーのインライン化により、pmem デバイスのブロック(128 MB)ごとに以下のメッセージが表示されました。
Built 2 zonelists in Zone order, mobility grouping on.  Total pages: 8126731
Policy zone: Normal
システムが応答しなくなりました。
以下のレベルで メッセージ が表示されました。
BUG: unable to handle kernel paging request at ffff88007b7eef70
今回の更新で、上記のバグが修正されました。(BZ#1367257)

SUDO_USER 変数および USER 変数が設定されていない場合に Python エラーが表示されなくなる

以前は、SUDO_USER または USER 環境変数が設定されていないスペア環境で を実行すると、多数の python エラーが表示されていました。今回の更新で、未定義の SUDO_USER 変数および USER 変数が適切に処理され、エラーが表示されなくなりました。(BZ#1312057)

CIFS 匿名認証が失敗しなくなる

以前は、cifs モジュールは匿名認証に値を誤って設定していました。samba ファイルサーバーに加えられた変更は、このバグを公開しています。その結果、匿名認証に失敗していました。この更新により、クライアントの動作が変更され、匿名認証の 正しい 認証値を設定します。その結果、CIFS 匿名認証が正しく機能するようになりました。(BZ#1361407)

第31章 ネットワーク

libcurl が TLS セッションのホスト名に一致するように HTTP ホスト名を必要とするサーバーと通信しました。

以前は、Network Security Services (NSS)が異なるホスト名を持つサーバーの TLS セッションを誤って再利用していました。その結果、HTTPS サーバーは HTTP エラー 400 (Bad Request)で応答する可能性がありました。アップストリームパッチが libcurl ライブラリーのソースコードに適用され、HTTP ホスト名が TLS セッションと一致しない場合に NSS が TLS セッションを再利用できないようにします。その結果、libcurl は TLS セッションのホスト名に一致するように HTTP ホスト名を必要とするサーバーと通信できるようになりました。(BZ#1269855)

curl でユーザーが指定する公開鍵が不要になる

今回の更新以前は、curl ユーティリティーでは、ユーザー認証に SSH 秘密鍵と公開 SSH 鍵(相互にペア)の両方が必要でした。したがって、ユーザーが、scp ユーティリティーでの一般的な慣例である SSH 秘密鍵のみを提供した場合、curl はユーザーを認証できませんでした。SSH ユーザー認証を改善するためのアップストリームパッチが適用され、SSH 秘密鍵のみが提供されている場合、curl もユーザーを正常に認証するようになりました。(BZ#1275769)

libcurl が長いユーザー名とパスワードを切り捨てなくなりました。

以前は、libcurl ライブラリーの URL パーサーは、任意に長いユーザー名とパスワードをサポートしていませんでした。そのため、255 文字を超えるユーザー名およびパスワードは切り捨てられました。libcurl ソースコードに一連のアップストリームパッチが適用され、URL の長いユーザー名とパスワードが libcurl によって正しく処理されるようになりました。(BZ#1260178)

PycURLpycurl.POSTFIELDS オプションが正しく動作するようになりました。

以前のバージョンでは、PycURL インターフェイスは libcurl API に違反していました。これには、転送が終了するまで CURLOPT_POSTFIELDS オプションによって渡される文字列が有効な状態を維持する必要がありました。そのため、pycurl.POSTFIELDS オプションを使用すると、libcurl は有効期間を超えた文字列にアクセスし、未定義の動作が発生していました。アップストリームパッチが PycURL ソースコードに適用され、libcurlCURLOPT_POSTFIELDS オプションに渡される文字列が十分に有効であり、上記の問題は発生しなくなりました。(BZ#1153321)

タイムアウトイベント中に呼び出されると sctp_accept () がデッドロックが発生しなくなりました。

以前は、4 方向ハンドシェイクの後にハートビートタイムアウトイベント中に sctp_accept () がユーザーによって呼び出されると、デッドロックが発生する可能性がありました。今回の更新では、assoc->base.sk ポインターを指定し、SCTP が正しくロックされ、リスニングソケットのロックを解除することでバグが修正されました。(BZ#1270586)

スタックサイズが unlimited に設定されている場合、メモリー不足のメッセージが表示されなくなりました。

今回の更新以前は、スタックサイズが unlimited に設定されている場合に ftp コマンド put を使用すると、sysconf (_SC_ARG_MAX)関数が - 1 を返すため、malloc ()関数が 0 の引数で呼び出され、Out of memory メッセージが表示されます。今回の更新により、基礎となるソースコードが改善され、妥当な最小メモリーを割り当てるようになりました。その結果、スタックサイズが無制限に設定されていると、メモリー不足の メッセージが表示されなくなりました。(BZ#1304064)

NetworkManager は、dhclient に完全な FQDN (DHCP_HOSTNAME)を提供しなくなりました。

以前は、NetworkManager は、DHCP 要求でマシンホスト名のホスト名のホスト名のホスト名のホスト名のホスト名のホスト名のホスト名のホスト名のホスト名の部分のみを常に送信していました。そのため、完全修飾ドメイン名(FQDN)の送信を強制できませんでした。この更新後、nmcli を使用して ipv4.dhcp-fqdn を必要な FQDN に設定し、ipv4.dhcp-send-hostname が有効になるように、DHCP 要求で FQDN を送信するように設定できます。設定ファイルでは、FQDN は DHCP_FQDN 変数で指定できます。(BZ#1255507)

第32章 セキュリティー

ftp_home_dir SELinux ブール値が削除される

以前は、ftp_home_dir SELinux ブール値が off に設定されていても、ユーザーはホームディレクトリーにログインできました。今回の更新で、ftp_home_dir ブール値が削除されました。(BZ#1097775)

第33章 サーバーおよびサービス

named サービスはすべてのインターフェイスにバインドするようになりました。

今回の更新で、BIND は新しい IP アドレスがインターフェイスに追加される状況に対応することができるようになりました。新しいアドレスが設定で許可されている場合、BIND は自動的にそのインターフェイスでリッスンを開始します。(BZ#1294506)

パスワードハッシュを生成する tomcat-digest の修正

tomcat-digest ユーティリティーを使用して Tomcat パスワードの SHA ハッシュを作成すると、コマンドは ClassNotFoundException Java 例外で予期せず終了します。このバグを修正するためのパッチが提供され、tomcat-digest が期待どおりにパスワードハッシュを生成するようになりました。(BZ#1240279)

Tomcat が、新しい conf.d ディレクトリー内の設定ファイルでシェル拡張を使用できるようになりました。

以前は、/etc/sysconfig/tomcat ファイルおよび /etc/tomcat/tomcat.conf ファイルがシェル拡張なしで読み込まれていたため、アプリケーションが予期せず終了していました。今回の更新で、新しい設定ディレクトリー /etc/tomcat/conf.d を追加して、Tomcat 設定ファイルでシェル拡張を使用するメカニズムが追加されました。新しいディレクトリーに置かれたファイルには、シェル変数が含まれる可能性があります。(BZ#1221896)

2 つの独立した Tomcat サーバーを作成する tomcat-jsvc サービスユニットの修正

複数の独立した Tomcat サーバーを起動しようとすると、jsvc サービスがエラーを返すため、2 番目のサーバーが起動できませんでした。今回の更新で、jsvc systemd サービスユニットと TOMCAT_USER 変数の処理が修正されました。(BZ#1201409)

ファイル記述子のリークにより dbus-daemon サービスが応答しなくなる

以前は、dbus-daemon サービスは、短時間で受信されると、ファイル記述子を含む複数のメッセージを誤って処理していました。その結果、dbus-daemon はファイル記述子をリークし、応答しなくなりました。dbus-daemon 内で異なるメッセージからの複数のファイル記述子を正しく処理するためにパッチが適用されました。その結果、dbus-daemon はファイル記述子を正しく閉じて合格し、上記の状況では応答しなくなりました。(BZ#1325870)

tomcat-admin-webapps パッケージ設定ファイルをマークするための更新

以前のバージョンでは、tomcat-admin-webapps web.xml ファイルは設定ファイルとしてマークされませんでした。そのため、tomcat-admin-webapps パッケージをアップグレードすると、/usr/share/tomcat/webapps/host-manager/WEB-INF/web.xml ファイルおよび /usr/share/tomcat/webapps/manager/WEB-INF/web.xml ファイルが上書きされ、カスタムのユーザー設定が自動的に削除されます。今回の更新でこれらのファイルの分類が修正され、この問題が回避されるようになりました。(BZ#1208402)

PDF ファイルを PNG に変換する際に Ghostcript がハングしなくなりました。

以前は、PDF ファイルを PNG ファイルに変換すると、Ghostscript が応答しなくなる可能性がありました。このバグは修正され、変換時間は変換される PDF ファイルのサイズに比例するようになりました。(BZ#1302121)

named-chroot サービスが正常に起動するようになりました。

リグレッションにより、named-chroot.service ファイルで -t /var/named/chroot オプションが省略されました。そのため、/etc/named.conf ファイルがないと、named-chroot サービスが起動できませんでした。さらに、/etc/ および /var/named/chroot /etc/ ディレクトリーに異なる named.conf ファイルが存在する場合、named-checkconf ユーティリティーは、サービスの起動時に changed-root ディレクトリーのものを誤ってチェックします。今回の更新で、サービスファイルの オプションが追加され、named-chroot サービスが正しく機能するようになりました。(BZ#1278082)

brlttyに追加された AT-SPI2 ドライバー

Assistive Technology Service Provider Interface ドライバーバージョン 2 (AT-SPI2)が brltty デーモンに追加されました。AT-SPI2 は、GNOME Accessibility Toolkit などで brltty の使用を有効にします。(BZ#1324672)

tuned-adm verifyの新しい --ignore-missing オプション

tuned-adm verify コマンドに --ignore-missing コマンドラインオプションが追加されました。このコマンドは、Tuned プロファイルが正常に適用されたかどうかを確認し、要求された Tuned プロファイルと現在のシステム設定の違いを表示します。--ignore-missing パラメーターを使用すると、tuned-adm verify はシステムで対応していない機能を警告なしでスキップするため、上記のエラーを防ぐことができます。(BZ#1243807)

新しい モジュール Tuned プラグイン

モジュール プラグインを使用すると、Tuned プロファイルの設定で指定されたパラメーターを使用して、Tuned がカーネルモジュールをロードおよびリロードできます。(BZ#1249618)

65536 に増加した inotify ユーザーの数

Red Hat Enterprise Linux Atomic ホスト上のより多くの Pod を許可するために、inotify ユーザー監視の数は 8 から 65536 の係数が増えました。(BZ#1322001)

realtime Tuned プロファイルのタイマー移行が無効になりました。

以前は、tuned-profiles-realtime パッケージに含まれる realtime Tuned プロファイルは、kernel.timer_migration 変数の値を 1 に設定していました。その結果、リアルタイムアプリケーションは悪影響を受ける可能性があります。この更新により、realtime プロファイルのタイマー移行が無効になります。(BZ#1323283)

rCU-nocbs がカーネルブートパラメーターに欠落しなくなりました。

以前は、rcu_nocbs カーネルパラメーターは realtime-virtual-host および realtime-virtual-guest の tuned プロファイルに設定されませんでした。今回の更新で、rcu-nocbs が期待どおりに設定されるようになりました。(BZ#1334479)

リアルタイムスケジューリングが使用できる時間のグローバル制限は、realtime Tuned プロファイルで削除されました。

今回の更新以前は、tuned-profiles-realtime パッケージに含まれるリアルタイムプロファイルの kernel.sched_rt_runtime_us sysctl 変数の Tuned ユーティリティー設定が正しくありませんでした。その結果、仮想マシンインスタンスを作成すると、互換性のないスケジューリング時間が原因でエラーが発生しました。kernel.sched_rt_runtime_us の値は -1 (制限なし)に設定され、上記の問題が発生しなくなりました。(BZ#1346715)

sapconf が NTP 設定を適切に検出するようになりました。

以前は、sapconf ユーティリティーはホストシステムが Network Time Protocol (NTP)を使用するように設定されているかどうかを確認しませんでした。これにより、NTP が設定された場合でも、sapconf は以下のエラーを表示していました。
3: NTP Service should be configured and started
今回の更新で、sapconf が NTP 設定を適切にチェックし、上記の問題が発生しなくなりました。(BZ#1228550)

sapconf はデフォルトのパッケージを正しく一覧表示

今回の更新以前は、sapconf ユーティリティーが誤ったパラメーターを repoquery ユーティリティーに渡していたため、sapconf はパッケージグループのデフォルトパッケージを一覧表示しませんでした。このバグが修正され、sapconf がデフォルトのパッケージを予想通りに一覧表示するようになりました。(BZ#1235608)

logrotate ユーティリティーは、ステータスを /var/lib/logrotate/ ディレクトリーに保存します。

以前は、logrotate ユーティリティーがステータスを /var/lib/logrotate.status ファイルに保存していました。そのため、logrotate/var/lib が読み取り専用のファイルシステムであるシステムで機能しませんでした。今回の更新で、ステータスファイルが新しい /var/lib/logrotate/ ディレクトリーに移動し、書き込みパーミッションでマウントできるようになりました。その結果、logrotate は、/var/lib が読み取り専用のファイルシステムであるシステムで機能するようになりました。(BZ#1272236)

cupsを使用した Kerberos を使用した SMB プリンターへの印刷のサポート

今回の更新で、cups パッケージは、/usr/libexec/samba/cups_backend_smb ファイルを参照するシンボリックリンク /usr/lib/cups/backend/smb を作成します。シンボリックリンクは、smb_krb5_wrapper ユーティリティーにより使用され、Kerberos 認証を使用してサーバーメッセージブロック(SMB)共有プリンターに出力します。(BZ#1302055)

新しくインストールされた tomcat パッケージには、/sbin/nologinを指す正しいシェルがあります。

以前は、postinstall スクリプトは Tomcat シェルを /bin/nologin に設定していましたが、これは存在しませんでした。そのため、Tomcat ユーザーとしてログインしようとすると、ログインアクセス拒否に関する有用なメッセージを取得できませんでした。このバグは修正され、postinstall スクリプトは Tomcat シェルを /sbin/nologin に設定するようになりました。(BZ#1277197)

第34章 ストレージ

/dev/disk/by-path/ が NPIV パスに対応

以前は、2 つ以上の仮想ホストバスアダプター(HBA)が 1 つの物理 HBA に作成された場合は、パスごとに 1 つのリンクではなく、/dev/disk/by-path/ ディレクトリーにデバイスへのリンクが 1 つだけ作成されていました。そのため、Fibre Channel N_Port ID Virtualization (NPIV)を使用して仮想 HBA で virsh プールを作成すると正しく機能しませんでした。今回の更新で、/dev/disk/by-path/ のシンボリックリンクが正しく作成され、一意になりました。物理ファイバーチャネル N_Port 経由で接続された論理ユニット番号(LUN)用に udev が作成した /dev/disk/by-path/ のシンボリックリンクは、同じままです。(BZ#1266934)

シンプロビジョニングを使用すると、シンプールが容量に達するとバッファーされた書き込みが失われなくなります。

以前のバージョンでは、サイズ変更操作は自動化された操作であっても、未処理の I/O をストレージデバイスにフラッシュしてからサイズ変更を実行していました。シンプールにはスペースがないため、I/O 操作を最初にエラーして、拡張を成功させる必要がありました。その結果、シンプールが容量にいっぱいになると、その時点でプールが増加しても一部の書き込みが失われる可能性があります。今回の更新で、上記の状況で、バッファーされた書き込みがシンプールに対して失われなくなりました。(BZ#1274676)

IBM Power Systems のリトルエンディアンバリアントで RAID 移行が正しく機能するようになりました。

以前は、RAID の現在のストライプサイズで iprconfig ユーティリティーがフォールバックし、適切なエンディアン性変換を実行せずにアダプターからロードするため、IBM Power Systems のリトルエンディアンバリアントで raid-migrate コマンドが失敗し、IBM Power Systems のリトルエンディアンバリアントで RAID の移行が正しく機能するようになりました。(BZ#1297921)

multipathd デーモンは、使用できない Implicit ALUA ghost パスを再起動しなくなりました。

以前は、multipathd デーモンは GHOST 状態の Implicit ALUA デバイスを自動的に再利用していましたが、これは使用できていませんでした。マルチパスは、I/O 操作が失敗するのではなく、デバイスが存在する場合にのみ、使用できないデバイスを継続的に再試行しました。この修正により、multipathd は使用できない Implicit ALUA ghost パスを再調整しなくなりました。その結果、マルチパスは、実行可能でない ALU パスのみが利用可能な場合に、I/O 操作を継続的に再試行しなくなりました。(BZ#1291406)

マルチパスに、マルチパスデバイスに 0 サイズのスタンバイパスが含まれるようになる

一部のアレイはスタンバイポートのサイズを報告しないため、サイズが 0 のデバイスになります。以前は、マルチパスでは、0 個のサイズのデバイスをマルチパスデバイスに追加できませんでした。その結果、Multipath は、マルチパスデバイスに 0 サイズのスタンバイパスを追加しませんでした。今回の更新で、Multipath が、デバイスへの 0 サイズパスを追加できるようになりました。(BZ#1356651)

マルチパスは、他のプログラムによって作成された dm テーブルタイプの マルチパス でデバイスを変更しなくなりました

マルチパスツールは、マルチパステーブルを使用してすべての dm デバイスを管理することを前提としていました。multipathd デーモンは、マルチパスツールにより作成されていないデバイスのテーブルを変更していました。今回の更新で、マルチパスツールは、dm UUID が mpath- で始まるデバイスでのみ動作するようになりました。これは、マルチパスが作成するすべてのデバイスで使用する UUID 接頭辞です。その結果、マルチパスは、他のプログラムによって作成された dm テーブルタイプの マルチパス を持つデバイスを変更しなくなりました。(BZ#1241528)

multipathd デーモンで、現在使用可能なパスがない場合に、パスを新しいマルチパスデバイスに追加できるようになりました。

以前は、multipathd が新しいマルチパスデバイスを作成すると、使用可能なパスのないデバイスを作成した場合でも、作成されたマルチパスデバイスの udev 変更イベントを確認するまで、さらなるパスを追加できませんでした。マルチパスデバイスが使用可能なパスを持たない状態で作成された場合、udev デバイスマネージャーは、デバイスに関する情報の取得を試み、タイムアウトするまで、アクティブなパスをデバイスに追加できませんでした。この修正により、multipathd では、現在使用可能なパスがない場合に、新しく作成されたマルチパスデバイスにパスを追加できるようになりました。その結果、使用可能なパスは、存在しない新しいデバイスに即座に追加され、udev はハングしません。(BZ#1350931, BZ#1351430)

multipathd デーモンは、起動時に回復可能なエラーが発生すると終了しなくなりました。

一方で、multipathd は、起動時に回復可能なエラーが発生すると回復不能なエラーが発生すると、代わりに終了していました。今回の修正により、起動時に復元可能なエラーに達した場合に multipathd が続行され、終了しなくなりました。(BZ#1368501)

multipathd デーモンは、okではなく fail で失敗した削除に応答するようになりました。

以前は、パスまたはマップの削除に失敗した場合に multipathd デーモンはエラーステータスを保持しておらず、ok で失敗した削除に対応していました。今回の修正により、multipathd が failed 削除に応答するようになりまし 。(BZ#1272620)

デバイスの追加後に uid_attribute が変更され、デバイスが削除されるとマルチパスがクラッシュしなくなる

以前は、マルチパスデバイスに追加した後にパスが WWID を変更した場合、multipathd デーモンは新しいデバイスを作成していました。これにより、パスが両方のデバイスに置かれていました。その結果、ユーザーがマルチパスデバイスの作成後に uid_attribute を変更し、デバイスを削除すると、multipathd は解放されたメモリーにアクセスし、クラッシュしようとしました。この修正により、multipathd では、マルチパスデバイスで使用されているときに、パスの WWID を変更できるようになりました。その結果、このシナリオで multipathd がクラッシュしなくなりました。(BZ#1323429)

デバイスの名前変更中にマルチパスが失敗しなくなる

以前は、マルチパスは 関数で初期化されていない変数を使用してデバイスの名前を変更していました。これにより、変数が無効な値に設定されているため、デバイスの名前変更中にマルチパスが失敗することがありました。今回の修正により、デバイスの名前変更時にマルチパスがこの変数を初期化するようになりました。(BZ#1363830)

systemd が、multipath.pid ファイルが読み取れないことを報告しなくなる

以前は、multipathd コマンドが返された後に、systemd が multipathd.pid ファイルを読み取れないことを報告していました。これは、multipathd コマンドがデーモンをフォークした直後に返され、設定が完了するまでデーモンが pid ファイルを書きなかったことが原因でした。この修正により、multipathd コマンドは、multipathd デーモンが pid ファイルを書き込むまで待機するか、3 秒が経過してから返すようになりました。また、デーモンは起動時に pid ファイルを先に書き込むようになりました。その結果、systemdmultipath.pid ファイルが読み取り不可であることを報告しなくなりました。(BZ#1253913)

マルチパスは、パスがブロックデバイスに属してい ないパスの有効な引数 ではないことを示すようになりました。

以前は、有効なブロックデバイスではないものへのパスを使用した場合、マルチパスは、チェックするパスが必要であると示唆して いました。これは役に立ちません。これは、マルチパスデバイスパスまたは major:minor 番号でマルチパスエイリアスではないものとみなされるためです。この修正により、マルチパスは、ブロックデバイスではないものへの完全修飾パスをマルチパスエイリアスとして処理しません。その結果、マルチパスは、ブロックデバイスに属してい ないパスの有効な引数 ではないことを示します。(BZ#1319853)

マルチパスデバイスの /dev/mapper エントリーはすべて、udevが作成したシンボリックリンクになりました。

以前は、マルチパスデバイスの /dev/mapper エントリーの中にはシンボリックリンク(シンボリックリンク)であったものもあれば、マルチパスが /dev/mapper/ シンボリックリンクの作成を正しく待たなかったため、ブロックデバイスの一部でした。今回の修正により、マルチパスは各トランザクションの後に udev を待機するようになりました。その結果、マルチパスデバイスの /dev/mapper エントリーはすべて、udev により作成されるシンボリックリンクになりました。(BZ#1255885)

マルチパスが、その上にマルチパスデバイスを作成するとすぐに、新しいデバイスがマルチパスで要求されるようになりました。

以前は、マルチパスが初めてデバイスを確認したときに、uevent の処理時に WWID が /etc/multipath/wwids ファイルにありない限り、 udev ルールのマルチパスによりマルチパスが要求されませんでした。今回の修正により、マルチパスが新しいデバイスの WWID を wwids ファイルに追加すると、デバイス上で変更イベントを発行し、udev ルールで要求できるようになりました。マルチパスがマルチパスデバイスを作成するとすぐに、新しいデバイスがマルチパスにより要求されるようになりました。(BZ#1299600)

一部のデバイスで障害が発生すると、マルチパスが他のデバイスを作成しなくなる

以前は、関連のないデバイスで障害により、作成しようとしているデバイスの情報の取得に失敗した場合に早い段階で終了するため、multipath コマンドは、作業デバイスの設定に失敗する可能性がありました。今回の修正により、一部のデバイスに関する情報の取得に失敗した場合にマルチパスが早期に終了しなくなり、一部のデバイスで障害が発生すると、マルチパスが他のデバイスの作成を維持しなくなりました。(BZ#1313324)

マルチパスが uevent メッセージを見逃さなくなり、適切なデバイスがすべて追加されるようになりました。

以前は、uevent ソケットのサイズ変更をサポートする libudev 関数の存在を正しくチェックしないため、マルチパスは常にすべてのパスデバイスを正しく追加しませんでした。このため、マルチパスは uevent ソケットのサイズを変更せず、オーバーフローする可能性がありました。これにより、マルチパスが必要なイベントを見逃していました。この修正により、マルチパスは適切な libudev 機能をチェックし、uevent ソケットのサイズ変更をサポートするサポートでコンパイルされるようになりました。その結果、マルチパスは uevent メッセージを見逃さなくなり、適切なデバイスがすべて追加されるようになりました。(BZ#1296979)

デバイスが作成される前に kpartx ツールが返さなくなる

以前は、デフォルトでは、デバイスが作成されるのを待たずに kpartx ツールが返されていました。これは、kpartx が返された直後にデバイスが存在すると予想されるユーザーの混乱の原因でした。今回の更新で、kpartx はデフォルトでデバイスが作成されるまで待機してから返すようになりました。(BZ#1299648)

デバイスのサイズを変更する複数の呼び出しは、それぞれデバイスのサイズを変更しようとし、結果を正しく報告します。

以前は、multipathd がデバイスのサイズ変更に失敗した場合、デバイスのサイズが新しいであると考え続けます。その後、デバイスのサイズを変更する呼び出しは成功を報告し、デバイスのサイズを変更しません。これは、multipathd は何も実行していないと見なすためです。この修正により、multipathd は、サイズ変更に失敗した場合に、デバイスサイズを元のサイズにリセットするようになりました。その結果、デバイスのサイズを変更する複数の呼び出しがそれぞれデバイスのサイズを変更しようとし、結果を正しく報告します。(BZ#1333492)

マルチパスが 2TB を超える DOS パーティションを持つ 4k ブロックデバイス用のパーティションデバイスを正しく作成

以前は、kpartx ツールは、DOS パーティションが 2TB を超える 4K ブロックサイズデバイスに誤ったサイズパーティションを作成しました。これは、kpartx が、ネイティブセクターサイズから 512B セクターに変換するために必要なセクターの数と乗数を 32 ビット符号なし整数で格納していたためです。これにより、2 つの数字を乗算した 2^32 を超える場合にロールオーバーが発生します。今回の修正では、マルチパスはセクターサイズの乗数変数に 64 ビットの符号なし整数を使用するようになり、数値が一緒に乗算されると結果がロールオーバーされなくなりました。その結果、マルチパスがパーティションを正しく作成するようになりました。(BZ#1311463)

マルチパスは、使用中のパーティションを削除しなくなり、パスが追加されたときにパーティションを復元するようになりました。

以前は、デバイスへのパスがすべて失われた場合、マルチパスは使用されていないすべてのパーティションを削除し、復元しません。これは、マルチパスがデバイスの削除を試みると、一部のデバイスが使用中であってもパーティションを削除し、削除後にパーティションを復元しないために発生しました。今回の修正により、マルチパスは削除前にパーティションが使用されているかどうかを確認し、削除が失敗した場合は、パスが追加されたときにパーティションを復元するようになりました。(BZ#1292599)

新しいデバイス名が既存のパーティションデバイスと一致する場合に、kpartx ツールが既存のパーティションデバイスを上書きしなくなりました。

以前は、新しいデバイス名が既存のデバイス名と一致すると、kpartx は新しいパーティションデバイスを警告なしで上書きしていました。これにより、kpartx デバイスが名前の競合がある場合に、参照している場所が突然変更されました。今回の修正により、kpartx は UUID をチェックして、デバイス全体に属するパーティションデバイスを上書きしないようになりました。名前の競合が発生した場合は、既存のパーティションデバイスが参照している場所を変更するのではなく、kpartx がエラーメッセージと共に失敗するようになりました。(BZ#1283750)

mpathconf --allow コマンドは、ノードが起動できる正しいデバイスで設定ファイルを作成するようになりました。

以前は、特定の設定では mpathconf --allow コマンドが、ノードを起動できない設定ファイルを作成しました。これは、mpathconf --allow が設定ファイルの blacklist_exceptions セクションから既存のエントリーを削除していたために生じました。これにより、許可されたデバイスの一部がブラックリストに指定される可能性があります。また、blacklist_exceptions セクションに重複する WWID エントリーも出力します。今回の修正により、mpathconf --allow は既存の blacklist_exceptions エントリーを削除しなくなり、WWID エントリーを一度だけ出力するようになりました。このコマンドは、ノードの起動を許可する正しいデバイスを持つ設定ファイルを常に作成するようになりました。(BZ#1288660)

マルチパスデバイスが LVM 物理ボリュームとして正しく識別されるようになる

以前は、LVM がマルチパス PV を認識できないことがありました。これは、multipathd が作成 uevent に到達するのと同時にデバイスをリロードできることが原因でした。LVM udev ルールは、現在一時停止しているデバイスの処理を許可しません。これは、リロード中に発生します。今回の修正により、multipathd は、作成 uevent を受け取るまでデバイスのリロードを遅延するようになりました。(BZ#1304687)

multipathd デーモンは、実際にダウンしているときにパスが稼働していることを出力しなくなりました。

以前は、multipathd デーモンは、実際に停止したときにパスが稼働していることを出力していました。multipathd は、パスチェッカーを呼び出す前にパスがダウンしていることを検出した場合、最後のパスチェッカーメッセージを消去せず、それを出力しません。今回の修正により、チェッカーの実行前にパスがダウンしていると判断された場合、multipathd はパスチェッカーメッセージをクリアするようになりました。(BZ#1280524)

udev がパーティションデバイスを同時に処理している場合、multipathd デバイスの作成に失敗しなくなりました。

以前は、udev がパスデバイスにロックがある場合、multipathd はマルチパスデバイスを作成できませんでした。これは、multipathd がマルチパスデバイスの作成時にパスデバイス上に排他的ロックを取得し、udev がパーティションデバイスの処理中にパスデバイスの共有ロックを取得するためです。今回の修正により、multipathd は共有ロックも取得し、udev と同時に実行できるようになりました。(BZ#1347769)

systemd が、依存関係の欠落に関する警告メッセージを出力しなくなりました。

以前は、multipathd systemd サービスユニットファイルに initramfs で利用できない別のユニットファイルが必要な場合、systemd は依存関係の欠落に関する警告メッセージを出力していました。今回の修正により、multipathd ユニットファイルは、blk-availability ユニットファイルなしで操作できるため、Requires ではなく Wants を使用するようになりました。(BZ#1269293)

kpartx で生成されたデバイスのパーティション番号は、実際のパーティション番号と同じになりました。

以前は、kpartx が生成したデバイスパーティション番号は、実際のパーティション番号と一致しませんでした。これは、パーティション番号を決定する際に kpartx がセクターのない sun パーティションをカウントしていなかったためです。今回の修正により、kpartx はパーティション番号を決定する際にセクターのない sun パーティションをカウントし、kpartx で生成されたデバイスのパーティション番号が実際のパーティション番号と同じになりました。(BZ#1241774)

MTX が大きなテープストレージアレイで失敗しなくなる

大規模なテープストレージドライブアレイで設定されたシステムでは、MTX ツールは以前はエラーを出して失敗しました。そのため、テープストレージを管理できませんでした。今回の更新で、より大きなテープストレージアレイへの対応が改善され、MTX が期待どおりに大きなテープストレージを管理できるようになりました。(BZ#1298647)

dmraid およびその他の デバイスマッパー サブシステムとの間の相互運用性が発生しなくなりました。

以前は、dmraid パッケージが誤ったテストオプションでコンパイルされていました。そのため、dmraid ツールは、LVM などの他の デバイスマッパーサブシステムなど、すべてのデバイス を誤ってスキャンします。これにより、他のサブシステムに干渉し、起動中にさまざまな障害が発生する可能性があります。今回の更新で、dmraid でテストモードが無効になり、起動時にすべてのデバイスがスキャンされなくなりました。その結果、dmraid と他のデバイスマッパーサブシステム間の干渉が発生しなくなりました。(BZ#1348289)

dmraidのアンインストール後に、systemddmraid-activation.service の不足しているユニットについて警告しなくなりました。

今回の更新以前は、dmraid パッケージをアンインストールした後、/etc/systemd/system/sysinit.target.wants/dmraid-activation.service シンボリックリンクがシステムに残されていました。これにより、systemd サービスが dmraid -activation.service の不足しているユニットについて警告していました。今回の更新で、dmraid をアンインストールすると、前述のシンボリックリンクが削除されました。(BZ#1315644)

再成形中に mdadm が IMSM RAID アレイの停止に失敗しなくなる

バグにより、以前は再成形中に Intel Matrix Storage Manager (IMSM) RAID アレイを停止しようと試みます。このバグを修正するために基礎となるソースコードが変更され、上記の状況で mdadm ユーティリティーがアレイを正しく停止するようになりました。(BZ#1312837)

I/O 操作の実行中に、mdadm を使用してパフォーマンスが低下したアレイにホットスペアを割り当てることがなくなりました。

以前は、MD アレイで I/O 操作の実行中にパフォーマンスが低下したアレイにホットスペアを割り当てることができ、mdadm ユーティリティーは次のようなエラーメッセージを返していました。
mdadm: /dev/md1 has failed so using --add cannot work and might destroy
mdadm: data on /dev/sdd1. You should stop the array and re-assemble it
このバグを修正するためのパッチが適用され、上記の状況で、パフォーマンスが低下したアレイにホットスペアを追加するようになりました。(BZ#1300579)

mdadm で作成されたパフォーマンスが低下した RAID1 アレイが、再起動後に非アクティブと表示されなくなる

以前は、mdadm ユーティリティーを使用して作成されたパフォーマンスが低下した RAID1 アレイは、システムを再起動した後に非アクティブな RAID0 アレイとして表示できました。この更新により、システムの再起動後にアレイが正しく起動します。(BZ#1290494)

RAID0 アレイへのビットマップを含む RAID1 アレイを再成形しても RAID1 アレイが破損しなくなりました。

mdadm ユーティリティーを使用した RAID0 アレイへのビットマップを含む RAID1 アレイの再成形はサポートされていません。以前は、RAID0 アレイにビットマップを含む RAID1 アレイを再成形しようとすると、操作は拒否されていましたが、RAID1 アレイが破損していました。今回の更新で、再成形が拒否されましたが、RAID1 アレイは期待どおりに機能し続けます。(BZ#1174622)

mdadm reshape 操作を実行している IMSM RAID アレイで競合状態が発生しなくなりました。

以前は、mdadm reshape 操作を実行している Intel Matrix Storage Manager (IMSM) RAID アレイを使用すると、1 番目の操作が完了するまで 2 番目の再成形を同じアレイで起動でき、再成形操作が正しく完了しませんでした。今回の更新により、競合状態が発生しなくなり、最初の操作が完了するまで 2 つ目の再成形操作を開始できなくなりました。(BZ#1347762)

mdadm が、15 文字を超えるデバイス名を使用するアレイをアセンブルできるようになりました。

以前は、15 文字を超えるデバイス名を持つデバイスを含むアレイをアセンブルしようとすると、mdadm ユーティリティーがセグメンテーション違反で予期せず終了する可能性がありました。今回の更新により、mdadm は、アレイが 15 文字を超えるデバイス名を使用する場合でもアレイを正しくアセンブルするようになりました。(BZ#1347749)

第35章 仮想化

セカンダリー仮想 CPU を有効にするためにマスクされた SMEP および SMAP ビット

以前は、Supervisor Mode Execution Protection (SMEP)または Supervisor Mode Access Protection (SMAP)をサポートするホストで Extended Page Table (EPT)を無効にすると、ゲストは単一の vCPU に制限されていました。この更新により、必要に応じて、ホスト側で SMEP ビットと SMAP ビットがマスクされます。その結果、セカンダリー vCPU が起動し、ゲスト仮想マシンで使用できます。(BZ#1273807)

日本語のロケール仮想マシンマネージャーの リセット メニューエントリーが正しく変換される

以前のバージョンでは、日本語のロケール仮想マシンマネージャーで Force Reset メニューエントリーが正しく変換されませんでした。今回の更新で、Force Reset メニューエントリーが正しく変換されるようになりました。(BZ#1282276)

KSM の重複排除係数の制限

以前は、kernel same-page merging (KSM)重複排除係数が明示的に制限されませんでした。そのため、Red Hat Enterprise Linux ホストにパフォーマンスの問題があるか、ワークロードが高い場合に応答しなくなりました。今回の更新で、KSM 重複排除係数が制限されるため、KSM ページに関連する仮想メモリー操作に関する上記の問題がなくなりました。(BZ#1298618)

streamOptimized サブフォーマットを持つ VMDK イメージが許可されます。

以前は、qemu-img ツールによって作成された streamOptimized サブフォーマットを持つ仮想マシンディスク(VMDK)イメージは、VMDK イメージのバージョン番号が低すぎるため Elastic Sky X (ESX)サービスによって拒否されていました。この更新により、streamOptimized VMDK イメージのサブフォーマット数が自動的に増えます。これにより、ESX サービスによって VMDK イメージが受け入れられます。(BZ#1299116)

streamOptimized サブフォーマットを持つ VMDK イメージのデータレイアウトが正しくなかった

以前は、qemu-img ツールによって作成された streamOptimized サブフォーマットを持つ仮想マシンディスク(VMDK)イメージのデータレイアウトが正しくありませんでした。これにより、ESX サーバーにインポートする際に VMDK イメージを起動できませんでした。今回の更新により、イメージは有効な VMDK streamOptimized イメージに変換されます。これにより、VMDK イメージが起動できるようになります。(BZ#1299250)

--pivot オプションを使用した blockcopy が失敗しなくなる

以前は、--pivot オプションが指定されている場合、blockcopy は常に失敗していました。今回のリリースにより、この問題を防ぐために libvirt パッケージが更新されました。blockcopy--pivot オプションと共に使用できるようになりました。(BZ#1197592)

virt-v2v 変換が修正された後のゲスト表示の問題

以前は、virt-v2v ユーティリティーで変換したゲストのビデオカードドライバー設定が無視され、ゲストにさまざまな表示問題が発生していました。今回の更新で、virt-v2v が、変換したゲストの libvirt XML ファイルを適切に生成するようになりました。その結果、ビデオカード設定は保持され、変換後にグラフィカル機能を完全に活用できます。(BZ#1225789)

MSR_TSC_AUX の移行が適切に動作

以前は、ゲストの移行時に MSR_TSC_AUX ファイルの内容が正しく移行されないことがありました。その結果、移行が完了した後にゲストが予期せず終了しました。今回の更新で、MSR_TSC_AUX の内容が想定どおりに移行され、上記のクラッシュが発生しなくなりました。(BZ#1265427)

ドキュメントから削除された Windows ゲスト仮想マシン情報

今回の更新で、Windows ゲスト仮想マシンへの参照がすべてドキュメントから削除されました。この情報は、ナレッジベースの記事 https://access.redhat.com/articles/2470791 に移動しました(BZ# 1262007)

virt-manager でのゲストディスクへのアクセスは、SELinux および libguestfs-pythonで適切に機能します。

今回の更新以前は、libguestfs-python パッケージがインストールされ、ホストマシンで SELinux が有効になっている場合、virt-manager インターフェイスを使用してゲストディスクにアクセスすると、I/O に失敗していました。virt-manager および libguestfs ライブラリーは、同じ libvirt 接続を共有するようになり、上記のエラーが発生しなくなりました。(BZ#1173695)

パート III. テクノロジープレビュー

ここでは、Red Hat Enterprise Linux 7.3 で導入または更新されているテクノロジープレビュー機能の概要を説明します。
テクノロジープレビュー機能に対する Red Hat のサポート範囲の詳細は、https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第36章 全般的な更新

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供されるため、安定しているとは見なされないことに注意してください。(BZ#1284974)

第37章 認証および相互運用性

コンテナーの SSSD が利用可能になりました。

コンテナーの System Security Services Daemon (SSSD)はテクノロジープレビューとして提供され、Red Hat Enterprise Linux Atomic Host 認証サブシステムを Red Hat Identity Management や Microsoft Active Directory などの中央アイデンティティープロバイダーに接続できるようにします。
この新規イメージをインストールするには、atomic install rhel7/sssd コマンドを使用します。(BZ#1200143)

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしてサポートされます。AD sudo プロバイダーを有効にするには、sssd.conf ファイルターミナルの [domain] セクションにsudo_provider=ad 設定を追加します。(BZ#1068725)

DNSSEC が Identity Management でテクノロジープレビューとして利用可能に

統合 DNS を使用する Identity Management サーバーが、DNS プロトコルのセキュリティーを強化する DNS Security Extensions (DNSSEC)に対応するようになりました。Identity Management サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。
DNSSEC で DNS ゾーンの安全性を強化する場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS のある Identity Management サーバーは、DNSSEC を使用して、他の DNS サーバーから取得した DNS 応答を検証することに注意してください。これは、Red Hat Enterprise Linux Networking Guide https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices で説明されている、推奨される命名方法に従って設定されていない DNS ゾーンの可用性に影響を与える可能性があります。(BZ#1115294)

Directory Server で利用可能な Nunc Stans イベントフレームワーク

複数の同時接続を処理するための新しい Nunc Stans イベントフレームワークがテクノロジープレビューとして追加されました。フレームワークにより、パフォーマンス低下なしで複数のアクティブな接続をサポートできます。これはデフォルトでは無効にされます。(BZ#1206301)

サービスとしてのシークレットへのサポート

今回の更新で、レスポンダー シークレット がテクノロジープレビューとして System Security Services Daemon (SSSD)に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できます。これにより、SSSD はローカルデータベースに秘密を保存したり、リモートの Custodia サーバーに転送したりできます。(BZ#1311056)

IdM Web UI により、スマートカードログインが有効になります。

Identity Management (IdM) Web UI を使用すると、ユーザーはスマートカードを使用してログインできます。この機能は実験的なものであり、サポートされていないことに注意してください。(BZ#1317379, BZ#1346883, BZ#1343422)

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能になりました。

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。
Red Hat Enterprise Linux 7.3 では、複数のバージョンの API コマンドを有効にするために、IdM API が拡張されました。以前は、機能拡張により、互換性のない方法でコマンドの動作が変更することがありました。IdM API を変更しても、既存のツールおよびスクリプトを引き続き使用できるようになりました。これにより、以下が可能になります。
  • 管理者は、管理しているクライアント以外のサーバーで、IdM の以前のバージョンもしくは最近のバージョンを使用できます。
  • サーバーで IdM のバージョンを変更しても、開発者は特定バージョンの IdM コールを使用できます。
すべてのケースでサーバーとの通信が可能になります。たとえば、ある機能向けの新オプションが新しいバージョンに追加されていて、通信の一方の側でこれを使用していたとしても、特に問題はありません。
API の使用方法は、https://access.redhat.com/articles/2728021 (BZ#1298286) 参照してください。

第38章 クラスタリング

pcs が Booth および ticket 制約を使用するマルチサイトクラスターの管理に対応

pcs ツールは、Red Hat Enterprise Linux 7.3 以降のテクノロジープレビューとして、pcs booth コマンドを使用して Booth クラスターチケットマネージャーを使用するマルチサイトクラスターを管理できます。pcs constraint ticket コマンドを使用してマルチサイトクラスターのリソースを管理することで、チケットの制約を設定することもできます。Web UI でチケットの制約を管理することもできます。(BZ#1305049, BZ#1308514)

Pacemaker クラスターにおけるクォーラムデバイスのサポート

Red Hat Enterprise Linux 7.3 以降では、個別のクォーラムデバイス(QDevice)を設定できます。これは、クラスターのサードパーティーの判別デバイスとして機能します。この機能はテクノロジープレビューとして提供されており、その主な使用方法として、クラスターは標準のクォーラムルールで許可されるよりも多くのノード障害を維持できるようにするためです。クォーラムデバイスは、偶数のノードで設定されるクラスターに推奨されます (2 ノード設定のクラスターには強く推奨されます)。クォーラムデバイスの設定方法の詳細は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ を参照してください。(BZ#1158805)

clufter のサポート(クラスター設定形式を変換および分析するためのツール)

Red Hat Enterprise Linux 7 ではテクノロジープレビューとして利用できる clufter パッケージは、クラスター設定フォーマットを変換および分析するためのツールを提供します。これは、古いスタック設定から Pacemaker を利用する新しい設定への移行を支援するために使用できます。clufter の機能の詳細は、clufter (1) の man ページまたは clufter -h コマンドの出力を参照してください。(BZ#1212909)

clufter がバージョン 0.59.5 にリベースされました。

テクノロジープレビューとして利用できる clufter パッケージがアップストリームバージョン 0.59.5 にアップグレードされ、以前のバージョンに対するバグ修正、新機能、およびユーザーエクスペリエンスが数多く追加されました。更新内容は、以下のとおりです。
  • 古いクラスタースタック設定を Pacemaker スタックのファイルに変換する場合や、clufter コマンドの ccs2 pcs および ccs2pcs cmd ファミリーの pcs コマンドシーケンスに変換すると、監視アクションが適切に伝播または追加されます。
  • corosync.conf ファイルを使用して Pacemaker スタックの設定ファイルを変換する際に、CMAN ベースの設定を変換する byproduct または、コマンドの *2pcscmd{,-needle} ファミリーなどのファーストクラス入力のいずれかで、クラスター名が正しく伝播されます。以前のバージョンでは、クラスター名が誤ってドロップされ、pcs cluster setup --start --name node1 node2 node3 などのようにクラスター名の最初のクラスターノードの名前が混乱していました。
  • ccs2pcs ファミリーのコマンドで、CMAN ベースの設定を Pacemaker スタックの並列設定に変換すると、スキーマに ID タイプがあるとマークされた属性の値が誤って破損しなくなりました。
  • *2pcscmd ファミリーのコマンドで、CMAN または Pacemaker スタック固有の設定を、pcs コマンドのそれぞれのシーケンスに変換すると、clufter ツールは pcs cluster cib file --config を提案しなくなりました。これは、後続の local-modification pcs コマンドでは現在機能しません。代わりに、pcs cluster cib ファイル を提案します。
  • clufter ツールの出力は、指定したディストリビューションターゲットによって大きく異なる可能性があります。これは、ツールが出力を、pcs バージョンなどの各環境がサポートする環境に合わせて調整するためです。このため、ディストリビューションまたはセットアップはサポートされない可能性があり、clufter ツールが生成する一連の pcs コマンドは、全く異なる環境に移植できるとは限りません。
  • clufter ツールは、クォーラムデバイスを含む pcs ツールの新機能を複数サポートするようになりました。さらに、clufter ツールは、チケットの制約やコロケーションと順序の制約のリソースセットなど、最近 pcs ツールに追加された古い機能をサポートします。(BZ#1343661, BZ#1270740, BZ#1272570, BZ#1272592, BZ#1300014, BZ#1300050, BZ#1328078)

Booth クラスターチケットマネージャーのサポート

Red Hat Enterprise Linux 7.3 は、テクノロジープレビューとして Booth クラスターチケットマネージャーのサポートを提供します。これにより、分散サービスを介して通信する別のサイトに複数の高可用性クラスターを設定し、リソースの管理を調整することができます。Booth チケットマネージャーにより、個々のチケットに関するコンセンサスベースの決定プロセスが容易になり、チケットが付与されたときに指定したリソースが 1 度に 1 つのサイトでのみ実行されるようになります。Booth チケットマネージャーでマルチサイトクラスターを設定する方法については、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ (BZ#1302087)を参照してください。

第39章 ファイルシステム

CephFS カーネルクライアントが利用できるようになりました。

Red Hat Enterprise Linux 7.3 以降、Ceph File System (CephFS)カーネルモジュールは、テクノロジープレビューとして Red Hat Enterprise Linux ノードを有効にして、Red Hat Ceph Storage クラスターから Ceph ファイルシステムをマウントします。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に含まれる Filesystem in Userspace (FUSE)クライアントよりも効率的です。現在、カーネルクライアントでは CephFS クォータに対応していないことに注意してください。詳細は、Red Hat Ceph Storage 2: https://access.redhat.com/documentation/en/red-hat-ceph-storage/2/single/ceph-file-system-guide-technology-preview の Ceph File System Guide を参照してください(BZ#1205497)。

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能に

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。
DAX を使用するには、システムで利用可能な永続メモリーの形式が必要になります。通常は、NVDIMM (Non-Volatile Dual In-line Memory Module) の形式で、DAX に対応するファイルシステムを NVDIMM に作成する必要があります。また、ファイルシステムは、dax マウントオプションでマウントする必要があります。これにより、dax をマウントしたファイルシステムのファイルの mmap が、アプリケーションのアドレス空間にストレージを直接マッピングされます。(BZ#1274459)

pNFS ブロックレイアウトのサポート

テクノロジープレビューとして、アップストリームコードが Red Hat Enterprise Linux クライアントにバックポートされ、pNFS ブロックレイアウトサポートが提供されます。
また、Red Hat Enterprise Linux 7.3 には、pNFS SCSI レイアウトのテクノロジープレビューが含まれています。この機能は pNFS ブロックレイアウトのサポートと似ていますが、SCSI デバイスに限定されるため、使用が容易になります。したがって、Red Hat は、ほとんどのユースケースでは pNFS ブロックレイアウトではなく、pNFS SCSI レイアウトの評価を推奨します。(BZ#1111712)

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。詳細は、カーネルファイル Documentation/filesystems/overlayfs.txt を参照してください。
OverlayFS は、ほとんどの状況で引き続き Red Hat Enterprise Linux 7.3 ではテクノロジープレビューとなります。このため、OverlayFS を有効にすると、カーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は、OverlayFS が完全対応となります。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。サポートはコンテナー COW コンテンツでの使用に限定され、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステムに配置された上層レベルと下層レベルという設定です。
  • 下層ファイルシステムとして使用に対応しているのは現在 XFS のみです。
  • 物理マシンで SELinux を有効にして Enforcing モードにする必要がありますが、コンテナーの分離を実行する場合はコンテナーで無効にする必要があります。つまり、/etc/sysconfig/docker には --selinux-enabled を含めることはできません。OverlayFS の SELinux サポートはアップストリームで機能しており、今後のリリースでは予定されています。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けると見なされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS を使用してアプリケーションをデプロイする前に、アプリケーションを十分にテストしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成された rootfs およびファイルシステムを使用して、Anaconda キックスタートに --mkfsoptions=-n ftype=1 パラメーターを設定します。インストール後に新しいファイルシステムを作成する場合は、# mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用できるかどうかを確認するには、# xfs_info /PATH/TO/DEVICE | grep ftype コマンドを実行して、ftype=1 オプションが有効になっているかどうかを確認します。
Red Hat Enterprise Linux 7.3 リリース以降、OverlayFS には既知の問題が複数存在します。詳細は、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください。(BZ#1206277)

柔軟なファイルレイアウトによる NFSv4 クライアントのサポート

NFSv4 クライアントでの柔軟なファイルレイアウトのサポートは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして最初に導入されました。この技術は、非障害ファイルモビリティーやクライアント側のミラーリングなどの高度な機能を有効にし、データベース、大量のデータ、仮想化などの領域のユーザービリティーを強化します。この機能は Red Hat Enterprise Linux 7.3 で更新され、引き続きテクノロジープレビューとして提供されています。
NFS フレキシブルファイルレイアウトの詳細は、https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください。(BZ#1217590)

Btrfs ファイルシステム

Btrfs (B-Tree)ファイルシステムは、Red Hat Enterprise Linux 7.3 ではテクノロジープレビューとしてサポートされます。このファイルシステムは、高度な管理、信頼性、スケーラビリティー機能を提供します。これにより、ユーザーはスナップショットを作成でき、圧縮および統合デバイスの管理が可能になります。(BZ#1205873)

pNFS SCSI レイアウトクライアントおよびサーバーのサポートが提供されるようになりました。

並列 NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーのサポートは、Red Hat Enterprise Linux 7.3 以降のテクノロジープレビューとして提供されます。ブロックレイアウトの作業に基づいて、pNFS レイアウトは SCSI デバイス全体で定義され、SCSI 永続予約をサポートできる必要がある論理ユニットとして一連の固定サイズブロックが含まれています。論理ユニット (LU) デバイスは、SCSI デバイス識別子で識別され、フェンシングは予約の割り当てを介して処理されます。(BZ#1305092)

第40章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。LSI Syncro CS ソリューションの詳細は、http://www.lsi.com/products/shared-das/pages/default.aspx を参照してください。(BZ#1062759)

Intel DIMM 管理ツール

テクノロジープレビューとして、Intel Dual Inline Memory Modules (DIMM)の管理を有効にするために、以下のコンポーネントが追加されました。
  • DIMM を設定するための API が追加されました。
  • ストレージコマンドライン(CLI)アプリケーションをサポートする libinvm-cli ライブラリー
  • ストレージ共通情報モデル(CIM)プロバイダーを使用できる libinvm-cim ライブラリー
  • DIMM の国際化機能を提供する libinvm-i18n ライブラリー
これにより、ユーザーは基本的な DIMM インベントリー、容量プロビジョニング、ヘルスモニターリング、およびトラブルシューティングを実行できます。(BZ#1270993, BZ#1270998, BZ#1326924, BZ#1326931)

第41章 インストールおよび起動

rpm-build でのマルチスレッドxz 圧縮

現在、圧縮は 1 つのコアのみを使用しているため、高度に並列化されたビルドでは長い時間がかかる可能性があります。これは、多くのコアを備えたハードウェア上に構築された大規模なプロジェクトを継続的に統合する場合に特に問題になります。
テクノロジープレビューとして提供されるこの機能では、%_source_payload マクロまたは %_binary_payload マクロを wLTX.xzdio パターンに設定する際に、ソースパッケージおよびバイナリーパッケージでマルチスレッドの xz 圧縮を有効にします。その中で、L は圧縮レベルを表します。デフォルトでは 6 であり、X は使用されるスレッドの数です (複数桁の場合もあります) (例: w6T12.xzdio)。これは、/usr/lib/rpm/macros ファイルを編集するか、spec ファイルまたはコマンドラインでマクロを宣言することで実行できます。(BZ#1278924)

第42章 カーネル

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 は、テクノロジープレビューとして異種メモリー管理(HMM)機能を提供します。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。(BZ#1230959)

ユーザー名前空間

この機能は、ホストとコンテナー間の分離を改善し、Linux コンテナーを実行しているサーバーに追加のセキュリティーを提供します。コンテナーの管理者がホストで管理操作を実行できなくなり、セキュリティーが向上します。(BZ#1138782)

Oce141xx カードでの libocrdma RoCE サポート

テクノロジープレビューとして、ocrdma モジュールおよび libocrdma パッケージは、Oce141xx ファミリーのすべてのネットワークアダプターで Remote Direct Memory Access over Converged Ethernet (RoCE)機能をサポートします。(BZ#1334675)

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。(BZ#1299662)

criu がバージョン 2.3 にリベース

Red Hat Enterprise Linux 7.2 では、テクノロジープレビューとしてcriu ツールが導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存することに注意してください。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージを提供する protobuf パッケージと protobuf-c パッケージも、Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.3 では、criu パッケージがアップストリームバージョン 2.3 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と機能拡張が提供されています。注目すべき 、Red Hat Enterprise Linux for POWER, little endian でも利用できるようになりました。
また、criu は、Red Hat Enterprise Linux 7 runc コンテナーで実行されている以下のアプリケーションに使用できるようになりました。
  • vsftpd
  • Apache httpd
  • sendmail
  • postgresql
  • mongodb
  • mariadb
  • mysql
  • tomcat
  • dnsmasq (BZ#1296578)

ibmvnic デバイスドライバーの追加

ibmvnic デバイスドライバーは、Red Hat Enterprise Linux 7.3 for IBM POWER アーキテクチャーでテクノロジープレビューとして導入されました。vNIC (Virtual Network Interface Controller)は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する新しい PowerVM 仮想ネットワークテクノロジーです。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。(BZ#947163)

kexec がテクノロジープレビューとして利用可能に

kexec システムコールはテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。(BZ#1460849)

第43章 Real-Time Kernel

新規スケジューラークラス: SCHED_DEADLINE

今回の更新で、テクノロジープレビューとして、リアルタイムカーネル用の SCHED_DEADLINE スケジューラークラスが導入されました。新しいスケジューラーにより、アプリケーションの期限に基づいた予測可能なタスクのスケジューリングが可能になりました。SCHED_DEADLINE は、アプリケーションタイマーの操作を減らすことにより、定期的なワークロードにメリットをもたらします。(BZ#1297061)

第44章 ネットワーク

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとしてサポートされている libusnic_verbs ドライバーにより、Verbs API をベースとした標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。(BZ#916384)

Cisco VIC カーネルドライバー

テクノロジープレビューとしてサポートされている Cisco VIC Infiniband カーネルドライバーにより、プロプライエタリー Cisco アーキテクチャーで Remote Directory Memory Access (RDMA)のようなセマンティクスを使用できます。(BZ#916382)

TNC (Trusted Network Connect)

Trusted Network Connect はテクノロジープレビューとしてサポートされており、TLS、802.1X、IPsec などの既存のネットワークアクセス制御(NAC)ソリューションと併用され、エンドポイントのポスチャー評価を統合します。つまり、エンドポイントのシステム情報を収集します(オペレーティングシステムの設定設定、インストール済みパッケージ、整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。(BZ#755087)

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能は引き続きフルサポートになります。(BZ#1259547)

新しいパッケージ: libnftnlnftables

今回の更新で、テクノロジープレビューとして nftables パッケージおよび libnftl パッケージが追加されました。
nftables パッケージでは、パケットフィルターリングツールが提供され、従来のパケットフィルターリングツールに比べ、利便性、機能、および性能が数多く改善されました。これは、iptables ユーティリティー、ip6tables ユーティリティー、arptables ユーティリティー、および ebtables ユーティリティーの後継として指定されます。
libnftnl パッケージは、libmnl ライブラリーを介した、nftable Netlink の API との低レベルの対話のためにライブラリーを提供します。(BZ#1332585, BZ#1332581)

第45章 ストレージ

LVM RAID レベルのテイクオーバーが利用可能に

RAID レベルのテイクオーバー(RAID タイプ間の切り替え機能)がテクノロジープレビューとして利用できるようになりました。RAID レベルのテイクオーバーを使用すると、ユーザーはハードウェア特性の変更に応じて、ニーズに最も適した RAID 設定の種類に基づいて決定し、論理ボリュームを非アクティブ化せずに変更を加えることができます。たとえば、ストライプ化 論理ボリュームを作成する場合は、追加のデバイスが利用可能な場合は、後で RAID4 論理ボリュームに変換できます。
Red Hat Enterprise Linux 7.3 以降、以下の変換がテクノロジープレビューとして利用できます。
  • striped <-> RAID4
  • linear <-> RAID1
  • mirror <-> RAID1 (mirror はレガシータイプですが、引き続きサポートされます) (BZ# 1191630)

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には、blk-mq と呼ばれるブロックデバイス用の新しいマルチキュー I/O スケジューリングメカニズムが同梱されています。scsi-mq パッケージにより、Small Computer System Interface (SCSI) サブシステムが、この新しいキューイングメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。(BZ#1109348)

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。
Targetd プラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます。(BZ#1119909)

DIF/DIX (Data Integrity Field/Data Integrity Extension) への対応

DIF/DIX は、SCSI 標準に新しく追加されたものです。Red Hat Enterprise Linux 7.3 では、機能 の章で指定されている HBA およびストレージアレイに対して完全にサポートされていますが、その他の HBA およびストレージアレイについてはテクノロジープレビューのままとなっています。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 520 バイトに増えます。DIF は、書き込みの発生時に HBA (Host Bus Adapter) により算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムが、ストレージデバイス、および受信する HBA により検証されます。(BZ#1072107)

第46章 仮想化

ネストされた仮想化

テクノロジープレビューとして、Red Hat Enterprise Linux 7 はネストされた仮想化を提供します。この機能により、KVM はハイパーバイザーとして機能し、独自のゲストを作成できるゲストを起動できます。詳細は、Red Hat Enterprise Linux 7 仮想化の導入および管理ガイドを参照してください。(BZ#1187762)

KVM ゲスト用の USB 3.0 サポート

KVM ゲスト用の USB 3.0 ホストアダプター(xHCI)エミュレーションは、Red Hat Enterprise Linux 7.3 では引き続きテクノロジープレビューです。(BZ#1103193)

一部の Intel ネットワークアダプターが Hyper-V のゲストとして SR-IOV をサポート

Hyper-V で実行している Red Hat Enterprise Linux ゲスト仮想マシン用の今回の更新では、新しい PCI パススルードライバーにより、ixgbevf ドライバーでサポートされている Intel ネットワークアダプターの Single Root I/O Virtualization (SR-IOV) 機能を使用できるようになります。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェイスコントローラー (NIC) に対して SR-IOV サポートが有効になっている
  • 仮想 NIC の SR-IOV サポートが有効になっている
  • 仮想スイッチの SR-IOV サポートが有効になっている
NIC の VF (Virtual Function) は、仮想マシンに接続されている
この機能は現在、Microsoft Windows Server 2016 テクニカルプレビュー 5 でサポートされています。(BZ#1348508)

Hyper-V のゲスト仮想マシンで PCI Express バスを介して接続するデバイス用にドライバーが追加されました

今回の更新で、PCI Express バス経由で接続するデバイスを、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux ゲスト仮想マシンに渡す際に、root PCI バスを公開する新しいドライバーが追加されました。この機能は現在、Microsoft Windows Server 2016 テクニカルプレビュー 5 でサポートされています。(BZ#1302147)

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。

パート IV. デバイスドライバー

ここでは、Red Hat Enterprise Linux 7.3 で更新されたすべてのデバイスドライバーの包括的な一覧を提供します。

第47章 新しいドライバー

ストレージドライバー

  • cxgbit
  • libnvdimm
  • mpt2sas
  • nd_blk
  • nd_btt
  • nd_e820
  • nd_pmem
  • nvme

ネットワークドライバー

  • ath10k_core (BZ#1298484)
  • ath10k_pci (BZ#1298484)
  • bnxt_en (BZ#1184635)
  • brcmfmac
  • brcmsmac
  • brcmutil
  • btbcm
  • btcoexist
  • btintel
  • btrtl
  • c_can
  • c_can_pci
  • c_can_platform
  • can-dev
  • cc770
  • cc770_platform
  • ems_pci
  • ems_usb
  • esd_usb2
  • fjes
  • geneve
  • hfi1
  • i40iw
  • iwl3945
  • iwl4965
  • iwldvm
  • iwlegacy
  • iwlmvm
  • iwlwifi (BZ#1298113)
  • kvaser_pci
  • kvaser_usb
  • macsec
  • mwifiex
  • mwifiex_pcie
  • mwifiex_sdio
  • mwifiex_usb
  • mwl8k
  • peak_pci
  • peak_usb
  • plx_pci
  • qed
  • qede
  • rdmavt
  • rt2800lib
  • rt2800mmio
  • rt2800pci
  • rt2800usb
  • rt2x00lib
  • rt2x00mmio
  • rt2x00pci
  • rt2x00usb
  • rt61pci
  • rt73usb
  • rtl_pci
  • rtl_usb
  • rtl8187
  • rtl8188ee
  • rtl8192c-common
  • rtl8192ce
  • rtl8192cu
  • rtl8192de
  • rtl8192ee
  • rtl8192se
  • rtl8723-common
  • rtl8723ae
  • rtl8723be
  • rtl8821ae
  • rtlwifi
  • sja1000
  • sja1000_platform
  • slcan
  • ソフトニング
  • UAS
  • usb_8dev
  • Vcan

グラフィックスドライバーおよびその他のドライバー

  • amdgpu
  • amdkfd
  • gp2ap002a00f
  • gpio-ich
  • gpio-viperboard
  • idma64
  • int3400_thermal
  • leds-lt3593
  • ledtrig-gpio
  • nfit
  • pci-hyperv
  • pwm-lpss
  • qat_c3xxx
  • qat_c3xxxvf
  • qat_c62x
  • qat_c62xvf
  • qat_dh895xccvf
  • regmap-spi
  • rotary_encoder
  • rtc-rx4581
  • rtsx_usb
  • rtsx_usb_sdmmc
  • sht15
  • target_core_user
  • tpm_st33zp24
  • tpm_st33zp24_i2c
  • virt-dma
  • virtio-gpu
  • zram

第48章 更新されたドライバー

ストレージドライバーの更新

  • 3w-9xxx ドライバーがバージョン 2.26.02.014.rh1 に更新されました。
  • aacraid ドライバーがバージョン 1.2-1[41066]-ms に更新されました。
  • be2iscsi ドライバーがバージョン 11.0.0.0 に更新されました。(BZ#1274912)
  • bfa ドライバーがバージョン 3.2.25.0 に更新されました。
  • bnx2fc ドライバーがバージョン 2.10.3 に更新されました。
  • cxgb3i ドライバーがバージョン 2.0.1-ko に更新されました。
  • cxgb4i ドライバーがバージョン 0.9.5-ko に更新されました。
  • libcxgbi ドライバーがバージョン 0.9.1-ko に更新されました。
  • fnic ドライバーがバージョン 1.6.0.21 に更新されました。
  • hpsa ドライバーがバージョン 3.4.14-0-RH1 に更新されました。
  • isci ドライバーがバージョン 1.2.0 に更新されました。
  • lpfc ドライバーがバージョン 0:11.1.0.2 に更新されました。
  • megaraid_sas ドライバーがバージョン 06.811.02.00-rh1 に更新されました。
  • mt2sas ドライバーがバージョン 20.102.00.00 に更新されました。
  • mt3sas ドライバーがバージョン 13.100.00.00 に更新されました。
  • qla2xxx ドライバーがバージョン 8.07.00.33.07.3-k1 に更新されました。
  • vmw_pvscsi ドライバーがバージョン 1.0.6.0-k に更新されました。
  • cxgbit ドライバーがバージョン 1.0.0-ko に更新されました。
  • nvme ドライバーがバージョン 1.0 に更新されました。
  • smartpqi ドライバーがバージョン 0.9.13-370 に更新されました。
  • mtip32xx ドライバーがバージョン 1.3.1 に更新されました。(BZ#1273618, BZ#1269525)
  • ipr ドライバーがバージョン 2.6.3 に更新されました。(BZ#1274357)
  • bnx2i ドライバーがバージョン 2.7.10.1 に更新されました。(BZ#1273086)

ネットワークドライバーの更新

  • bpa10x ドライバーがバージョン 0.11 に更新されました。
  • btbcm ドライバーがバージョン 0.1 に更新されました。
  • btintel ドライバーがバージョン 0.1 に更新されました。
  • btrtl ドライバーがバージョン 0.1 に更新されました。
  • btusb ドライバーがバージョン 0.8 に更新されました。
  • hci_uart ドライバーがバージョン 2.3 に更新されました。
  • hci_vhci ドライバーがバージョン 1.5 に更新されました。
  • hfi1 ドライバーがバージョン 0.9-294 に更新されました。
  • i40iw ドライバーがバージョン 0.5.123 に更新されました。
  • ocrdma ドライバーがバージョン 11.0.0.0 に更新されました。
  • ib_srp ドライバーがバージョン 2.0 に更新されました。
  • bnx2x ドライバーがバージョン 1.712.30-0 に更新されました。
  • bnxt_en ドライバーがバージョン 1.2.0 に更新されました。
  • cnic ドライバーがバージョン 2.5.22 に更新されました。
  • enic ドライバーがバージョン 2.3.0.20 に更新されました。
  • be2net ドライバーがバージョン 11.0.0.0r に更新されました。
  • e1000e ドライバーがバージョン 3.2.6-k に更新されました。
  • i40e ドライバーがバージョン 1.5.10-k に更新されました。
  • i40evf ドライバーがバージョン 1.5.10-k に更新されました。
  • igb ドライバーがバージョン 5.3.0-k に更新されました。
  • ixgbe ドライバーがバージョン 4.4.0-k-rh7.3 に更新されました。
  • ixgbevf ドライバーがバージョン 2.12.1-k-rh7.3 に更新されました。
  • qed ドライバーがバージョン 8.7.1.20 に更新されました。
  • qede ドライバーがバージョン 8.7.1.20 に更新されました。
  • qlcnic ドライバーがバージョン 5.3.65 に更新されました。
  • fjes ドライバーがバージョン 1.1 に更新されました。
  • geneve ドライバーがバージョン 0.6 に更新されました。
  • vmxnet ドライバーがバージョン 1.4.7.0-k に更新されました。
  • iwl3945 ドライバーがバージョン in-tree:ds に更新されました。
  • iwl4965 ドライバーがバージョン in-tree:d に更新されました。
  • iwlegacy ドライバーがバージョン in-tree: に更新されました。
  • mwifiex ドライバーがバージョン 1.0 に更新されました。
  • mwifiex_pcie ドライバーがバージョン 1.0 に更新されました。
  • mwifiex_sdio ドライバーがバージョン 1.0 に更新されました。
  • mwifiex_usb ドライバーがバージョン 1.0 に更新されました。
  • mwl8k ドライバーがバージョン 0.13 に更新されました。
  • rt2800lib ドライバーがバージョン 2.3.0 に更新されました。
  • rt2800mmio ドライバーがバージョン 2.3.0 に更新されました。
  • rt2800pci ドライバーがバージョン 2.3.0 に更新されました。
  • rt2800usb ドライバーがバージョン 2.3.0 に更新されました。
  • rt2x00lib ドライバーがバージョン 2.3.0 に更新されました。
  • rt2x00mmio ドライバーがバージョン 2.3.0 に更新されました。
  • rt2x00pci ドライバーがバージョン 2.3.0 に更新されました。
  • rt2x00usb ドライバーがバージョン 2.3.0 に更新されました。
  • rt61pci ドライバーがバージョン 2.3.0 に更新されました。
  • rt73usb ドライバーがバージョン 2.3.0 に更新されました。
  • mlx4_core ドライバーがバージョン 2.2-1 に更新されました。(BZ#1298421)
  • mlx4_en ドライバーがバージョン 2.2-1 に更新されました。(BZ#1298422)
  • mlx4_ib ドライバーがバージョン 2.2-1 に更新されました。(BZ#1298423)
  • mlx5_core ドライバーがバージョン 2.2-1 に更新されました。(BZ#1298424)
  • mlx5_ib ドライバーがバージョン 3.0-1. に更新されました。(BZ#1298425)
  • sfc ドライバーが最新のアップストリームバージョンに更新されました。(BZ#1298425)

グラフィックドライバーおよびその他のドライバーの更新

  • tpm_st33zp24 ドライバーがバージョン 1.3.0 に更新されました。
  • tpm_st33zp24_i2c ドライバーがバージョン 1.3.0 に更新されました。
  • qat_c3xxx ドライバーがバージョン 0.6.0 に更新されました。
  • qat_c62x ドライバーがバージョン 0.6.0 に更新されました。
  • intel_qat ドライバーがバージョン 0.6.0 に更新されました。
  • qat_dh895xcc ドライバーがバージョン 0.6.0 に更新されました。
  • qat_dh895xccvf ドライバーがバージョン 0.6.0 に更新されました。
  • amdkfd ドライバーがバージョン 0.7.2 に更新されました。
  • qat_dh895xccvf ドライバーがバージョン 0.6.0 に更新されました。
  • vmwgfx ドライバーがバージョン 2.10.0.0 に更新されました。
  • vmw_balloon ドライバーがバージョン 1.4.0.0-k に更新されました。
  • hpilo ドライバーがバージョン 1.4.1 に更新されました。(BZ#1274436)

パート V. 非推奨の機能

ここでは、Red Hat Enterprise Linux 7.3 までのすべてのマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクルが終了するまでサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新たに実装することは推奨されません。特定のメジャーリリースにおける非推奨機能の最新情報は、そのメジャーリリースの最新バージョンのリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバーの更新は、セキュリティーと重大な修正にのみ行われます。Red Hat は、このようなハードウェアの早期交換をお勧めします。
パッケージ が非推奨となり、使用の継続が推奨されない場合があります。製品からパッケージが削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが指定され、詳しい推奨事項が記載されます。

第49章 Red Hat Enterprise Linux 7 での非推奨の機能

nautilus-open-terminalgnome-terminal-nautilus に置き換えられる

Red Hat Enterprise Linux 7.3 以降、nautilus-open-terminal パッケージは非推奨になり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus での右クリックコンテキストメニューに Open in Terminal オプションを追加する Nautilus 拡張機能を提供します。システムアップグレード中、nautilus-open-terminalgnome-terminal-nautilus に置き換えられます。

Python から削除された sslwrap()

sslwrap() 機能が Python 2.7 から削除されました。466 Python Enhancement Proposal が実装されて以降、この機能を使用するとセグメンテーションフォールトになります。この削除は、アップストリームと一致しています。
代わりに、ssl.SSLContext クラスと ssl.SSLContext.wrap_socket() 関数を使用することが推奨されます。ほとんどのアプリケーションでは、ssl.create_default_context() 関数を使用するだけで、安全なデフォルト設定でコンテキストを作成できます。デフォルトのコンテキストでは、システムのデフォルトのトラストストアが使用されます。

依存関係としてリンク付けされたライブラリーのシンボルが、ld では解決されない

以前のリリースでは、リンク付けされた任意のライブラリーのシンボルがすべて ld リンカーによって解決されていました (他のライブラリーの依存関係として暗示的にしかリンク付けされていない場合も同様)。そのため、開発者が暗示的にリンク付けされたライブラリーのシンボルをアプリケーションコードに使用するのに、これらのライブラリーのリンクを明示的に指定する必要はありませんでした。
セキュリティー上の理由から ld が変更し、依存関係として暗黙的にリンク付けされたライブラリーのシンボルに対する参照を解決しないようになりました。
これにより、ライブラリーのリンクを宣言せず依存関係として暗黙的にしかリンク付けしていない場合には、アプリケーションコードでそのライブラリーのシンボルの使用を試みると、ld とのリンクに失敗します。依存関係としてリンク付けされたライブラリーのシンボルを使用する場合、開発者はこれらのライブラリーとも明示的にリンク付けする必要があります。
ld の以前の動作を復元するには、コマンドラインオプション -copy-dt-needed-entries を使用します。(BZ#1292230)

Windows ゲスト仮想マシンのサポートが限定

Red Hat Enterprise Linux 7 以降、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

libnetlink が非推奨に

iproute-devel に含まれるlibnetlink ライブラリーが非推奨となりました。代わりに、libnl ライブラリーおよび libmnl ライブラリーを使用する必要があります。

KVM の S3 および S4 の電源管理状態が非推奨に

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止

Red Hat Certificate Server の udnPwdDirAuth 認証プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。このプラグインを使用するプロファイルはサポートされなくなりました。証明書が udnPwdDirAuth プラグインを使用するプロファイルで作成され、承認されている場合は有効のままになります。

IdM 向けの Red Hat Access プラグインが廃止

Identity Management (IdM)用の Red Hat Access プラグインは、Red Hat Enterprise Linux 7.3 で削除されました。更新中に、redhat-access-plugin-ipa が自動的にアンインストールされます。ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインにより提供されていた機能は、Red Hat カスタマーポータルで引き続き利用できます。Red Hat では、redhat-support-tool ツールなどの代替手段を使用することを推奨しています。

統合方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは、Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーと、アプリケーションまたはユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、テクノロジープレビューの Ipsilon を、完全にサポートされる機能にアップグレードする予定はありません。ipsilon パッケージは、今後のマイナーリリースで Red Hat Enterprise Linux から削除される予定です。
Red Hat は、Keycloak コミュニティープロジェクトをベースとした Web SSO ソリューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準 Web SSO ソリューションとして設計されています。詳細は、1章概要 を参照してください。

非推奨となったデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨になりました。
    • Dell PERC5, PCI ID 0x15
    • SAS1078R, PCI ID 0x60
    • SAS1078DE, PCI ID 0x7C
    • SAS1064R, PCI ID 0x411
    • VERDE_ZCR, PCI ID 0x413
    • SAS1078GEN2, PCI ID 0x78
  • be2net ドライバーが制御する次のイーサネットアダプターが非推奨になりました。
    • TIGERSHARK NIC, PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーが非推奨になりました。
    • Emulex OneConnect 10Gb iSCSI イニシエーター (一般)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボードが非推奨になりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE, PCI ID 0x0704
    ファイバーチャネル (FC) デバイス
    • FIREFLY, PCI ID 0x1ae5
    • PROTEUS_VF, PCI ID 0xe100
    • BALIUS, PCI ID 0xe131
    • PROTEUS_PF, PCI ID 0xe180
    • RFLY, PCI ID 0xf095
    • PFLY, PCI ID 0xf098
    • LP101, PCI ID 0xf0a1
    • TFLY, PCI ID 0xf0a5
    • BSMB, PCI ID 0xf0d1
    • BMID, PCI ID 0xf0d5
    • ZSMB, PCI ID 0xf0e1
    • ZMID, PCI ID 0xf0e5
    • NEPTUNE, PCI ID 0xf0f5
    • NEPTUNE_SCSP, PCI ID 0xf0f6
    • NEPTUNE_DCSP, PCI ID 0xf0f7
    • FALCON, PCI ID 0xf180
    • SUPERFLY, PCI ID 0xf700
    • DRAGONFLY, PCI ID 0xf800
    • CENTAUR, PCI ID 0xf900
    • PEGASUS, PCI ID 0xf980
    • THOR, PCI ID 0xfa00
    • VIPER, PCI ID 0xfb00
    • LP10000S, PCI ID 0xfc00
    • LP11000S, PCI ID 0xfc10
    • LPE11000S, PCI ID 0xfc20
    • PROTEUS_S, PCI ID 0xfc50
    • HELIOS, PCI ID 0xfd00
    • HELIOS_SCSP, PCI ID 0xfd11
    • HELIOS_DCSP, PCI ID 0xfd12
    • ZEPHYR, PCI ID 0xfe00
    • HORNET, PCI ID 0xfe05
    • ZEPHYR_SCSP, PCI ID 0xfe11
    • ZEPHYR_DCSP, PCI ID 0xfe12
システムでハードウェアの PCI ID を確認するには、lspci -nn コマンドを実行します。
上述のドライバーのうち、ここに記載されていないその他のコントローラーには変更はありません。

libvirt-lxc ツールを使用したコンテナーが非推奨に

以下のlibvirt-lxcパッケージは、Red Hat Enterprise Linux 7.1 以降で非推奨になりました。
  • libvirt-daemon-driver-lxc
  • libvirt-daemon-lxc
  • libvirt-login-shell
Linux コンテナーフレームワークに関する今後の開発は、docker コマンドラインインターフェイスをベースにしています。libvirt-lxc ツールは今後の Red Hat Enterprise Linux リリース (Red Hat Enterprise Linux 7 を含む) からは削除される可能性があるため、カスタムなコンテナー管理アプリケーションを開発する際には依存しないようにしてください。
詳細は、Red Hat KnowledgeBase article を参照してください。

パート VI. 既知の問題

ここでは、Red Hat Enterprise Linux 7.3 の既知の問題を説明します。

第50章 全般的な更新

TAB キーは、デフォルトで $PWD を展開しません。

Red Hat Enterprise Linux 6 で CLI を使用する場合は、$PWD/ の拡張した TAB キーを現在のディレクトリーに押します。Red Hat Enterprise Linux 7 では、CLI の動作は同じではありません。$HOME/.bash_profile ファイルに以下の行を配置することで、この動作を実現できます。
if ((BASH_VERSINFO[0] >= 4)) && ((BASH_VERSINFO[1] >= 2)); then
    shopt -s direxpand
fi
(BZ#1185416)

gnome-getting-started-docs-* が Optional チャンネルに移動

Red Hat Enterprise Linux 7.3 より、gnome-getting-started-docs-* パッケージが Base チャンネルから Optional チャンネルに移動しました。そのため、これらのパッケージが以前にインストールされていると、以前のバージョンの Red Hat Enterprise Linux 7 からのアップグレードに失敗します。この問題を回避するには、Red Hat Enterprise Linux 7.3 にアップグレードする前に gnome-getting-started-docs-* をアンインストールします。(BZ#1350802)

remote-viewer SPICE クライアントが、新たにプラグインしたスマートカードリーダーを検出できない

Red Hat Enterprise Linux 7.3 の libcacard ライブラリーは、USB ホットプラグイベントの処理に失敗します。これにより、remote-viewer SPICE クライアントの実行中に、アプリケーションが接続時に USB スマートカードリーダーを検出できない場合があります。この問題を回避するには、リーダーからスマートカードを削除して、再度挿入します。(BZ#1249116)

第51章 認証および相互運用性

SSL 経由で CA からユーザー証明書をインポートする場合の問題

pki user-cert-add コマンドは、CA から直接ユーザー証明書をインポートするオプションを提供します。クライアントライブラリーの初期化が間違っているため、SSL ポートで コマンドを実行すると、コマンドが失敗し、以下のエラーメッセージが表示されます。
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated.
この問題を回避するには、pki cert-show コマンドを使用して CA からファイルに証明書をダウンロードします。次に、pki user-cert-add コマンドを使用して、ファイルから証明書をアップロードします。回避策として、ユーザー証明書が正しく追加されます。(BZ#1246635)

IdM Web UI は、Certificates テーブルの 1 つのページにすべての証明書を表示します。

Identity Management (IdM) Web UI の Authentication タブで利用可能な Certificates テーブルは、20 エントリーのページサイズ制限を無視します。20 を超える証明書が利用可能な場合、この表には、ページごとに 20 個の証明書のみを表示するのではなく、1 ページにすべての証明書が表示されます。(BZ#1358836)

ipa-kra-installipa-ca-install、または ipa-replica-installを使用する場合のセキュリティー警告

ipa-kra-install ユーティリティー、ipa-ca-install ユーティリティー、および ipa-replica-install ユーティリティーを使用して、追加の鍵回復機関(KRA)コンポーネント、認証局、またはレプリカをインストールすると、以下の警告が表示されます。
SecurityWarning: Certificate has no `subjectAltName`,
falling back to check for a `commonName` for now.
This feature is being removed by major browsers and deprecated by RFC 2818.
このエラーは、RFC 2818 が原因で発生します。これは、サブジェクト識別名(DN)コモンネーム(CN)フィールドにサブジェクトホスト名を取るプラクティスを非推奨にします。ただし、3 つのユーティリティーは成功します。したがって、警告メッセージは無視できます。(BZ#1358457)

pam_pkcs11 は 1 つのトークンのみをサポートします。

opensc および coolkey パッケージの PKCS#11 モジュールは、さまざまなタイプのスマートカードに対応します。ただし、pam_pkcs11 モジュールは、一度に 1 つだけサポートします。したがって、同じ設定を使用して PKCS#15 および CAC トークンを使用することはできません。この問題を回避するには、以下のいずれかをインストールします。
  • PKCS#15 および PIV サポート用の opensc パッケージ
  • CAC、Coolkey、および PIV サポートの coolkey パッケージ(BZ# 1367919)

Directory Server が LDAPS で設定されていない場合に、IdM レプリカで ipa-ca-install を使用すると失敗する

レプリカの Directory Server が LDAPS で設定されていない場合(ポート 636 で TLS プロトコルを使用して)Identity Management (IdM)レプリカに ipa-ca-install ユーティリティーを使用して認証局(CA)をインストールすると失敗します。以下のエラーで試行に失敗します。
[2/30]: configuring certificate server instance
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL Failed to configure CA
instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpsDHYbO' returned non-zero exit status 1
...
この状況でレプリカをインストールすることはできません。回避策として、以下のいずれかのオプションを選択します。
  • 代わりに、マスターサーバーに CA をインストールします。
  • ipa-ca-install を実行する前に、レプリカで LDAPS を手動で有効にします。
レプリカで LDAPS を手動で有効にするには、以下を実行します。
1./etc/httpd/alias ファイルからサーバー証明書をエクスポートします。
$ pk12util -d /etc/httpd/alias -k /etc/httpd/alias/pwdfile.txt -o temp.p12 -n 'ca1/replica'
ca1/replica を証明書のニックネームに置き換えます。
2.すでにインポートされているため、証明書からトラストチェーンを削除します。
a.秘密鍵を抽出します。
$ openssl pkcs12 -in temp.p12 -nocerts -nodes -out temp.key
b.公開鍵を抽出します。
$ openssl pkcs12 -in temp.p12 -nokeys -clcerts -out temp.pem
c.CA 証明書なしで PKCS#12 ファイルを作成します。
$ openssl pkcs12 -export -in temp.pem -inkey temp.key -out repl.p12 -name 'ca1/replica'
ca1/replica を証明書のニックネームに置き換えます。
3.作成した証明書を Directory Server の NSSDB データベースにインポートします。
$ pk12util -d /etc/dirsrv/slapd-EXAMPLE-COM -K '' -i repl.p12
4.一時証明書ファイルを削除します。
$ rm -f temp.p12 temp.key temp.pem repl.p12
5.以下の内容で /tmp/enable_ssl.ldif ファイルを作成します。
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: off
-
replace: nsSSLClientAuth
nsSSLClientAuth: allowed
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: default

dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
6.LDAP 設定を変更して SSL を有効にします。
$ ldapmodify -H "ldap://localhost" -D "cn=directory manager" -f /tmp/enable_ssl.ldif -w dm_password
dm_password を Directory Manager のパスワードに置き換えます。
7.以下の内容で /tmp/add_rsa.ldif ファイルを作成します。
dn: cn=RSA,cn=encryption,cn=config
changetype: add
objectclass: top
objectclass: nsEncryptionModule
cn: RSA
nsSSLPersonalitySSL: ca1/replica
nsSSLToken: internal (software)
nsSSLActivation: on
ca1/replica を証明書のニックネームに置き換えます。
8.LDAP にエントリーを追加します。
$ ldapadd -H "ldap://localhost" -D "cn=directory manager" -f /tmp/add_rsa.ldif -w dm_password
dm_password を Directory Manager のパスワードに置き換えます。
9.一時ファイルを削除します。
$ rm -f /tmp/enable_ssl.ldif /tmp/add_rsa.ldif
10.ディレクトリーサーバーを再起動します。
# systemctl restart dirsrv@EXAMPLE-COM.service
これらの手順を実行すると、LDAPS が有効になり、レプリカで ipa-ca-install を正常に実行できます。(BZ#1365858)

外部 CA を IdM にインストールした後に、サードパーティーの証明書信頼フラグがリセットされる

外部認証局(CA)を既存の Identity Management (IdM)ドメインにインストールするために使用される ipa-ca-install --external-ca コマンドは、ユーザーが外部 CA に送信する必要のある証明書署名要求(CSR)を生成します。
以前にインストールされたサードパーティー証明書を使用して CSR に署名すると、NSS データベースのサードパーティーの証明書信頼フラグがリセットされます。その結果、証明書は信頼済みとしてマークされなくなりました。さらに、mod_nss モジュールによって実行されるチェックが失敗し、httpd サービスが起動に失敗します。この場合、CA のインストールに失敗し、以下のメッセージが表示されます。
CA failed to start after 300 seconds
回避策として、このメッセージが表示された後に、サードパーティーの証明書フラグを以前の状態にリセットし、httpd を再起動します。たとえば、ca1 証明書に C,,, 信頼フラグがあるとします。
# certutil -d /etc/httpd/alias -n 'ca1' -M -t C,,
# systemctl restart httpd.service
これにより、システムが正しい状態に復元されます。(BZ#1318616)

realmd が AD からコンピューターアカウントの削除に失敗する

Red Hat Enterprise Linux は、Active Directory (AD)ドメインメンバーシップのデフォルトバックエンドとして Samba を使用します。この場合、realm join コマンドで --computer-name オプションを使用してコンピューター名を手動で設定すると、ドメインを離れると、アカウントを AD から削除できません。この問題を回避するには、--computer-name オプションを使用せず、代わりにコンピューター名を /etc/realmd.conf ファイルに追加します。以下に例を示します。
[domain.example.com]
computer-name = host_name
回避策として、ホストはドメインに正常に参加し、realm leave --remove コマンドを使用してドメインを離れると、アカウントが自動的に削除されます。(BZ#1370457)

SSSD が LDAP ツリーから autofs マッピングを管理できない

以前は、RFC2307 LDAP スキーマの使用時に、System Security Services Daemon (SSSD)が autofs マッピングに誤ったデフォルト値を実装していました。パッチが適用され、スキーマに一致するようにデフォルトが修正されました。ただし、以前使用されていたスキーマ SSSD でマッピングが含まれる LDAP サーバーへ接続するユーザーは、autofs 属性を読み込むことができません。影響を受けるユーザーは、/var/log/messages ログファイルに以下のエラーが報告されます。
Your configuration uses the autofs provider with schema set to rfc2307 and default attribute mappings. The default map has changed in this release, please make sure the configuration matches the server attributes.
この問題を回避するには、/etc/sssd/sssd.conf ファイルを変更し、既存の属性マッピングを使用するようにドメインを設定します。
[domain/EXAMPLE]
...
ldap_autofs_map_object_class   = automountMap
ldap_autofs_map_name           = ou
ldap_autofs_entry_object_class = automount
ldap_autofs_entry_key          = cn
ldap_autofs_entry_value        = automountInformation
これにより、SSSD は属性から autofs マッピングを読み込むことができます。(BZ#1372814)

pkispawn の依存関係一覧に opensslが含まれない

openssl パッケージがインストールされていない場合、pkispawn ユーティリティーを使用すると以下のエラーで失敗します。
Installation failed: [Errno 2] No such file or directory
この問題は、openssl パッケージが pki-core パッケージに含まれる pki-server パッケージのランタイム依存関係として含まれていないために発生します。回避策として、pkispawn を実行する前に openssl をインストールします。(BZ#1376488)

多数のユーザーを列挙すると、CPU の負荷が高く、他の操作が遅くなります。

etc/sssd/sssd.conf ファイルで enumerate=true を設定し、多数のユーザー(たとえば、30,000 ユーザー)が LDAP サーバーにある場合、パフォーマンスの問題が発生します。
  • sssd_be プロセスは、CPU リソースのほぼ 99% を消費します。
  • ローカルユーザーとしてログインしたりログアウトしたりするなどの特定の操作は、完了するまでに長い時間がかかる
  • sysdbldbsearch 操作を実行し、タイムスタンプ のキャッシュがインデックス化および完全な検索が失敗したことを示すエラーで失敗する
これらの問題は SSSD の以前のリリースでも発生したため、これは新しい既知の問題ではないことに注意してください。(BZ#888739, BZ#1379774)

GDM がスマートカードを使用した認証に失敗する

スマートカード認証を使用する場合、System Security Services Daemon (SSSD)の PAM レスポンダーは、ログイン名が Kerberos ユーザープリンシパル名(UPN)であるかどうかを確認しません。これにより、ユーザープリンシパル名(UPN)をログイン名として使用する場合、gdm-password のプラグ可能な認証モジュール(PAM)は、スマートカードの PIN プロンプトではなくパスワードプロンプトを表示します。その結果、GNOME ディスプレイマネージャー(GDM)へのスマートカードの認証に失敗します。(BZ#1389796)

大文字または混合のケースユーザー名を使用する場合、ipa passwd コマンドが失敗する

Identity Management (IdM) 4.4.0 では、すべてのコマンドでユーザープリンシパルの統合処理が導入されました。ただし、一部のコマンドは完全に変換されませんでした。その結果、ユーザー名で大文字または混合の大文字を使用すると、ipa passwd コマンドが失敗します。この問題を回避するには、ipa passwd コマンドを使用する場合は、ユーザー名の小文字のみを使用します。(BZ#1375133)

IdM Web UI が、失効した証明書のステータスを正しく認識しない

Identity Management (IdM)の Web UI は、現在、証明書が取り消されたかどうかを判断できません。これにより、以下のようになります。
  • ユーザー、サービス、またはホストの詳細ページから証明書を表示すると、Revoked 記号は表示されません。
  • Revoke アクションは、詳細ページで引き続き利用できます。すでに取り消された証明書を取り消すと、エラーダイアログが表示されます。
  • Remove Hold ボタンは、証明書の保留(失効理由 6)により証明書が取り消された場合でも常に無効になります。(BZ#1371479)

SSSD は、小文字で AD の sudoUser 属性の値のみを適用します。

以前は、System Security Services Daemon (SSSD)が Active Directory (AD)から sudo ルールを取得すると、sudoUser 属性は、ルールが割り当てられたユーザーの samAccountName 属性の正確なケースに一致する必要がありました。Red Hat Enterprise Linux 7.3 のリグレッションにより、sudoUser 属性は小文字の値にのみ一致するようになりました。この問題を回避するには、sudoUser 属性値の名前を小文字に変更します。回避策として、sudo ルールが正しく適用されます。(BZ#1380436)

ipa-client パッケージおよび ipa-admintools パッケージの更新に失敗する可能性がある

Red Hat Enterprise Linux 7.2 から Red Hat Enterprise Linux 7.3 へのアップグレード中に、ipa-client パッケージおよび ipa-admintools パッケージの更新が失敗する可能性があります。この問題を回避するには、Red Hat Enterprise Linux 7.3 にアップグレードする前に ipa-client および ipa-admintools をアンインストールしてから、このパッケージの新しいバージョンをインストールします。(BZ#1390565)

SSSD をアップグレードすると sssd プロセスが終了することがある

sssd プロセスが予期せず長期間アクションを実行すると、内部ウォッチドッグプロセスが終了します。ただし、sssd プロセスは再開しません。この問題は、SSSD データベースに多数のエントリーが含まれている場合に、通常、低速なシステムで SSSD をアップグレードしようとすると発生します。
この問題を回避するには、以下を実行します。
1.中央認証サーバーが利用可能であることを確認します。これにより、次の手順で SSSD キャッシュを削除した後にユーザーを認証できるようになります。
2.アップグレードする前に、sss_cache ユーティリティーを使用して SSSD キャッシュを削除します。
この既知の問題の修正は、次の更新で利用できます。(BZ#1392441)

bind-dyndb-ldap スキーマエラーが原因で Directory Server が失敗する

Identity Management に含まれる bind-dyndb-ldap LDAP スキーマのバージョンには構文エラーが含まれ、1 つの属性の説明がありません。ユーザーがこのバージョンのスキーマを使用する場合、Directory Server コンポーネントは起動に失敗します。その結果、エラーメッセージがジャーナルに記録され、間違った構文についてユーザーに通知します。
この問題を回避するには、以下を実行します。
  1. アップストリームの git.fedorahosted.org リポジトリーから修正されたスキーマファイルを取得します。
    # wget https://git.fedorahosted.org/cgit/bind-dyndb-ldap.git/plain/doc/schema.ldif?id=17711141882aca3847a5daba2292bcbcc471ec63 -O /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif
  2. 修正されたスキーマファイルを Directory Server のインスタンス設定フォルダーにコピーします。
    # cp /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif /etc/dirsrv/slapd-[EXAMPLE-COM]/schema/[SCHEMA_FILE_NAME].ldif
  3. Directory Server を再起動します。
    # systemctl restart dirsrv.target
(BZ#1413805)

第52章 コンパイラーおよびツール

OProfile ユーティリティーは、デフォルトでカーネルコードでパフォーマンスデータを収集できません。

Red Hat Enterprise Linux 7.3 のカーネルは、デフォルト値の /proc/sys/kernel/perf_event_paranoid1 から 2 に変更します。したがって、カーネル内のコードのパフォーマンスイベントデータの収集には、root 権限が必要になります。通常ユーザーとして occount または operf ユーティリティーを実行すると、デフォルトの perf_event_paranoid 設定が原因で、カーネルとユーザーコードとパフォーマンスイベントの設定の両方のデータを収集しようとします。
この問題を回避するには、/proc/sys/kernel/perf_event_paranoid の値を 1 に変更します。これを実行できない場合は、ophelp -d コマンドを実行してマシンで使用されるデフォルトのイベントを決定し、イベントの最後を : 1:1 から :0: 1 に変更して、カーネルスペース内のデータ収集を無効にします。以下に例を示します。
$ operf -e CPU_CLK_UNHALTED:100000:0:0:1 true
その結果、/proc/sys/kernel/perf_event_paranoid を変更するか、通常のユーザーのカーネルイベントの監視を明示的に無効にすることで、データの収集が可能になるため、この問題を回避できます。(BZ#1349077)

pesign キーデータベースでは、アクセスパーミッション制御を改善するために、パーミッションを手動で変更する必要があります。

UEFI バイナリーの署名に使用される pesign キーデータベースは、データベースアクセスパーミッションを設定するより一般的な方法を提供します。システム全体の鍵データベースを使用してパーミッションを設定できるようになりました。つまり、すべてのユーザーまたはグループにアクセスを付与できるようになりました。
ただし、現在、pesign のパーミッション設定における既知の問題により、前述の新機能が機能しなくなります。アクセス制御を改善するには、パーミッションを pesign に手動で変更する必要があります。
chmod 0660 /etc/pki/pesign/*
chmod 0770 /etc/pki/pesign
これらのパーミッションを設定すると、改善されたアクセス制御が利用可能になります。これらの手順を実行しないと、pesign の動作は以前のリリースと同じです。(BZ#1141263)

第53章 デスクトップ

ラップトップのノートパッドを閉じると、GNOME のマルチディスプレイの設定が破損します。

1 つ以上の外部ディスプレイに接続されている GNOME グラフィカル環境でラップトップを使用する場合は、ノートパッドを閉じてラップトップを中断すると、ディスプレイ間でウィンドウとアイコンが移動し、システムが再開したときにディスプレイレイアウトがリセットされることがあります。この問題を回避するには、GNOME Displays インターフェイスを開きます。これにより、表示設定が再読み込みされます。(BZ#1360906)

Xorg でのビジュアルの限定的なサポート

Xorg サーバーでは、ハードウェアドライバーで、深度 16 以降の TrueColor および DirectColor のビジュアルのみがサポートされています。PseudoColor ビジュアルを必要とするレガシーアプリケーションは、Xephyr ネスト X サーバーに対して実行できます。これにより、TrueColor 画面に表示されたときに PseudoColor 変換を実装します。(BZ#1185690)

第54章 ファイルシステム

デフォルトのオプション指定は、/etc/exportsのホスト固有のオプションによって上書きされません。

/etc/exports ファイルのデフォルトのオプションセクションで sec=sys を使用すると、以下のオプションの一覧が正しく解析されません。そのため、ホスト固有のオプションでデフォルトのオプションをオーバーライドできません。(BZ#1359042)

第55章 ハードウェアの有効化

DDF ベースの RAID に依存するプラットフォームはサポートされません

ディスクデータフォーマット(DDF)ベースの BIOS RAID は、現在 Red Hat Enterprise Linux ではサポートされていません。これには、メガ ープロプライエタリードライバーを必要とする LSI BIOS を使用するシステムが含まれます。
ただし、ServeRAID アダプターを使用する IBM z Systems サーバーなどの特定のシステムでは、BIOS で RAID を無効にすることができます。これを行うには、UEFI メニューを入力し、System Settings および Devices および I/O Ports メニューを Configure the onboard SCU サブメニューに移動します。次に、SCU 設定を RAID から nonRAID に変更します。変更を保存し、システムを再起動します。このモードでは、ストレージは、mptsasmpt2sasmpt3sas など、Red Hat Enterprise Linux で利用可能なオープンソースの RAID 以外の LSI ドライバーを使用して設定されます。
IBM システムの メガストドライバーを 取得するには、IBM サポートページを参照してください。
この制限は、megaraid ドライバーを使用する LSI アダプターには適用されません。このようなアダプターはファームウェアに RAID 機能を実装するためです。(BZ#1067292)

第56章 インストールおよび起動

Dell Latitude E6430 ラップトップが予期せずシャットダウンする

Nvidia グラフィックカードで Dell Latitude E6430 ラップトップを起動し、システムが Nvidia GPU の使用を試みるとすぐに BIOS で Nvidia Optimus が有効になっている場合、システムがシャットダウンします。BIOS は、次回の起動時に システムのボードトリップ エラーを誤って表示します。この問題を回避するには、起動時に nouveau.runpm=0 パラメーターを使用します。ただし、nouveau.runpm=0 を使用すると電力消費が増加する可能性があることに注意してください。(BZ#1349827)

/boot パーティションのサイズが十分にないと、システムがアップグレードできなくなることがあります。

インストール済みのカーネルと初期 RAM ディスクを含む /boot パーティションは、複数のカーネルや、kernel-debug などの追加パッケージがインストールされた場合に満杯になる可能性があります。これは、インストール時にこのパーティションのデフォルトサイズが 500 MB に設定され、システムがアップグレードされないようにします。
回避策として、古いカーネルが必要ない場合は、yum を使用して古いカーネルを削除します。
この既知の問題は、Red Hat Enterprise Linux 7.2 以前で行われたインストールにのみ影響します。Red Hat Enterprise Linux 7.3 では、/boot パーティションのデフォルトサイズが 1 GB に増え、今後のアップグレードでこの問題を回避します。(BZ#1270883)

Anaconda キックスタートは、短すぎるパスワードを受け入れます。

キックスタートファイルを使用して Red Hat Enterprise Linux 7 をインストールする場合、Anaconda インストーラーは、パスワードが十分に強力であれば、--minlen キックスタートオプションで定義された最小長よりも短いパスワードをすぐに受け入れます(デフォルトでは 50 以上)。(BZ#1383718, BZ#1356975)

キックスタートインストールでは、SCAP パスワードの長さの要件は無視されます。

対話型キックスタートインストールは、SCAP ルールで定義されたパスワードの長さのチェックを強制せず、より短い root パスワードを受け入れます。この問題を回避するには、キックスタートファイルの pwpolicy root コマンドで --strict オプションを使用します。(BZ#1372791)

静的 IP アドレスを持つ iSCSI のインストール後にネームサーバーが /etc/resolv.conf に含まれていない

静的 IP アドレスを持つインターフェイスから iSCSI ターゲットの root ファイルシステムに接続する場合、ネームサーバーはインストール済みシステムに設定されません。この問題を回避するには、インストール済みシステムのブートローダー設定に nameserver=<IP > カーネルオプションを追加します。(BZ#1363831)

EAV DASD にインストールする場合、標準のパーティションレシピ に基づいてパーティションスキームを生成することはできません。

十分な大きさの Common Disk Layout (CDL) Direct Access Storage Device (DASD) (拡張アドレスボリューム(EAV)など)にインストールすると、/、swap、および /boot に加えて、インストーラーに / home パーティションの作成を求めるプロンプトが出されます。CDL DASD には 3 つのパーティションしかないため、エラーが発生します。この問題を回避するには、ディスクレイアウトを手動で作成します。複数の論理ボリューム(LV)で LVM を使用することもできますが、/boot は個別の標準パーティションにのみ存在する必要があります。(BZ#1370173)

Anaconda ではパスワードなしでユーザーを作成できない

現在、対話型インストール中に Anaconda GUI で このアカウントオプションを使用するためのパスワードを必要 とするパスワードの選択を解除することはできません。そのため、パスワードを持たないユーザーアカウントを作成することはできません。この問題を回避するには、pwpolicy ユーザー 行で --emptyok オプションを指定してキックスタートファイルのインストールを使用します。(BZ#1380277)

Anaconda キックスタートのインストールで --changesok オプションが考慮されない

現在、キックスタートファイルから Red Hat Enterprise Linux 7 をインストールする際に --changesok オプションを指定しても、Anaconda インストーラーは root パスワードを正しく変更できません。(BZ#1356966)

ハードディスクドライブの ISO ファイルは Anaconda TUI でマウントできない

ハードディスクドライブの ISO ファイルは、Anaconda Terminal User Interface (TUI)でマウントできません。そのため、インストールソースとしてハードディスクの ISO ファイルを使用することはできません。ISO ファイルからハードディスクの ISO ファイルからインストールしようとすると、No mountable devices found エラーが表示されます。
コマンドラインで inst.repo=hd:/dev/<hard disk>:/ パラメーター を使用することができますが、インストーラーでネットワーク設定を変更することはできません。その結果、インストールソースはリセットされ、ISO ファイルに再度アクセスすることはできなくなります。(BZ#1369818)

IBM z Systems の SSH を介してグラフィカルインターフェイスで初期設定が開かない

SSH を使用して IBM z Systems マシンに接続する場合、X 転送が有効になっている場合でも、Red Hat Enterprise Linux 7 インストールがテキストバージョンで開かれた後の初期セットアップインターフェイス。(BZ#1378082)

UEFI および IPv6 を使用した PXE ブートは、オペレーティングシステムの選択メニューではなく、grub2 シェルを表示します。

UEFI および IPv6 で設定されたクライアントで Pre-Boot Execution Environment (PXE) が起動すると、/boot/grub/grub.cfg ファイルで設定したブートメニューが、代わりに表示されません。クライアントは予想される DHCPv6 サブネットから IPv6 アドレスを取得し、PXE サーバーから .../grubx64.efi netboot イメージをダウンロードします。タイムアウトになると、設定したオペレーティングシステム選択メニューの代わりに、GRUB2 シェルが表示されます。(BZ#1154226)

HTTPS キックスタートソースからインストールする場合、FIPS モードはサポートされない

インストールイメージは、HTTPS キックスタートソースを使用したインストール中の FIPS モードをサポートしていません。そのため、現在、コマンドラインに追加された fips =1 および inst.ks=https://<location>/ks.cfg オプションを使用してシステムをインストールすることはできません。(BZ#1341280)

位置情報サービスが有効な場合にインストールに必要な追加の時間

インターネットアクセスが制限されているか、またはインターネットアクセスのない Red Hat Enterprise Linux 7.3 をインストールする場合、インストーラーは Installation Summary 画面で数分間一時停止し、Security Policy セクションは Not ready になります。その結果、これにより、インストールが次のステップに進む前に追加の時間が追加されます。
この問題を回避するには、inst.geoloc=0 オプションを起動コマンドラインに追加して、位置情報サービスを無効にします。(BZ#1380224)

第57章 カーネル

カーネルの更新後にアプリケーションのパフォーマンスが低下します。

以前は、CONFIG_RCU_NOCB_CPU_ALL カーネル設定オプションが RHEL 7 カーネル用に設定されていました。RHEL 7.3 以降では、CONFIG_RCU_NOCB_CPU_ALL は設定されなくなりました。したがって、割り込み要求(IRQ)が特定の CPU にピニングされる環境では、バージョン 3.10.0-327 から 3.10.0-693 または 3.10.0-693 へのカーネルの更新後にアプリケーションのパフォーマンスが低下します。この問題を回避するには、利用可能なすべての CPU コアに対して、システムの起動時に rcu_nocbs カーネルコマンドラインパラメーターを設定します。その結果、回避策により、ビルド時に CONFIG_RCU_NOCB_CPU_ALL が設定されたのと同じ動作が生成されます。
詳細は、以下のソリューション記事 Increased softirq usage in RHEL 7.3 and RHEL 7.4 Kernel を参照してください。(BZ#1551632)

SCTP パフォーマンスの改善および転送率の改善

SCTP (Stream Control Transmission Protocol)実装は、大量の CPU リソースを消費することが知られています。そのため、CPU リソースが不十分なと、1 つの関連付けで 10Gbps などの高転送レートに到達できなくなります。今回の更新で、特定の SCTP 処理での CPU 使用率を減らす改善が行われ、SCTP のパフォーマンスが向上し、状況によっては転送速度が向上します。
今回の更新で、SCTP が 10Gbps の転送速度を実現できるようになりました。(BZ#1058148)

トランスポートまたは関連付けを検索するとカーネルパニックが発生する可能性があります。

使用後解放のバグにより、カーネルの SCTP (Stream Control transmission Protocol)の実装では、使用中のトランスポートパスへのポインターが保持されません。これにより、別の CPU はポインターを解放し、利用できないメモリーにアクセスし、カーネルパニックが発生する可能性があります。Work to address this issue is being tracked in https://bugzilla.redhat.com/show_bug.cgi?id=1368884.(BZ#1368884)

dracut は、存在しない /etc/hba.confに関する無害なエラーメッセージを表示します。

dracut がファイバーチャネルオーバーイーサネット(FCoE)サポートを備えた初期 RAM ファイルシステム(initramfs)を作成すると、/etc/hba.conf ファイルが存在しない場合に、dracut にエラーメッセージが表示されます。このメッセージは無視しても問題ありません。(BZ#1373129)

kdump がレガシー Type 12 永続メモリーでは機能しません。

レガシータイプ 12 の Non-Volatile Dual In-line Memory Modules (NVDIMMs) (実際のデュアルインラインメモリーモジュール(DIMM)、または _memmap=XG!YG カーネルコマンドラインパラメーターを使用してエミュレート)を持つシステムは、カーネルクラッシュダンプを正常にキャプチャーできません。実際の NVDIMM を使用するシステムでは、カーネルクラッシュダンプをキャプチャーしようとするとデータが破損することがあります。このようなシステムで kdump 機能を無効にすることで、この問題を回避できます。(BZ#1351098)

megaraid_sas の更新により、パフォーマンスが低下する可能性があります。

megaraid_sas ドライバーがバージョン 06.811.02.00-rh1 に更新され、以前のバージョンに比べて多くのパフォーマンスが向上しました。ただし、ソリッドステートドライブ(SSD)に基づく設定を使用すると、パフォーマンスが低下します。この問題を回避するには、/sys/ ディレクトリーの対応する queue_depth パラメーターを最大 256 の値に設定します。これにより、パフォーマンスが元のレベルに戻ります。(BZ#1367444)

xgene-enet が、空きメモリーが少ない状況を処理しない

xgene_enet ドライバーは現在、メモリー不足エラーを適切に処理しません。このようなエラーが発生すると、ドライバーは予期せず終了し、カーネルコマンドラインおよび dmesg ログにカーネルバックトレースを返すことがあります。したがって、システムはネットワーク経由で通信できなくなるため、再起動する必要があります。(BZ#1248185)

bnx2xで特定の NIC ファームウェアが応答しなくなる可能性がある

起動前ドライバーのアンロードシーケンスのバグにより、bnx2x ドライバーがデバイスを通過すると、一部のインターネットアダプターのファームウェアが応答しなくなることがあります。bnx2x ドライバーは問題を検出し、カーネルログの storm 統計が 3 回更新されなかった メッセージを返します。この問題を回避するには、ハードウェアベンダーが提供する最新の NIC ファームウェア更新を適用します。その結果、ブート前のファームウェアのアンロードが期待どおりに機能し、bnx2x がデバイスを通過した後にファームウェアがハングしなくなりました。(BZ#1315400)

FCoE サーバーのデフォルト設定を変更して、kdump メカニズムの正しい機能に到達します。

FCoE (Fibre Channel over Ethernet)サーバーのディスクはマルチパスストレージシステムを使用します。これにより、ディスクは別のインターフェイスからシステムに接続できます。複数の論理ディスクがシステムに存在しますが、これらは 1 つの実際のディスクにのみマッピングされます。したがって、デフォルト設定では、FCoE サーバーを kdump カーネルで起動できません。kdump メカニズムの正しい機能にアクセスするには、FCoE ディスクの Universally Unique Identifier (UUID)を指定することが推奨されます。また、ディスクをより効率的に管理できるように、multipath オプションを有効にすることが推奨されます。(BZ#1293520)

iSCSI コネクションが I/O エラーを生成する

Red Hat Enterprise Linux 7.3 では、SCSI ディスクの I/O 要求の上限が最大 512Kib になりました。これにより、Red Hat Enterprise Linux 7.3 で実行しているゲストが fileio バックストアを使用するように設定された iSCSI ターゲットに接続し、古いバージョンの Red Hat Enterprise Linux で実行すると、一部の警告メッセージがログに表示され、パフォーマンスにも悪影響を及ぼします。この問題を回避するには、システムに udev ルールをインストールして、I/O 要求サイズを最大 4096Kib に制限します。fileio バックストアの問題は、iSCSI ターゲットを Red Hat Enterprise Linux 7.3 にアップグレードすることで修正できます。(BZ#1387858)

ディスプレイポートケーブルがプラグインされると MST が応答しなくなる

以前は、ディスプレイポートケーブルがプラグインされると、DEll MST が応答しなくなりました。これは、I2C デバイスの読み取りおよび書き込みを実装する dp-aux メッセージシーケンスが中断されたためです。今回の更新で、関連のない MST 設定メッセージにより、I2C-over-dp-aux シーケンスが中断されなくなりました。その結果、上記のシナリオで MST が応答しなくなることはなくなりました。(BZ#1274157)

IBM Power Systems では、fadump が以前使用され、いずれもネットワークターゲットを使用すると kdump が失敗します。

同じシステムがファームウェア支援ダンプ(fadump)を使用するように設定されていた場合、kdump カーネルクラッシュダンプメカニズムは、ダンプをネットワーク上の場所に保存せず、ダンプをリモートで保存します。これは、メカニズムが kdump に戻ったときに、 kdump - 接頭辞が設定済みのネットワークインターフェイスに追加されますが、fadump を設定すると以前に同じ接頭辞がすでに追加されているためです。作成されるインターフェイス名は kdump-kdump-eth0 になり、最終的な 0 は切り捨てられます。これにより、無効なインターフェイス名 kdump-kdump-eth が生成され、kdump がインターフェイスにアクセスして、リモートのターゲットにクラッシュダンプを保存します。
この問題を回避するには、以下を実行します。
1.現在の /boot/initramfs-$kver.img initrd を /boot /initramfs-$kver.img.default ファイルに置き換えます。
2.touch /etc/kdump.conf コマンドを実行して、再起動後に kdump initrd を強制的に再構築します。
3.システムを再起動します。(BZ#1372464)

第58章 ネットワーク

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、/usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーに wpa_supplicant.service ファイルをコピーして、ファイルの Service セクションに次の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に、root で systemctl daemon-reload コマンドを実行して、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低く、Red Hat では使用を推奨していないことに注意してください。(BZ#1062656)

第59章 セキュリティー

scap-security-guide サンプルキックスタートファイルの Red Hat Enterprise Linux 6 向けキックスタートファイルの使用は推奨されません。

Red Hat Enterprise Linux 6 のサンプルキックスタートファイルは、Red Hat Enterprise Linux 7 の scap-security-guide パッケージに含まれています。アップストリームリポジトリーから直接最新バージョンの scap-security-guide パッケージをインストールします。つまり、このバージョンは Red Hat Quality Engineering チームによってチェックされていません。この問題を回避するには、現在の Red Hat Enterprise Linux 6 リリースに含まれる scap-security-guide パッケージの修正済み Red Hat Enterprise Linux 6 のサンプルキックスタートファイルを使用するか、キックスタートファイルの %post セクションを手動で変更します。Red Hat Enterprise Linux 7 のサンプルキックスタートファイルは、この問題の影響を受けません。(BZ#1378489)

openscap パッケージは、依存関係として atomic をインストールしない

OpenSCAP スイートは、標準の SCAP (Security Content Automation Protocol)行の統合を可能にします。現在のバージョンは、atomic scan コマンドおよび oscap-docker コマンドを使用してコンテナーをスキャンする機能を追加します。ただし、openscap パッケージ、openscap-utils パッケージ、および openscap-scanner パッケージのみをインストールすると、atomic パッケージはデフォルトでインストールされません。その結果、コンテナースキャンコマンドが失敗し、エラーメッセージが表示されます。この問題を回避するには、root で yum install atomic コマンドを実行して、atomic パッケージをインストールします。(BZ#1356547)

CIL には個別のモジュールステートメントがありません

新しい SELinux ユーザー空間は、モジュールストアで SELinux Common Intermediate Language (CIL)を使用します。CIL はファイルをモジュールとして扱い、個別のモジュールステートメントを持たないため、モジュールにはファイル名の後に名前が付けられます。これにより、ポリシーモジュールがベースファイル名と同じ名前を持ち、semodule -l コマンドでモジュールのバージョンが表示されない場合に混乱が生じる可能性があります。また、semodule -l は無効なモジュールを表示しません。この問題を回避するには、semodule --l=full コマンドを使用して、すべてのモジュールを一覧表示します。(BZ#1345825)

第60章 サーバーおよびサービス

ReaR は 1 つの ISO イメージの代わりに 2 つの ISO イメージを作成する

ReaR では、OUTPUT_URL ディレクティブにより、レスキューシステムを含む ISO イメージの場所を指定できます。現在、このディレクティブを設定すると、ReaR は ISO イメージの 2 つのコピー(指定されたディレクトリー内に 1 つと /var/lib/rear/output/ デフォルトディレクトリーに 1 つ)を作成します。これには、イメージ用に追加の領域が必要です。これは、完全システムバックアップが ISO イメージに含まれている場合に特に重要になります( BACKUP=NETFS および BACKUP_URL=iso:///backup/ 設定を使用)。
この動作を回避するには、ReaR が機能したら追加の ISO イメージを削除するか、またはストレージが二重消費する期間を回避するために、デフォルトディレクトリーにイメージを作成し、これを必要な場所に手動で移動します。
この動作を変更し、ReaR が ISO イメージの 1 つのコピーのみを作成する機能拡張リクエストがあります。(BZ#1320552)

dovecotfirst_valid_uid のデフォルト値が変更されました。

Red Hat Enterprise Linux 7 では、dovecotfirst_valid_uid のデフォルト設定が、/etc/login.defs ファイルで UID_MIN として指定されたシステム全体の設定と一致するように 1000 に変更されました。システムの UID_MIN が手動で 500 に変更され、dovecot のデフォルト値に依存している場合、dovecotfirst_valid_uid よりも小さい ID を持つユーザーを提供しません。そのため、id が 1000 未満の通常のユーザーがある場合は、first_valid_uid を更新する必要があります。これを行うと、dovecot は期待どおりに機能します。(BZ#1280433)

第61章 ストレージ

クラスター内の RAID 上でのシンプロビジョニングはサポートされていません

RAID 論理ボリュームとシンプロビジョニングされた論理ボリュームは、排他的にアクティブ化されたときにクラスターで使用できますが、現在、クラスター内の RAID の上にシンプロビジョニングすることはサポートされていません。組み合わせが排他的にアクティブになっている場合でも、これが当てはまります。現在、この組み合わせは、LVM のシングルマシンの非クラスターモードでのみサポートされています。(BZ#1014758)

mirror セグメントタイプが使用される場合の lvmetad デーモンでの相互作用の問題。

レガシーの mirror セグメントタイプを使用して 3 つ以上のレッグでミラー化論理ボリュームを作成すると、lvmetad デーモンに相互作用の問題が発生する可能性があります。確認される問題は、2 番目のデバイス障害、ミラー障害ポリシーがデフォルト以外の allocate オプションに設定されている場合、lvmetad が使用され、デバイス障害イベントの間にマシンの再起動がない場合にのみ発生します。最も単純な回避策は、lvm.conf ファイルに use_ lvmetad = 0 を設定して lvmetad を無効にすることです。
この問題は、Red Hat Enterprise Linux 7 のデフォルトタイプである raid1 セグメントタイプでは発生しません。(BZ#1380521)

RAID4 および RAID10 論理ボリュームがあるシステムでの Red Hat Enterprise Linux 7.3 アップグレードにおける重要な制限

RAID4 および RAID10 の論理ボリュームがあるシステムの Red Hat Enterprise Linux 7.3 のアップグレードには、以下の重要な制限が適用されます。
  • 論理ボリュームのアクティブ化に失敗するため、既存の LVM RAID4 または RAID10 論理ボリュームを持つシステムは Red Hat Enterprise Linux 7.3 にアップグレードしないでください。その他のタイプはすべて影響を受けません。
  • 既存の RAID4 または RAID10 論理ボリュームがなく、アップグレードした場合は、新しい RAID4 論理ボリュームを作成しないでください。これは、後のリリースおよび更新でアクティブ化できない場合があります。Red Hat Enterprise Linux 7.3 では、RAID10 論理ボリュームを安全に作成できます。
  • z-stream の修正は、既存の RAID4 および RAID10 論理ボリュームのアクティブ化と、Red Hat Enterprise Linux 7.3 で新しい RAID4 論理ボリュームの作成を可能にします。(BZ#1385149)

iSCSI ターゲットへの作業ネットワークパスがない場合にシステムが応答しなくなることがある

iSCSI ターゲットを使用する場合は、zfcp 接続の SCSI 論理ユニット番号(LUN)に必要なため、イニシエーターからターゲットへの継続的なマルチパスが必要です。swap が iSCSI にあり、ネットワークパスでエラーが発生すると、システムがメモリー不足の状態にある場合、システムはエラー回復に追加のメモリーが必要になります。その結果、システムが応答しなくなる可能性があります。この問題を回避するには、iSCSI ターゲットへの少なくとも 1 つの作業ネットワークパスを用意して、スワップからメモリーを取得できるようにします。(BZ#1389245)

lvextend コマンドから返された終了コードが変更されました

以前は、lvextend コマンドまたは lvresize コマンドを実行すると、論理ボリュームのサイズが変更されず、ファイルシステムのサイズ変更が試行されていました。ファイルシステムのサイズ変更を不要な試行しなくなり、コマンドの終了コードが変更になりました。LVM は、ゼロ(成功)およびゼロ以外の(失敗)を超える終了コードの一貫性を保証しません。(BZ#1354396)

第62章 仮想化

特定のゲストを Red Hat Enterprise Linux 7.2 から 7.3 ホストに移行できない

今回の更新以前は、明示的に指定された モデル 値を持たない USB コントローラーの PCI アドレスは、IBM Power ゲスト仮想マシンで無視されていました。このバグは修正され、USB コントローラーの異なる PCI アドレスが原因で、Red Hat Enterprise Linux 7.2 ホストから Red Hat Enterprise Linux 7.3 ホストへの USB コントローラーを使用するゲストのライブマイグレーションを行うことができません。
この問題を回避するには、以下のように、ゲスト XML ファイルを編集し、pci-ohci 値を持つ モデル 属性を USB <controller> 要素に追加します。
<controller type='usb' model='pci-ohci' index='0'>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
</controller>
その後、ゲストをシャットダウンして再度起動し、変更を適用します。その結果、ゲストは Red Hat Enterprise Linux 7.2 から 7.3 に移行できます。(BZ#1357468)

numad による QEMU メモリーバインディングの変更

現在、numad デーモンは、numad セットとメモリーバインディングがプロセスのメモリーマッピングによって明示的に設定されているメモリーバインディングを区別できません。これにより、QEMU コマンドラインで NUMA メモリーポリシーが指定されている場合でも、numad は QEMU メモリーバインディングを変更します。この問題を回避するには、ゲストに手動で NUMA バインディングが指定されている場合は、numad を無効にします。これにより、仮想マシンに設定された手動バインディングが numad によって変更されなくなります。(BZ#1360584)

QEMU プロセスのメモリー使用量は、マップされた hugetlbfs ページなしで表示されます。

マップされた hugetlbfs ページは、プロセスのメモリー使用量を計算する際にカーネルが考慮されません。これにより、top および ps などのコマンドは、仮想マシンが Huge Page を使用するように設定されている場合に、マップされた hugetlbfs ページのない QEMU プロセスのメモリー使用量を表示します。(BZ#1221443)

バージョン 2.6.0 未満の qemu-kvm が 2.88 MB のフロッピーディスクをロードできない

バージョン 2.6.0 以下の qemu-kvm パッケージを使用する場合は、ゲストを起動してから挿入されると、KVM ゲストは 2.88 MB のフロッピーディスクを読み込むことができません。この問題を回避するには、ゲストを起動する前にフロッピーディスクを挿入するか、qemu-kvm バージョン 2.6.0 以降を使用します。(BZ#1209707)

第63章 Atomic Host とコンテナー

SELinux により Docker がコンテナーを実行できなくなります。

/usr/bin/docker-current バイナリーファイルのラベルがないため、Docker は SELinux によってコンテナーを実行できなくなります。(BZ#1358819)

付録A コンポーネントのバージョン

この付録は、Red Hat Enterprise Linux 7.3 リリースのコンポーネントとそのバージョンの一覧です。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
カーネル
3.10.0-514
QLogic qla2xxx ドライバー
8.07.00.33.07.3-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.1.0.2
iSCSI イニシエーター utils
iscsi-initiator-utils-6.2.0.873-35
DM Multipath
device-mapper-multipath-0.4.9-99
LVM
lvm2-2.02.166-1

付録B コンポーネント別の Bugzillas の一覧

この付録では、本書に含まれるすべてのコンポーネントと関連する Bugzilla の一覧を説明します。公開されている Bugzilla 番号には、Bugzilla の詳細へのリンクが含まれています。

表B.1 コンポーネント別の Bugzillas の一覧

コンポーネント新機能主なバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1018944, BZ#1209094, BZ#1209128, BZ#1273549, BZ#1290111, BZ#1349571BZ#1186512, BZ#1273555, BZ#1278567, BZ#1278755, BZ#1278987, BZ#1288229, BZ#1290242, BZ#1290600, BZ#1295947, BZ#1302823, BZ#1303641, BZ#1304682, BZ#1307151, BZ#1310848, BZ#1314557, BZ#1315893, BZ#1316580, BZ#1320715, BZ#1321124, BZ#1331343, BZ#1332709, BZ#1340307, BZ#1342609, BZ#1355760, BZ#1360447, BZ#1370300BZ#1206301 
MySQL-pythonBZ#1266849   
NetworkManagerBZ#1142898, BZ#1259063, BZ#1262922, BZ#1367916BZ#1255507  
TPS   BZ#1274096, BZ#1379379
WALinuxAgentBZ#1387783   
abrtBZ#1277848, BZ#1277849, BZ#1281312   
accountsservice BZ#1341276  
adwaita-qtBZ#1306307   
anacondaBZ#1101653, BZ#1240379, BZ#1254368BZ#1255280, BZ#1255801, BZ#1259437, BZ#1265330, BZ#1266199, BZ#1267203, BZ#1267872, BZ#1268792, BZ#1269195, BZ#1271766 BZ#1356966, BZ#1363831, BZ#1369818, BZ#1370173, BZ#1380224, BZ#1380277, BZ#1383718
anaconda-user-help BZ#1260071, BZ#1275285  
arpwatchBZ#1291722   
auditBZ#1127343, BZ#1296204   
bash   BZ#1185416
bindBZ#1220594, BZ#1306610BZ#1278082, BZ#1294506  
bind-dyndb-ldap   BZ#1413805
binutilsBZ#1276755, BZ#1335313, BZ#1335684, BZ#1341730, BZ#1364516BZ#1243559, BZ#1300543  
booth  BZ#1302087 
brltty BZ#1324672  
certmonger BZ#1367683  
chkconfigBZ#1291340   
cifs-utils BZ#1289454, BZ#1351618  
clufter  BZ#1212909, BZ#1343661 
control-center BZ#1298951, BZ#1298952  
coreutilsBZ#1280357BZ#1284906, BZ#1309247, BZ#1321648  
corosync BZ#1289169, BZ#1306349, BZ#1336462  
cpuidBZ#1307043   
crashBZ#1292566   
crash-ptdump-commandBZ#1298172   
criu  BZ#1296578 
cups BZ#1302055  
curlBZ#1263318BZ#1260178, BZ#1269855, BZ#1275769  
custodiaBZ#1206288   
dbus BZ#1325870  
device-mapper-multipathBZ#1297456, BZ#1299651, BZ#1299652, BZ#1300415, BZ#1311659, BZ#1333331, BZ#1341748, BZ#1348372, BZ#1353357BZ#1241528, BZ#1241774, BZ#1253913, BZ#1255885, BZ#1269293, BZ#1272620, BZ#1280524, BZ#1283750, BZ#1288660, BZ#1291406, BZ#1292599, BZ#1296979, BZ#1299600, BZ#1299648, BZ#1304687, BZ#1311463, BZ#1313324, BZ#1319853, BZ#1323429, BZ#1333492, BZ#1347769, BZ#1350931, BZ#1356651, BZ#1363830, BZ#1368501  
device-mapper-persistent-dataBZ#1315452   
distributionBZ#1272603, BZ#1297815, BZ#1374826  BZ#1062656
dmraid BZ#1315644, BZ#1348289  
docker   BZ#1358819
dovecotBZ#1229164  BZ#1280433
dracutBZ#1359144BZ#1276983 BZ#1373129
efibootmgrBZ#1271412   
elfutilsBZ#1296313   
ethtoolBZ#1318316   
fence-agents BZ#1313561  
firewalldBZ#1147500, BZ#1302802   
freerdp BZ#1275241  
ftp BZ#1304064  
gccBZ#1182152, BZ#1213268, BZ#1304449BZ#1289022, BZ#1357060  
gcc-librariesBZ#1265252   
gdbBZ#1182151BZ#1186918, BZ#1265351, BZ#1326476  
gfs2-utilsBZ#1196321, BZ#1268045, BZ#1271674   
ghostscript BZ#1302121  
gimpBZ#1298226   
gimp-helpBZ#1370595   
glibcBZ#1211823, BZ#1213267, BZ#1268008, BZ#1292018, BZ#1296297, BZ#1298526, BZ#1335286BZ#1027348, BZ#1211100, BZ#1276753, BZ#1293916, BZ#1308728  
gnome-boxes BZ#1015199, BZ#1043950  
gnome-documents BZ#958690  
gnome-packagekit BZ#1290868  
gnome-shell-extensions BZ#1302864  
gnome-terminalBZ#1296110, BZ#1300826   
gnutlsBZ#1110750   
grub2 BZ#1226325, BZ#1279599 BZ#1154226
gssproxyBZ#1092515, BZ#1292487BZ#1340259  
haproxy BZ#1300392  
initial-setup BZ#1249598 BZ#1378082
initscripts BZ#1281821  
ipaBZ#747612, BZ#768316, BZ#825391, BZ#826790, BZ#837369, BZ#1084018, BZ#1146860, BZ#1200731, BZ#1211595, BZ#1212713, BZ#1224057, BZ#1274524, BZ#1287194, BZ#1292141, BZ#1298288, BZ#1298848, BZ#1298966, BZ#1314786, BZ#1320838, BZ#1328552BZ#1196958, BZ#1290142, BZ#1294503, BZ#1318169, BZ#1343142, BZ#1348560, BZ#1356146, BZ#1357488, BZ#1364113, BZ#1368424, BZ#1368981BZ#1115294, BZ#1298286, BZ#1317379BZ#1318616, BZ#1358457, BZ#1365858, BZ#1371479, BZ#1375133
iprouteBZ#1013584, BZ#1212026, BZ#1275426   
iprutilsBZ#1274367BZ#1297921  
iputilsBZ#1273336   
ipxeBZ#1298313   
iw BZ#1324096  
iwpmdBZ#1331651   
ixpdimm_sw  BZ#1270993 
java-1.7.0-openjdk BZ#1296413, BZ#1302385  
java-1.8.0-openjdkBZ#1245810   
kernelBZ#727269, BZ#797488, BZ#838926, BZ#965453, BZ#1084618, BZ#1104151, BZ#1115947, BZ#1117093, BZ#1135562, BZ#1138650, BZ#1165316, BZ#1172351, BZ#1172819, BZ#1182021, BZ#1186835, BZ#1210350, BZ#1221311, BZ#1222936, BZ#1227339, BZ#1232050, BZ#1262031, BZ#1262728, BZ#1265259, BZ#1265339, BZ#1267398, BZ#1268334, BZ#1269051, BZ#1269281, BZ#1269626, BZ#1270763, BZ#1273115, BZ#1273499, BZ#1274471, BZ#1275423, BZ#1275711, BZ#1275829, BZ#1276458, BZ#1278794, BZ#1280133, BZ#1283886, BZ#1286946, BZ#1287040, BZ#1289929, BZ#1289933, BZ#1296707, BZ#1297039, BZ#1297465, BZ#1298446, BZ#1300325, BZ#1302101, BZ#1308703, BZ#1310154, BZ#1311631, BZ#1328874, BZ#1331018, BZ#1331578, BZ#1337587, BZ#1342989, BZ#1365689BZ#1073651, BZ#1152231, BZ#1172496, BZ#1241236, BZ#1245140, BZ#1252281, BZ#1257320, BZ#1258136, BZ#1262204, BZ#1263866, BZ#1264905, BZ#1264920, BZ#1264990, BZ#1265058, BZ#1265283, BZ#1266578, BZ#1266948, BZ#1267339, BZ#1270244, BZ#1270586, BZ#1271860, BZ#1272833, BZ#1273807, BZ#1273978, BZ#1276477, BZ#1279617, BZ#1287322, BZ#1289314, BZ#1289630, BZ#1290202, BZ#1290441, BZ#1298618, BZ#1301451, BZ#1341633, BZ#1361407, BZ#1367257BZ#916382, BZ#947163, BZ#1109348, BZ#1111712, BZ#1138782, BZ#1187762, BZ#1205497, BZ#1205873, BZ#1206277, BZ#1217590, BZ#1230959, BZ#1274459, BZ#1299662, BZ#1302147, BZ#1305092, BZ#1334675, BZ#1348508BZ#1058148, BZ#1221443, BZ#1274157, BZ#1293520, BZ#1315400, BZ#1349827, BZ#1351098, BZ#1367444, BZ#1368884, BZ#1385149, BZ#1387858
kernel-aarch64 BZ#1356009 BZ#1248185
kernel-rtBZ#1328607BZ#1209987, BZ#1258295, BZ#1269647, BZ#1303255BZ#1297061 
kexec-toolsBZ#1282554BZ#1180246 BZ#1372464
krb5BZ#1146945, BZ#1292153BZ#1347403  
kscBZ#906659BZ#1272348, BZ#1328384  
libcacard   BZ#1249116
libcxlBZ#1305080   
libdvdnavBZ#1068814   
libdvdreadBZ#1326238   
libguestfsBZ#1190669, BZ#1218766, BZ#1358332BZ#1173695, BZ#1225789  
libgweatherBZ#1371550   
libicaBZ#1274390   
libnftnl  BZ#1332585 
libnl3BZ#1296058   
libosinfoBZ#1257865, BZ#1282919   
libpfmBZ#1321051BZ#1276702  
libreofficeBZ#1290148   
libreportBZ#1258482, BZ#1289513   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvirtBZ#735385, BZ#846810, BZ#1215968, BZ#1325996BZ#1197592 BZ#1357468
libvmaBZ#1271624   
libvpdBZ#1182031   
logrotate BZ#1272236  
lorax BZ#1272658 BZ#1341280
lvm2BZ#1131777, BZ#1189221, BZ#1286285, BZ#1299977, BZ#1329235, BZ#1348336, BZ#1364244, BZ#1371597BZ#1274676BZ#1191630BZ#1014758, BZ#1354396, BZ#1380521
mcelogBZ#1336431   
mdadm BZ#1174622, BZ#1290494, BZ#1300579, BZ#1312837, BZ#1347749, BZ#1347762 BZ#1067292
memkindBZ#1210910   
memtest86+BZ#1280352   
mesaBZ#1263120   
microcode_ctl BZ#1292158  
mod_auth_openidcBZ#1292561   
mod_security_crsBZ#1150614   
mtx BZ#1298647  
mutter   BZ#1360906
nautilus BZ#1207646  
ndctlBZ#1271425   
nettleBZ#1252936   
nfs-utils   BZ#1359042
numactl BZ#1270734  
numad   BZ#1360584
nvme-cliBZ#1344730   
nvmlBZ#1274541   
opal-prdBZ#1224121   
open-vm-toolsBZ#1268537   
opencryptokiBZ#1185421   
openldapBZ#1292568BZ#1249093  
openscapBZ#1278147  BZ#1356547
opensslBZ#1225379   
oprofileBZ#1310950, BZ#1310951BZ#1264443, BZ#1272136, BZ#1335145 BZ#1349077
os-prober BZ#1300262  
oscap-anaconda-addon   BZ#1372791
otherBZ#1278795, BZ#1354626, BZ#1368484, BZ#1379689, BZ#1388471, BZ#1389121, BZ#1389316, BZ#1390661, BZ#1396085BZ#1262007, BZ#1360188, BZ#1360338, BZ#1369837BZ#1062759, BZ#1072107, BZ#1259547BZ#1350802, BZ#1358836, BZ#1389245, BZ#1390565
OVMF  BZ#653382 
pacemakerBZ#1288929, BZ#1303765BZ#1219188, BZ#1268313, BZ#1284069, BZ#1286316, BZ#1287315, BZ#1287868, BZ#1337688, BZ#1338623, BZ#1346726  
pamBZ#1273373   
pam_krb5 BZ#1263745  
pam_pkcs11   BZ#1367919
papi BZ#1263666, BZ#1277931, BZ#1357587  
pavucontrolBZ#1210846   
pcpBZ#1284307   
pcsBZ#1164402, BZ#1315371, BZ#1315652, BZ#1327739 BZ#1158805, BZ#1305049 
perl BZ#1223045, BZ#1263734, BZ#1344749, BZ#1365991  
perl-IO-Socket-SSLBZ#1316377   
perl-Net-SSLeayBZ#1316379   
perl-Socket BZ#1200167  
pesign   BZ#1141263
phpBZ#1291667   
pidginBZ#1066457   
pki-coreBZ#1224365, BZ#1224642, BZ#1289323, BZ#1302136, BZ#1303175, BZ#1305622, BZ#1305992, BZ#1321491, BZ#1327683, BZ#1347466, BZ#1353005, BZ#1358439BZ#1082663, BZ#1224382, BZ#1274419, BZ#1308772, BZ#1329365, BZ#1331596 BZ#1246635, BZ#1376488
policycoreutils   BZ#1345825
polkit BZ#1310738  
poppler BZ#1298616, BZ#1299479, BZ#1299481, BZ#1299490, BZ#1299500, BZ#1299503, BZ#1299506  
powerpc-utils BZ#1347083, BZ#1366512  
procps-ng BZ#1169349, BZ#1262864, BZ#1284087  
protobuf-cBZ#1289666   
psacct BZ#1249665  
pykickstart BZ#1290244  
pythonBZ#1289277, BZ#1315758   
python-blivet BZ#1031589, BZ#1242666, BZ#1257997 BZ#1270883
python-dns BZ#1312770  
python-gssapiBZ#1292139   
python-netifacesBZ#1303046   
python-pycurlBZ#1260407BZ#1153321  
python-rhsmBZ#1104332, BZ#1346417   
python-schedutilsBZ#948381   
python-sphinx BZ#966954, BZ#1291573  
qemu-kvmBZ#1327599BZ#1265427, BZ#1299116, BZ#1299250BZ#1103193BZ#1209707
quotaBZ#1155584BZ#1072858, BZ#1207239, BZ#1305968  
realmdBZ#1293390  BZ#1370457
rear   BZ#1320552
resource-agents BZ#1325453  
rhythmboxBZ#1298233   
rpm  BZ#1278924 
rsyslogBZ#1223566, BZ#1303617   
rt-testsBZ#1346771   
rteval BZ#1312057  
rubyBZ#1197720   
sambaBZ#1263322, BZ#1303076BZ#1316899  
sapconf BZ#1228550, BZ#1235608  
scap-security-guide   BZ#1378489
scap-workbenchBZ#1202854   
selinux-policy BZ#1097775, BZ#1349356  
servicelogBZ#1182028   
sg3_utilsBZ#1170719BZ#1298739  
shadow-utilsBZ#1114081   
sosBZ#1187258, BZ#1246423, BZ#1293044BZ#1296813  
squidBZ#1273942   
sssdBZ#789477, BZ#790113, BZ#874985, BZ#879333, BZ#988207, BZ#1007969, BZ#1031074, BZ#1059972, BZ#1140022, BZ#1287209, BZ#1290380, BZ#1310877, BZ#1325809BZ#1300663, BZ#1369118, BZ#1373420BZ#1068725, BZ#1311056BZ#888739, BZ#1372814, BZ#1380436, BZ#1389796, BZ#1392441
sssd-docker  BZ#1200143 
strongimcv  BZ#755087 
subscription-managerBZ#874735, BZ#1336880, BZ#1336883   
swigBZ#1136487   
sysstatBZ#1258990, BZ#1332662BZ#846699, BZ#1224882, BZ#1267972, BZ#1328490  
system-config-kdump BZ#1121590, BZ#1208191  
system-config-languageBZ#1328068   
system-switch-javaBZ#1283904   
systemdBZ#1142378, BZ#1265749, BZ#1305279BZ#1230210, BZ#1266934, BZ#1267707, BZ#1301990, BZ#1306126, BZ#1308795, BZ#1360160BZ#1284974 
systemtapBZ#1289617   
tcshBZ#1315713   
telnetBZ#1323094   
tftpBZ#1311092   
tomcatBZ#1133070, BZ#1287928BZ#1201409, BZ#1208402, BZ#1221896, BZ#1240279, BZ#1277197  
tuned BZ#1243807, BZ#1249618, BZ#1322001, BZ#1323283, BZ#1334479, BZ#1346715  
unboundBZ#1245250   
unzip BZ#1276744  
util-linuxBZ#587393, BZ#1153770, BZ#1298384   
valgrindBZ#1271754, BZ#1296318   
vinagreBZ#1291275   
virt-manager BZ#1282276  
virt-whoBZ#1245035, BZ#1278637, BZ#1286945   
vteBZ#1103380   
xfsprogsBZ#1309498   
xorg-x11-server BZ#1326867  
xzBZ#1160193   
yumBZ#1186690, BZ#1274211   
yum-langpacks BZ#1251388, BZ#1263241  
yum-utilsBZ#1192946, BZ#1335587   
zlib BZ#1127330  
zsh BZ#1267251, BZ#1267912, BZ#1291782, BZ#1302229, BZ#1321303, BZ#1338689  

付録C 更新履歴

改訂履歴
改訂 0.3-1Fri Apr 17 2020Jaroslav Klech
第 3 章の soft_watchdog カーネルパラメーターを削除しました。
改訂 0.3-0Thu Feb 27 2020Jaroslav Klech
BZ#1551632 (カーネル)の既知の問題ノートを追加。
改訂 0.2-9Mon Oct 07 2019Jiří Herrmann
OVMF に関するテクノロジープレビューの注意事項を明確にしました。
改訂 0.2-8Sun Apr 28 2019Lenka Špačková
テクノロジープレビュー機能の説明 (ファイルシステム) の表現が改善されました。
改訂 0.2-7Mon Feb 04 2019Lenka Špačková
ブックの構造が改善されました。
改訂 0.2-6Tue Apr 17 2018Lenka Špačková
sslwrap()の非推奨に関連する推奨事項を更新しました。
改訂 0.2-5Tue Feb 06 2018Lenka Špačková
不足しているテクノロジープレビュー - OVMF (仮想化) を追加しました。
libvirt-lxc ツールを使用したコンテナーの非推奨に関する情報を追加しました。
改訂 0.2-4Mon Oct 30 2017Lenka Špačková
LD リンカーの動作の変更の詳細を、非推奨機能に追加しました。
改訂 0.2-3Wed Oct 11 2017Lenka Špačková
megaraid_sas の既知の問題(カーネル)の回避策が修正されました。
改訂 0.2-2Wed Sep 13 2017Lenka Špačková
Xorg サーバーでのビジュアルへの限られたサポートに関する情報を追加しました。
改訂 0.2-1Fri Jul 14 2017Lenka Špačková
kexec をテクノロジープレビュー(カーネル)に追加しました。
改訂 0.2-0Fri Jun 23 2017Lenka Špačková
iostat バグ修正の説明が改善されました。
改訂 0.1-9Wed May 03 2017Lenka Špačková
クラスターリングに新しい Pacemaker 機能が追加されました。
改訂 0.1-8Thu Apr 27 2017Lenka Špačková
Red Hat Access Labs の名前が Red Hat Customer Portal Labs に変更されました。
改訂 0.1-7Thu Mar 30 2017Lenka Špačková
ストレージに新しい機能を追加しました。
改訂 0.1-6Thu Mar 23 2017Lenka Špačková
firewalld のリベースの説明(セキュリティー)を更新しました。
SELinux 関連のバグ修正の説明を正しい章(セキュリティー)に移動しました。
改訂 0.1-4Tue Feb 14 2017Lenka Špačková
samba リベースの説明を更新しました(認証および相互運用性)。
改訂 0.1-2Fri Jan 20 2017Lenka Špačková
bind-dyndb-ldap に関連する既知の問題を追加(認証および相互運用性)
改訂 0.1-1Fri Dec 16 2016Lenka Špačková
IBM z System のランタイムインストルメンテーションは、完全にサポートされる機能(Hardware Enablement)に移動しました。
デフォルトの登録 URL (システムおよびサブスクリプション管理)に関する情報を追加しました。
Extras チャンネル(仮想化)に WALinuxAgent のリベースに関する注意書きを追加しました。
ABRT reporter-upload ツール(コンパイラーおよびツール)の設定可能な SSH キーファイルに関する注意書きを追加しました。
改訂 0.1-0Fri Nov 25 2016Lenka Špačková
テクノロジープレビュー(Hardware Enablement)に Intel DIMM 管理ツールが追加されました。
既知の問題を追加 (Kernel)
改訂 0.0-9Mon Nov 21 2016Lenka Špačková
既知の問題(認証および相互運用性、インストールおよび起動)および新機能(コンパイラーおよびツール、カーネル、ストレージ)を更新しました。
改訂 0.0-8Thu Nov 03 2016Lenka Špačková
Red Hat Enterprise Linux 7.3 リリースノートも併せて参照してください。
改訂 0.0-3Thu Aug 25 2016Lenka Špačková
Red Hat Enterprise Linux 7.3 Beta リリースノートも併せて参照してください。