Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

7.3 リリースノート

Red Hat Enterprise Linux 7.3

Red Hat Enterprise Linux 7.3 リリースノート

Red Hat Customer Content Services

概要

本リリースノートでは、Red Hat Enterprise Linux 7.3 での改良点や実装された追加機能の概要、本リリースにおける既知の問題などについて説明しています。また、重要なバグ修正、テクニカルプレビュー、使用されなくなった機能などの詳細も説明しています。

前書き

機能拡張、セキュリティー、バグ修正によるエラータなどを集約したものが Red Hat Enterprise Linux のマイナーリリースになります。『Red Hat Enterprise Linux 7.3 リリースノート』 では、今回のマイナーリリースで Red Hat Enterprise Linux 7 オペレーティングシステムと付随するアプリケーションに追加された主要な変更について説明しています。また、既知の問題および現在利用可能なテクノロジープレビューの完全一覧も記載されています。
他のバージョンと比較した Red Hat Enterprise Linux 7 の機能および制限については https://access.redhat.com/articles/rhel-limits にある Red Hat ナレッジベースの記事を参照してください。
Red Hat Enterprise Linux のライフサイクルについては https://access.redhat.com/support/policy/updates/errata/ をご覧ください。

第1章 概要

セキュリティー

  • SELinux ユーザースペースがリベースされ、各種の機能拡張とパフォーマンス改善が図られています。特に、SELinux モジュールストアが優先順位をサポートし、SELinux 共通中間言語 (CIL) が導入されています。
  • OpenSCAP ワークベンチが新しい SCAP Security Guide 統合ダイアログを提供し、グラフィカルツールを使用した SCAP ポリシーの修正が可能になっています。
  • OpenSCAP スイートが、atomic scan コマンドを使用したコンテナのスキャンをサポートします。
  • firewalld がアップグレードされ、新たなトランザクションモデルにより起動と再起動が大幅に速くなっています。また接続、インターフェース、およびソースの管理が改善し、新しいデフォルトのロギングオプションに加え、ipset サポートも提供されています。
  • audit デーモンに新たなフラッシュ技術が導入され、パフォーマンスが大幅に改善しています。監査ポリシー、設定、およびロギングの機能が拡張され、多くの新オプションもサポートされています。
  • イーサネットでの Media Access Control Security (MACsec) 暗号化がサポートされています。
セキュリティー機能拡張に関する詳細は、15章セキュリティー を参照して下さい。

アイデンティティー管理

アイデンティティー管理 (IdM) に関する新機能および改善点は、以下の通りです。
  • 大規模な顧客環境における IdM サーバーとクライアントのパフォーマンス改善
  • トポロジー管理とレプリカインストールの強化
  • Active Directory (AD) ユーザーにおけるスマートカードのサポートを拡張
  • ワンタイムパスワード (OTP) 認証を詳細に設定
  • IdM クライアントのトラブルシューティング機能を改善
Red Hat Enterprise Linux 7.2 では、フェデレーションシングルサインオン (SSO) 向け Ipsilon アイデンティティープロバイダーが導入されました。その後、Red Hat は Keycloak コミュニティープロジェクトをベースとした Web SSO リューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準の Web SSO ソリューションとして設計されています。
Red Hat Single Sign-On についての詳細は、以下を参照して下さい。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat Single Sign-On のエンタイトルメントは、Red Hat JBoss Middleware または OpenShift Container Platform サブスクリプションを使用して入手可能となっています。
IdM における変更点についての詳細は、5章認証および相互運用性 を参照して下さい。

コアカーネル

  • Checkpoint/Restore in User space (CRIU) のサポートが、IBM Power Systems アーキテクチャーのリトルエンディアンに拡張されました。
  • Heterogeneous memory management (HMM) 機能がテクノロジープレビューとして導入されました。
カーネル機能についての詳細は、12章カーネル を参照して下さい。カーネルに関連するテクノロジープレビューについての詳細は、42章カーネル を参照して下さい。

ネットワーク

  • Open vSwitch がカーネルの軽量トンネルサポートを使用しています。
  • メモリーアロケーターサブシステムでのバルク処理がサポートされています。
  • NetworkManager が新しいデバイスタイプ、仮想デバイスのスタック、LLDP、安定したプライバシー IPv6 アドレス (RFC 7217) をサポートし、重複した IPv4 アドレスを検出するとともに、systemd-hostnamed でホスト名を制御します。また、DHCP タイムアウトプロパティーと DNS 優先順位の設定が可能です。
ネットワーク機能に関する詳細は、14章ネットワーク を参照して下さい。

プラットフォームハードウェアの有効化

  • Coherent Accelerator Processor Interface (CAPI) フラッシュブロックアダプターのサポートが追加されました。詳細は、10章ハードウェアの有効化 を参照して下さい。

リアルタイムカーネル

  • 新たなスケジューラーポリシーである SCHED_DEADLINE がテクノロジープレビューとして導入されました。この新ポリシーはアップストリームカーネルで利用可能で、特定の Realtime ユースケースで見込みがあります。詳細は、43章リアルタイムカーネル を参照して下さい。

ストレージとファイルシステム

  • Non-Volatile Dual In-line Memory Module (NVDIMM) 永続的メモリーアーキテクチャーのサポートが追加され、これには libnvdimm カーネルサブシステムの追加も含まれています。NVDIMM メモリーは ブロックストレージデバイス (Red Hat Enterprise Linux 7.3 で完全サポート) として、あるいは Direct Access (DAX) モードで (Red Hat Enterprise Linux 7.3 の ext4 および XFS ファイルシステムでテクノロジープレビューとして提供) アクセスできます。詳細は 17章ストレージ および 12章カーネル の新機能パート、および 39章ファイルシステム のテクノロジープレビューパートを参照して下さい。
  • テクノロジープレビューとして導入された Ceph File System (CephFS) カーネルモジュールは、Red Hat Enterprise Linux Linux ノードで Ceph File Systems を Red Hat Ceph Storage クラスターからマウント可能とします。詳細情報は、39章ファイルシステム を参照して下さい。
  • pNFS SCSI ファイル共有のサポートがテクノロジープレビューとして導入されました。詳細は、39章ファイルシステム を参照して下さい。
  • RAID レベルの引き継ぎである RAID タイプ間の切替機能に対する LVM2 サポートがテクノロジープレビューとして利用可能になりました。詳細は、45章ストレージ を参照して下さい。

クラスタリング

Red Hat Enterprise Linux 7.3 では、Red Hat High Availability Add-On のサポートは以下の機能拡張がなされています。
  • 管理対象のクラスターのステータスが pacemaker 警告の強化の導入で変更した際に、通知を設定し発生させる機能が改善されています。
  • Booth チケットマネージャーを使用して、災害回復および拡張性のために地理的に拡散している複数のクラスターを管理する Pacemaker の設定機能。この機能はテクノロジープレビューとして提供されています。
  • クラスター用のサードパーティーのアービトレーションデバイスとして機能する別のクォーラムデバイス (QDevice) を使用してストレッチクラスターを管理するように Pacemaker を設定する機能。この機能は、テクノロジープレビューとして提供されており、主な用途は、クラスターが、標準のクォーラムルールによって許容されているよりも多くのノードエラーに耐えられるようにすることです。
Red Hat High Availability Add-On における機能拡張の詳細情報は、6章クラスタリング の新機能のパートと 38章クラスタリング のテクノロジープレビューのパートを参照して下さい。

デスクトップ

  • 新しい pidgin インスタントメッセージクライアントが導入されました。これはオフレコ (OTR) メッセージと Microsoft Lync インスタントメッセージアプリケーションに対応しています。
デスクトップでの変更点に関する詳細情報は、8章デスクトップ を参照して下さい。

モノのインターネット

  • Red Hat Enterprise Linux 7.3 では最新の Bluetooth サポートが提供され、これには Bluetooth Low Energy (LE) デバイスへの接続サポートも含まれます。詳細は、14章ネットワーク を参照して下さい。
  • Controller Area Network (CAN) デバイスドライバーがサポートされています詳細は、12章カーネル を参照して下さい。
  • Red Hat Enterprise Linux 7 カーネルは、組み込み MMC (eMMC) インターフェースのバージョン 5.0 を使用できます。詳細は、10章ハードウェアの有効化 を参照して下さい。

Linux コンテナー

  • System Security Services Daemon (SSSD) コンテナーが Red Hat Enterprise Linux Atomic Host 向けにテクノロジープレビューとして利用可能になっています。詳細は、37章認証および相互運用性 を参照して下さい。

Red Hat Insights

Red Hat Enterprise Linux 7.2 以降では、Red Hat Insights サービスが利用可能になっています。Red Hat Insights は、使用中のデプロイメントに影響が及ぶ前に既知の技術的問題を特定し、分析、解決することを可能にするよう設計されたプロアクティブなサービスです。Insights は Red Hat Support Engineers、文書化されたソリューション、および解決済みの問題からなる複合情報を活用して、システム管理者に関連性のある実行可能な情報を提供します。
このサービスは、カスタマーポータル https://access.redhat.com/insights/ または Red Hat Satellite でホストされており、そこから提供されます。ご使用中のシステムを登録するには、Getting Started Guide for Insights にある手順に従ってください。データセキュリティーや制限に関する詳細情報は、https://access.redhat.com/insights/splash/ を参照してください。

Red Hat Customer Portal Labs

Red Hat Customer Portal Labs はカスタマーポータルにあるツールセットであり、https://access.redhat.com/labs/ から入手できます。Red Hat Customer Portal Labs のアプリケーションは、パフォーマンスの改善、迅速なトラブルシュート、セキュリティー問題の特定、複雑なアプリケーションの迅速なデプロイと設定に役立ちます。最も人気があるアプリケーションの一部は以下のとおりです。

第2章 アーキテクチャー

Red Hat Enterprise Linux 7.3 は以下のアーキテクチャーに単体で使用できます。[1]
  • 64 ビット AMD
  • 64 ビット Intel
  • IBM POWER7+ および POWER8 (Big Endian 版) [2]
  • IBM POWER8 (Little Endian 版) [3]
  • IBM z Systems [4]


[1] Red Hat Enterprise Linux 7.3 は 64 ビットのハードウェアでのインストールにしか対応していないことに注意してください。ただし、仮想マシンとしてであれば 32 ビットのオペレーティングシステム (Red Hat Enterprise Linux の旧バージョンなど) を実行させることができます。
[2] Red Hat Enterprise Linux 7.3 (Big Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして、また PowerVM でサポートされています。
[3] Red Hat Enterprise Linux 7.3 (Little Endian 版) は現在、Red Hat Enterprise Virtualization for Power の KVM ゲストとして、また PowerVM および PowerNV (ベアメタル) でサポートされています。
[4] Red Hat Enterprise Linux 7.3 が対応するのは IBM zEnterprise 196 ハードウェアまたはそれ以降になります。IBM System z10 メインフレームのシステムには対応しなくなるため、Red Hat Enterprise Linux 7.3 は起動しなくなります。

第3章 外部のカーネルパラメーターに対する重要な変更

本章では、システム管理者向けに Red Hat Enterprise Linux 7.3 に含まれるカーネルの重要な変更点についてまとめています。これらの変更には、proc エントリー、sysctlsysfs デフォルト値、boot パラメーター、カーネル設定オプションの追加や更新、また注目すべき動作の変更などが含まれます。
apic_extnmi=[APIC,X86]
外部のノンマスカブル割り込み (NMI: Nonmaskable Interrupt) の配信設定を行います。
形式: { bsp (default) | all | none }
bsp: 外部 NMI は CPU 0 にのみ配信されます。
all: 外部 NMI は CPU 0 のバックアップとして全 CPU にブロードキャストされます。
none: 外部 NMI は全 CPU に対してマスキングされます。これは、ダンプキャプチャーカーネルが NMI により割り込まれないようにする際に役立ちます。
bau=[X86_UV]: SGI UV 上の BAU の有効化
デフォルトの動作は BAU を無効にします (bau=0)。
形式: { "0" | "1" }
0 - BAU を無効にします。
1 - BAU を有効にします。
指定なし - BAU を無効にします。
cpu_init_udelay=N [X86]
プロセッサーの起動の際に APIC INIT のアサートとディアサートの間で N ミクロ秒の遅延を設定します。この遅延は、起動やサスペンド状態からの再開などオンラインの CPU すべてで発生します。
デフォルト値: 10000
hardlockup_all_cpu_backtrace=[KNL]
hard-lockup detector により、全 CPU のバックトレースが生成されます。
形式: 整数
intel_iommu=[DMAR] Intel iommu ドライバー (DMAR) オプション [...]
ecs_off [Default Off]
拡張テーブル自体と PASID の両方のサポートがあるとハードウェアで通知されている場合に、デフォルトでは拡張コンテキストテーブルはサポートされます。このオプションを設定すると、サポートがあるとされるハードウェア上でも拡張テーブルは使用されません。
kernelcore=nn[KMG] [KNL,X86,IA-64,PPC]
パラメーター
kernelcore=[KNL,X86,IA-64,PPC]
形式: nn[KMGTPE] | "mirror"
メモリーの容量 nn[KMGTPE] を指定する代わりに、「mirror」オプションを指定できます。「mirror」オプションが指定されている場合は、ミラーリングされたメモリーは、移動ができない割り当てに使用され、残りのメモリーは移動可能なページに使用されます。nn[KMGTPE] も「mirror」オプションも排他的で、nn[KMGTPE] と「mirror」オプションを同時に指定することはできません。
libata.force=[LIBATA]
* [no]ncqtrim: キューにある DSM TRIM をオフにします。
memmap=nn[KMG]!ss[KMG] [KNL,X86]
特定のメモリーを保護するようにマークします。使用するメモリーの領域 (ss から ss+nn)。メモリーの領域は、e820 type 12 (0xc) としてマークする必要があります。サポートされているメモリーは NVDIMM または ADR です。
module_blacklist=[KNL]
コンマで区切られたモジュール一覧は読み込みません。この機能は、問題のあるモジュールのデバッグに役立ちます。
nfs4.layoutstats_timer=[NFSv4.2]
カーネルが pNFS メタデータサーバーにレイアウト統計を送信する速度を変更します。
この値を 0 に設定すると、カーネルはレイアウトドライバーが設定した値を使用します。0 以外の場合は、レイアウト統計を転送する最小の間隔 (秒) を指定します。
nmi_watchdog=[KNL,BUGS=X86]
SMP カーネルのデバッグ機能
形式: [panic,][nopanic,][num]
有効な数値: 0 または 1
0 - nmi_watchdog をオフにします。
1 - nmi_watchdog をオンにします。
nohugeiomap [KNL,x86]
カーネルの大量の I/O マッピングを無効にします。
soft_watchdog
このパラメーターは soft lockup detector の制御に使用することができます。
0 - soft lockup detector を無効にします。
1 - soft lockup detector を有効にします。
soft lockup detector は、自主的に再スケジュールせずに CPU を占有しているスレッドがないかどうか CPU を監視して、watchdog/N のスレッドの実行を阻止します。このメカニズムは、watchdog/N スレッドがウォッチドッグのタイマー機能により起動する際に必要なタイマーの中断に応答する CPU の機能に依存します。これがないと NMI ウォッチドッグが有効な場合に、NMI ウォッチドッグが hard lockup の状況を検出する可能性があります。
watchdog
このパラメーターは、soft lockup detector および、NMI ウォッチドッグが同時に保証する hard lockup detector を無効化/有効化します。
0 - lockup detector 両方を無効にします。
1 - lockup detector 両方を有効にします。
soft_watchdog および nmi_watchdog のパラメーターを使用することで、soft lockup detector および NMI ウォッチドッグは、個別に無効化または有効化することも可能です。たとえば、watchdog パラメーターが読み込まれている場合には、cat /proc/sys/kernel/watchdog コマンドを実行すると、0 か 1 が出力され、soft_watchdog および nmi_watchdog の論理 OR が表示されます。
noxsaveopt [X86]
x86 拡張のレジスターの状態を保存する際に使用する xsaveopt を無効にします。カーネルはフォールバックして xsave を使用し、状態を保存します。xsaveopt が有効なシステムでは xsaveopt はサポートされていますが、xsave は最適化の変更をサポートしないため、このパラメーターを使用して状態を保存するとパフォーマンスが低下します。
noxsaves [X86]
x86 拡張レジスターの状態を圧縮形式の xsave 領域に保存して復元する際に使用する xsaves および xrstors を無効にします。カーネルはフォールバックして xsaveopt および xrstor を使用し、標準形式の xsave 領域に状態を保存して復元します。このパラメーターを使用することで、プロセスごとの xsave 領域は xsaves が有効なシステム上でより多くのメモリーを占有する可能性があります。
nompx [X86]
Intel Memory Protection Extensions (Intel MPX) を無効にします。
この機能に関する詳しい情報は、Documentation/x86/intel_mpx.txt を参照してください。
nowatchdog [KNL]
soft-lockup および NMI ウォッチドッグ (hard-lockup) の両方の lockup detector を無効にします。
watchdog_cpumask
この値は、ウォッチドッグの実行に利用可能な CPU はどれかを設定する際に使用します。デフォルトの cpumask は利用可能なコアすべてですが、カーネルの設定で NO_HZ_FULL が有効化されており、コアが nohz_full=boot の引数で指定されている場合には、これらのコアはデフォルトで除外されます。このマスクには、オフラインのコアを含めることができます。コアがオンラインになった場合には、ウォッチドッグがこのマスクの値をベースに起動します。カーネルがこれらのコアでロックアップされている可能性がある場合に、nohz_full が指定されているときのみ、この値を編集してデフォルトでウォッチドッグを実行していないコアを再有効化することができます。引数の値は、cpumask の標準の cpulist 形式です。
例:
コア 0、2、3、4 でウォッチドッグを有効にするには以下のコマンドを使用します。
echo 0,2-4 /proc/sys/kernel/watchdog_cpumask
watchdog_thresh
この値は、hrtimer および NMI イベントの頻度、soft および hard lockup のしきい値を設定する際に使用します。デフォルトのしきい値は 10 秒です。また、softlockup のしきい値は 2 * watchdog_thresh です。このパラメーターを 0 に設定すると、lockup の検出が無効になります。
schedstats=[KNL,X86]
スケジューラーの統計を有効化または無効化します。
許容値は、enable および disable です。
この機能は、スケジューラーで少しオーバーヘッドが発生しますが、デバッグやパフォーマンスの調整に役立ちます。
usbcore.usbfs_snoop_max=[USB]
各 USB Request Block (URB) で監視 (snoop) する最大のバイト数を設定します。デフォルト値は 65536 です。
usb-storage.quirks=[...]
j = NO_REPORT_LUNS
report luns コマンドは使用せず UAS のみを使用します。
workqueue.watchdog_thres
CONFIG_WQ_WATCHDOG が設定されている場合は、デバッグできるように作業キューは停滞している状態を警告して、内部の状態をダンプします。値が 0 の場合は、作業キューの停滞状況の検出を無効にします。それ以外の場合は、停滞時間のしきい値 (秒) を表します。デフォルト値は 30 で、適切な sysfs ファイルに書き込むことでランタイム時に更新できます。
workqueue.power_efficient
通常、キャッシュの場所が理由でパフォーマンスが向上されるので CPU 別の作業キューが推奨されますが、バインドされていない作業キューよりも電力を消費します。このカーネルパラメーターを指定すると、電源消費の原因と見られる CPU 別の作業キューをバインドされてないキューに移動して、パフォーマンスのオーバーヘッドを少なく抑えつつ、電源消費を大幅に下げることができます。
perf_event_paranoid
CAP_SYS_ADMIN の権限のないユーザーによるパフォーマンスイベントシステムの使用を制御します。
デフォルト値は 1 です。
-1 - 全ユーザーによる全イベントの使用を許可します。
>=0 - CAP_IOC_LOCK のないユーザーによる Raw トレースポイントアクセスを却下します。
>=1 - CAP_SYS_ADMIN のないユーザーによる Raw トレースポイントアクセスを却下します。
>=2 - CAP_SYS_ADMIN のないユーザーによるカーネルプロファイルを却下します。
/proc/sys/fs
pipe-user-pages-hard:
管理者権限のないユーザーがパイプに割り当て可能なページの最大数を設定します。
この上限に達すると、使用率が上限を下回るまで新しいパイプを割り当てることができません。0 を設定すると制限が適用されません。デフォルト設定は 0 です。
pipe-user-pages-soft:
パイプのサイズが 1 つのページに制限される前に、管理者権限のないユーザーがパイプに割り当て可能なページの最大数を設定します。この上限に達すると、メモリーの合計使用率を制限するためにこのユーザーは単一のページにしか新しいパイプを割り当てることができなくなります。使用率が上限を下回らないと fcntl() 関数を使用してページの合計数を増加しようとすると却下されます。デフォルト値は、最大 1024 のパイプまで割り当てることができます。0 に設定されていると制限は適用されません。
/proc/sys/kernel
hardlockup_all_cpu_backtrace:
この値は、デバッグ情報の今後の収集に関する hard lockup detector の動作を制御します。この値が有効な場合は、アーキテクチャー固有の全 CPU スタックのダンプが開始されます。
0 - 何もしません。これはデフォルトの動作です。
1 - 検出がオンになっており、デバッグ情報をより多く取得します。

パート I. 新しい機能

ここでは Red Hat Enterprise Linux 7.3 の新機能について説明します。

第4章 全般的な更新

systemd のカラー出力を無効にする新しい変数

今回の更新では、systemd のカラー出力を有効または無効にする SYSTEMD_COLORS が導入されました。SYSTEMD_COLORS は有効なブール値に設定する必要があります (BZ#1265749)。

エイリアスを使用して systemd ユニットを有効にできる

systemd init システムはエイリアスを使用します。エイリアスはサービスファイルへのシンボリックリンクで、実際のサービス名の代わりにコマンドで使用することができます。たとえば、/usr/lib/systemd/system/nfs-server.service サービスファイルを提供するパッケージは、nfs-server.service へのシンボリックリンクであるエイリアス /usr/lib/systemd/system/nfs.service も提供します。例として、systemctl status nfs-server.service の代わりに systemctl status nfs.service コマンドを使用できます。
これまで、実際のサービス名の代わりにエイリアスを使用して systemctl enable コマンドを実行するとエラーが発生し、コマンドの実行に失敗しました。今回の更新ではこのバグが修正され、systemctl enable を実行するとエイリアスが示すユニットが有効になるようになりました (BZ#1142378)。

新しい systemd オプション: RandomizedDelaySec

今回の更新では、無作為の期間 (秒単位) イベントの発生を遅らせる RandomizedDelaySec オプションが systemd タイマーに導入されました。たとえば、オプションを 10 に設定すると、0 から 10 秒の間で無作為に選択された秒数間イベントが遅延されます。このオプションは、複数のイベントが同時に実行されないように長期間ワークロードを分散したい場合に便利です (BZ#1305279)。

第5章 認証および相互運用性

多くのエリアでのサーバーパフォーマンスの向上

Identity Management の操作が一部、はるかに早く実行されるようになりました。たとえば、今回の機能拡張により、5 万を超えるユーザーやホストが含まれる大規模なデプロイメントにおいてスケーラビリティーを向上することができます。最も顕著な向上機能は以下のとおりです。
  • ユーザーやホストの追加時間の短縮
  • 全コマンドの Keroberos 認証の加速化
  • ipa user-find および ipa host-find コマンドの実行時間の短縮
多数のエントリーのプロビジョニングに必要な時間を短縮する方法については、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#performance-tuning を参照してください。
検索操作を加速化するため、デフォルトでは ipa *-find コマンドはメンバーシップを表示しなくなりました。メンバーシップを表示するには、ipa *-find--all オプションを追加するか、ipa *-show コマンドを使用してください (BZ#1298288、BZ#1271321、BZ#1268449、BZ#1346321)。

IdM トポロジー管理

Identity Management (IdM) トポロジーに関する情報が共有ツリーの中央の場所で維持管理されるようになり、コマンドラインまたは Web UI を使用して IdM サーバーからトポロジーを管理できるようになりました。
また、以下のようにトポロジー管理操作も大幅に簡素化されました。
  • ネイティブの IdM コマンドラインツールを使用してレプリカ操作をすべて実行できるように、トポロジーのコマンドは IdM コマンドラインのインターフェースに統合されました。
  • 簡素化された新しいワークフローを使用して、Web UI またはコマンドラインでレプリケーションアグリーメントを管理できます。
  • Web UI には、IdM トポロジーのグラフが含まれており、レプリカのリレーションシップの現況を視覚的に確認する際に役立ちます。
  • IdM には、トポロジーから最後の証明局 (CA) を誤って削除したり、他のサーバーから分離したりできないようにする安全措置が含まれます。
  • サーバーのロールがサポートされるようになり、より簡単にトポロジー内のどのサーバーがどのサービスをホストするのかを判断して、サーバーにこれらのサービスをインストールします。
新機能では、ドメインレベルを 1 に上げる必要があります。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#1298848、BZ#1199516) を参照してください。

簡素化されたレプリカのインストール

レプリカのインストールには、最初のサーバーにログインし、Directory Manager (DM) の認証情報を使用して最初のサーバーからレプリカへレプリカ情報ファイルをコピーする必要がなくなりました。たとえば、これにより、妥当なセキュリティーレベルを確保しつつ、外部のインフラストラクチャー管理システムを使用したプロビジョニングが簡素化できるようになりました。
さらに ipa-replica-install ユーティリティーにより、既存のクライアントをレプリカに昇格できるようになりました。
新機能では、ドメインレベルを 1 に上げる必要があります。https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html-single/Linux_Domain_Identity_Authentication_and_Policy_Guide/index.html#domain-level (BZ#837369) を参照してください。

IdM で AD ユーザー向けのスマートカード認証をサポート

今回の更新では、Identity Management (IdM) でのスマートカードのサポートが拡張されました。信頼された Active Directory (AD) からのユーザーは、ssh を使用してリモートまたはローカルで、スマートカードを使用して認証することができるようになりました。ローカルでの認証については、以下の方法がサポートされています。
  • テキストコンソール
  • Gnome Display Manager (GDM) などのグラフィカルコンソール
  • su または sudo などのローカル認証サービス
IdM でのスマートカード認証には上記のローカル認証サービスおよび ssh のみがサポートされており、FTP などの他のサービスはサポートされません。
AD ユーザーのスマートカード証明書は、AD に直接保存することができます。IDM の証明書は、AD のオブジェクトよりも優先されます。

IdM で TGS 承認決定をサポート

Identity Management (IdM) 環境では、ユーザーはオプションで多要素認証機能 (MFA: Multi-Factor Authentication) を使用してログインすることができます。TGS (Ticket Granting Server) から発行された Kerberos チケットには、ワンタイムパスワード (OTP) と標準のパスワードを組み合わせた二要素認証が使用されたかどうかの指標が含まれます。これにより、管理者はリソースに対してサーバー側のポリシーを設定でき、ユーザーにはログインタイプをベースにアクセス権限が授与されます。たとえば、管理者は、ユーザーが一要素または二要素認証を使用してデスクトップにログインできるが、仮想プライベートネットワーク (VPN) のログインに二要素認証が必要になるような設定をすることができます。
デフォルトでは、全サービスはすべてのチケットを受け入れます。このような粒度を有効にするには、IdM Web ユーザーインターフェースでポリシーを管理するか、ipa service-* および ipa host-* コマンドを使用する必要があります (BZ#1224057、BZ#1340304、BZ#1292153)。

sssd でオプションの 2 要素認証を提供

System Security Services Daemon (SSSD) では、二要素認証が有効になっているユーザーは、標準のパスワードとワンタイムパスワード (OTP) を使用するか、標準のパスワードのみを使用してサービスへのアクセス認証ができるようになりました。オプションの二要素認証では、管理者は一要素認証を使用したローカルログインを設定できるだけでなく、VPN ゲートウェイへのアクセスなど他のサービスも両要素を要求できるようになっています。そのため、ログイン時に両要素を使用することも、パスワードだけを使用することもできます。Kerberos チケットは使用した要素を表示する認証指標を使用します (BZ#1325809)。

新しい SSSD 制御およびステータスユーティリティー

sssctl ユーティリティーでは、シンプルで一元化された方法で System Security Services Daemon (SSSD) のステータスに関する情報を取得できます。たとえば、アクティブなサーバー、自動検出されたサーバー、ドメイン、キャッシュされたオブジェクトに関するステータス情報を照会することができます。また sssctl ユーティリティーを使用すると、SSSD データファイルを管理することで、サービスの実行中に安全に SSSD をトラブルシューティングすることができます。
sssctl でサポートされるオプションには、SSSD キャッシュのバックアップや削除を行う client-data-backupcache-remove が含まれています。以前のリリースでは、キャッシュされたデータなしに SSSD を起動する必要がある場合は、管理者は手動でキャッシュファイルを削除する必要がありました。
このユーティリティーの機能に関する詳しい情報は sssctl --help を実行してください。

SSSD 設定ファイルの検証

以前のリリースでは、System Security Services Daemon (SSSD) は、/etc/sssd/sssd.conf ファイルを自動でチェックするツールが提供されていなかったので、サービスの起動に失敗した場合には管理者は設定ファイルの問題を検索する必要がありました。今回の更新により、sssctl コマンドの config-check オプションで設定ファイルの問題を特定することができるようになりました。さらに SSSD はサービスの起動後に設定ファイルの妥当性を自動的に確認し、不正な設定に対してレベル 0 のデバッグメッセージを表示します (BZ#988207、BZ#1072458)。

pki cert-find コマンドで呼び出し文字列をサポート

pki cert-find コマンドが強化され、文字列形式の呼び出しの理由をサポートするようになり、適切な数値の代わりに、Key_compromise などの文字列を --revocationReason オプションに渡すことができます。サポートされる呼び出し文字列の一覧は、以下のコマンドを実行して参照してください。
# pki cert-find --help
(BZ#1224365)

IdM でサーバーまたはレプリカのインストール時に個別のディレクトリーサーバーのオプションを設定することをサポート

Identity Management (IdM) の ipa-server-installipa-replica-install のコマンドが強化されました。新しい --dirsrv-config-file パラメーターにより、管理者は IdM のインストール中およびインストール後にディレクトリーサーバーのデフォルト設定を変更できるようになりました。たとえば、上記の状況で、セキュアな LDAP バインドを無効にするには、以下を実行します。
LDIF 形式の設定でテキストファイルを作成します。
dn: cn=config
changetype: modify
replace: nsslapd-require-secure-binds
nsslapd-require-secure-binds: off
インストールスクリプトに --dirsrv-config-file パラメーターとファイルを指定して、IdM サーバーのインストールを開始します。
# ipa-server-install --dirsrv-config-file filename.ldif
(BZ#825391)

IdM で admin グループと ipaservers ホストグループが使用可能

Identity Management (IdM) には以下の 2 つのグループが導入されました。
  • ユーザーグループ admins: このグループに所属すると、IdM で完全な管理者の権限が割り当てられます。
  • ホストグループ ipaservers: 完全な管理者権限がないユーザーにより、このグループのホストをレプリカの権限に昇格させることができます。IdM サーバーはすべてこのグループのメンバーです (BZ#1211595)。

IdM で Web UI での OTP 生成をサポート

Identity Management (IdM) は、Web UI でホストを追加する際にワンタイムパスワード (OTP) の生成をサポートするようになりました。Add host ダイアログの Generate OTP チェックボックスを選択します。ホストを追加すると、ウィンドウに生成された OTP が表示されます。ホストをドメインに参加させる際にこのパスワードを使用できます。この手順により、プロセスが簡素化され、強力な OTP を設定できます。OTP を上書きするには、ホストの詳細ページに移動して Action をクリックし、Reset One-Time-Password を選択します (BZ#1146860)。

sudo ルールを期限切れとしてマークする新しい sss_cache オプション

今回の更新では、System Security Services Daemon (SSSD) からの sss_cache コマンドが拡張されました。sudo ルールすべてを期限切れとマークするためのオプション -r-R が追加されました。これにより、管理者は次回の sudo 検索の際に、強制的に新しいルールを更新できるようになります。sudo ルールは、ユーザーやグループのエンティティーとは異なるアルゴリズムを使用して更新される点に注意してください。このメカニズムに関する情報は sssd-sudo(5) man ページを参照してください (BZ#1031074)。

新規パッケージ: custodiapython-jwcrypto

今回の更新では custodia パッケージとその依存関係 python-jwcrypto が Red Hat Enterprise Linux 7 に追加されました。
Custodia はシークレットの要求や配信を行う HTTP ベースのパイプラインのことで、認証、承認、要求処理、シークレット管理のストレージステージングを処理します。Custodia は現在、Red Hat Identity Management の内部サブシステムとしてのみサポートされます。
パッケージ python-jwcrypto は、Python の JavaScript Object Signing and Encryption (JOSE) のウェブ標準で、Custodia の依存関係としてインストールされます (BZ#1206288)。

新規パッケージ: python-gssapi

今回の更新では、Red Hat Enterprise Linux 7 に python-gssapi パッケージが追加され、Python 2 および 3 との互換性のある Generic Security Services API (GSSAPI) が提供されます。Identity Management (IdM) は、Python 2 のみをサポートする python-krbV および python-pykerberos の代わりに、このパッケージを使用します (BZ#1292139)。

新規パッケージ: python-netifaces

今回の更新では、Red Hat Enterprise Linux 7 に python-netifaces パッケージが追加されました。この Python モジュールは、オペレーティングシステムからシステムネットワークインターフェースの情報を読み込むことができます。Red Hat Identity Management (IdM) の依存関係として追加されました (BZ#1303046)。

新規パッケージ: mod_auth_openidc

今回の更新では、Red Hat Enterprise Linux 7 に mod_auth_openidc パッケージが追加されました。このパッケージにより、Apache HTTP サーバーをシングルサインオン (SSO) の OpenID Connect Relying Party として、または OAuth 2.0 Resource Server として機能させることができます。Web アプリケーションは、Keycloak のオープンソースプロジェクトや Red Hat Single Sign-On (SSO) 製品などの各種 OpenID Connect サーバー実装と対話するモジュールを使用できます (BZ#1292561)。

IdM で DNS の場所をサポート

今回の更新では、Identity Management (IdM) が統合された DNS サーバーに DNS の場所管理のサポートを追加することで、クロスサイトの実装を向上しました。以前のリリースでは、DNS レコードを使用して IdM サーバーを特定していたクライアントは、地理的ロケーションがリモートにあるサーバーと、ローカルのサーバーを区別することができませんでした。今回の更新では、クライアントは DNS 検出を使用して最寄りのサーバーを検索でき、最適な方法でネットワークを使用できるようになりました。そのため、管理者は、DNS の場所を管理して、IdM の Web ユーザーインターフェースおよびコマンドラインを使用してサーバーを割り当てることができるようになりました。

IdM で AD ドメインへの外部信頼を確立

Red Hat Enterprise Linux Identity Management (IdM) には、フォレスト内の Active Directory (AD) ドメインに対して外部信頼を確立するサポートが追加されました。これにより、AD フォレスト全体を信頼するのではなく、信頼関係を特定のドメインに制限することができます (BZ#1314786)。

IdM で別の UPN を使用したログインをサポート

Active Directory (AD) フォレストでは、デフォルトのドメイン名ではなくユーザー名に、異なるユーザープリンシパル名 (UPN) のサフィックスを関連付けることができるようになり、Identity Management (IdM) では、信頼された AD フォレストからのユーザーが別の UPN を使用してログインすることができるようになりました。
さらに System Security Services Daemon (SSSD) は、IdM サーバーが別の UPN をサポートしているかどうかを検出するようになりました。サポートされている場合には、SSSD は、クライアント上でこの機能を自動的に有効化します。
信頼された AD フォレストに対して UPN サフィックスの追加や削除を行うには、IdM マスター上で ipa trust-fetch-domains を実行して、IdM データベース内の信頼されたフォレストの情報を更新します。

IdM でサブ CA をサポート

以前のリリースでは、Identity Management (IdM) は IdM ドメイン内で発行された全証明書の署名に使用する証明局 (CA) を 1 つのみサポートしていました。今回のリリースでは、軽量のサブ CA を使用して、証明書の使用目的に合わせてより良く制御ができるようになりました。たとえば、特定の目的で作成されたサブ CA で発行した証明書のみを受け入れて、スマートカード CA などの他のサブ CA で発行した証明書を拒否するように、仮想プライベートネットワーク (VPN) サーバーを設定することができます。
certmonger で証明書を要求する際に IdM の軽量のサブ CA を指定することで、この機能がサポートされるようになりました。

SSSD で Kerberos のホストキータブの自動更新をサポート

以前のリリースでは System Security Services Daemon (SSSD) には Active Directory (AD) の Kerberos のホストキータブファイルを自動的に更新するサポートがありませんでした。セキュリティーの理由から有効期限のないパスワードを使用できない環境では、ファイルを手動で更新する必要がありました。今回の更新では、SSSD により、Kerberos のホストキータブファイルが自動的に更新されるようになりました。
SSSD は、/etc/sssd/sssd.conf ファイルの ad_maximum_machine_account_password_age パラメーターで設定した日数よりもマシンアカウントのパスワードが古いかどうかを 1 日に 1 回確認します。

IdM でユーザーのプリンシパルエイリアスをサポート

以前のリリースでは、Identity Management (IdM) はユーザー名を使用した認証のみをサポートしていましたが、環境によっては、メールアドレスやエイリアス名で認証を行う必要がある場合がありました。IdM が拡張され、プリンシパルエイリアスのサポートが追加されました。System Security Services Daemon (SSSD) が更新され、この機能がサポートされるようになりました。
エイリアス ualiasuser@example.com をアカウント user に追加するには、以下のコマンドを実行します。
# ipa user-add-principal user ualias user\\@example.com
エイリアスと併用する場合には kinit コマンドに -C オプションを、エンタープライズのプリンシパル名を使用する場合には -E オプションを使用してください。
# kinit -C ualias
# kinit -E user@example.com
(BZ#1328552、BZ#1309745)

SSSD のキャッシュの更新によるパフォーマンスの向上

以前のリリースでは、System Security Services Daemon (SSSD) はキャッシュの期限が過ぎると常に、キャッシュされたエントリーはすべて更新されていました。これにより、変更の必要のないエントリーに対して、クライアントやサーバー上で必要のないリソースを消費していました。SSSD は強化され、キャッシュされたエントリーで更新が必要かどうかがチェックされるようになりました。変更のないエントリーについては、タイムスタンプの値が増えて、この値は新しい SSSD データベース /var/lib/sss/db/timestamps_$domain.ldb に保存されます。今回の拡張により、グループなど、サーバー側でほぼ変更がないエントリーのパフォーマンスが向上されます (BZ#1290380)。

SSSD で IdM スキーマに保存される sudo ルールをサポート

以前のリリースでは、System Security Services Daemon (SSSD) は互換性のあるプラグインにより生成された ou=sudoers コンテナーを使用して sudo ルールを取得していました。SSSD は、Identity Management (IdM) ディレクトリースキーマに保存されている cn=sudo コンテナーの sudo ルールをサポートするように拡張されました。
この機能を有効にするには、/etc/sssd/sssd.conf ファイルの ldap_sudo_search_base パラメーターの指定を解除しました (BZ#789477)。

SSSD で大量の RID がある環境において AD クライアントの ID 範囲を自動的に調整

System Security Services Daemon (SSSD) サービスに含まれる自動 ID マッピングのメカニズムでは、ID 範囲ドメインをマージできるようになりました。ID 範囲の SSSD のデフォルトサイズは 200,000 です。大規模な Active Directory (AD) のインストールでは、RID (Relative ID) に対応するために Active Directory の RID が 200,000 を超えた場合には、管理者は SSSD に割り当てられた ID 範囲を手動で調整する必要がありました。
今回の機能拡張により、ID マッピングが有効になっている AD クライアントでは、SSSD が上記のような状況で自動的に ID 範囲を調整します。このため、管理者は手動で ID 範囲を調節する必要がなく、デフォルトの ID マッピングメカニズムは大規模な AD 環境でも機能します (BZ#1059972)。

新たな sssctl のオプション「remove-cache」

今回の更新では、sssctl ユーティリティーに remove-cache オプションが追加されました。このオプションは、ローカルの System Security Services Daemon (SSSD) データベースのコンテンツを削除して sssd サービスを再起動します。これにより、管理者は SSSD をクリーンな状態で起動して、キャッシュファイルを手動で削除する必要がなくなります (BZ#1007969)。

レガシーの IdM クライアントのパスワード変更

以前のリリースでは、Red Hat Enterprise Linux に slapi-nis のバージョンが含まれており、レガシーの Identity Management (IdM) クライアント上でパスワードの変更ができず、slapi-nis 互換性ツリー経由でクライアントにログインしているユーザーは、IdM の Web UI を使用するか、直接 Active Directory (AD) からしか、パスワードの更新ができませんでした。修正が適用されて、ユーザーはレガシーの IdM クライアントでパスワードを変更できるようになりました (BZ#1084018)。

ldapsearch コマンドで操作属性すべてが返される

LDAP の検索では IETF RFC 3673 に記載の操作属性がすべて返されるようになりました。検索で + 文字を使用すると、バインドされた識別名 (DN) が利用可能な操作属性すべてが返されます。返される結果は適用されるアクセス制御命令 (ACI) により限定される可能性があります。
検索例は以下のようになります。
ldapsearch -LLLx -h localhost -p 10002 -b ou=people,dc=example,dc=com -s base '+'
dn: ou=People,dc=example,dc=com
この機能の追加情報は https://tools.ietf.org/html/rfc3673 を参照してください (BZ#1290111)。

ログのタイムスタンプの精度向上

今回の更新では、Directory Server ログのタイムスタンプの精度が向上されました。デフォルトで 1 秒単位の精度からナノ秒単位に改善されました。今回の強化により、Directory Server のイベントをより詳細にわたり分析でき、外部ログシステムが正しく Directory Server からのログを再構築して組み込むことができるようになりました。
以前のリリースでは、ログエントリーに以下の例のようなタイムスタンプが含まれていました。
[21/Mar/2016:12:00:59 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
今回の更新では、同じログエントリーにおいて正確なタイムスタンプが含まれるようになりました。
[21/Mar/2016:12:00:59.061886080 +1000] conn=1 op=0 BIND dn="cn=Directory Manager" method=128 version=3
以前のタイムスタンプの形式に戻すには cn=confignsslapd-logging-hr-timestamps-enabled 属性を false に設定します (BZ#1273549)。

ユーザーパスワードを変更すると、shadowLastChange 属性が必ず更新される

以前のリリースでは、ユーザーがパスワードを変更すると passwordExpirationTime 属性は更新されますが、shadowLastChange 属性は更新されませんでした。Active Directory などの Directory Server と対話する可能性のあるシステムでは、両属性を更新する必要があるため、このような動作が原因で同期エラーが発生する可能性がありました。今回の更新では、ユーザーパスワードに変更があると、両属性が更新され、同期の問題が発生しなくなりました (BZ#1018944)。

ns-slapd で監査ログに失敗した操作を記録

以前のリリースでは、ns-slapd は問題なくディレクトリーに変更を加えられた場合にのみログを記録していました。今回の更新では、変更に失敗した場合に失敗した変更、内容、失敗の理由をロギングするサポートが追加されました。このサポートにより、ディレクトリーの内容の変更に失敗したアプリケーションのデバッグや、攻撃の危険性の検出が今までより簡単になります (BZ#1209094)。

Directory Server インスタンスのステータスを表示する新規ユーティリティー

Directory Server には status-dirsrv コマンドラインユーティリティーが含まれるようになり、1 つまたはすべてのインスタンスのステータスが出力されます。以下のコマンドを使用して、既存の全インスタンスの一覧を取得します。
status-dirsrv
固有のインスタンスのステータスを表示するには、インスタンスの名前をコマンドに追加します。追加の情報およびリターンコードの一覧は status-dirsrv(8) の man ページを参照してください (BZ#1209128)。

IdM で最大 60 のレプリカをサポート

以前のリリースでは、Identity Management (IdM) は IdM ドメイン毎に最大 20 のレプリカをサポートしていましたが、今回の更新で、IdM ドメインごとのレプリカのサポート数が 60 まで増加されました。

SSSD で /etc/sssd/conf.d/ からオプションの *.conf ファイルを読み取る

System Security Services Daemon (SSSD) は、/etc/sssd/conf.d/ から*.conf ファイルを読み込むように拡張されました。これにより、全クライアントにある一般的な /etc/sssd/sssd.conf ファイルを使用し、他の設定ファイルの他の設定を追加して個別のクライアントに合わせることができます。SSSD はまず、共通の /etc/sssd/sssd.conf ファイルを読み込んでから、/etc/sssd/conf.d/ にある他のファイルをアルファベット順に読み込みます。このデーモンは、同じパラメーターが別のファイルで複数回出現した場合には、最後に読み込んだ設定パラメーターを使用します (BZ#790113)。

スキーマでのクォート (quote) の使用を有効化する新規オプション

今回の更新では、スキーマディレクトリーでクォートを使用して以前のスタイルのスキーマへのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTES 環境変数が導入されました。この機能を有効にするには、以下の変数を /etc/sysconfig/dirsrv-INSTANCE 設定ファイルに設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1368484)

OpenLDAP で SHA2 パスワードのハッシュをサポート

Red Hat Enterprise Linux 7.3 の OpenLDAP サーバーでは、SHA2 サポートのモジュールが追加されました。 pw-sha2 モジュールを読み込むには、moduleload pw-sha2 という行を /etc/openldap/slapd.conf ファイルに追加してください。
上記を追加すると、OpenLDAP で以下のハッシュを使用してパスワードを保存できます。
  • SSHA-512
  • SSHA-384
  • SSHA-256
  • SHA-512
  • SHA-384
  • SHA-256 (BZ#1292568)

pki cert-request-find コマンドが完了した呼び出し要求のシリアル番号を表示

今回の更新では、pki サブコマンドの cert-request-find が完了した呼び出し要求の呼び出し証明書に割り当てられた証明書 ID を表示するようになりました (BZ#1224642)。

IdM パスワードポリシーで有効期限なしのパスワードを有効にできる

以前のリリースでは、Identity Management (IdM) のユーザーパスワードにはすべて有効期限の日付を定義する必要がありました。今回の更新では、管理者はパスワードポリシーの Max lifetime の値を 0 に設定することでユーザーパスワードを無期限に設定することができます。
新しいパスワードポリシーの設定は新規パスワードのみに適用される点に注意してください。変更を有効にするには、ユーザーはパスワードを更新する必要があります (BZ#826790)。

ipa-getkeytab で IdM サーバーを自動検出できる

Identity Management (IdM) サーバーで ipa-getkeytab ユーティリティーを実行している場合は、-s オプションを使用してサーバー名を指定する必要がなくなりました。このような場合には ipa-getkeytab ユーティリティーは自動的に IdM サーバーを検出するようになりました (BZ#768316)。

ipa-replica-manage ユーティリティーのサブコマンドの拡張

ipa-replica-manage ユーティリティーが拡張され、以下のサブコマンドで o=ipaca バックエンドが追加でサポートされるようになりました。
  • list-ruv
  • clean-ruv
  • abort-clean-ruv
さらに clean-dangling-ruv サブコマンドが ipa-replica-manage ユーティリティーに追加されました。これにより、付随的なレプリカ更新ベクトル (RUV) を自動的に削除できるようになりました (BZ#1212713)。

samba のバージョン 4.4.4 へのリベース

samba パッケージはアップストリームのバージョン 4.4.4 にアップグレードされて、旧バージョンに対して多くのバグ修正および機能拡張が加えられています。
  • WINS nsswitch モジュールは、WINS クエリーの libwbclient ライブラリーを使用するようになりました。このモジュールを使用する WINS 名を解決するには、winbind デーモンが実行中である必要がある点に注意してください。
  • winbind expand groups オプションのデフォルト値が 1 から 0 に変更されました。
  • smbget コマンドの -u および -g オプションは、Samba コマンドのパラメーターと一致するように -U オプションに変更されました。-U オプションは username[%password] の値を受け入れます。さらに smbgetrc 設定ファイルの username および password パラメーターは、user パラメーターに変更されました。
  • smbget コマンドの -P パラメーターが削除されました。
  • Kerberos の認証情報を使用した CUPS バックエンドで印刷するには、samba-krb5-printing パッケージをインストールして、適切に CUPS を設定する必要があります。
  • Kerberos 認証情報を使用した CUPS バックエンドで、Samba を印刷サーバーとして設定できるようになりました。これには samba-krb5-printing パッケージをインストールして適切に CUPS を設定してください。
  • Samba および CTDB のヘッダーファイルは samba のインストール時に自動的にインストールされなくなりました。
smbdnmbd または winbind デーモンの起動時に、Samba により tbd データベースファイルが自動的に更新されるようになりました。Samba の起動前にデータベースをバックアップするようにしてください。Red Hat では tbd データベースファイルをダウングレードするサポートは行っていないのでご注意ください。
SMB プロトコル 3.1.1 と Linux カーネル CIFS モジュールの併用は試験段階にあり、Red Hat により提供されるカーネルではその機能を利用できないことに注意してください。
顕著な変更点に関する詳細情報は、更新前にアップストリームのリリースノートを参照してください。

AD DNS 更新を阻止する新しい net ads join オプション

net ads join コマンドには、クライアントが Active Directory (AD) に参加する際に、DNS サーバーがマシン名に更新されるのを防ぐ --no-dns-updates オプションが追加されました。このオプションにより、DNS サーバーでクライアントの更新が許可されないために DNS 更新に失敗してエラーメッセージが表示されてしまう場合に、管理者は DNS 登録を無視できるようになりました (BZ#1263322)。

NetBIOS 名を設定する新しい realm join オプション

realm join コマンドに、個別の NetBIOS 名を設定する --computer-name オプションが追加されました。これにより、管理者はホスト名とは別の名前を使用して、マシンをドメインに参加させることができるようになりました (BZ#1293390)。

DRMTool の名前が KRATool に変更

Certificate System (CS) の Data Recovery Manager (DRM) コンポーネントは Key Recovery Authority (KRA) と呼ばれるようになりました。この変更に合わせて一貫性を保つために、今回の更新では DRMTool ユーティリティーは KRATool に名前が変更されました。今回の移行が円滑に行えるように、互換性のシンボリックリンクが提供されている点にご注意ください。このリンクにより、スクリプトの参照など DRMTool は継続して機能します (BZ#1305622)。

OpenJDK 1.8.0 の明示的な依存関係

現在の PKI コードは OpenJDK 1.8.0 で機能することだけが検証されています。以前のリリースでは、PKI は別の一般的な java リンクに依存しており、このリンクは OpenJDK 1.8.0 を参照していることが仮定となっていました。さまざまな理由でこのような別の設定が変更される可能性があるために、設定の変更が原因で PKI に問題が発生する可能性がありました。
PKI を常に正しく機能させるために、その他の Java のインストールに関係なく、OpenJDK 1.8.0 の最新の更新を常に参照する jre_1.8.0_openjdk リンクだけに依存するように、PKI が変更されました (BZ#1347466)。

ipa *-find コマンドがメンバーエントリーを表示しない

Identity Management (IdM) ipa *-find コマンドの新しいデフォルト設定では、ホストグループなどのメンバーエントリーを表示しなくなりました。メンバーエントリーを大量に解決するとリソースを大量に消費し、コマンドの出力が長くなり解読できなくなる可能性があるので、デフォルトが変更されました。メンバーエントリーを表示するには、以下のように ipa *-find コマンドで --all オプションを指定してください。
# ipa hostgroup-find --all
(BZ#1354626)

Certificate System で CRL の開始 ID の設定をサポート

Red Hat Certificate System は、/etc/pki/default.cfg ファイルで pki_ca_starting_crl_number オプションを使用した証明書失効リスト (CRL: Certificate Revocation List) の開始 ID の設定をサポートするようになりました。これにより、管理者は Certificate System に発行済みの CRL が指定された認証局 (CA) を移行できるようになりました (BZ#1358439)。

発行者 DN を証明書に追加する新しい pki-server サブコマンド

Certificate Server が拡張されたために、新しい証明書レコードに発行者 DN が保存されるようになり、REST API の証明書検索による発行者 DN での証明書のフィルタリングをサポートできるようになりました。発行者 DN を既存の証明書レコードに追加するには、以下を実行してください。
# pki-server db-upgrade
(BZ#1305992)

Certificate System で以前の CRL を削除

以前のリリースでは、ファイルベースの証明書失効リスト (CRL) の公開機能が Certificate System で有効になっている場合は、このサービスにより、以前のファイルが削除されずに、定期的に新しい CRL ファイルが作成されており、Certificate System を実行するシステムは最終的に容量がなくなる可能性がありました。この問題に対処するために、/etc/pki/pki-tomcat/ca/CS.cfg ファイルに、以下の新しい設定オプションが 2 つ追加されました。
  • maxAge: ファイルが失効して削除されるまでの日数を設定します。デフォルトは 0 (削除なし) です。
  • maxFullCRLs: CRL の最大保存数を設定します。新しいファイルが公開されると、最も古いファイルが削除されます。デフォルトは 0 (制限なし) です。
これらのオプションが追加された結果、Certificate System が以前の CRL ファイルを処理する方法を設定できるようになりました (BZ#1327683)。

クローン作成のために pkispawn の設定で証明書のニックネームを指定

クローンのインストール中に、クローンは pkispawn 設定ファイルの pki_clone_pkcs12_path パラメーターで指定した PKCS #12 ファイルからのシステム証明書をインポートします。以前のリリースでは、PKCS #12 ファイルの証明書のニックネームを指定する必要はありませんでした。
新しい IPA 要件が追加されたために、証明書のインポートメカニズムを変更する必要がありました。今回の更新では、証明書が正しいトラストの属性を指定してインポートされるようになり、PKCS #12 ファイルの CA 署名の証明書および監査署名の証明書のニックネームを以下のパラメーターに指定する必要があります。
  • pki_ca_signing_nickname
  • pki_audit_signing_nickname (BZ#1321491)

既存の CA 証明書とキーを使用した Certificate System のデプロイ

以前のリリースでは、Certificate System は証明局 (CA) の証明書のキーをシステム内で生成していました。今回の更新では、キーの生成はオプションとなり、Certificate System は、既存の CA 証明書とキーの再利用をサポートするようになりました。CA 証明書とキーは、PKCS #12 ファイルやハードウェアセキュリティーモジュール (HSM) を使用して提供できます。このメカニズムにより、管理者は既存の CA を Certificate System に移行できるようになりました (BZ#1289323)。

クライアントとしての役割を果たすインスタンスの個別暗号化一覧

この機能が導入される前は、Certificate System インスタンスがサーバーだけでなく、クライアントとして機能している場合に server.xml ファイルに指定された暗号化一覧を使用していました。場合によっては、特定の暗号化が推奨されないことや、機能しないことがありました。今回の更新では、Certificate System のサブシステム 2 台の間の通信を行うクライアントとしてサーバーが機能している場合に、許可されている SSL 暗号化一覧を指定することができるので、管理者はより厳密な制御ができるようになりました。この暗号化一覧は、サーバー上に保存されている一覧とは異なります (BZ#1302136)。

BEGIN/END PKCS7 ラベルの付いた PKCS #7 証明書チェーンのサポート

RFC 7468 に準拠するために、PKI ツールは、BEGIN/END CERTIFICATE CHAIN ラベルではなく、BEGIN/END PKCS7 ラベルの付いた PKCS #7 証明書チェーンを受け入れ、生成するようになりました (BZ#1353005)。

krb5 のバージョン 1.14.1 へのリベース

krb5パッケージがアップストリームバージョン 1.14.1 にアップグレードされ、複数の機能拡張、新機能、バグ修正が追加されています。特に、このパッケージには、セキュリティーを向上するために認証インジケーターサポートが実装されています。詳しい情報は、http://web.mit.edu/kerberos/krb5-latest/doc/admin/auth_indicator.html (BZ#1292153) を参照してください。

Kerberos クライアントで設定スニペットをサポート

/etc/krb5.conf ファイルは、/etc/krb5.conf.d/ ディレクトリーから設定スニペットを読み込むようになり、既存の配信設定標準や、暗号化ポリシー管理に準拠できるようになりました。そのため、ユーザーは設定ファイルを分割して /etc/krb5.conf.d/ ディレクトリーにスニペットを保存できるようになりました (BZ#1146945)。

IdM のバージョン 4.4.0 へのリベース

ipa* パッケージはアップストリームのバージョン 4.4.0 にアップグレードされて、旧バージョンに対して多くのバグ修正および機能拡張が加えられています。
  • プロビジョニングの加速化、Kerberos 認証、多数のメンバーを使用したユーザーおよびグループ操作など Identity Management (IdM) が向上されました。
  • DNS ロケーションが追加され、支店にあるクライアントはリモートサーバーにフォールバックできるローカルサーバーのみに問い合わせできるようになりました。
  • 集約されたレプリケーショントポロジー管理
  • サポートありのレプリケーションパートナーの数はレプリカ 20 個から 60 個に増加しました。
  • ワンタイムパスワード (OTP) および RADIUS の認証インジケーターサポート。ホストおよびサービスに対して個別に認証インジケーターを有効化できます。
  • サブ CA サポートにより、管理者は、特定のサービスの証明書を発行する個別の証明局を作成できるようになります。
  • Active Directory (AD) ユーザー向けのスマートカードのサポートが拡張され、管理者はスマートカードの証明書を AD に保存できるようになりました。保存できない場合は、IdM に保存されます。
  • IdM サービスの API のバージョン化
  • AD での既存のトラストの確立のサポート
  • 代わりとなる AD ユーザーのプリンシパル名 (UPN) のサフィックス (BZ#1292141)

SSSD で AD サーバーから autofs マップを取得

/etc/sssd/sssd.conf ファイルの [domain] セクションの autofs_provider=ad の設定を使用できるようになりました。この設定により、System Security Services Daemon (SSSD) は、Active Directory サーバーからの autofs マッピングをフェッチします。
以前のリリースでは、AD の autofs マッピングを保存する必要がある場合には、AD サーバーの管理者は autofs_provider=ldap の設定を使用して、手動でバインドメソッド、検索ベース、その他のパラメーターなど LDAP プロバイダーの設定を行う必要がありました。今回の更新では、sssd.confautofs_provider=ad しか設定する必要はありません。
SSSD では、AD に保存されている autofs のマッピングは RFC2307: https://tools.ietf.org/html/rfc2307 で定義されている形式に準拠する必要があります (BZ#874985)。

dyndns_server オプションで動的 DNS の更新を受信する DNS サーバーを指定

System Security Services Daemon (SSSD) は、/etc/sssd/sssd.conf ファイルの dyndns_server オプションをサポートするようになりました。このオプションは、dyndns_update オプションが有効になっている場合には、DNS レコードで自動的に更新される DNS サーバーを指定します。
たとえば、DNS サーバーがアイデンティティーサーバーと異なる環境で便利です。このような場合には、dyndnds_server を使用することで、SSSD が指定の DNS サーバー上で DNS レコードを更新できるようになります (BZ#1140022)。

SSSD で full_name_format=%1$s を使用して AD で信頼されるユーザーの出力名を略式名に設定することをサポート

以前のリリースでは、トラストの設定において、特定の System Security Services Daemon (SSSD) 機能は、/etc/sssd/sssd.conf ファイルの full_name_format オプションのデフォルト値を使用する必要がありました。full_name_format=%1$s を使用して、信頼された Active Directory (AD) ユーザーの出力形式を略式名に設定することで、他の機能で問題が発生していました。
今回の更新では、出力形式と、ユーザー名の内部での表現を切り離し、その他の SSSD 機能を破損することなく full_name_format=%1$s を使用できるようになりました。
default_domain_suffix オプションが sssd.conf で指定されている場合以外は、入力する名前には、完全修飾名を指定する必要がある点に注意してください (BZ#1287209)。

AD DNS のホスト名を使用した IdM のクライアントの設定と制約に関する説明をドキュメントに追加

Identity Management (IdM) のドキュメントが強化され、信頼された Active Directory (AD) ドメインの DNS 名前空間に配置されている IdM クライアントの設定に関する説明が追加されています。これは、推奨の設定でなく、制約がある点に注意してください。たとえば、シングルサインオンの代わりにこれらのクライアントにアクセスできるには、パスワード認証のみとなっています。Red Hat は、常に AD が所有するゾーンではない DNS ゾーンに IdM クライアントをデプロイして、IdM ホスト名で IdM クライアントにアクセスすることを推奨します。

Certificate System でインストール別の SSL 暗号化設定をサポート

以前のリリースでは、インストール時に使用するデフォルトの暗号化とは重複しないカスタマイズされた暗号化セットが既存の Certificate Server にある場合には、既存のインスタンスと連携させるために、新規インスタンスはインストールできませんでした。今回の更新では、Certificate System は 2 段階インストールを使用して SSL 暗号化をカスタマイズでき、この問題を回避できるようになりました。Certificate System インスタンスのインストール中に暗号化を設定するには、以下を実行してください。
1. pki_skip_configuration=True オプションが含まれるデプロイメント設定ファイルを用意します。
2. デプロイメント設定ファイルを pkispawn コマンドに渡して、インストールの最初の部分を開始します。
3. /var/lib/pki/<instance>/conf/server.xml ファイルの sslRangeCiphers オプションにおいて暗号化を設定します。
4. デプロイメント設定ファイルの pki_skip_configuration=True オプションは pki_skip_installation=True に置き換えます。
5. 同じ pkispawn コマンドを実行して、インストールを完了します (BZ#1303175)。

レプリカ解放のタイムアウトの設定に関する新しい属性

以前のリリースでは、マスターが同時に更新を受信する複数のマスターレプリケーション環境で、1 つのマスターがレプリカへの専用アクセスを取得して、ネットワーク接続が遅いなどの問題が原因で非常に長い間そのアクセスを保持することができました。この期間中は、他のマスターは、同じレプリカにアクセスできず、レプリケーションプロセスのかかる時間が大幅に増加していました。
今回の更新では、nsds5ReplicaReleaseTimeout という新しい設定属性が追加され、秒数でタイムアウトを指定することができます。指定したタイムアウトの期間を過ぎると、マスターはレプリカを開放して、他のマスターがそのレプリカにアクセスして、更新を送信することができるようになります (BZ#1349571)。

第6章 クラスタリング

Pacemaker がアラートエージェントをサポート

クラスターイベントの発生時に Pacemaker アラートエージェントを作成して外部で一部の処理を行うことができるようになりました。 クラスターは環境変数を用いてイベントの情報をエージェントに渡します。エージェントは、E メールメッセージの送信、ログのファイルへの記録、監視システムの更新など、この情報を自由に使用できます。アラートエージェントの設定に関する詳細は、Red Hat Enterprise Linux 7 High Availability Add-On リファレンス (https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html) を参照してください (BZ#1315371)。

PacemakerSBD フェンシング設定をサポート

SBD デーモンはウォッチドッグデバイスである Pacemaker と統合し、フェンシングが必要なときにノードが確実に独自に終了するよう調整します。今回の更新では、PacemakerSBD を設定するための pcs stonith sbd コマンドが追加され、Web UI から SBD を設定できるようになりました。SBD のフェンシングは、従来のフェンシングメカニズムを使用できない環境で便利です。SBDPacemaker の使用に関する詳細は、 https://access.redhat.com/articles/2212861 の Red Hat ナレッジベースの記事を参照してください (BZ#1164402)。

アクティブな Pacemaker Remote ノード で pacemaker_remote サービスが停止するとリソースが正常に移行される

アクティブな Pacemaker Remote ノード で pacemaker_remote サービスが停止すると、クラスターはそのノードを停止する前に正常にリソースをそのノードから移行させます。これまでは、(yum update といったコマンドによって) このサービスが停止すると、ノードが最初にクラスターから明示的に除かれない限り、Pacemaker Remote ノードはフェンシングされていました。Pacemaker Remote ノードにおけるソフトウェア更新や他の定期的なメンテナンス作業はこれまでよりも大幅に容易になっています。
注記: ノードにおけるこの機能を使用可能とするには、クラスター内の全ノードをこの機能に対応するバージョンにアップグレードする必要があります (BZ#1288929)。

ゲストノードの作成に使用される Pacemaker クラスターリソースをリソースグループのメンバーにすることが可能

Pacemaker の以前のバージョンは、ゲストノードをグループに含めることをサポートしませんでした。Red Hat Enterprise Linux 7.3 では、ゲストノードの作成に使用される VirtualDomain などの Pacemaker クラスターリソースをリソースグループのメンバーにすることができるようになりました。これは、仮想マシンをそのストレージに関連付ける場合などに便利です (BZ#1303765)。

pcsd が SSL オプションおよび暗号化の設定をサポート

ある理由でプロトコルバージョンや暗号化が弱いと判断され、脆弱性が見つかった場合、ユーザーは pcsd サービスで SSL または TSL プロトコルの暗号や特定バージョンを簡単に無効にできませんでした。今回の更新では、ユーザーは pcsd の SSL オプションおよび暗号を簡単に設定できるようになり、RC4 暗号とバージョン 1.1 以下の TLS プロトコルはデフォルトで無効になりました (BZ#1315652)。

pcs がライブクラスターで期待される票の設定をサポート

クラスターでノードに障害が発生した場合、クラスターをリカバリするために期待される票 (vote) を手動で少なくする必要があることがあります。pcs quorum expected-votes コマンドを使用してライブクラスターで期待される票を設定できるようになりました (BZ#1327739)。

Pacemaker 使用状況属性を設定するサポートが追加された

pcs コマンドと pcsd Web UI を使用して Pacemaker 使用状況属性を設定できるようになりました。これにより、特定のノードが提供する容量、特定のリソースが提供する容量、およびリソースの配置に関する全体的な方針を設定できます。使用状況と配置方針については、https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/index.html を参照してください (BZ#1158500)。

第7章 コンパイラーとツール

IBM z Systems z13 での新たな命令のサポート

GCC の新バージョンでは、SIMD 命令のサポートに加え、IBM z Systems z13 の新規ハードウェアの命令もサポートされています。新規の組み込みを有効にするには、-march=z13 コマンドラインオプションが必要になります (BZ#1182152)。

GCC が POWER8 向けに最適化されたコードを生成

PowerPC 64 LE アーキテクチャー上では、GCC コンパイラーは --with-cpu=power8--with-tune=power8 のパラメーターで設定され、GCC が POWER8 プラットフォーム向けに最適化されたコードを生成するようになっています (BZ#1213268)。

Intel メモリー保護キー (IMPK) のサポート

今回の更新で GCC コンパイラーは、IMPK のサポートを提供するようになりました。これでコンパイラーが新規 PKU 命令を生成することができます。この新規命令は、-mpku コマンドラインオプションを使用すると有効にできます (BZ#1304449)。

gcc-libraries のリベース

gcc-libraries パッケージが最新の GCC 5 バージョンにリベースされ、アップストリームバージョンからの各種バグ修正や機能拡張を含むようになっています (BZ#1265252)。

GDB が IBM z13 機能をサポート

今回の更新では、IBM z13 機能を活用したデバッグコードの GDB 拡張が提供されています。これには、拡張 IBM z13 指示の逆アセンブル、128 ビット幅のベクトルレジスタ v0-v31 を使用した SIMD 命令のサポートが含まれます。IBM z13 向けに最適化されたコードは GDB でデバッグできるようになり、inferior call 中に正確な命令ニーモニックやベクトルレジスタを表示し、ベクトルレジスタコンテンツを取得し、渡します (BZ#1182151)。

binutils がバージョン 2.25.1 にリベース

リベースされた binutils パッケージの主な特徴は以下の通りです。
  • strings プログラムで --data コマンドラインオプションが利用可能になり、読み込み可能で初期化されたデータセクションの文字列のみをプリントします。デフォルト動作は、--all コマンドラインオプションに合致するように変更されています。
  • strings プログラムで --include-all-whitespace コマンドラインオプションが利用可能になり、非表示 ASCII 文字を文字列の一部として扱います。これには、Enter キーや行終端文字とみなされるであろう改行文字が含まれます。
  • objcopy プログラムで --dump-section コマンドラインオプションが利用可能になり、名前付けされたセクションを抽出して、別のファイルにコピーします。
  • objcopy プログラムでセクション名を取るコマンドラインオプションでワイルドカード文字に対応するようになっています。
  • as アセンブラーで --gdwarf-sections コマンドラインオプションが利用可能になり、コード別セクションの DWARF.debug_line セクションの生成が可能になっています。これにより、対応するコードセクションがリンカーガベージコレクションにより削除される際に、該当セクションの削除が促進されます (BZ#1341730)。

IBM z Systems アーキテクチャーへの z13 拡張のサポート

今回の更新では、複数のアップストリームパッチが単一のものにまとめられ、Red Hat Enterprise Linux 7 binutils パッケージに適用されています。z13 拡張がサポートされるようになっています (BZ#1364516)。

MWAITX のサポート

更新された 32 ビット AMD および Intel アーキテクチャー向け binutils パッケージは MWAITX 命令をサポートしています (BZ#1335684)。

Zeppelin のサポート

更新された 32 ビット AMD および Intel アーキテクチャー向け binutils パッケージは Zeppelin 拡張をサポートしています (BZ#1335313)。

大型システム拡張のサポート

更新された binutils パッケージは、AArch64 への大型システム拡張をサポートしています。また、.arch_extension 擬似命令のサポートも追加されています (BZ#1276755)。

elfutils がバージョン 0.166 にリベース

elfutils パッケージには、実行可能コードの作成とメンテナンスに関連する多くのユーティリティーおよびライブラリーが含まれています。これがバージョン 0.166 にアップグレードされました。主な改善点は以下の通りです。
  • stripunstrip - これらのユーティリティーは、マージした strtab/shstrtab 表のある ELF ファイルを処理できるようになっています。
  • elfcompress - ELF セクションを圧縮、圧縮解除する新たなユーティリティーです。
  • readelf - 新たな -z,--decompress オプションです。
  • libelf および libdw に新たな関数が追加され、以下の圧縮された ELF セクションを処理します: elf_compresself_compress_gnuelf32_getchdrelf64_getchdr、および gelf_getchdr
  • libdwelf - 新たな dwelf_scn_gnu_compressed_size() 関数です。
  • 新たな libelf および libdw pkgconfig (パッケージ設定) ファイル。
(BZ#1296313)

valgrind がバージョン 3.11.0 にリベース

Valgrind は、メモリーのデバッグ、メモリーリークの検出、およびアプリケーションのプロファイルに使用されるインストルメンテーションフレームワークです。これがアップストリームのバージョン 3.11.0 にアップグレードされました。主な改善点は以下の通りです。
  • JIT のレジスタアロケータが大幅に速くなり、プログラムの起動といった JIT 集約型アクティビティーがおよそ 5% 速くなっています。
  • Intel AVX2 のサポートが 64 ビットのターゲットでより完全なものになっています。AVX2 対応ホスト上で、シミュレートされた CPUID が AVX2 サポートを示すようになっています。
  • 自動 D-I キャッシュコヒーレンスを提供するターゲット上における --smc-check オプションのデフォルト値が stack から all-non-file に変更されています。この結果、デフォルトでは全ターゲット上でJIT が生成した自己書き換えコードの透過的サポートが提供されます。
Memcheck ユーティリティーの主な新機能は以下の通りです。
  • --leak-check-heuristics オプションのデフォルト値が none から all に変更されました。これにより、特に C++ アプリケーションにおけるブロック損失の数が削減されます。
  • --keep-stacktraces オプションのデフォルト値が malloc-then-free から malloc-and-free に変更されています。これはメモリーを多少費やしますが、Memcheck で、ブロックが割り当てられた場所、ブロックが解放された場所、解放後にアクセスされた場所という、ダングリングリファレンスの 3 つのスタックトレースを表示できるようになります。
  • --partial-loads-ok オプションのデフォルト値が no から yes に変更され、特定のベクトル化ループから発生する誤検知エラーを回避します。
  • 新たな gdb モニターコマンド xb [addr] [len][addr][len] バイトの有効性を示します。監視コマンド xbは、バイトデータ値を対応する有効性ビットに関連付ける必要がある際に、get_vbits よりも簡単に使用できます。
  • block_list gdb モニターコマンドの機能が拡張されました。損失レコードの範囲がプリント可能で、オプション引数 limited [max_blocks] を受け付けてプリントするブロック数を制御できます。ヒューリスティックを使用してブロックが発見された場合は、block_list ではブロックサイズの後にそのヒューリスティックを表示します。プリントする損失レコード/ブロックは、指定されたヒューリスティックで見つかったブロックに限定することができます。
  • コマンドラインオプション --expensive-definedness-checks=yes|no が新たに追加されました。これは、最適化されたコードで時折発生する無効な初期化されていない値のエラーを回避するために有効です。ランタイムが低下する恐れがあり、最大 25% にもなることがあることに注意してください。ただし、この遅延は特定のアプリケーションにおいて発生するものです。デフォルト値は no です。
(BZ#1296318)

valgrind でのユーザー定義の割り当て関数のインターセプション

アプリケーションによっては glibc アロケーターを使用しないものもあります。このため、valgrind でそのようなアプリケーションを実行することは常に便利なものとは限りませんでした。今回の更新では、valgrind は、通常の glibc アロケーターを使用しているかのように、自動的にユーザー定義のメモリー割り当て関数を傍受し、プログラム上で設定することなく memcheck のようなメモリー追跡ユーティリティーを使用することが可能になっています (BZ#1271754)。

systemtap がバージョン 3.0 にリベース

systemtap パッケージがアップストリームバージョン 3.0 にアップグレードされ、多くのバグ修正と機能拡張が提供されています。例えば、トランスレーターは必要とするメモリーが少なくなり、より速いコードを作成し、より多くの関数呼び出し先プローブをサポートします。また、改善された診断をプリントし、関数オーバーロードとプライベートスコーピング向けの言語拡張が含まれ、さらに実験的な --monitor--interactive のモードも導入されています (BZ#1289617)。

第 7 世代インテル Core i3、i5、および i7 プロセッサーのサポート

今回の更新では、第 7 世代インテル Core i3、i5、および i7 プロセッサー (Kabylake-U/Y) 向けのパフォーマンス監視イベントの完全セットが提供されています (BZ#1310950)。

第 7 世代インテル Core i3、i5、および i7 プロセッサーのサポート

今回の更新では、第 7 世代インテル Core i3、i5、および i7 プロセッサー (Kabylake-H/S) 向けのパフォーマンス監視イベントの完全セットが提供されています (BZ#1310951)。

libpfm がバージョン 4.7.0 にリベース

libpfm パッケージがバージョン 4.7.0 にアップグレードされ、以下の 32 ビット AMD および Intel アーキテクチャーに対応しています。
  • Intel Skylake core PMU
  • Intel Haswell-EP uncore PMUs
  • Intel Broadwell-DE
  • Intel Broadwell (デスクトップコア)
  • Intel Haswell-EP (コア)
  • Intel Haswell-EP (コア)
  • Intel Ivy Bridge-EP uncore PMUs (全ボックス)
  • Intel Silvermont core PMU
  • Intel RAPL イベントサポート
  • Intel SNB、IVB、HSW イベントテーブル更新
  • Intel イベントテーブルのメジャー更新
  • AMD Fam15h Northbridge PMU
(BZ#1321051)

gssproxy が RELRO と PIE をサポート

GSS-API gssproxy デーモンがセキュリティー関連の RELROPIE のコンパイル時間フラグを使用してビルドされ、このデーモンを強固にします。この結果、gssproxy は、ローダーメモリーエリアの上書きの試みやメモリー破壊攻撃に対してより高度なセキュリティーを提供します (BZ#1092515)。

iputils がバージョン 20160308 にリベース

iputils パッケージがアップストリームバージョン 20160308 にアップグレードされ、バグ修正および機能拡張が追加されています。特に ping コマンドは、デュアルスタック対応になっており、IPv4 と IPv6 の両方のアドレスのプローブに使用できます。以前の ping6 コマンドは ping コマンドへのシンボリックリンクとなっており、これまで通りに機能します (BZ#1273336)。

tftp サーバーのログ機能が拡張

ロギングが改善されたことで、Trivial File Transfer Protocol (TFTP) サーバーは成功と失敗を追跡できるようになっています。例えば、クライアントがファイルのダウンロードに成功したり、失敗時に file not found メッセージが提供されると、ログイベントが作成されます (BZ#1311092)。

arpwatch の新オプション: -p

今回の更新で、arpwatch ネットワーク監視ツールの arpwatch コマンドに新オプション -p が導入され、これで無作為検出モードが無効にされます (BZ#1291722)。

chrt ユーティリティーの新オプション

今回の更新で chrt ユーティリティーに以下のコマンドラインオプションが導入されました: --deadline--sched-runtime--sched-period、および --sched-deadline。これらのオプションはカーネル SCHED_DEADLINE スケジューラーを活用し、コマンドライン使用時にスクリプトの締め切りスケジュールポリシーを完全に制御できます (BZ#1298384)。

新コマンドラインユーティリティー: lsipc

今回の更新で lsipc ユーティリティーが導入され、プロセス間通信 (IPC) 設備についての情報を一覧表示します。以前の ipcs コマンドと比較すると、lsipc はより詳細な情報を提供し、スクリプト内での使用が容易で、ユーザーに使いやすいものとなっています。このため、コマンドラインで使用すると、スクリプトの IPC 情報についての出力が制御しやすくなります (BZ#1153770)。

libmountfindmnt を使用した検索の信頼性の向上

オーバーレイファイルシステムの st_dev は、libmount ライブラリーと findmnt ユーティリティーの検索で信頼性が高くありません。今回の更新で、libmountfindmntst_dev 以外の方法でマウントテーブルを検索し、場合によっては信頼性が高くなっています (BZ#587393)。

alternatives ユーティリティーの新オプション --family

今回の更新でalternatives ユーティリティーに新オプション --family が導入されています。このソフトウェアパッケージャーは、このオプションを使用して同一グループから同様の代替パッケージをファミリーにグループ化できます。グループ内のファミリーは、現在使用されている代替パッケージが削除され、これがあるファミリーに属している場合、その代替パッケージがファミリー外ではなく同一ファミリー内の最優先のパッケージに変更されます。
例えば、システムで 4 つのパッケージが同じ alternatives グループに、a1a2a3b とインストールされていたとします (優先度は後が高いとする) 。パッケージ a1a2、および a3 は同一ファミリーに属しており、現在使用されている代替パッケージは a1 とします。a1 が削除されると、代替パッケージは a3 に変更されます。ba1 ファミリー外であるため b に変更されず、a2 の優先度が a3 よりも低いため、a2 に変更されません。
このオプションは、各代替パッケージに優先度を設定するだけでは不十分な場合に便利です。例えば、openjdk 全パッケージを同一ファミリーにして、このうちのいずれかがアンインストールされた場合に、代替パッケージが java-1.7.0-oracle ではなく別の openjdk パッケージに切り替わるようにできます (別の openjdk パッケージがインストール済みの場合) (BZ#1291340)。

sos がバージョン 3.3 にリベース

sos パッケージがアップストリームバージョン 3.3 にアップグレードされ、バグ修正の他、次のような機能が追加されています。
  • OpenShift Enterprise 3.x のサポート
  • OpenStack プラグインの改善および拡張
  • Open vSwitch サポートの拡張
  • Kubernetes データ収集の拡張
  • systemd ジャーナル収集のサポート改善
  • ディスプレイマネージャーと 3D アクセラレーションデータキャプチャーの拡張
  • Pacemaker を含む Linux クラスターのサポート改善
  • CPU および NUMA トポロジー収集の拡大
  • メインフレーム (IBM z Systems) 範囲の拡大
  • マルチパストポロジーの収集 (BZ#1293044)

ethtool がバージョン 4.5 にリベース

Ethtool ユーティリティーでは、多くのネットワークデバイス、特にイーサネットデバイスでのスピードやポート、オートネゴシエーション、PCI の場所、チェックサムオフロードといった設定のクエリや変更ができます。このパッケージはアップストリームバージョン 4.5 にアップグレードされ、特に以下の点が改善されています。
  • SFP シリアル番号と日付が EEPROM ダンプに含まれます (オプション -m)。
  • 10GbE と 56GbE の組み合わせという宣伝広告されていたスピードが追加されました。
  • VMware vmxnet3 のレジスタダンプのサポートを追加 (オプション -d)。
  • デフォルトの Rx フロー間接指定テーブルの設定サポートを追加 (オプション -X)。
(BZ#1318316)

pcp がバージョン 3.11.3 にリベース

Performance Co-Pilot (PCP) は、システムレベルのパフォーマンス測定の取得、アーカイブおよび分析を行うためのツール、サービス、およびライブラリーのスイートです。このパッケージがバージョン 3.11.3 にアップグレードされ、以下のような改善点があります。
  • pcp-ipcs - プロセス間通信を表示する新コマンド
  • pcp-atopsar - http://atoptool.nl に基づく新たな PMAPI sar コマンド
  • pcp-vmstat - vmstat により近づけるように修正した pmstat 向けラッパー
  • libpcp - 新しい fetchgroup API
  • pmdamic - Intel MIC カードメトリクス向け新 PMDA
  • pmdaslurm - HPC スケジューラーメトリクスをエクスポートする新 PMDA
  • pmdapipe - コマンド出力イベントキャプチャー PMDA
  • pmdaxfs - デバイスごとの XFS メトリクスをサポート
  • pmdavmware - 現行 VMWare Perl API と機能するよう更新
  • pmdaperfevent - 派生メトリクスに関連する各種改善; NHM および WSM 向けにリファレンスクロックサイクルを追加
  • pmdaoracle - Oracle データベースメトリクスが利用可能になりかつ更新
  • pmdads389 - 正規化された dn キャッシュメトリクスを追加
  • pmdalinux - numa ノードメモリー帯域幅ごとのメトリクス、共有メモリーセグメント、IPC、MD ドライバー統計値、transparent-huge-page ゼロページ alloc カウンター、NVME デバイス、IPv6 メトリクスを追加
  • pmdaelasticsearch - デフォルトではローカルのノードメトリクスに制限し、elasticsearch API 変更に対応
  • pmdaxfs - デバイスごとの XFS メトリクスをサポート
  • pmrep - 強力かつ多様となメトリクスレポーティングユーティリティー
  • pmlogconf - Oracle データベース、nginx、elasticsearch、memcache、および mmv が提供するアプリケーションメトリクスの自動レコーディングをサポート
  • zbxpcp - Zabbix v2 と v3 に同時対応する PCP メトリクス向けの Zabbix Agent 読み込み可能モジュール
  • pmcd - pmdaroot 経由での PMDAs の起動をサポート。PMDA 失敗時に pmcd 自体を再起動することなく再起動が可能
  • sar2pcp - 新たな mem.util メトリクスおよび sysstat-11.0.1 コマンドに対応
  • pmmgr - 全般的な監視プログラム起動オプションを追加
  • pcp-atop - 最新の atop 機能で更新 (特に NFS 関連)
  • libpcp - サーバー証明書の名前のカスタマイズが可能に; 永続的なグローバルで派生したメトリクスおよびマルチアーカイブコンテキストのサポートを追加
  • pmdaproc - cgroup blkio スロットルスループットおよび IOPS メトリクス
  • pcp-iostat - 正規表現を使用したデバイス名マッチングに -R フラグを、また sumavgmin、もしくは max statistics-G フラグを追加
  • pmieconf - 応答しない PMDA の再起動を自動化する新ルール
(BZ#1284307)

OpenJDK 8 が ECC をサポート

今回の更新で、Elliptic Curve Cryptography (ECC) と TLS 接続に関連する暗号のサポートが OpenJDK 8 に追加されました。安全なネット接続を確立するには、ほとんどのケースで旧式の暗号化ソリューションではなく ECC を使用してください (BZ#1245810)。

pycurlが TLSv1.1 または 1.2 を必須とするオプションを提供

今回の更新で pycurl は、TLS プロトコルのバージョン 1.1 または 1.2 の使用を必須とすることのできるオプションをサポートするようになりました。これにより、通信のセキュリティーが向上します(BZ#1260407)。

Perl Net:SSLeay が elliptic 曲線パラメーターに対応

elliptic-curve パラメーターのサポートが Perl Net:SSLeay モジュールに追加されました。これには、OpenSSL ライブラリーへのバインディングが含まれます。つまり、EC_KEY_new_by_curve_name()EC_KEY_free*()SSL_CTX_set_tmp_ecdh()、および OBJ_txt2nid() のサブルーチンがアップストリームから移植されました。これは、IO::Socket::SSL Perl モジュールの Elliptic Curve Diffie–Hellman Exchange (ECDHE) キー交換のサポートに必要となるものです (BZ#1316379)。

Perl IO::Socket::SSL が ECDHE に対応

Elliptic Curve Diffie–Hellman Exchange (ECDHE) のサポートが IO::Socket::SSL Perl モジュールに追加されました。新しい SSL_ecdh_curve オプションは、 Object Identifier (OID) または Name Identifier (NID) ごとの適切な曲線の特定に使用できます。このため、IO::Socket:SSL を使って TLS クライアントを実装する際に、デフォルトの elliptic 曲線パラメーターを無効にできるようになっています (BZ#1316377)。

tcsh がシステム割り当て関数を使用

tcsh コマンド言語インタプリターがビルトインの割り当て関数ではなく、glibc ライブラリーからの割り当て関数を使用するようになっています。これにより、malloc() ライブラリーコールで発生していた以前の問題がなくなります (BZ#1315713)。

Python のパフォーマンス強化

CPython インタプリターは、メインの switch ステートメントで計算済み goto ステートメントを使用します。これは、Python バイトコードを実行します。この機能拡張により、インタプリターは switch ステートメントの C99 標準で必要とされていたバウンドチェックを避けることができ、CPU のブランチ予測がより効率的になり、パイプラインフラッシュを削減します。この機能拡張によって Python コードの変換はこれまでよりも格段に速くなっています (BZ#1289277)。

telnetlogin の呼び出し時に、-i による IP アドレスの使用を許可

これまではコンピューターネットワークに複数の IP アドレスがある場合、そのうちのいずれかを使って telnet サーバーに接続することは可能でしたが、他のアドレスは /var/run/utmp ファイルに保存されていました。telnet ユーティリティーが DNS ルックアップを実行せず、login ユーティリティーの呼び出し時に telnet が特定の IP アドレスを使用するよう、-i オプションを利用することが可能になりました。-i は、Debian システムの -N オプションと同じ方法で機能することに留意してください (BZ#1323094)。

sg3_utils がバージョン 1.37-7 にリベース

sg3_utils パッケージは、Small Computer System Interface (SCSI) コマンドセットを使用するデバイス用のコマンドラインユーティリティーを提供します。今回の更新で、sg_inq および sg_vpd のユーティリティーでストレージデバイスに関するより多くの機能情報のデコードが可能になりました。また、データとソフトウェアバージョン情報が正確に表示されるようになっています。sg_rdac ユーティリティーも修正されて 10 バイトのコマンド記述ブロック (CDB) モードに対応しており、最大 256 の論理ユニット番号 (LUN) の管理が可能になっています (BZ#1170719)。

Python 標準ライブラリーでの HTTP クライアント向け SSL/TLS 証明書確認に新たな設定オプション

Python 標準ライブラリーの HTTP クライアント向けに SSL/TLS 証明書を確認するアプリケーション別およびプロセス別の新設定オプションが追加されました。これらのオプションは、493 Python Enhancement Proposal (https://www.python.org/dev/peps/pep-0493/) に記載されています。デフォルトのグローバル設定では、引き続き証明書を確認しません。詳細は、https://access.redhat.com/articles/2039753 を参照してください (BZ#1315758)。

glibc が BIG5-HKSCS-2008 文字セットに対応

これまでは、glibc は香港増補字符集の以前のバージョンである BIG5-HKSCS-2004 をサポートしていました。BIG5-HKSCS のキャラクターセットマップは、標準である HKSCS-2008 改訂に更新されています。これにより、Red Hat Enterprise Linux をご使用のお客様はこの標準バージョンでエンコードされるアプリケーション処理テキストを書き込むことができます (BZ#1211823)。

memtest86+ がバージョン 5.01 にリベース

memtest86+ パッケージがアップストリームバージョン 5.01 にアップグレードされました。旧バージョンに対する多くのバグ修正および機能拡張が加えられています。主な変更点は以下のとおりです。
  • AMD64 および Intel 64 CPU で最大 2 TB の RAM をサポート
  • Intel Haswell などの新たな Intel および AMD CPU をサポート
  • 最大 32 コアの実験的 SMT サポート
変更点に関する詳細情報は、http://www.memtest.org/#change を参照して下さい (BZ#1280352)。

mcelog がバージョン 136 にリベース

mcelog パッケージがアップストリームバージョン 136 にアップグレードされ、バグ修正および機能強化が追加されています。特に第 5 世代および第 6 世代の各種インテル Core プロセッサー (Broadwell-DE/SoC、Broadwell-EP、Broadwell-EX、および Skylake Client) のサポートが追加されています (BZ#1336431)。

xz がバージョン 5.2.2 にリベース

xz パッケージがアップストリームバージョン 5.2.2 にアップグレードされ、最適化修正、競合状態の修正、変換、ポータブル性の修正、これまではテストのみで利用可能だった固定 API が新たに提供されています。さらに今回の更新では、--flush-timeout オプション (デフォルトでは off) で制御する新たな実験的機能も導入されています。圧縮時に最後のフラッシュからタイムアウトのミリ秒 (正の整数) が経過してさらなる入力の読み込みがブロックされると、保留中のすべての入力データがエンコーダーからフラッシュされ、出力ストリームで使用可能となります。これは、ネットワークでストリームされるデータの圧縮に xz ユーティリティーを使用する場合に便利です (BZ#1160193)。

tapestatsysstat に追加された

sysstat パッケージは、テープドライブのパフォーマンスを監視するために使用できる tapestat ユーティリティーを提供するようになりました (BZ#1332662)。

sysstat が大量のプロセッサーをサポートする

sysstat パッケージが Linux カーネルでサポートされるプロセッサーの最大数 (Red Hat Enterprise Linux 7.3 リリースでは 8192) をサポートするようになりました。以前は、sysstat は 2048 個を超えるプロセッサーを処理できませんでした (BZ#1258990)。

ruby がバージョン 2.0.0.648 にリベース

ruby パッケージがアップグレードバージョン 2.0.0.648 にアップグレードされ、バグおよびセキュリティー修正が提供されています。Ruby 2.0.0 はアップストリームでは非推奨となったため、これがアップストリームの最後の安定したリリースになります。最新バージョンの Ruby は、Red Hat Software Collections から入手できます (BZ#1197720)。

abrt のレポーティングワークフローの機能拡張

abrt における問題報告のワークフローの機能が拡張され、クラッシュレポーティング全般と顧客ケースの作成が改善しています。主な機能拡張は以下の通りです。
  • Provide additional information 画面で問題が繰り返し発生しているかどうかが選択でき、問題再現のステップを提供する新たな入力フィールドが含まれています。
  • Submit anonymous report という新たなレポーティングワークフローが加えられ、報告する問題が重大でない場合および Red Hat サポートチームの支援が不要な場合に使用することができます。
  • 内部論理に新たなテストが追加され、重大な問題および Red Hat がリリースしたソフトウェアについてのケースのみが開かれるようになっています (BZ#1258482)。

abrt で特定のプログラムがコアダンプを生成しないようにする

これまでは、abrt でブラックリスト化されたプログラムのクラッシュを無視してもコアダンプは作成され、ディスクに書き込まれた後に削除されていました。このアプローチでは、abrt がシステム管理者にクラッシュを通知する一方で、不要なクラッシュダンプの保存にディスクスペースを使用しないで済みました。ただし、ダンプを作成してその後に削除することは、システムリソースを不必要に浪費していました。今回の更新では、/etc/abrt/plugins/CCpp.conf 設定ファイルに IgnoredPaths の設定オプションを新たに導入したことで、コンマ区切りでファイルシステムパスのパターンを指定でき、コアダンプを全く生成しないようにすることができます (BZ#1277848)。

ユーザーおよびグループのホワイトリストを abrt に追加

これまでは、abrt ではすべてのユーザーがコアダンプの生成および収集が可能で、このため悪意を持ったユーザーが多数のコアダンプを生成してシステムリソースを浪費させることが可能でした。今回の更新では abrt にホワイトリストの機能を追加し、特定のユーザーまたはグループのみがコアダンプを生成するようにすることができます。/etc/abrt/plugins/CCpp.conf 設定ファイルで AllowedUsers = user1, user2, ...AllowedGroups = group1, group2, ... のオプションを使用するとこれらのユーザーやグループにコアダンプの生成および収集を制限できます。これらのオプションを空白にしておくと、abrt が全ユーザーおよびグループ向けにコアダンプを処理するようになります (BZ#1277849)。

ABRT が送信する E メールの形式が設定可能

reporter-mailx ユーティリティーで新コマンドラインオプション -F FORMAT_FILE を使用すると、ABRT が送信する E メールの形式を設定できるようになりました。このオプションでは、独自の形式を定義できます。-F オプションを使用しない場合は、reporter-mailx はデフォルトの形式を使用し、重要度で全要素を並べ替えます。ファイルの書式設定に関する詳細情報は、reporter-mailx(1) man ページを参照して下さい (BZ#1281312)。

Oracle ACFS が既知のファイルシステムに含まれる

これまでは、Oracle ASM クラスターファイルシステム (ACFS) は stat および tail ユーティリティーの既知のファイルシステムに記載されていませんでした。このため、tail ユーティリティーは、このファイルシステムが認識されないというエラーメッセージをプリントしていました。ACFS が既知のファイルシステム一覧に追加されたので、このエラーメッセージが表示されることがなくなりました。
また、アップストリームで認識されている他のファイルシステムも既知のファイルシステム一覧に追加されました。以下にそれらを挙げます。bpf_fsbtrfs_testconfigfshfs+hfsxibrixlogfsm1fsnsfsoverlayfsprl_fs、および tracefs (BZ#1280357)。

swig が使用する Octave 3.8 のサポート

これまでは、swig 2.0.10 が生成した Octave コードには変数やマクロなどの非推奨ビットが含まれていたため、Octave 3.8 とは機能しませんでした。今回の更新では、swig が生成するコードが Octave のバージョン 3.0.5、3.2.4、3.4.3、3.6.4、および 3.8.0 で機能するようになっています (BZ#1136487)。

sos cluster プラグインがタイプ固有のプラグインに分割

sos パッケージの cluster プラグインが複数のプラグインに分割されました (cmandlmgfs2、および pacemaker)。新たなプラグインの構成は 2 つの異なるタイプのクラスター (cman および pacemaker) を反映しており、特定のコマンドを複数回実行する必要性を省いています (BZ#1187258)。

libvpd がバージョン 2.2.5 にリベース

libvpd パッケージがアップストリームバージョン 2.2.5 にアップグレードされ、バグ修正および機能拡張が追加されています。特に、バッファオーバーフローとメモリー割り当て確認を含む複数のセキュリティー修正が実装されています (BZ#1182031)。

python-schedutilspchrtptaskset の man ページを追加

今回の更新では、python-schedutils パッケージで提供される pchrtptaskset ユーティリティーの man ページが追加されています (BZ#948381)。

subscription-manager クライアントの SSL 接続のソケットタイムアウト値が設定可能

これまでは、エンタイトルメントサーバーへの SSL 接続のソケットタイムアウト値はハードコード化されていました。今回の更新で、ユーザーは SSL タイムアウト値を /etc/rhsm/rhsm.conf ファイル内でカスタム設定できるようになっています。SSL タイムアウトで高い値を設定すると、多くのサブスクリプションが関連している負荷の高い操作が完了するように十分な時間を確保することができます (BZ#1346417)。

redhat-uep.pem CA 証明書が python-rhsm-certificates パッケージに移動

/etc/rhsm/ca/redhat-uep.pem 認証局 (CA) 証明書はこれまで python-rhsm パッケージに含まれていました。今回の更新では、この証明書を簡素化された python-rhsm-certificates パッケージに移動し、証明書のみを提供するパッケージにしています。この結果、コンテナイメージは、python-rhsm で必要とされる全パッケージの依存関係 (特に python パッケージ) なしで、python-rhsm-certificates のみでビルドできるようになっています (BZ#1104332)。

gfs2-utils がバージョン 3.1.9 にリベース

gfs2-utilsパッケージがアップストリームバージョン 3.1.9 に更新され、バグ修正の他、次のような機能が追加されています。
  • fsck.gfs2 のメモリー使用量が低下
  • fsck.gfs2 の拡張属性とリソースグループチェックを改善、修正
  • mkfs.gfs2 が進捗状況をレポートし、長時間の mkfs 操作でこれがアクティブかどうかを確認できます。
  • mkfs.gfs2 の -t オプションで長いクラスター名とファイルシステム名を受け付けます。
  • udev ヘルパースクリプトがインストールされ、取り消されたデバイスをサスペンドすることでハングを回避できます。
  • de_rahead および de_cookie のディレクトリーエントリーフィールド追加されました。
  • gfs2_edit savemeta パフォーマンスの改善
  • glocktop ユーティリティーが追加され、ロック関連のパフォーマンス問題の分析に役立ちます。
  • mkfs.gfs2(8) man ページが改訂されました。
  • rgrplbv および loccookie マウントオプションが gfs2(5) man ページに追加されました。
  • out-of-tree ビルドおよびテストの修正 (BZ#1271674)

system-switch-java がバージョン 1.7 にリベース

system-switch-java パッケージがバージョン 1.7 に更新され、システム用にデフォルトの Java ツールセットを選択する使いやすいツールを提供します。新バージョンは、最新の JDK パッケージに対応するように書き換えられました。主な機能拡張は、Java の複数インストールへの対応、-debug パッケージの追加、JDK 9 のサポートなどです (BZ#1283904)。

特定の Intel マイクロアーキテクチャー向けブランチ予測の最適化

第 2 世代 Xeon Phi および第 3 世代 Atom マイクロアーキテクチャーのブランチ予測は、ブランチとブランチターゲット間の32 ビットオフセットのみをサポートします。ブランチとブランチターゲットに 4 GiB 以上の幅がある場合は、パフォーマンスが非常に低下します。
今回の更新では、LD_PREFER_MAP_32BIT_EXEC 環境変数が設定されている場合、glibc はメインプログラムと共有オブジェクトをアドレス空間の最初の 31 ビットにマッピングし、記述されたアーキテクチャーのパフォーマンスが向上します。この改善では address space layout randomization (ASLR) が低下するので、デフォルトでは有効になっていないことに注意してください (BZ#1292018)。

AVX 512 を使用する Intel ハードウェア向けのメモリールーチンを最適化

今回の更新では、AVX 512 を使用する Intel ハードウェアで、コア C ライブラリー (glibc) へのメモリーコピールーチンが最適化されています。AVX 512 対応のハードウェア上でアプリケーションが C ライブラリーの memcpy()memmove()、または memset() 関数を使用すると、この最適化されたルーチンが自動的に選択されます。
AVX 512 対応のメモリーコピールーチンは、この機能をサポートしている最新の Intel ハードウェアで最高のパフォーマンスを発揮します。特に第 2 世代 Xeon Phi システムがこれに当たります (BZ#1298526)。

memset() ルーチンのパフォーマンス改善

今回の更新では、Intel Xeon v5 サーバーハードウェア向けコア C ライブラリー memset() ルーチンが最適化されています。AMD64 および Intel 64 アーキテクチャー向けの既存 memset() ルーチンは一時的ではないストアを大幅に使用し、このハードウェア機能はハードウェアの各バージョンで均一なパフォーマンスを提供しません。新たな memset() は、Intel Xeon v5 ハードウェアを含む各バージョンですぐれたパフォーマンスを提供します (BZ#1335286)。

glibc での --instLangs オプションのサポート

glibc-common パッケージは、glibc がサポートする全ロケール用のデータを含む大規模なロケールアーカイブを提供します。通常のインストールではこれらロケールのサブセットのみが必要となるので、これらすべてのインストールはリソースを浪費していました。今回の更新では、必要となるロケールのみを含むシステムインストールとコンテナイメージの作成が可能になり、イメージサイズが大幅に削減されます (BZ#1296297)。

IBM POWER8 向け glibc での最適化

今回の更新では、glibc が提供する全ライブラリーが POWER8 ハードウェア上で最適に実行されるようにコンパイルされています。64 ビット IBM POWER7 および POWER8 ハードウェア向けに最適化されたメモリーおよび文字列操作ルーチンがコア C ライブラリー (glibc) に追加されました。strncat()strncmp() といった C ライブラリールーチンをアプリケーションが使用すると、最適化されたルーチンが自動的に選択されます。これら POWER7 および POWER8 対応ルーチンは、最新の IBM ハードウェアで最高のパフォーマンスを発揮します (BZ#1213267、BZ#1183088、BZ#1240351)。

IBM z Systems z13 向け glibc の最適化

コア C ライブラリー (glibc) は、IBM z Systems z13 向けに最適化されたサポートを提供するよう機能拡張されました。strncpy()memcpy() といったコア文字列およびメモリー操作ルーチンはすべて最適化されています。z13 対応のルーチンは、最新の IBM ハードウェアで最高のパフォーマンスを発揮します (BZ#1268008)。

Origin プラグインを sos パッケージに追加

origin プラグインが sos パッケージに追加されました。このプラグインは、OpenShift Origin と、Atomic PlatformOpenShift Enterprise 3 およびそれ以降といった関連製品についての情報を収集します。これを使用することで、ユーザーは OpenShift Origin デプロイメントについての情報を収集できます (BZ#1246423)。

gssproxykrb5 1.14 をサポート

gssproxy パッケージは GSSAPI 認証情報へのアクセスを管理するデーモンを提供すると共に GSSAPI インターポーザープラグインも提供します。これがアップストリームバージョン 0.4.1-10. gssproxy に更新され、バージョン 1.14 の krb5 パッケージをサポートしています (BZ#1292487)。

ABRT reporter-upload ツール向けのオプションの SSH キーファイルを設定できる

この更新により、Automatic Bug Reporting Tool (ABRT) の reporter-upload ユーティリティーで SSH キーを設定できるようになります。キーファイルを指定するには、以下のいずれかの方法を選択します。
  • /etc/libreport/plugins/upload.conf 設定ファイルで SSHPublicKey オプションと SSHPrivateKey オプションの使用を使用する
  • パブリックキーとプライベートキーに対してそれぞれ -b コマンドラインオプションと -r コマンドラインオプションを使用する
  • Upload_SSHPublicKey 環境変数と Upload_SSHPrivateKey 環境変数を設定する
これらのオプションまたは変数が指定されていないと、reporter-upload はユーザーの ~/.ssh/ ディレクトリーからデフォルトの SSH キーを使用します (BZ#1289513)。

第8章 デスクトップ

新パッケージ: pidgin および pidgin-sipe

今回の更新で以下が追加されています。
  • pidgin インスタントメッセージクライアント。これはオフレコ (OTR) メッセージと Microsoft Lync インスタントメッセージアプリケーションに対応しています。
  • pidgin-sipe プラグイン。これには、Lync サポートを実装するバックエンドコードが含まれています。
Microsoft Lync の使用には、アプリケーションとプラグインの両方が必要になります (BZ#1066457、BZ#1297461)。

スクロールホイールの増加が GNOME 端末で設定可能

今回の更新で _gnome-terminal パッケージがアップグレードされ、スクロールホイール設定が GNOME 端末で設定可能となりました。スクロールの設定にはチェックボタンとスピンボタンが含まれ、これらを使用することで動的または固定スクロール増加を選択できます。デフォルトのオプションは動的スクロール増分となっており、これは表示される行数に基づいています (BZ#1103380)。

Vinagre ユーザー体験の改善

Vinagre リモートデスクトップビューアーで以下のユーザー体験機能拡張が導入されています。
  • 最小化ボタンが全画面ツールバーで利用でき、カスタムオプションに容易にアクセスできます。
  • Remote Desktop Protocol (RDP) セッションを拡大することができます。接続ダイアログでセッションサイズを設定できます。
  • リモートの認証情報を安全に保存および取得するためにシークレットサービスを使用することができます (BZ#1291275)。

端末タブまたはウィンドウのタイトルのカスタマイズ

今回の更新で、gnome-terminal 内の端末ウィンドウまたはタブのタイトルをカスタマイズできるようになっています。タイトルは、gnome-terminal ユーザーインターフェースで直接変更できます (BZ#1296110)。

タブおよびウィンドウを開く個別のメニューアイテム

今回の更新で、gnome-terminal でタブおよびウィンドウを開く個別のメニューアイテムが復元されました。キーボードのショートカットを知らなくても、タブやウィンドウを簡単に開くことができます (BZ#1300826)。

Qt アプリケーションでのネイティブ Gnome/GTK+ ルック

これまでは、デフォルトの Qt スタイルは Qt アプリケーションで一貫性を提供しておらず、これらのアプリケーションが Gnome デスクトップに適合しないという問題がありました。新たな adwaita-qt スタイルでは、Qt アプリケーションと GTK+ アプリケーションの見た目の違いは最小限になっています (BZ#1306307)。

rhythmbox がバージョン 3.3.1 にリベース

Rhythmbox は、GNOME のデフォルトのミュージックプレーヤーです。簡単に使用でき、プレイリストやポッドキャスト再生、オーディオストリーミングなどの機能があります。rhythmbox パッケージはアップグレードバージョン 3.3.1 にアップグレードされました。主な変更点は以下の通りです。
  • Android デバイスのサポートが改善
  • 新規タスクの進捗状況をトラックリストの下に表示
  • composer、disc、および track total のタグをサポート
  • 再生コントロールとソースリストで新スタイル
  • 各種警告と予期しない終了エラーにおけるバグを修正 (BZ#1298233)

libreoffice がバージョン 5.0.6.2 にリベース

libreoffice パッケージがアップストリームバージョン 5.0.6.2 にアップグレードされました。バグ修正および以下のような機能拡張が加えられています。
  • ステータスバーと各種サイドバーのデッキが改善されています。
  • 各種ツールバーとコンテキストメニューをクリーンアップまたは使いやすく再配置しました。
  • カラーセクターを改変
  • 新規テンプレートを作成
  • テンプレートが Start Center に直接表示され、そこから選択できます。
  • libreoffice で、ドキュメントが読み取り専用モードで開かれると、これが情報バーで視覚的に表示されます。
  • 非推奨の NPAPI を使用して特定ウェブブラウザに libreoffice が組み込まれる可能性を削除しました。
  • libreoffice から直接、SharePoint 2010 と 2013 および OneDrive を接続することが可能になりました。
  • 数式の直接値への変換、マスタードキュメントのテンプレート、Adobe Swatch Exchange カラーパレットの .ase 形式での読み取り、Adobe PageMaker ドキュメントのインポート、デジタル署名の PDF ファイルのエクスポートをサポートしています。
  • A:A または 1:1 表記法を使用した行または列全体への参照を指定することが可能になりました。
  • Microsoft Office ドキュメント形式との相互互換性が改善。
今回のアップグレードで提供されるバグ修正および機能拡張の全一覧については、https://wiki.documentfoundation.org/ReleaseNotes/4.4 および https://wiki.documentfoundation.org/ReleaseNotes/5.0 を参照して下さい (BZ#1290148)。

Windows Server 2012 R2、Windows 10、および Windows 8.1 を GNOME boxes がサポート

GNOME boxes が Windows Server 2012 R2、Windows 10、および Windows 8.1 での仮想マシンの作成をサポートしています (BZ#1257865、BZ#1257867、BZ#1267869)。

vmware が VMware Workstation 12 での 3D アクセラレーションをサポート

これまでは、Red Hat Enterprise Linux の vmware グラフィックドライバーは、VMware Workstation 12 仮想マシン (VM) での 3D アクセラレーションをサポートしていませんでした。このため、GNOME デスクトップのレンダリングは、GPU ではなくホストの CPU で実行されていました。このドライバーが今回の更新で VMware Workstation 12 仮想グラフィックアダプターに対応するようになっています。この結果、GNOME デスクトップは 3D アクセラレーションを使用してレンダリングが行われています (BZ#1263120)。

libdvdnav がバージョン 5.0.3 にリベース

libdvdnav ライブラリーを使用すると、どのオペレーティングシステムでも DVD メニュー内の移動が可能になります。この libdvdnav パッケージがバージョン 5.0.3 にアップグレードされました。主な変更点は以下の通りです。
  • メニューなし DVD のバグを修正。
  • マルチアングル DVD の再生問題を修正。
  • DVD ドライブで設定されている地域以外からの DVD を再生した際に発生する予期しない終了を修正。
  • 特定の DVD を読み込み中に発生するメモリーバグを修正 (BZ#1068814)。

GIMP がバージョン 2.8.16 にリベース

GNU Image Manipulation Program (GIMP) がバージョン 2.8.16 にアップグレードされ、バク修正と機能拡張が追加されました。主な変更点は以下の通りです。
Core:
  • XCF ファイルの読み込みがより強固になりました。
  • XCF ファイルの書き込み時のパフォーマンスと動作が改善しました。
GUI:
  • ウィジェットの方向が GUI の言語セットの方向と自動的に一致
  • タグのスクロールエリアを拡大
  • ドラッグ&ドロップ (DND) ホバリングによるドックタブの切替を修正
  • 1 つのドッキング可能内におけるイメージ間で DND が機能
  • ダイアログの保存で予期しない終了問題を解決
プラグイン:
  • script-fu サーバーのセキュリティーを改善
  • BMP 形式でのファイルの読み取りおよび書き込みを修正
  • PDF プラグインのフォントのエクスポートを修正
  • OpenRaster ファイルでの階層グループをサポート
  • 階層グループでの PSD ファイルの読み込みを修正 (BZ#1298226)。

gimp-help がバージョン 2.8.2 にリベース

gimp-help パッケージがアップストリームバージョン 2.8.2 にアップグレードされ、バグ修正と機能拡張が追加されました。特に、ポルトガル語 (ブラジル) への完全な翻訳が実装されています (BZ#1370595)。

Qt5 を Red Hat Enterprise Linux 7 に追加

Qt ライブラリー (Qt5) の新バージョンが Red Hat Enterprise Linux 7 に追加されました。このバージョンの Qt は、これまではなかったモバイルデバイスのサポートや開発者向けの多くの機能を提供します (BZ#1272603)。

system-config-language で新しい言語設定時に UI メッセージが改善

これまでは、言語 グラフィックツール (system-config-language パッケージ) にインストールする新たな言語を選択しても、選択された言語グループが利用可能ではなく、表示されるエラーメッセージが明確ではありませんでした。例えば、 イタリア語 (スイス) を選択すると、以下のメッセージが表示されていました。
Due to comps cleanup italian-support group got removed and no longer exists. Therefore only setting the default system language
今回の更新でメッセージが以下のように変更されています。
Due to comps cleanup, italian-support group no longer exists and its language packages will not be installed. Therefore only setting Italian as the default system language.
このメッセージは、新パッケージをインストールせずに新しい言語が有効にされたことを意味しています。次回の再起動後に、システムは選択された言語で起動します (BZ#1328068)。

新パッケージ: pavucontrol

今回の更新では pavucontrol パッケージが追加されました。これには PulseAudio サウンドサーバー向けの GTK ベースの音量調節アプリケーションである PulseAudio Volume Control が含まれています。このアプリケーションを使用すると、異なるオーディオストリームをヘッドフォンやスピーカーなど異なる出力デバイスに送信することができます。デフォルトのオーディオ制御パネルはすべてのオーディオストリームを 1 つの出力デバイスに送信するので、個別のルーティングはできません (BZ#1210846)。

libdvdread がバージョン 5.0.3 にリベース

libdvdread パッケージがバージョン 5.0.3 にリベースされました。主な変更点は以下の通りです。
  • 多くのクラッシュ、アサーション、および破損を修正
  • C++ アプリケーションでのコンパイルを修正
  • .MAP ファイルを再マップする未使用の機能を削除
  • dvdnavmini ライブラリーを削除
  • DVDOpenStream API を追加
API が変更されたため、.so バージョンも変更されました。libdvdread に依存するサードパーティーソフトウェアを新バージョンに対して再コンパイルする必要があります (BZ#1326238)。

新たな天気サービス gnome-weather

これまでは、gnome-weather アプリケーションは National Oceanic and Atmospheric Administration (NOAA) が提供する METAR サービスを使用していましたが、NOAA は METAR サービスの提供を停止しました。今回の更新では Aviation Weather Center (AWC) が提供する新たな METAR サービスが導入され、gnome-weather は期待通りに機能します (BZ#1371550)。

libosinfo がバージョン 0.3.0 にリベース

libosinfo パッケージがバージョン 0.3.0 に更新されました。主な変更点は、Red Hat Enterprise Linux および Ubuntu の最近の数バージョンにおけるオペレーティングシステムデータが改善され、メモリー漏洩が修正されました (BZ#1282919)。

第9章 ファイルシステム

XFS ランタイム統計値が /sys/fs/ ディレクトリーでファイルシステムごとに入手可能

既存の XFS グローバル統計値ディレクトリーは、/proc/fs/xfs/ ディレクトリーから /sys/fs/xfs/ ディレクトリーに移りましたが、/proc/fs/xfs/stat 内のシンボリックリンクで以前のバージョンとの互換性は維持しています。 /sys/fs/xfs/sdb7/stats/sys/fs/xfs/sdb8/stats といったファイルシステムごとの統計値のサブディレクトリーは、/sys/fs/xfs/ 下で作成されたり維持されたりすることはありません。これまでは、XFS ランタイム統計値はサーバーごとでのみ入手可能でしたが、今ではデバイスごとに入手可能となりました (BZ#1269281)。

mkfs.gfs2 にプログレスインジケーターを追加

ジャーナルおよびリソースグループの構築時に mkfs.gfs2 ツールが進捗を報告するようになりました。大型または低速のデバイスでは、mkfs.gfs2 の完了に時間がかかることがあり、これまではレポートが出力されるまで mkfs.gfs2 が適切に動作しているか明確ではありませんでした。進捗状況を表すため、プログレスバーが mkfs.gfs2 に追加されました (BZ#1196321)。

fsck.gfs2 が機能拡張され、大規模なファイルシステムで必要なメモリーが大幅に減少

これまで、GFS2 (Global File System 2) ファイルシステムチェッカーである fsck.gfs2 を大型のファイルシステムで実行するにはメモリーが大量に必要であったため、 fsck.gfs2 を 100 TB を超えるファイルシステムで実行することは現実的ではありませんでした。今回の更新では、fsck.gfs2 が機能拡張され、実行に必要なメモリーが大幅に削減されたため、スケーラビリティーが向上され、大型のファイルシステムでの fsck.gfs2 の実行が実現的になりました (BZ#1268045)。

GFS2 が機能拡張され、glock のスケーラビリティーが向上

GFS2 (Global File System 2) では、ファイルを大量に開いたり作成したりすると、それらを再度閉じてもスラブメモリーに多くの GFS2 クラスターロック (glock) が放置されます。glock の数が百万単位であると、これまで GFS2 の速度が遅くなりました。特にファイルの作成では、GFS2 が徐々に遅くなりました。今回の更新では、GFS2 が機能拡張され、glockのスケーラビリティーが向上されました。そのため、GFS2 は作成するファイルの数が百万個単位でも適切なパフォーマンスを維持するようになりました (BZ#1268045)。

xfsprogs がバージョン 4.5.0 にリベース

xfsprogs パッケージがアップストリームバージョン 4.5.0 にアップグレードされ、多くのバグ修正や機能拡張が加えられました。xfs_repair ユーティリティーの実行時、新しいデフォルトのオンディスクフォーマットにはログサイクル番号の特別な処理が必要であるため、Red Hat Enterprise Linux 7.3 kernel RPM にはアップグレードされたバージョンの xfsprogs が必要です。主な変更点は次のとおりです。
  • メタデータの巡回冗長検査 (CRC) およびディレクトリーエントリーファイルタイプはデフォルトで有効になります。以前のバージョンの Red Hat Enterprise Linux 7 で使用された旧式の mkfs オンディスクフォーマットをレプリケートするには、mkfs.xfs コマンドラインで -m crc=0 -n ftype=0 オプションを使用します。
  • GETNEXTQUOTA インターフェースが xfs_quota に実装され、ユーザーデータベースのエントリー数が非常に多くてもすべてのオンディスククォータでイテレーションの速度が早くなります。
また、アップストリームと Red Hat Enterprise Linux 7.3 には以下の違いがあります。
  • 実験的なスパース inode 機能は利用できません。
  • Red Hat Enterprise Linux 7 のこれまでのカーネルバージョンとの互換性を維持するため、free inode btree (finobt) 機能はデフォルトで無効になっています (BZ#1309498)。

CIFS カーネルモジュールがバージョン 6.4 にリベース

CIFS (Common Internet File System) がアップストリームバージョン 6.4 にアップブレードされ、バグ修正の他、次のような機能が追加されています。
  • Kerberos 認証のサポートが追加されました。
  • MFSymlink のサポートが追加されました。
  • mknod および mkfifo の名前付きパイプが許可されるようになりました。
また、複数のメモリーリークが発見され、修正されました (BZ#1337587)。

quota が利用できない quota RPC サービスの NFS マウントポイントに関する警告の非表示をサポート

ユーザーが quota ツールでディスククォータを表示し、ローカルシステムが quota RPC サービスを提供しない NFS サーバーでネットワークファイルシステムをマウントすると、quota ツールは error while getting quota from server というエラーメッセージを返しました。quota RPC サービスがなくても quota ツールが到達可能な NFS サーバーと到達不可能な NFS サーバーを区別できるようになったため、エラーが報告されないようになりました (BZ#1155584)。

/proc/ ディレクトリーで赤黒木の実装が使用されパフォーマンスが向上

以前のリリースでは、/proc/ ディレクトリーエントリー実装は単一の連結リストを使用したため、エントリーが多いディレクトリーの操作が遅くなりました。今回の更新では、連結リストの実装が赤黒木の実装に変更になり、ディレクトリーエントリー操作のパフォーマンスが向上しました (BZ#1210350)。

第10章 ハードウェアの有効化

CAPI フラッシュブロックアダプターに追加されたサポート

Coherent Accelerator Processor Interface (CAPI) は、I/O アダプターがホストメモリーに一貫してアクセスできるようにするテクノロジーで、確実にパフォーマンスを向上させます。今回の更新では、cxlflash ドライバーが追加され、IBM の CAPI フラッシュブロックアダプターのサポートが提供されています (BZ#1182021)。

MMC カーネルのバージョン 4.5 へのリベース

今回の更新では、Multimedica Card (MMC) カーネルのサブシステムがアップストリームのバージョン 4.5 にアップグレードされ、複数のバグが修正されるとともに、Red Hat Enterprise Linux 7 カーネルが embedded MMC (eMMC) のインターフェースバージョン 5.0 が使用できるようになりました。さらに、今回の更新では、MMC デバイス機能の一時停止および再開機能、そして一般的な安定性が向上されました (BZ#1297039)。

iWarp マッパーサービスの追加

今回の更新では、internet Wide Area RDMA Protocol (iWARP) マッパーのサポートが Red Hat Enterprise Linux 7 に追加されました。iWARP マッパーは、以下の iWARP ドライバーが標準のソケットインターフェースを使用して TCP ポートを要求できるようにするユーザー空間サービスです。
  • Intel i40iw
  • NES
  • Chelsio cxgb4
iWARP マッパーサービス (iwpmd) が正常に起動できるように iw_cm および ib_core カーネルモジュールを両方、読み込む必要がある点に注意してください (BZ#1331651)。

新規パッケージ: memkind

今回の更新では、ユーザー拡張可能なヒープマネージャーライブラリーを提供する memkind パッケージが追加されました。これは、jemalloc メモリーアロケーターの拡張機能として構築されています。このライブラリーでは、オペレーティングシステムポリシーが仮想アドレスの範囲に適用される際に定義されたメモリータイプ間に配置されるメモリーのヒープをパーティショニングすることができます。さらに memkind を使用すると、ユーザーはメモリーのパーティション機能を制御して、指定したメモリー機能セットでメモリーを割り当てることができます (BZ#1210910)。

AHCI ドライバーのポートごとの MSI-X サポート

Advanced Host Controlled Interface (AHCI) のドライバーは、ポートごとの拡張メッセージシグナル割り込み (MSI-X: Message-Signaled Interrupt) ベクトルが利用できるように更新されました。この機能がサポートされているコントローラーのみに適用される点に注意してください (BZ#1286946)。

IBM z Systems 向けのランタイムインストルメンテーションが完全にサポートされる

IBM z Systems 向けの Red Hat Enterprise Linux 7 では、ランタイムインストルメンテーション機能 (以前はテクノロジープレビューとして利用可能) が完全にサポートされるようになりました。ランタイムインストルメンテーションは、IBM zEnterprise EC12 システムで利用できる複数のユーザースペースアプリケーションの高度な分析や実行を可能にします (BZ#1115947)。

第11章 インストールと起動

インストール中にネットワークトラフィックがブロックされている場合のロギングが向上

今回の更新により、インストール中にネットワークリポジトリーへの接続を試みる際のログ記録が改善されました。インストール中にネットワークリポジトリーとの接続で問題がある場合には、その問題の原因についてのより詳しい情報がログに含まれるようになりました。

メモリーアドレス範囲のミラーリングのサポート

今回の更新では、互換性のあるハードウェア上の EFI ベースシステムで、efibootmgr ユーティリティーに --mirror-below-4G および --mirror-above-4G の新しいオプションを指定して実行することにより、メモリーアドレス範囲のミラーリングを設定できるようになりました (BZ#1271412)。

Yum および NetworkManager でのデフォルトのロギングレベルが増加

今回の更新により、Yum および NetworkManager のユーティリティーで、デフォルトのロギングレベルが高くなりました (BZ#1254368)。

ドライバー更新ディスクでロード済みのモジュールを置き換えることが可能

ドライバー更新ディスクを使用して、ロード済みのモジュールを置き換えることが可能となりました。これは、元のモジュールが現在使用中でないことが条件となります (BZ#1101653)。

第12章 カーネル

IBM Power Systems アーキテクチャーの Little Endian 版向けの protobuf-c パッケージが利用可能

今回の更新により、IBM Power Systems アーキテクチャーの Little Endian 版向けの protobuf-c パッケージが追加されました。この protobuf-c パッケージは、Google の Protocol Buffer 向けの C バインディングを提供し、このアーキテクチャーにおける criu パッケージの前提条件となっています。criu パッケージは、複数のプロセスまたは複数のプロセスグループのチェックポイント処理と復元を可能にする、Checkpoint/Restore in User space (CRIU) 関数を提供します (BZ#1289666)。

CAN プロトコルがカーネルで有効化

Controller Area Network (CAN) プロトコルカーネルモジュールが有効化され、CAN デバイスドライバー向けのデバイスインターフェースを提供するようになりました。CAN は、元々は自動車において、さまざまなマイクロコントローラーを接続することを目的としたビークルバス仕様です。それ以来、他の領域にも拡張されてきました。CAN は、高パフォーマンスのインターフェースが必要とされる工業および機械の制御で、RS-485 などの他のインターフェースでは不十分な場合にも使用されています。CAN プロトコルモジュールからエクスポートされる関数は、CAN デバイスドライバーによって使用され、カーネルがデバイスを認識し、アプリケーションがデータを接続/転送できるようにします。カーネルで CAN を有効にすると、サードパーティー製の CAN ドライバーとアプリケーションを使用して CAN ベースのシステムを実装できるようになります (BZ#1311631)。

kexec-tools に永続メモリーのサポートが追加

Linux カーネルは、Non-Volatile Dual In-line Memory Module (NVDIMM) メモリーデバイス向けに E820_PRAM および E820_PMEM タイプをサポートするようになりました。kexec-tools がこれらのメモリーデバイスをサポートするためのパッチがアップストリームからバックポートされました (BZ#1282554)。

libndctl: ユーザー空間 nvdimm 管理ライブラリー

libndctl ユーザー空間ライブラリーが追加されました。これは、カーネルの libnvdimm サブシステムによって提供される、ioctl および sysfs のエントリーポイントへの C インターフェースのコレクションです。このライブラリーにより、NVDIMM 対応プラットフォームを対象とするよりハイレベルな管理ソフトウェアが有効となり、また NVDIMM を管理するためのコマンドラインインターフェースも提供されます (BZ#1271425)。

hpvsa および hpdsa ドライバーに対応するために kABI ホワイトリスト用の新規シンボルが追加

今回の更新により、kernel Application Binary Interface (kABI) ホワイトリストに一式のシンボルが追加され、hpvsa および hpdsa ドライバーに対応するようになりました。
新たに追加されたのは、以下のシンボルです。
  • scsi_add_device
  • scsi_adjust_queue_depth
  • scsi_cmd_get_serial
  • scsi_dma_map
  • scsi_dma_unmap
  • scsi_scan_host (BZ#1274471)

crash がバージョン 7.1.5 にリベース

crash パッケージがアップストリームのバージョン 7.1.5 にアップグレードされました。このバージョンでは、複数のバグが修正され、以前のバージョンに比べて数多くの機能が拡張されています。今回のリベースで注目すべき点は、dis -sdis -fsys -ilist -l などの新しいオプションが追加されたことと、64-bit ARM アーキテクチャーで Quick Emulator (QEMU) によって生成された Executable and Linkable Format (ELF) vmcore が新たにサポートされるようになり、アップストリームの最新のカーネルをサポートするために必要な更新がいくつか追加されたことです。個別のパッチを選択してバックポートするよりも、crash パッケージをリベースする方がより安全かつ効率性が高くなります (BZ#1292566)。

新規パッケージ: crash-ptdump-command

Crash-ptdump-command は、crash ユーティリティーに ptdump サブコマンドを追加する crash の拡張モジュールを提供する新たな rpm パッケージです。ptdump サブコマンドは、Intel Processor Trace ファシリティーによって生成されるログバッファーを vmcore ファイルから取得してデコードし、ファイルに出力します。この新しいパッケージは EM64T および AMD64 アーキテクチャー向けに設計されています (BZ#1298172)。

ambient ケイパビリティーをサポート

ケイパビリティーとは、Linux カーネルが、従来はスーパーユーザー権限に関連付けされていた権限を、複数の個別のユニットに分割するために使用するスレッドごとの属性です。今回の更新により、ambient ケイパビリティーに対するサポートがカーネルに追加されました。ambient ケイパビリティーとは、execve() システムコールを使用してプログラムを実行する際に保持されるケイパビリティーのセットです。ambient ケイパビリティーにできるのは、permitted と inheritable のケイパビリティーのみです。prctl() コールを使用して ambient ケイパビリティーを変更することが可能です。カーネルのケイパビリティー全般に関する詳しい情報は、capabilities(7) の man ページを参照してください。また、prctl コールについての情報は、prctl(2) の man ページを参照してください (BZ#1165316)。

cpuid が利用可能

今回の更新により、Red Hat Enterprise Linux で cpuid ユーティリティーが利用できるようになりました。このユーティリティーは、CPUID 命令から収集される CPU についての詳細情報をダンプするのに加えて、具体的な CPU モデルを特定するツールで、Intel、AMD、VIA の CPU に対応しています (BZ#1307043)。

FC-FCoE シンボルが KABI のホワイトリストに追加

今回の更新により、libfc および libfcoe カーネルモジュールに属するシンボルのリストが、Kernel Application Binary Interface (KABI) ホワイトリストに追加されました。これにより、libfc および libfcoe に依存している Fibre Channel over Ethernet (FCoE) が新たに追加されたシンボルを安全に使用することができます (BZ#1232050)。

新規パッケージ: OpenPower systems 向けの opal-prd

新しい opal-prd パッケージには、ハードウェア固有のリカバリープロセスを処理するデーモンが含まれています。このデーモンは、ブート後にバックグラウドのシステムプロセスとして実行する必要があります。OPAL ファームウェアと対話してハードウェアエラーの原因を捉えて、イベントを管理プロセッサーにログ記録し、適切な場合に回復可能なエラーを処理します (BZ#1224121)。

新規パッケージ: libcxl

新しい libcxl パッケージには、ユーザー空間内のアプリケーションがカーネルの cxl 機能を介して CAPI ハードウェアにアクセスするためのユーザー空間ライブラリーが含まれています。このライブラリーは、ppc64 および ppc64le のアーキテクチャーで使用することができます (BZ#1305080)。

新たに追加された iproute コマンドをカーネルがサポート

今回の更新により、新規追加された iproute コマンドが正しく機能するためのカーネルのサポートが追加されました。提供されているパッチセットには、以下が含まれています。
  • プレフィックス付きのポリシーのハッシュ化を可能にする IPsec インターフェースの拡張機能
  • preflen の閾値に基づいたハッシュのプレフィックスポリシーの追加
  • netlink によるポリシーハッシュテーブルの閾値の設定 (BZ#1222936)

PID cgroup コントローラーのバックポート

今回の更新により、新たなプロセス識別子 (PID) コントローラーが追加されました。このコントローラーは、cgroup ごとのプロセスを対象とし、特定の制限に達した後に、新規タスクがフォークまたはクローンされるのを cgroup 階層で阻止することを許可します (BZ#1265339)

mpt2sas と mpt3sas がマージ

mpt2sasmpt3sas のドライバーのソースコードが統合されました。アップストリームとは異なり、Red Hat Enterprise Linux 7 は、互換性の理由で 2 つのバイナリードライバーを引き続き維持します (BZ#1262031)。

ksc で複数の .ko ファイルの指定が可能

以前のリリースでは、ksc ユーティリティーの 1 回の実行で複数の .ko ファイルを追加することができませんでした。そのため、複数のカーネルモジュールを含むドライバーは、1 回の実行で ksc に渡されませんでした。今回の更新により、同じ実行で、-k オプションを複数回指定することができるようになり、kcs の 1 回の実行を使用して複数のカーネルモジュールで使用されているシンボルの検索に使用することができます。その結果、全モジュールが使用するシンボルを記載した単一のファイルが生成されるようになりました (BZ#906659)。

dracut の更新

dracut initramfs ジェネレーターが更新され、多数のバグが修正され、以前のバージョンに比べて数多くの機能が拡張されました。注目すべき点は以下のとおりです。
  • dracut に新たなカーネルコマンドラインオプション rd.emergency=[reboot|poweroff|halt] が追加されました。このオプションは、クリティカルなエラーが発生した場合に実行すべき操作を指定します。rd.emergency=[reboot|poweroff|halt] を使用する際には、rd.shell=0 オプションも指定する必要があります。
  • rebootpoweroffhalt の各コマンドが dracut の emergency シェルで機能するようになりました。
  • dracut は、カーネルコマンドライン上で複数のボンディング、ブリッジ、VLAN 設定をサポートするようになりました。
  • カーネルコマンドライン上で rd.device.timeout=<seconds> オプションを使用してデバイスのタイムアウトを指定できるようになりました。
  • カーネルコマンドラインで指定した DNS ネームサーバーが DHCP で使用されるようになりました。
  • dracut が 20 バイトの MAC アドレスをサポートするようになりました。
  • 最大転送単位 (MTU) と MAC アドレスが DHCP および IPv6 Stateless Address AutoConfiguration (SLAAC) 向けに正しく設定されました。
  • ip= カーネルコマンドラインオプションは、かっこで括られた MAC アドレスをサポートするようになりました。
  • dracut が NFS over RDMA (NFSoRDMA) モジュールをサポートするようになりました。
  • Fibre Channel over Ethernet (FCoE) デバイスに kdump のサポートが追加されました。FCoE デバイスの設定は、kdump initramfs にコンパイルされます。カーネルクラッシュダンプを FCoE デバイスに保存できるようになりました。
  • dracut--install-optional <file list> オプションと install_optional_items+= <file>[ <file> ...] 設定ファイルディレクティブをサポートするようになりました。この新しいオプションまたはディレクティブを使用するときに、ファイルが存在する場合はファイルがインストールされ、ファイルが存在しない場合はエラーが返されません。
  • dracut DHCP が rfc3442-classless-static-routes オプションを認識するようになりました。これにより、クラスレスのネットワークアドレスを使用できるようになりました (BZ#1359144、BZ#1178497、BZ#1324454、BZ#1194604、BZ#1282679、BZ#1282680、BZ#1332412、BZ#1319270, BZ#1271656、BZ#1271656、BZ#1367374、BZ#1169672, BZ#1222529、BZ#1260955)。

Wacom Cintiq 27 QHD のサポート

Wacom Cintiq 27 QHD タブレットが Red Hat Enterprise Linux 7 でサポートされるようになりました (BZ#1342989)。

Intel® Omni-Path Architecture (OPA) カーネルドライバーの完全なサポート

以前のリリースでは、はテクノロジープレビューとして提供されていた Intel® Omni-Path Architecture (OPA) カーネルドライバーが完全にサポートされるようになりました。Intel® OPA は、クラスター環境内におけるコンピュートと I/O ノード間の高パフォーマンスのデータ転送 (高帯域幅、高メッセージ速度、低レイテンシー) に向けた初期化および設定を実装する Host Fabric Interconnect (HFI) ハードウェアを提供します。
Intel® Omni-Path Architecture のマニュアルの入手方法については、https://access.redhat.com/articles/2039623 の記事を参照してください (BZ#1374826)。

cyclitest の --smi オプションを root 以外のユーザーが利用可能

今回の更新により、root 以外のユーザーとして cyclictest プログラムに --smi オプションを指定して実行できるようになりました。ただし、そのユーザーが realtime グループに属していることも条件となります。システム管理割り込み (SMI)をサポートするプロセッサーでは、--smi によりそのシステムの SMI に関するレポートが表示されます。これは、以前のリリースでは、root ユーザーのみが利用可能でした (BZ#1346771)。

新しい Smart Array ストレージアダプターに対するサポートが追加

Red Hat Enterprise Linux 7.2 以前のバージョンでは、新しい Smart Array ストレージアダプターは正式にサポートされていませんでした。ただし、これらのアダプターは、aacraid ドライバーにより検出され、システムは正しく機能しているようでした。今回の更新により、新しい Smart Array ストレージアダプターは、新しい smartpqi ドライバーによって適切にサポートされるようになりました。更新時にはそれらのアダプター用のドライバー名が変わる点に注意してください (BZ#1273115)。

Linux カーネルが信頼済み Virtual Function (VF) の概念をサポート

Linux カーネルにアップストリームのコードがバックポートされ、信頼済み Virtual Function (VF) の概念に対応するようになりました。その結果、信頼済み VF は、マルチキャスト無作為検出モードを有効化できるようになり、30 を超える IPv6 アドレスを割り当てられるようにすることができます。信頼済み VF は、メディアアクセス制御 (MAC) アドレスを上書きすることも可能です (BZ#1302101)。

IBM Power Systems で seccomp mode 2 をサポート

今回の更新により、IBM Power Systems 上における seccomp mode 2 のサポートが追加されました。seccomp mode 2 は、Berkeley Packet Filter (BPF) 設定ファイルを解析してシステムコールのフィルタリングを定義します。このモードにより、セキュリティーが著しく強化されます。これは、Linux on IBM Power Systems におけるコンテナーの導入に不可欠です (BZ#1186835)。

Memory Bandwidth Monitoring を追加

今回の更新で、Memory Bandwidth Monitoring (MBM) が Linux カーネルに追加されました。MBM は、Resource Monitoring ID (RMID) に関連付けられた、特定のタスクやタスクグループのメモリー帯域幅の使用をトラッキングするのに使用する、プラットフォームの Quality of Service (QoS) 機能のファミリーに含まれる CPU 機能です (BZ#1084618)。

brcmfmac が Broadcom ワイヤレスカードをサポート

brcmfmac カーネルドライバーが更新され、Broadcom BCM4350 と BCM43602 のワイヤレスカードをサポートするようになりました (BZ#1298446)。

ip addr コマンドに autojoin オプションが追加され、マルチキャストのグループ参加/脱退が可能

以前のリリースでは、マルチキャストプルーニングを実行するイーサネットスイッチに対して、Internet Group Management Protocol (IGMP) のメンバーシップを示す方法がありませんでした。そのため、それらのスイッチはパケットをホストのポートにレプリケートしませんでした。今回の更新により、ip addr コマンドで autojoin のオプションが利用できるように機能が拡張され、ホストがマルチキャストグループに参加または脱退できるようになりました (BZ#1267398)。

Open vSwitch が NAT をサポート

今回の更新で、Network Address Translation (NAT) のサポートが Open vSwitch カーネルモジュールに追加されました (BZ#1297465)。

ページテーブルが並行して初期化される

以前のリリースでは、Intel EM64T、Intel 64、および AMD64 アーキテクチャーをベースとする Non-Uniform Memory Access (NUMA) システムでページテーブルが順次に初期化されていました。そのため、大型のサーバーで起動時のパフォーマンスが低下する場合がありました。今回の更新により、パッチセットがバックポートされ、メモリーの初期化の大半は、ノードのアクティブ化の一環として、ノードとローカルの CPU で並行して行われるようになりました。その結果、16 TB から 32 TB のメモリーを搭載したシステムの起動時間は、以前のバージョンと比べて約 2 倍速くなりました (BZ#727269)。

Linux カーネルが Intel MPX をサポート

今回の更新により、Intel Memory Protection Extensions (MPX) のサポートが Linux カーネルに追加されました。Intel MPX とは、Intel 64 アーキテクチャー向けの拡張機能セットです。Intel MPX は、コンパイラー、ランタイムライブラリー、オペレーティングシステムのサポートと共に、バッファーのオーバーフローが原因でコンパイル時間の通常の目的が悪用される可能性のあるポインターリファレンスをチェックすることによって、ソフトウェアの堅牢性とセキュリティーを強化します (BZ#1138650)。表示されるようになりました。

ftrace が期待どおりにコマンド名を出力する

trylock() 関数が正常にロックを取得しなかった場合は、ftrace カーネルトレーサーでのコマンド名の保存に失敗していました。その結果、ftrace/sys/kernel/debug/tracing ファイルにコマンド名を正常に出力しませんでした。この更新により、コマンド名の記録の問題が修正され、ftrace が期待どおりにコマンド名を出力するようになりました。また、ユーザーは、saved_cmdlines_size カーネル設定パラメーターを設定して、保存されるコマンドの数を設定できるようになりました (BZ#1117093)。

スワップアウト共有メモリーが /proc/<pid>/smaps に表示される

今回の更新の前には、スワップアウト共有メモリーは /proc/<pid>/status ファイルと /proc/<pid>/smaps ファイルのどちらにも表示されませんでした。今回の更新により、sysV shm、共有の匿名マッピングおよび tmpfs ファイルへのマッピングを含む、スワップアウト共有メモリーのプロセスごとのアカウンティングが追加されました。スワップアウト共有メモリーは、/proc/<pid>/smaps に表示されるようになりました。ただし、スワップアウト共有メモリーは、/proc/<pid>/status とスワップアウト shmem ページには反映されないため、procps などの特定のツールでは、依然として表示されない状態のままです (BZ#838926)。

カーネルの UEFI サポートの更新

カーネルの Unified Extensible Firmware Interface (UEFI) サポートが、アップストリームカーネルの選択されたパッチで更新されました。このセットにより、数多くのバグが修正され、以前のバージョンに比べて数多くの機能が拡張されています (BZ#1310154)。

セキュアブートを使用するゲストでマウスコントローラーが機能

Red Hat Enterprise Linux は、セキュアブート機能を有効にしたゲスト仮想マシンでマウスコントローラーをサポートするようになりました。これにより、デフォルトでセキュアブートが有効化されているハイパーバイザー上で実行されている Red Hat Enterprise Linux ゲストのマウスが確実に機能するようになりました (BZ#1331578)。

RealTek RTS520 カードリーダーをサポート

今回の更新により、RealTek RTS520 カードリーダーに対するサポートが追加されました (BZ#1280133)。

トンネルデバイスでロックレス xmit をサポート

以前のリリースでは、デフォルトで pfifo_fast 待ち行列規律を使用するトンネルデバイスには、tx パス用のシリアライゼーションロックが必要でした。今回の更新により、CPU ごとの変数が静的アカウンティングに使用されるようになり、tx パスに対するシリアライゼーションロックは不要となりました。その結果、ユーザー空間では、xmit パスをロックする必要なく noqueue 待ち行列規律を設定できるようになったため、トンネルデバイスの xmit パフォーマンスが大幅に向上しました (BZ#1328874)。

Chelsio ドライバーの更新

Chelsio NIC、iWARP、vNIC、iSCSI のドライバーが最新のバージョンに更新されました。この新しいバージョンでは、複数のバグが修正され、以前のバージョンに比べて数多くの機能が拡張されています。
最も注目すべき機能拡張は以下のとおりです。
  • アダプターの統計を取得するための ethtool のサポート
  • チャネルの統計をダンプするための ethtool のサポート
  • ループバックポート統計情報をダンプする ethtool
  • CIM MA ロジックアナライザーのログをダンプするための debugfs エントリー
  • CIM PIF ロジックアナライザーのコンテンツをダンプするための debugfs エントリー
  • チャネルレートをダンプするための debugfs エントリー
  • バックドアアクセスを有効にするための debugfs エントリー
  • meminfo をダンプするための debugfs のサポート
  • MPS トレーシングのサポート
  • RX のハードウェアタイムスタンプのサポート
  • T6 アダプター用のデバイス ID (BZ#1275829)

Chelsio ドライバーの 25 G、50 G 、100 G モードのサポート

今回の更新により、Chelsio ドライバーの 25 G、50 G、100 G スピードモードの定義を追加するパッチセットが Linux カーネルにバックポートされました。また、このパッチセットにより、cxgb4 および cxgb4vf ドライバーにリンクモードマスク API も追加されます (BZ#1365689)。

mlx5 が NFSoRDMA をサポート

今回の更新により、mlx5 ドライバーが、Network File System over Remote Direct Memory Access (NFSoRDMA) のエクスポートをサポートするようになりました。その結果、RDMA で NFS 共有をマウントして、クライアントコンピューターから以下のような操作を実行することができます。
  • ls コマンドを使用した NFS 共有上のファイルの一覧表示
  • 新規ファイルに対する touch コマンドの使用
この機能により、一部のジョブを共有ストレージから実行することができます。これは、サイズが拡大し続ける、InfiniBand 接続の大型グリッドを実行している場合に役立ちます (BZ#1262728)。

第 6 世代 インテル Core プロセッサーで I2C が有効化

今回の更新より、カーネルドライバーによって制御される I2C デバイスが、第 6 世代 インテル Core プロセッサーでサポートされるようになりました (BZ#1331018)。

mlx4 および mlx5 が RoCE をサポート

今回の更新により、Remote Direct Memory Access Over Converged Ethernet (RoCE) ネットワークプロトコルのタイムスパニングが mlx4 および mlx5 のドライバーに追加されました。RoCE とは、ロスレスイーサネットネットワークでレイテンシーが非常に低い Remote Direct Memory Access (RDMA) を介して、効率的なサーバー間のデータ転送を提供するメカニズムです。RoCE は、2 つのイーサネットパケットのうちの 1 つで InfiniBand (IB) トランスポートをカプセル化します。イーサネットパケットには、専用のイーサネットタイプ (0x8915) の RoCEv1 と、ユーザーデータグラムプロトコル (UDP) および専用の UDP ポート (4791) の RoCEv2 があります。
これらの両方の RoCE バージョンが mlx4mlx5 に対応するようになりました。今回の更新より、mlx4 デバイスの物理ポートにフェイルオーバーとリンクアグリゲーションの機能を提供する mlx4 は RoCE Virtual Function リンクアグリゲーションプロトコルをサポートします。2 つの物理ポートを表す IB ポートのみがアプリケーション層に公開されます (BZ#1275423, BZ#1275187, BZ#1275209) (BZ#1275423)。

チャネル間同期のサポート

今回の更新より、Linux カーネルは、AMD64、Intel 64、IBM Power Systems、64 ビット ARM のアーキテクチャーにおけるチャネル間同期をサポートするようになりました。デバイスは、ホストのソフトウェアによる介入なく、作業キュー上の I/O 操作の実行を同期またはシリアル化することができるようになりました (BZ#1275711)。

SGI UV4 に対するサポートを Linux カーネルに追加

今回の更新より、Linux カーネルは SGI UV4 プラットフォームをサポートするようになりました (BZ#1276458)。

TPM 2.0 のサポートの更新

Linux カーネルで、Trusted Platform Module (TPM) バージョン 2.0 のサポートが更新されました (BZ#1273499)。

12 TB の RAM のサポート

今回の更新により、カーネルによる 12 TB の RAM のサポートが認定されました。この新たな機能は、高度なメモリー技術に対応し、Red Hat Enterprise Linux 7 のライフタイム内にリリースされる将来のサーバーの技術要件を満たす可能性をもたらします。この機能は、AMD64 と Intel 64 のアーキテクチャーで利用可能です (BZ#797488)。

RDMA 向けの 10GbE RoCE Express 機能の完全なサポート

Red Hat Enterprise Linux 7.3 では、10GbE RDMA over Converged Ethernet (RoCE) Express 機能が完全にサポートされるようになりました。これにより、IBM z Systems 上におけるイーサネットと Remote Direct Memory Access (RDMA)、ならびに Direct Access Programming Library (DAPL) と OpenFabrics Enterprise Distribution (OFED) API の使用が可能となりました。
この機能を IBM z13 system で使用する前には、最低限必要なサービスが適用されていることを確認してください: z/VM APAR UM34525 および HW ycode N98778.057 (bundle 14) (BZ#1289933)。

IBM z Systems で zEDC 圧縮を完全にサポート

Red Hat Enterprise Linux 7.3 以降のバージョンでは、 Generic Workqueue (GenWQE) エンジンデバイスドライバーが完全にサポートされています。このドライバーの初期タスクは、RFC1950、RFC1951、RFC1952 フォーマットの zlib 形式の圧縮と、圧縮解除ですが、その他のさまざまなタスクを加速するように調整することが可能です (BZ#1289929)。

IBM z Systems 向けの LPAR ウォッチドッグ

IBM z Systems 受けの機能拡張されたウォッチドッグが完全にサポートされるようになりました。このドライバーは、Linux の論理パーティション (LPAR) および z/VM ハイパーバイザー内の Linux ゲストに対応し、Linux システムが応答しなくなった場合には自動リブートや自動ダンプの機能を提供します (BZ#1278794)。

第13章 リアルタイムカーネル

Red Hat Enterprise Linux for Real Time Kernel について

Red Hat Enterprise Linux for Real Time Kernel は、決定要件が非常に高いシステムにおける詳細なチューニングを可能にするものです。標準カーネルをチューニングすることで、結果の一貫性が高まります。リアルタイムカーネルを使用すると、標準カーネルのチューニングで得られる結果の一貫性がさらに向上します。
リアルタイムカーネルは rhel-7-server-rt-rpms リポジトリーから入手可能です。インストール方法は Installation Guide にあり、その他のドキュメンテーションは Product Documentation for Red Hat Enterprise Linux for Real Time にあります。

can-dev モジュールをリアルタイムカーネル向けに有効化

can-dev モジュールがリアルタイムカーネル向けに有効となっており、Controller Area Network (CAN) デバイスドライバー用のデバイスインターフェースを提供しています。CAN は、元々は自動車において、さまざまなマイクロコントローラーを接続することを目的としたビークルバス仕様です。それ以来、他の領域にも拡大されてきました。CAN は、高パフォーマンスのインターフェースが必要とされ、RS-485 などの他のインターフェースでは不十分な工業および機械の制御でも使用されています。
can-dev モジュールからエクスポートされる関数は CAN デバイスドライバーで使用され、カーネルがデバイスを認識し、アプリケーションがデータを接続/転送できるようにします。
リアルタイムカーネルで CAN を有効にすると、サードパーティーの CAN ドライバーやアプリケーションを使用して CAN ベースのシステムを実装できるようになります (BZ#1328607)。

第14章 ネットワーク

最新 Bluetooth のサポート (Bluetooth LE を含む)

今回の更新により、Bluetooth Low Energy (LE) デバイスへの接続サポートを含む最新の Bluetooth サポートが提供されます。これにより、IoT (Internet of Things: モノのインターネット) デバイスは正常に機能できます (BZ#1296707)。

Open vSwitch がカーネルの軽量トンネルのサポートを使用

今回の更新により、Open vSwitch (OVS) 実装では VXLAN、GRE、および GENEVE トンネルのカーネル軽量トンネルサポートを使用します。これにより、OVS vport 実装の重複機能がなくなり、宛先キャッシュサポートやハードウェアオフロードなどのベースカーネルの機能およびパフォーマンスの改善といった OVS の各種利点を活用できます (BZ#1283886)。

メモリーアロケーターサブシステムでバルク処理をサポート

今回の更新で、カーネルはメモリー割り当ておよびメモリー解放のバッチをサポートするようになりました。現時点で、このパフォーマンス最適化は連続するネットワークパケットを解放するためにネットワーキングスタックでのみ使用されています (BZ#1268334)。

NetworkManager が LLDP をサポート

今回の更新により、NetworkManager は指定インターフェースで LLDP (Link Layer Discovery Protocol) メッセージをリッスンし、D-bus および nmcli で検出される近隣ノードに関する情報を公開できるようになりました。この機能はデフォルトでは無効にされますが、ifcfg ファイルの connection.lldp プロパティーまたは LLDP 変数を使用して有効にできます (BZ#1142898)。

NetworkManager の DHCP タイムアウトを設定

DHCP (Dynamic Host Configuration Protocol) ネゴシエーションにおける高速のフォールバックはサーバーが存在しない場合に役立ちます。今回の更新により、ユーザーは ipv4.dhcp-timeout プロパティーの値を設定したり、 ifcfg ファイルの IPV4_DHCP_TIMEOUT オプションを設定したりできます。その結果、NetworkManager は指定の期間のみ DHCP サーバーからの応答を待機します (BZ#1262922)。

NetworkManager が重複する IPv4 アドレスを検出

今回の更新により、NetworkManager は新規接続をアクティブ化する際に重複する IPv4 アドレスを検出するチェックを実行します。LAN のアドレスがすでに割り当てられている場合、接続のアクティブ化は失敗します。この機能はデフォルトでは無効にされますが、ipv4.dad-timeout プロパティーや、ifcfg ファイルの ARPING_WAIT 変数でこれを有効にできます (BZ#1259063)。sd

NetworkManager が systemd-hostnamed を使用してホスト名を制御

今回の更新により、NetworkManager は systemd-hostnamed サービスを使用して /etc/hostname ファイルに保存される静的ホスト名の読み取りおよび書き込みを実行します。この変更により、/etc/hostname ファイルに対する手動の変更が NetworkManager によって自動的に取得されなくなりました。ユーザーは hostnamectl ユーティリティーを使ってシステムのホスト名を変更する必要があります。また、/etc/sysconfig/network ファイルでの HOSTNAME 変数の使用は非推奨になりました (BZ#1367916)。

NetworkManager がワイヤレスネットワークのスキャン時にランダム化された MAC アドレスを使用

ワイヤレスネットワークのスキャン時に、NetworkManager はプライバシー保護のため、デフォルトでランダム化された MAC アドレスを使用するようになりました。これは設定により明示的に無効にすることができます (BZ#1388471)。

bridge_netfilter がバージョン 4.4 にリベース

bridge_netfilter サブシステムがアップストリーム 4.4 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く加えられています。とくにブリッジ転送のパフォーマンスが大幅に改善され、bridge_netfilter フックがデフォルトで登録されないようになり、フラグメント転送の機能上の問題が修正されています (BZ#1265259)。

libnl3 がバージョン 3.2.28 にリベース

libnl3 パッケージがバージョン 3.2.28 にアップグレードされ、バグ修正および拡張機能が数多く加えられています。とくに以下が含まれます。
  • ライブラリーシンボルのバージョン管理が追加されました。
  • 新規カーネル機能とデバイスタイプのサポートが追加されました。
  • 新規の libnl-xfrm-3 ライブラリーが組み込まれました。
  • このバージョンはアップストリームとの再同期を可能にします (BZ#1296058)。

PR-SCTP 拡張の追加ポリシーをサポート

RFC3758 で定義される PR-SCTP (Partially Reliable SCTP) 拡張は送信側がユーザーメッセージを破棄するための汎用的なメソッドを提供します。今回の更新により、3 つの PR-SCTP ポリシーが追加でサポートされます。
  • Timed Reliability (期間が調節された信頼性): これにより、送信側はユーザーメッセージのタイムアウトを指定できます。SCTP スタックはタイムアウトの期限が切れるとユーザーメッセージを破棄します。
  • Limited Retransmission Policy (制限付き再送信ポリシー): 再送信の数を制限できます。
  • Priority Policy (優先度ポリシー): 優先度の高いメッセージの領域が送信バッファーで必要になる場合に優先度の低いメッセージを削除できます (BZ#965453)。

tc フィルターアクションの man ページを iproute パッケージに追加

今回の更新により、iproute ユーティリティーの tc フィルターアクションの man ページが追加されました。すべての tc アクションについての man ページが用意され、概要、オプションおよび詳細の機能説明が含まれています (BZ#1275426)。

iproute ユーティリティーが MACVLAN で使用される物理インターフェースがデフォルトでプロミスキャスモードを実行できないようにする

新規の MACVLAN_FLAG_NOPROMISC フラグにより、ユーザーはパススルーモードの作成およびセットアップ後に、デフォルトでプロミスキャスモードでの物理インターフェースの実行を制御できるようになりました。この機能は、すべてのエンドステーションの MAC アドレスが既知であり、かつインターフェースで受信するすべてのパケットの処理に関するオーバーヘッドの発生を防ぐ必要がある場合に役立ちます (BZ#1013584)。

新規 IFA_F_NOPREFIXROUTE フラグがルートの自動作成を防止

以前のリリースでは、ユーザーは複数のインターフェースが同じローカルネットワークに属する場合、優先インターフェースを明示的に選択することができませんでした。今回の更新により、IFA_F_NOPREFIXROUTE netlink フラグで、新規 IPv4 アドレスのネットワークインターフェースへの追加時にルートの自動作成を防げるようになりました (BZ#1221311)。

ip コマンドがブリッジ設定を表示

今回の更新により、brctl ツールの代わりに ip ツールを使用してネットワークブリッジ設定を表示できるようになりました (BZ#1270763)。

ss が接続 TCP の再送信ごとのモニタリングをサポート

今回の更新により、ss コマンドの出力には、null でない限り bytes_ackedbytes_receivedsegs_in、および segs_out フィールドが含まれます。この機能により、リンクの質についてのモニタリングが強化されました (BZ#1269051)。

iPXE パッケージが物理コンピューターで IPv6 をサポートするようにリベース

ipxe-bootimgs および ipxe-roms パッケージがアップストリームのコミット 6366fa7a にリベースされ、Red Hat Enterprise Linux 7 の物理インストールでの IPv6 でのネットワーク起動がサポートされるようになりました (BZ#1298313)。

新規パッケージ: libvma

libvma は、Remote Direct Memory Access (RDMA) 対応のネットワークインターフェースコントローラーを使用して TCP および UDP ネットワークに依存するアプリケーションのパフォーマンスを透過的に強化するための動的にリンクされたユーザー空間ライブラリーです。これにより、標準ソケット API アプリケーションをユーザー空間からフルネットワークスタックのバイパスにより実行でき、待ち時間が短縮し、スループットが増大すると共にパケット率が増加します。
libvma は現時点で Mellanox ConnectX-3 Infiniband、Ethernet ポートおよび Mellanox ConnectX-4 Ethernet ポートに制限されています。Mellanox ConnectX-4 Infiniband ポートはサポートされていません (BZ#1271624)。

curl の新たな --unix-socket オプション

curl ユーティリティーは、新規の --unix-socket オプションが指定されている場合に TCP/IP を使用するのではなく Unix ドメインソケットを使用して接続できるようになりました。この機能はモニタリング用に Docker REST API で使用されます (BZ#1263318)。

新たに追加された iproute コマンドのカーネルサポート

更新バージョンの Red Hat Enterprise Linux 7 によりカーネルサポートが追加され、新たに追加された iproute コマンドの機能を使用できるようになりました。提供されるパッチセットには、プレフィックス付きのポリシーをハッシュ化できる IPsec インターフェースの拡張、preflen のしきい値に基づくハッシュのプレフィックス付きのポリシーの追加、netlink によるポリシーハッシュテーブルのしきい値の設定が含まれます (BZ#1212026)。

第15章 セキュリティー

SELinux ユーザースペースパッケージがバージョン 2.5 にリベース

SELinux ユーザースペースパッケージがアップストリームバージョン 2.5 にアップグレードされ、多数の修正、機能拡張およびパフォーマンス改善が図られています。SELinux ユーザースペース 2.5 での主な新機能は以下の通りです。
  • 新規 SELinux モジュールストアが優先度をサポートします。優先度の概念により、システムモジュールをより高い優先度のモジュールで上書きできます。
  • SELinux 共通中間言語 (CIL) は、読み込みおよび解析が容易で、高レベルコンパイラーや分析ツール、およびポリシー生成ツールによる生成も容易な、明確でシンプルな構文を提供します。
  • ポリシーのインストールや新規ポリシーモジュールの読み込みといった時間のかかる SELinux 操作が格段に速くなっています。
注記: SELinux モジュールのデフォルトの場所は Red Hat Enterprise Linux 7 の /etc/selinux/ ディレクトリーのままですが、アップストリームバージョンでは /var/lib/selinux/ を使用しています。移行のためにこの場所を変更する場合は、/etc/selinux/semanage.conf ファイルで store-root= オプションを設定します (BZ#1297815)。

scap-workbench がバージョン 1.1.2 にリベース

scap-workbench パッケージがバージョン 1.1.2 にリベースされました。このパッケージは、新たな SCAP Security Guide 統合ダイアログを提供します。これにより、管理者はスキャンする必要のあるコンテンツファイルではなく、製品を選択できるようになります。また新バージョンでは、調整されたウィンドウ内におけるルール検索の改善や、GUI を使った SCAP コンテンツでのリモートリソースのフェッチの可能性、およびドライラン機能など、多くのパフォーマンスやユーザー体験の改善が図られています。ドライラン機能を使用すると、ユーザーはスキャンを実行する代わりに、診断ウィンドウへの oscap コマンドライン引数を使用できます (BZ#1202854)。

openscap がバージョン 1.2.10 にリベース

OpenSCAP スイートは Security Content Automation Protocol (SCAP) 標準の統合を可能にするもので、これが最新アップストリームバージョン 1.2.10 にリベースされました。openscap パッケージは OpenSCAP ライブラリーと oscap ユーティリティーを提供します。今回の更新では特に、atomic scan コマンドを使用したコンテナのスキャンがサポートされています。また、以下のような機能拡張がなされています。
  • oscap-vm: 仮想マシンのオフラインスキャンのツール
  • oscap-chroot: 任意のパスにマウントされたファイルシステムのオフラインスキャンのツール
  • Open Vulnerability and Assessment Language (OVAL) 5.11.1 の完全サポート
  • リモート .xml.bz2 ファイルのネイティブサポート
  • 各種基準による HTML レポート結果のグループ化
  • HTML レポートの改善
  • OVAL 評価のデバッグにおける冗長モード (BZ#1278147)

firewalld がバージョン 0.4.3.2 にリベース

firewalld パッケージがアップストリームバージョン 0.4.3.2 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
  • パフォーマンスの改善: 同時に適用されるルールをグループ化する新たなトランザクションモデルにより、firewalld の起動と再起動が大幅に速くなっています。このモデルは iptables 復元コマンドを使用します。また、firewall-cmdfirewall-offline-cmdfirewall-config、および firewall-applet ツールもパフォーマンスを考慮して改善されています。
  • 接続、インターフェース、およびソースの管理改善: NetworkManager を使用して、接続のゾーン設定管理ができるようになっています。また、インターフェースのゾーン設定も firewalldifcfg ファイルで管理されます。
  • デフォルトのロギングオプション: 新たな LogDenied 設定を使用すると、拒否されたパケットを簡単にデバッグ、ログすることができます。
  • ipset サポート: firewalld が、リッチルールとダイレクトルール内で複数の IP セットをゾーンソースとしてサポートするようになりました。Red Hat Enterprise Linux 7.3 では、firewalld は以下の ipset タイプのみをサポートすることに注意してください。

audit がバージョン 2.6.5 にリベース

audit パッケージには、Linux カーネルの監査サブシステムで生成された監査レコードを保存、検索するユーザースペースユーティリティーが含まれています。この audit パッケージにがアップストリームバージョン 2.6.5 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
  • audit デーモンに incremental_async と呼ばれる新たなフラッシュ技術が含まれています。これによりこのパフォーマンスが約 90 倍改善します。
  • audit ポリシーの作成に使用可能な多くのルールが audit システムに含まれています。新規ルールの中には、Security Technical Implementation Guide (STIG) や PCI Data Security Standard のサポート、また 32 ビット syscall の発生、権限の濫用、モジュール読み込みの監査など他の機能をサポートするものもあります。
  • auditd.conf 設定ファイルと auditctl コマンドで多くの新オプションに対応しています。
  • audit システムで enriched と呼ばれる新たなログ形式に対応しています。これは、UID、GID、syscall、アーキテクチャー、およびネットワークアドレスを解決するものです。これは、ログの生成場所とは別のマシン上でのログ分析に役立ちます (BZ#1296204)。

MACsec (IEEE 802.1AE) をサポート

今回の更新では、イーサネットでの Media Access Control Security (MACsec) 暗号化がサポートされています。MACsec は、GCM-AES-128 アルゴリズムを使って LAN の全トラフィックを暗号化、認証します (BZ#1104151)。

rsyslog RELP モジュールが特定のルールセットにバインド

今回の更新では、rsyslog Reliable Event-Logging Protocol (RELP) モジュールが各入力インスタンスで特定のルールセットにバインドできるようになっています。input() インスタンスのルールセットは、module() ルールセットよりも優先度が高くなっています (BZ#1223566)。

rsyslog imfile モジュールがワイルドカードファイル名をサポート

rsyslog パッケージは機能拡張されたマルチスレッドの syslog デーモンを提供します。今回の更新で rsyslog imfile モジュールは、ワイルドカード内部ファイル名の使用と、メッセージのメタデータに実際のファイル名を追加することをサポートしています。これは、rsyslog があるディレクトリー下にあるログの読み込みが必要で、ファイル名が前もって分からない場合に便利です (BZ#1303617)。

audit.log 内の Syscalls がテキストに変換

今回の更新では、audispd イベントマルチプレクサーでシステムコール番号を syslog デーモンに転送する前に、auditd がシステムコール番号をその名前に変換するようになっています (BZ#1127343)。

audit サブシステムでプロセス名によるフィルタリングが可能

ユーザーは実行可能ファイル名 (-F exe=<path-to-executable> オプションを使用) で監査ができるようになり、これにより、新規監査ルールの多様な表現が可能になりました。この機能を使うと、bash shell によるネットワーク接続の開始などのイベントが検出できます (BZ#1135562)。

mod_security_crs がバージョン 2.2.9 にリベース

mod_security_crs パッケージがアップストリームバージョン 2.2.9 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更点は以下の通りです。
  • 新規 PHP ルール (958977) が PHP エクスプロイトを検出。
  • JS overrides ファイルが成功した XSS プローブを特定。
  • 新規 XSS 検出ルール。
  • セッションハイジャックルールの修正 (BZ#1150614)。

opencryptoki がバージョン 3.5 にリベース

opencryptoki パッケージがアップストリームバージョン 3.5 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。
主な変更点は以下の通りです。
  • openCryptoki サービスは、lock/ および log/ ディレクトリーが存在しない場合は、これらを自動的に作成します。
  • PKCS#11 API が、全トークンで SHA ハッシュのあるハッシュベースのメッセージ認証コード (HMAC) に対応しています。
  • openCryptoki ライブラリーが、OPENCRYPTOKI_TRACE_LEVEL 環境変数で設定された動的追跡を提供します (BZ#1185421)。

gnutls が中央証明書ストアを使用

gnutls パッケージは GNU Transport Layer Security (GnuTLS) ライブラリーを提供します。これは、SSL、TLS、および DTLS といった暗号化アルゴリズムを実装するものです。今回の更新では、p11-kit パッケージにより、GnuTLS は Red Hat Enterprise Linux の中央証明書ストアを使用するようになっています。証明書のブラックリストのほかに、認証局 (CA) の更新もランタイム時のアプリケーションが認識できるようになっています (BZ#1110750)。

firewall-cmd コマンドが詳細を提供

今回の更新で firewalld は、サービス、ゾーンおよびICMP タイプの詳細を表示するようになっています。また、ソース XML ファイルへの完全パスも一覧表示できます。firewall-cmd の新オプションは以下の通りです。
  • [--permanent] --info-zone=zone
  • [--permanent] --info-service=service
  • [--permanent] --info-icmptype=icmptype (BZ#1147500)

pam_faillock の設定で unlock_time=never が利用可能

pam_faillock モジュールでは、unlock_time=never オプションを使用して、複数回の認証失敗により引き起こされたユーザー認証のロックが解除されないよう指定することができます (BZ#1273373)。

libica がバージョン 2.6.2 にリベース

libica パッケージがアップストリームバージョン 2.6.2 に更新され、バグ修正や機能拡張が加えられています。特に今回の更新では、更新されたセキュリティー仕様 NIST SP 800-90A に従って、Deterministic Random Bit Generator (DRBG) のサポート拡張を含む擬似乱数の生成に対するサポートが追加されています (BZ#1274390)。

新たな lastlog オプション

lastlog ユーティリティーに --clear--set の新オプションが加わり、システム管理者が never logged in 値または現在の時刻へのユーザーによる最後のログエントリーをリセットできるようになっています。これにより、使用されなかったことでロックされていたユーザーアカウントを再度有効にすることができます (BZ#1114081)。

libreswan がバージョン 3.15 にリベース

Libreswan は、Internet Protocol Security (IPsec) および Internet Key Exchange (IKE) の Linux 向け 実装です。libreswan パッケージはアップストリームバージョン 3.15 にアップグレードされ、多くのバグ修正および機能拡張が加えられています。主な変更は以下の通りです。
  • nonce のサイズが拡大され、SHA2 アルゴリズム使用時に RFC 要件を満たすようになっています。
  • 接続エラーの場合、LibreswanNetworkManager ヘルパーを呼び出します。
  • 証明書内のすべての CRLdistributionpoints が処理されます。
  • Libreswan が存在しない IPsec Security Associations (SAs) の削除を試みることがなくなりました。
  • pluto IKE デーモンに CAP_DAC_READ_SEARCH ケイパビリティーが備わりました。
  • オンデマンドトンネル使用時に pluto がクラッシュすることがなくなりました。
  • pam_acct_mgmt が適切に設定されます。
  • 不具合が修正され、keyingtries=0 のあるトンネルが無制限にトンネルの確立を試みます。
  • 継続的アップであるように設定されたトンネルが削除されてこれを再度確立するまでの遅延が 1 秒以下になりました (BZ#1389316)。

nettle での SHA-3 実装が FIPS 202 に準拠

nettle は、ほどんどどのコンテキストにも適合するよう設計された暗号化ライブラリーです。今回の更新では、Secure Hash Algorithm 3 (SHA-3) が更新され、Federal Information Processing Standard (FIPS) 202 の最終ドラフトに準拠するようになっています (BZ#1252936)。

scap-security-guide がバージョン 0.1.30 にリベース

scap-security-guide パッケージは、最終的なシステムのセキュリティーという観点からシステム設定のガイドを提供します。このパッケージがバージョン 0.1.30 にアップグレードされました。主な改善点は以下の通りです。
  • NIST Committee on National Security Systems (CNSS) Instruction No. 1253 プロファイルが含まれるようになり、Red Hat Enterprise Linux 7 向けに更新されています。
  • Center for Internet Security (CIS) ベンチマークに啓発された米国政府 Commercial Cloud Services (C2S) プロファイルが提供されています。
  • remediation スクリプトがベンチマークに含まれ、外部の shell ライブラリーが不要になりました。
  • Red Hat Enterprise Linux 7 向け米国防情報システム局 (DISA) セキュリティー技術導入ガイド (STIG) プロファイルが更新され、Red Hat Enterprise Linux 6 向けのプロファイルと同一になりました。
  • Red Hat Enterprise Linux 7 向け Criminal Justice Information Services (CJIS) セキュリティーポリシープロファイルのドラフトが利用可能になりました (BZ#1390661)。

第16章 サーバーとサービス

squid がバージョン 3.5.20 にリベース

Squid は、web プロキシーおよびコンテンツ提供アプリケーションの開発用に強力なアクセスコントロールや承認およびロギング環境を提供するフル機能の HTTP プロキシーです。squid パッケージはバージョン 3.5.20 にアップグレードされました。主な変更点には以下が含まれます。
  • libecap バージョン 1.0 のサポート
  • 認証ヘルパーのクエリー拡張
  • 名前付きサービスのサポート
  • アップグレードされた squidclient ユーティリティー
  • 同時実行チャネルのヘルパーサポート
  • ネイティブ FTP リレー
  • PROXY プロトコルバージョン 1 および 2 の受信
  • SSL サーバー証明書バリデーター
  • トランザクションの注釈についての警告ディレクティブ
  • BSD システムの TPROXY サポート
  • TPROXY スプーフィングを管理するための spoof_client_ip ディレクティブ
  • 各種アクセス制御の更新
  • OK、ERR、および BH 応答コードおよびヘルパーからの kv-pair オプションのサポート
  • 改善されたパイプラインキュー設定
  • マルチキャスト DNS
重要: squid を更新すると、特定の設定ディレクティブが最新バージョンに変更されます。これらの変更には後方互換性がありますが、予期しない設定変更を防ぐ場合は、squid-migration-script パッケージを使用して squid 設定の結果をプレビューできます。詳細は、https://access.redhat.com/solutions/2678941 を参照してください (BZ#1273942)。

PHP cURL モジュールが TLS 1.1 および TLS 1.2 をサポート

curl ライブラリーで以前に利用できた TLS プロトコルのバージョン 1.1 および 1.2 のサポートが PHP cURL 拡張に追加されました (BZ#1291667)。

OpenSSLSCTP をサポート

OpenSSL ライブラリーの SCTP (Stream Control Transmission Protocol) サポートが OpenSSL DTLS (Datagram Transport Layer Security) プロトコル実装で有効になりました (BZ#1225379)。

Dovecot で tcp_wrappers サポートを有効化

Dovecot は、セキュリティーを主に考慮して作成された IMAP サーバーです。これには小規模な POP3 サーバーも含まれ、Maildir または Mbox 形式のいずれかのメールをサポートします。
今回の更新では、Dovecot は tcp_wrappers サポートを有効にしてビルドされています。tcp_wrappers をもう 1 つのセキュリティー層として使用することで Dovecot へのネットワークアクセスを制御できるようになりました (BZ#1229164)。

log4j を Tomcat ロギングメカニズムとして許可するために必要なクラスを追加

tomcat-juli.jar および tomcat-juli-adapters.jar ファイルがないために、log4j ユーティリティーを Tomcat ロギングメカニズムとして使用できませんでした。必要なクラスが追加されることにより、log4j がロギングに使用できるようになりました。さらに、symlinks ユーティリティーをインストールし、前述の .jar ファイルのある extras フォルダーの位置で更新する必要があります (BZ#1133070)。

MySQL-python がバージョン 1.2.5 にリベース

MySQL-python パッケージがアップストリームバージョン 1.2.5 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く追加されています。とくに、neutron および cinder サービスに ResourceClosedError を生じさせるバグが修正されています (BZ#1266849)。

BIND が GeoIP ベースの ACL をサポート

今回の更新により、BIND DNS サーバーは GeoIP データベースを使用できるようになります。この機能により、管理者はクライアントの地理的な場所に応じてクライアントのアクセス制御リスト (ACL) を実装できます (BZ#1220594)。

BIND サーバーが CAA レコードをサポート

CAA (Certification Authority Authorization; 認証局認証) サポートが BIND (Berkeley Internet Name Domain) サーバーに追加されました。ユーザーは DNS レコードを指定して認証局を制限できるようになりました (BZ#1306610)。

Unbound DNS 検証リゾルバーが DNSSEC の ECDSA 暗号をサポート

今回の更新により、ECDSA 暗号が Unbound DNS 検証リゾルバーで有効にされました。その結果、DNS リゾルバーは ECDSA アルゴリズムによって DNSSEC を使って署名された DNS 応答を検証できるようになりました (BZ#1245250)。

tomcat がバージョン 7.0.69 にリべース

tomcat パッケージがバージョン 7.0.69 にリベースされました。主な変更点には以下が含まれます。
  • 数多くの解決済みのバグおよび脆弱性
  • HSTS および VersionLoggerListener 機能の追加
  • BZ#1311622 で説明されている NoSuchElementException バグの解決 (BZ#1287928)

servicelog がバージョン 1.1.14 にリベース

servicelog パッケージがアップストリームバージョン 1.1.14 にアップグレードされました。以前のバージョンに対するバグ修正および拡張機能が数多く加えられています (BZ#1182028)。

第17章 ストレージ

新規カーネルサブシステム: libnvdimm

今回の更新により、Non-Volatile Dual Inline Memory Module (NVDIMM) の検出、設定、および管理を行う libnvdimm というカーネルサブシステムが追加されました。その結果、NVDIMM がシステムにある場合、それらは /dev/pmem* デバイスノードで公開され、ndctl ユーティリティーを使って設定できるようになりました (BZ#1269626)。

NVDIMM がサポートされたハードウェア

Red Hat Enterprise Linux 7.3 リリースの時点で、多数の OEM (Original Equipment Manufacturer) が Non-Volatile Dual Inline Memory Module (NVDIMM) ハードウェア向けのサポートを追加しています。これらの製品が市場に投入される段階で Red Hat はこれらの OEM と連携して設定をテストし、可能な場合は Red Hat Enterprise Linux 7.3 でのそれらの製品のサポートを発表する予定です。
これは新しいテクノロジーであるため、各製品およびサポートされる設定についての具体的なサポートステートメントが出されます。Red Hat のテストが問題なく終了し、OEM による対応する文書化されたサポートが利用可能になった時点で発表されます。
現在サポートされている NVDIMM 製品には以下が含まれます。
  • HPE ProLiant システムの HPE NVDIMM。具体的な設定については、Hewlett Packard Enterprise Company のサポートステートメントを参照してください。
一覧に記載のない NVDIMM 製品および設定はサポートされません。Red Hat Enterprise Linux 7.3 リリースノートは、NVDIMM 製品がサポート対象製品の一覧に追加される際に更新されます (BZ#1389121)。

新規パッケージ: nvml

nvml パッケージには、とりわけ不揮発性メモリー用に最適化された memory-mapped persistence (メモリーマップによる不揮発性) を使用するためのライブラリーコレクションである Non-Volatile Memory Library (NVML) が含まれます (BZ#1274541)。

SCSI が複数のハードウェアキューをサポート

nr_hw_queues フィールドが Scsi_Host 構造に追加されることにより、ドライバーがこのフィールドを使用できるようになりました (BZ#1308703)。

exclusive_pref_bit オプション引数を multipath ALUA prioritizer に追加

exclusive_pref_bit 引数が multipath Asymmetric Logical Unit Access (ALUA) prioritizer に追加され、パスにターゲットポートグループサポート (Target Port Group Support; TPGS) の pref ビットが設定される場合、multipath はそのパスのみを使用してパスグループを作成し、最も高い優先順位をそのパスに割り当てます。ユーザーは、優先するパスを同様に最適化された他のパスと共にパスグループに入れるというデフォルトオプションを許可するか、または exclusive_pref_bit 引数を追加することによってそれ自体をパスグループに入れることができます (BZ#1299652)。

multipathdmultipathd 形式の出力コマンドにおける raw フォーマットモードをサポート

multipathd 形式の出力コマンドで、raw フォーマットモードが使用できます。これは、フィールド間のヘッダーと追加パディングを取り除きます。新たなフォーマットのワイルドカードもサポートされるようになりました。Raw フォーマットモードでは、とくにスクリプトの使用でマルチパスデバイスについての情報の収集と解析が容易になります (BZ#1299651)。

LVM のロックインフラストクラチャーの改善

lvmlockd は LVM の次世代ロックインフラストラクチャーです。dlm または sanlock ロックマネージャーのいずれかを使用して複数ホストの共有ストレージを LVM で安全に管理できるようになります。sanlock を使用すると lvmlockd でストレージベースのロック機能でホストを調整できるため、クラスターインフラストラクチャー全体の調整が必要ありません。詳細については lvmlockd(8) の man ページを参照してください。
この機能は最初に Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されました。Red Hat Enterprise Linux 7.3 では lvmlockd は完全にサポートされています (BZ#1299977)。

シンプロビジョニングされた論理ボリュームのキャッシュのサポート (制限あり)

Red Hat Enterprise Linux 7.3 では、シンプロビジョニングされた論理ボリュームをキャッシュする機能を提供しています。これにより、キャッシュの利点が特定のシンプールに関連付けられたすべてのシン論理ボリュームに広がります。ただし、シンプールがこのようにセットアップされると、シンプールを拡張する際にまずキャッシュ層を削除する必要があります。さらに、シンプールの自動拡張機能は使用できなくなります。ユーザーはスペース不足を防ぐためにそれぞれのシンプールの使用状況および使用率を注意深くモニターする必要があります。シンプロビジョンされた論理ボリュームについての詳細は lvmthin(7) の man ページを、LVM キャッシュボリュームの詳細は lvmcache(7) の man ページを参照してください (BZ#1371597)。

device-mapper-persistent-data がバージョン 0.6.2 にリベース

device-mapper-persistent-data パッケージがアップストリームバージョン 0.6.2 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く追加されています。とくに、プール内のシンボリュームについての情報を提供する thin_ls が利用可能になりました (BZ#1315452)。

指定されたハードウェアでの DIF/DIX (T10 PI) のサポート

SCSI T10 DIF/DIX は、ハードウェアベンダーに評価されており、かつ特定の HBA およびストレージアレイ設定を完全サポートしていれば、Red Hat Enterprise Linux 7.3 で完全にサポートされるようになりました。DIF/DIX は他の設定ではサポートされておらず、ブートデバイスや仮想化ゲスト上でサポートされていません。
現時点では、以下のベンダーがこのサポートを提供しています。
FUJITSU は以下の組み合わせで DIF と DIX をサポート:
EMULEX 16G FC HBA:
  • EMULEX LPe16000/LPe16002、10.2.254.0 BIOS、10.4.255.23 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3、AF250、AF650
QLOGIC 16G FC HBA:
  • QLOGIC QLE2670/QLE2672、3.28 BIOS、8.00.00 FW と
  • FUJITSU ETERNUS DX100 S3、DX200 S3、DX500 S3、DX600 S3、DX8100 S3、DX8700 S3、DX8900 S3、DX200F、DX60 S3
T10 DIX にはディスクブロックでのチェックサム生成と検証を行う他のソフトウェアまたはデータベースが必要になることに注意してください。現在対応している Linux ファイルシステムの中でこの機能が備わっているファイルシステムはありません。
EMC は以下の組み合わせで DIF をサポート:
EMULEX 8G FC HBA:
  • ファームウェア 2.01a10 以降の LPe12000-E および LPe12002-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
EMULEX 16G FC HBA:
  • ファームウェア 10.0.803.25 以降の LPe16000B-E および LPe16002B-E と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
QLOGIC 16G FC HBA:
  • QLE2670-E-SP および QLE2672-E-SP と
  • EMC VMAX3 Series with Enginuity 5977、EMC Symmetrix VMAX Series with Enginuity 5876.82.57 以降
最新の状況については、ハードウェアベンダーのサポート情報を確認してください。
他の HBA およびストレージアレイに関する DIF/DIX のサポートは引き続きテクノロジービューになります (BZ#1379689)。

iprutils がバージョン 2.4.13 にリベース

iprutils パッケージがアップストリームバージョン 2.4.13 にアップグレードされ、以前のバージョンに対するバグ修正や拡張機能が数多く追加されています。とくに今回の更新により、8247-22L および 8247-21L ベースの SAS (Serial Attached SCSI) バックプレーンのアダプターライトキャッシュを有効にするサポートが追加され、大幅にパフォーマンスが改善されました (BZ#1274367)。

multipathd コマンドが JSON 形式でマルチパスデータを表示

今回のリリースにより、multipathd には JSON 形式でマルチパスデータを表示する show maps json コマンドが組み込まれています。これにより、他のプログラムが multipathd show maps 出力を解析しやすくなりました (BZ#1353357)。

Huawei XSG1 アレイのデフォルト設定を追加

今回のリリースにより、マルチパスで Huawei XSG1 アレイのデフォルト設定が提供されます (BZ#1333331)。

マルチパスでの Ceph RADOS ブロックデバイスのサポート

RDB デバイスには、デバイスの修復機能と共に、特殊な uid 処理および独自のチェッカー機能が必要です。今回のリリースにより、RADOS ブロックデバイスの上部でマルチパスを実行できるようになりました。ただし、マルチパス RBD サポートは、exclusive-lock 機能が有効にされた状態の RBD イメージが複数のクライアント間で共有されている場合にのみ使用する必要があります (BZ#1348372)。

PURE FlashArray のサポートを追加

今回のリリースにより、マルチパスには PURE FlashArray のビルトイン設定サポートが加わりました (BZ#1300415)。

MSA 2040 アレイのデフォルト設定を追加

今回のリリースにより、マルチパスは MSA 2040 アレイのデフォルト設定を追加しています (BZ#1341748)。

新規の skip_kpartx 設定オプションにより kpartx パーティションの作成を省略

skip_kpartx オプションが multipath.conf の defaults、devices、および multipaths セクションに追加されました。このオプションが yes に設定されると、skip_kpartx を使って設定されたマルチパスデバイスではパーティションデバイスが作成されません。これにより、ユーザーは、デバイスにパーティションテーブルがある場合でもパーティションを作成せずにマルチパスデバイスを作成できます。このオプションのデフォルト値は no です (BZ#1311659)。

マルチパスの weightedpath prioritizer が wwn キーワードをサポート

マルチパスの weightedpath prioritizer が wwn キーワードをサポートします。これが使用されると、デバイスに一致させるための正規表現の形式は host_wwnn:host_wwpn:target_wwnn:target_wwpn になります。これらの識別子は sysfs か、または %N:%R:%n:%r という multipathd show paths format ワイルドカードを使用して検索できます。
以前のリリースでは、weightedpath prioritizer は HBTL とデバイス名の regex のマッチングのみを許可していました。これらはいずれも再起動時に永続化しないため、weightedpath prioritizer 引数は起動ごとに変更する必要がありました。この機能により、weightedpath prioritizer を永続的なデバイス識別子で使用できるようになりました (BZ#1297456)。

新規パッケージ: nvme-cli

nvme-cli パッケージには NVMe コントローラーを管理し、設定するための NVMe (Non-Volatile Memory Express) コマンドラインインターフェースがあります (BZ#1344730)。

LVM2 は autoresize が設定されていないと警告メッセージを表示

シンプールのデフォルト動作では、領域が使い果たされてもシンプールの autoresize (自動サイズ再設定) を実行しません。しかし、領域が使い果たされると各種の負の影響が生じます。ユーザーが autoresize を使用していない場合にシンプールが一杯になると、新規の警告メッセージがユーザーに表示され、ユーザーがシンプールのサイズの再設定やシンボリュームの使用を停止するなど、適切なアクションを取れるように想定される問題について通知されるようになりました (BZ#1189221)。

dmstats がファイルの dmstats 領域へのマッピングをサポート

dmstats コマンドの --filemap オプションにより、ユーザーはファイルシステムの指定ファイルまで I/O 操作を追跡できるように dmstats 領域を簡単に設定できるようになりました。以前のリリースでは、I/O 統計はデバイス全体か、またはデバイスのある領域についてのみ利用可能でした。そのため、管理者がファイル別の I/O パフォーマンスを把握する上で制限がありました。今回のリリースから、--filemap オプションにより、ユーザーは device-mapper デバイスに使用される同じツールでファイルの I/O パフォーマンスを検査できるようになりました (BZ#1286285)。

LVM が LV ポリシーを外部ボリュームに適用しない

以前のリリースでは、LVM は外部ボリュームについても LVM シン論理ボリュームの独自のポリシーを無条件に適用していました。そのため、予期しない動作が発生する可能性がありました。今回の更新により、シンプールの外部ユーザーは外部シンボリュームの独自の管理機能を使用できるようになり、LVM が LV ポリシーをこのボリュームに適用しなくなりました (BZ#1329235)。

新規シンボリュームの作成時にシンプールに十分な領域があることを常にチェック

ユーザーが autoresize (自動サイズ再設定) をシンプールのモニタリングと使用していない場合でも、新規シンボリュームの作成時にシンプールに十分な領域があるかどうかが常に確認されるようになりました。
新規シンボリュームは以下の状況では作成することができません。
  • シンプールでデータボリュームの容量が 100% に達している。
  • 16 MiB よりも小さいメタデータについて、シンプールのメタデータの空き領域が 25% を下回っている。
  • メタデータの空き領域が 4 MiB を下回っている (BZ#1348336)。

LVM がキャッシュプールのチャンクの最大数を設定可能

lvm.conf ファイルの allocation セクションにある新規の LVM allocation パラメーター cache_pool_max_chunks は、キャッシュプールチャンクの最大数を制限します。このパラメーターが定義されていないか、または 0 に設定されている場合に、ビルトインデフォルト設定が使用されます (BZ#1364244)。

キャッシュプールを論理ボリュームから切り離す機能をサポート

LVM には、キャッシュプールのデバイスが失敗した場合にキャッシュプールを論理ボリュームから切り離す機能があります。以前のリリースでは、この種類の失敗が発生すると、キャッシュプールを元の論理ボリュームから切り離すために手動介入や LVM メタデータへの複雑な変更が必要でした。
論理ボリュームをそのキャッシュプールから切り離すには、以下のコマンドを使用します。
# lvconvert --uncache *vg*/*lv*
以下の制限があることに注意してください。
  • キャッシュ論理ボリュームは非アクティブな状態である必要があります (再起動が必要な場合がある)。
  • writeback キャッシュには、失敗した場合にデータを破棄する可能性があるため --force オプションが必要です。
(BZ#1131777)

削除されたシンスナップショット論理ボリュームを LVM で追跡および表示できる

lvm.conf 設定ファイルで record_lvs_history メタデータオプションを有効にすることにより、削除されたシンスナップショット論理ボリュームを追跡することを設定できるようになりました。これにより、元の依存関係チェーンから削除され、過去の論理ボリュームになった論理ボリュームを含む完全なシンスナップショット依存関係チェーンを表示できます。過去の LV を含む完全な依存関係チェーンは、新しい lv_full_ancestorslv_full_descendants のレポートフィールドで表示できます。過去の論理ボリュームの設定および表示については、Logical Volume Administration を参照してください (BZ#1240549)。

第18章 システムとサブスクリプション管理

デフォルトの登録 URL が subscription.rhsm.redhat.com

Red Hat Enterprise Linux 7.3 以降、デフォルトの登録 URL は subscription.rhsm.redhat.com に変更されました (BZ#1396085)。

subscription-manager がネットワークインターフェースに関連付けられた全アドレスを表示

以前のリリースでは、subscription-manager ユーティリティーは、1 つのネットワークインターフェースに複数のアドレスが関連付けられている場合でも、1 つのネットワークインターフェースあたり 1 つのアドレスしか表示しませんでした。今回の更新により、各ネットワークインターフェースに対応する _list のサフィックスが付いた新しいシステムファクトがエンタイトルメントサーバーに報告されるようになりました。これには、コンマ区切りの値が含まれます。その結果、subscription-manager はネットワークインターフェースに関連付けられた全アドレスを表示できるようになりました (BZ#874735)。

rct によってサブスクリプションデータのみの表示が可能

rct ユーティリティーは、--no-content オプションを受け入れるようになりました。rct cat-manifest コマンドに --no-content オプションを渡すと、rct はサブスクリプションのデータのみを表示します (BZ#1336883)。

rct cat-manifestvirt-who が必要かどうかを判断するための情報を表示

rct cat-manifest [MANIFEST_ZIP] コマンドの出力に、 Virt LimitRequires Virt-who のフィールドが含まれるようになりました。これらのフィールドは、virt-who コンポーネントがデプロイに必要かどうかを判断するのに役立ちます (BZ#1336880)。

needs-restarting ユーティリティーに新しい --services オプションを追加

今回の更新で、needs-restarting ユーティリティーに新しい --services オプションが追加されました。この新しいオプションを指定すると、needs-restarting は、プロセス ID の代わりにサービス名を改行の区切りで一覧表示します。この情報は、システム管理者が yum update を実行後に、その更新内容の有効にするために再起動する必要のある systemd サービスを特定するのに役立ちます (BZ#1335587)。

needs-restarting ユーティリティーに新しい --reboothint オプションを追加

今回の更新により、needs-restarting ユーティリティーに新しい --reboothint オプションが追加されました。needs-restarting --reboothint を実行すると、前回のブート時からどのコアパッケージが更新されていて (該当する場合)、リブートを勧めるかどうかを示すメッセージが出力されます。これは、システム管理者が、すべての更新を有効にするためにシステムをリブートする必要があるかを判断するのに役立ちます。このアドバイスは情報提供のみで、必ずしもシステムを直ちにリブートする必要があるということではない点に注意してください (BZ#1192946)。

yumskip_missing_names_on_installskip_missing_names_on_update の新オプションを追加

yum リポジトリーの設定に skip_missing_names_on_installskip_missing_names_on_update のオプションが追加されました。skip_missing_names_on_install/etc/yum.conf ファイルで False に設定すると、yum が指定されたパッケージ、グループ、または RPM ファイルを見つけられない場合に yum install コマンドが失敗します。skip_missing_names_on_updateFalse に設定すると、yum が指定されたパッケージ、グループ、または RPM ファイルを見つけられない場合またはそれらが利用可能であってもインストールされていない場合に yum update コマンドが失敗します (BZ#1274211)。

yum に新しい compare_providers_priority オプションを追加

今回の更新により、yum リポジトリーの設定に compare_providers_priority オプションが追加されました。このオプションを /etc/yum.conf ファイルで設定すると、yum は依存関係の解決時にリポジトリーの優先度を適用します。このオプションは、複数の異なるリポジトリーからのパッケージによって満たすことのできる依存関係が発生した場合に、yum が実行する動作に影響を与えるために使用することができます (BZ#1186690)。

第19章 仮想化

VT-d posted interrupt

Red Hat Enterprise Linux では、CPU 側の posted interrupt に関連して Intel Virtualization Technology for Directed I/O (VT-d) をサポートしています。VT-d posted interrupt 機能を有効にすると、直接割り当てられるデバイスからの外部割り込みが、ゲストが非 root モードで実行中の場合でも Virtual Machine Manager の介在なしにゲストに配信されます (BZ#1172351)。

Hyper-V ストレージドライバー (storvsc) の更新

Hyper-V ストレージドライバー (storvsc) はアップストリームから更新されました。これにより、特定のワークロードに Hyper-V storvsc ドライバーを使用する際の I/O 操作のパフォーマンスが強化されました (BZ#1287040)。

Hyper-V クロックソースが TSC ページを使用するように変更

今回の更新により、タイムスタンプカウンター (TSC) ページが Hyper-V クロックソースとして使用されます。TSC ページは、これまで使用されたモデル固有レジスター (MSR) よりも効率的なゲスト別の参照カウンター値の計算方法になります。これにより、タイムスタンプの読み取りが関係するカーネル操作がより高速になります (BZ#1300325)。

libguestfs がバージョン 1.32.7 にリベース

libguestfs パッケージがアップストリームバージョン 1.32.6 にアップグレードされました。以前のバージョンに対するバグ修正および拡張機能が数多く加えられています。主な変更点には以下が含まれます。
  • virt-get-kernel ユーティリティーが追加されました。このユーティリティーを使用してディスクイメージファイルからカーネルおよび初期 RAM ファイルシステム (initramfs) を抽出できるようになりました。詳細は、virt-get-kernel(1) の man ページを参照してください。
  • virt-dib ユーティリティーが追加されました。そのケイパビリティーにはディスクイメージファイルおよび ramdisk が含まれます。詳細は、virt-dib(1) の man ページを参照してください。
  • virt-customizevirt-builder、および virt-systprep ユーティリティーに複数のオプションが追加されました (BZ#1218766)。

virt-v2v および virt-p2v が Windows の最新リリースのサポートを追加

virt-v2v ユーティリティーには、 VMWare ハイパーバイザーからのWindows 8、8.1 、10、および Windows Server 2012、2012R2 を使用する仮想マシンを KVM、Red Hat Enterprise Virtualization、および OpenStack で実行できるように変換するサポートが含まれます。さらに、virt-p2v ユーティリティーには前述の Windows システムを使用する物理マシンを KVM、Red Hat Enterprise Virtualization、および OpenStack と互換性のある仮想マシンに変換するサポートも含まれています (BZ#1190669)。

libvirt 管理 API を追加

今回の更新により、libvirtd サービスの管理インターフェースが有効になりました。libvirtd.conf ファイルを使用して調整でき、変更されるたびにデーモンの再起動が必要になる永続的な libvirtd 設定とは異なり、管理インターフェースにより、ユーザーがデーモン設定をいつでも変更できるようになります。さらに、管理インターフェースは現行のデーモン設定をモニターする複数の方法を提供します。
とくに API が可能にする操作には以下が含まれます。
  • すべてのデーモンサーバーの一覧表示
  • すべてのクライアント接続の一覧表示
  • クライアント接続についての詳細情報の提供
  • 強制的な方法による個別クライアント接続のクローン
  • ホスト上で許可されるクライアント数とアクティブワーカースレッド数の制限の再設定
管理インターフェースは、既存の virsh クライアントに基づく virt-admin ユーティリティーを使用して制御できます。詳細は、virt-admin(1) の man ページを参照してください (BZ#735385)。

virt-p2v の完全サポート

Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入された virt-p2v ツールは完全にサポートされるようになりました。これにより、以前のリリースでテクノロジープレビューとして導入された、物理マシンを KVM ハイパーバイザーと互換性のある仮想マシンに変換する機能を利用できます。
virt-p2v は最小 Red Hat Enterprise Linux ディストリビューションとツール自体を含む ISO イメージとして提供されます。物理マシンを変換するには、この ISO イメージを CD に焼いてからこれを使用して物理マシンを起動します。PXE ブートおよび USB ブートもサポートされています。その後は画面上の指示に従って手動による変換または自動変換のアクティブ化を実行してください。
詳細については、virt-v2v パッケージをインストールしてから virt-p2v(1) の man ページを参照するか、以下のナレッジベース記事を参照してください。

新規パッケージ: libvirt-nss

Red Hat Enterprise Linux 7.3 では libvirt-nss パッケージが追加されています。これにより、libvirt Network Security Services (NSS) モジュールの使用が可能になります。このモジュールは、TLS、SSL、SSH およびその他リモートログインサービスを使ったゲストへの接続を容易にします。さらにこのモジュールは ping などのホスト名変換を使用する各種ユーティリティーにも利点があります。詳細は、『Red Hat Enterprise Linux 7 Virtualization Deployment and Administration Guide』を参照してください (BZ#1325996)。

Intel Xeon v5 プロセッサーを KVM ゲストでサポート

Intel Xeon v5 プロセッサーのサポートが KVM ハイパーバイザーとカーネルコード、および libvirt API に追加されています。これにより、KVM ゲスト仮想マシンで MPX、XSAVEC、XGETBV1 の機能を使用できます (BZ#1327599)。

VirtIO 1.0 の完全サポート

Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入された VirtIO 1.0 デバイスが完全にサポートされます (BZ#1227339)。

指定ネットワークの libvirt iptables ルールを手動で管理

libvirt は、これが作成するネットワークのそれぞれのタイプに適した iptables ルールを自動的に生成し、適用します。ルールは各ネットワークの設定にある forward mode で制御されます。以前のリリースでは、ユーザーがこれらの自動生成された iptables ルールを無効にしたり、iptables ルールを手動で管理したりする方法はありませんでした。現行リリースでは、open ネットワークの forward mode が追加されました。ネットワークに指定される際に、libvirt はそのネットワークの iptables ルールを生成しません。その結果、libvirt の範囲外に追加される iptables ルールは中断されず、ユーザーは iptables ルールを手動で管理できます (BZ#846810)。

open-vm-tools がバージョン 10.0.5 にリベース

open-vm-tools パッケージがアップストリームバージョン 10.0.5 にアップグレードされ、以前のバージョンに対するバグ修正および拡張機能が数多く追加されています。とくに、ゲスト OS カスタマイズ (GOSC) および静止スナップショット機能が導入されています (BZ#1268537)。

virt-who が HTTP エラー 429 を正常に処理

サブスクリプションマネージャーの負荷が高過ぎると、クライアントとの速度制限のある通信に HTTP エラーコード 429 が返される可能性がありました。以前のリリースでは、virt-who はこのエラーコードを適切に処理しなかったため、動作が最適化されませんでした。今回の更新により、virt-who は HTTP エラーコード 429 を適切に処理してからサブスクリプションマネージャーとの通信を再試行するようになりました (BZ#1286945)。

暗号化された Hyper-V 通信を virt-who でサポート

以前のリリースでは、virt-who は暗号化されていない Hyper-V 接続を使用しました。すべてのデータはプレーンテキストで送信されていました。これにはセキュリティーへの影響が伴うため Hyper-V サーバーに特殊な設定を行えるようにする必要がありました。今回の更新により、virt-who は Windows NT LAN Manager (NTLM) のシールと署名を使用して Hyper-V サーバーとの通信を保護できるようになりました (BZ#1278637)。

Red Hat Enterprise Linux をベースとしていないハイパーバイザーを登録するための新規チャンネル

以前のリリースでは、virt-who は、登録されたハイパーバイザーが Red Hat Enterprise Linux ベースでない場合でも、登録された各ハイパーバイザーにつき 1 つの Red Hat Enterprise Linux 6 サブスクリプションを消費していました。今回の更新により、virt-who は Satellite 5 でのハイパーバイザー登録用に Hypervisor Base という名前の新規チャンネルを作成し、これを使用するようになりました。その結果、virt-who が新たに登録されたハイパーバイザーについて Hypervisor Base チャンネルを使用し、Red Hat Enterprise Linux 6 サブスクリプションが不必要に使用されなくなりました (BZ#1245035)。

IBM z Systems での Diag0c の完全サポート

Red Hat Enterprise Linux 7.3 では、IBM z Systems での Diag0c の完全サポートを提供しています。Diag0c サポートにより、 z/VM ハイパーバイザーが提供する CPU パフォーマンスメトリックを読み取り、診断タスクが実行される Linux ゲストの各オンライン CPU の管理時間を取得できるようになりました (BZ#1278795)。

libvirt API が USB デバイスのアドレスを生成

今回の更新により、libvirt は USB デバイスのアドレスを生成するようになりました。これらのデバイスは、libvirt で生成されるアドレスの子要素と共にドメイン XML ファイルで参照できるようになりました。これにより、後に開始、復元、および移行操作を実行する際にゲストの USB デバイスの一貫したアドレスを使用できます。また、USB デバイスが接続された仮想マシンを移行することができます (BZ#1215968)。

WALinuxAgent が 2.2.0 にリベースされた

Windows Azure Linux Agent がアップストリームバージョン 2.2.0 にアップグレードされ、以前のバージョンに比べて多くのバグ修正と拡張機能が提供されるようになりました。このエージェントは、Windows Azure クラウドでの Linux 仮想マシンのプロビジョニングと実行をサポートし、Windows Azure 環境で実行するように構築された Linux イメージにインストールする必要があります。WALinuxAgent パッケージは Extras チャンネルで提供されます (BZ#1387783)。

第20章 Atomic Host とコンテナー

Red Hat Enterprise Linux Atomic Host

Red Hat Enterprise Linux Atomic Host は、Linux コンテナーの実行のために最適化された安全、軽量で、フットプリントを最小限に抑えたオペレーティングシステムです。最新の新機能、既知のバグ、およびテクノロジープレビューについては、Atomic Host およびコンテナーの『Release Notes』 を参照してください。

第21章 Red Hat Software Collections

Red Hat Software Collections とは、動的なプログラミング言語、データベースサーバー、関連パッケージなどを提供する Red Hat のコンテンツセットのことで、AMD 64 および Intel 64 アーキテクチャーをベースにした Red Hat Enterprise Linux 6 および Red Hat Enterprise Linux 7 のサポートされているどのリリースに対してもインストールして使用することができます。Red Hat Developer Toolset は、別の Software Collection として含まれています。
Red Hat Developer Toolset は Red Hat Enterprise Linux プラットフォームで作業する開発者向けに設計されており、最新版の GNU Compiler Collection、GNU Debugger、その他の各種開発用ツールやデバッグ用ツール、パフォーマンス監視用ツールなども提供しています。Red Hat Developer Toolset 以降のバージョンでは、Eclipse 開発プラットフォームは別の Software Collection として提供されています。
Red Hat Software Collections で配信される動的言語、データベースサーバーなどのツールは Red Hat Enterprise Linux で提供されるデフォルトのシステムツールに代わるものでも、これらのデフォルトのツールよりも推奨されるツールでもありません。Red Hat Software Collections では、scl ユーティリティーをベースにした別のパッケージメカニズムを使用しており、複数のパッケージセットを並行して提供できます。Red Hat Software Collections を利用すると、Red Hat Enterprise Linux で別のバージョンをオプションで使用できます。scl ユーティリティーを使用すると、いつでも任意のパッケージバージョンを選択して実行することができます。

重要

Red Hat Software Collections のライフサイクルおよびサポート期間は、Red Hat Enterprise Linux に比べて短くなります。詳細は「Red Hat Software Collections 製品ライフサイクル」を参照してください。
Red Hat Software Collections のセットに収納されているコンポーネント、システム要件、既知の問題、使い方、各 Software Collection の詳細などについては Red Hat Software Collections のドキュメント を参照してください。
Red Hat Software Collections の一部となる Red Hat Developer Toolset に収納されているコンポーネント、インストール、使い方、既知の問題など詳細については Red Hat Developer Toolset のドキュメント を参照してください。

パート II. 主なバグ修正

ここでは、ユーザーに大きな影響を与える Red Hat Enterprise Linux 7.3 で修正されたバグについて説明します。

第22章 全般的な更新

長いネットワークデバイス名の短縮化

ネットワークデバイスには、許容できないほど長い名前のものがあります。これは、特定のファームウェアが意味のないデータ (例: カーネルがユーザー空間に渡すデバイスの onboard index の値) を報告することが原因です。
以前のリリースでは、特に VLAN など最大長の名前の場合に問題が発生していました。今回の更新では、systemd は許容できない長さの名前は拒否して、異なる名前のスキームにフォールバックされるようになり、長いネットワークデバイス名は表示されなくなりました。
重要: これにより、既存のシステム環境で使用された名前が変更される可能性があり、変更されたネットワークデバイスがオンラインにならない可能性があります。
X が 16383 以上の enoX という名前のネットワークカードで名前が変更されます。VMWare のマシンのファームウェアでは記載の問題が含まれているため、VMWare の多くで影響を受けます (BZ#1230210)。

systemd がデバイスの識別バイトを正しく読みこむようにするための修正

バイトオーダーの問題が原因で、Red Hat Enterprise Linux 7.2 の systemd のバージョンは、間違った順番でデバイスの識別バイトを読み込み、dev/disk/by-id/wwn-* のシンボリックリンクが誤って生成されていました。正しい順にデバイスの識別バイトが配置され、シンボリックリンクも正しく生成されるように修正が適用されました。/dev/disk/by-id/wwn-* から取得する値に依存する参照は、Red Hat Enterprise Linux 7.3 以降では正しく機能するように変更する必要があります (BZ#1308795)。

net.unix.max_dgram_qlen の値が 512 に増加

以前のリリースでは、net.unix.max_dgram_qlen のカーネルオプションのデフォルト値が 16 だったため、ネットワークトラフィックが過剰な場合に、特定のサービスが予期せず中断される可能性がありました。今回の更新では、この問題が発生しないようにカーネルオプションの値が 512 に設定されました。この変更を適用するには、ユーザーはマシンを再起動する必要があります (BZ#1267707)。

ldconfig.service が原因で /lib/ および /lib64/ の root 以外のファイルシステムへのリンクが削除される問題

Red Hat Enterprise Linux 7.2 では ldconfig.service が導入され、root 以外のファイルシステムがマウントされる前の、初期のブートプロセスで実行されていました。今回の更新以前は、ldconfig.service が実行されると、まだマウントされていないファイルシステムを参照する /lib//lib64/ ディレクトリーのリンクが削除されていました。Red Hat Enterprise Linux 7.3 では ldconfig.service が削除され、問題が発生しなくなりました (BZ#1301990)。

多くのプロセスが短い間隔で中断された場合に systemd がハングしない

以前のリリースでは、リーピングプロセスのアルゴリズムが非効率であるため、大量のプロセスが短い間隔で中断されると、systemd サービスが応答しなくなりました。今回の更新では、このアルゴリズムが向上され、systemd はより迅速にプロセスをリープでき、記載の systemd のハングの問題を予防できるようになりました (BZ#1360160)。

gnome-dictionary multilib パッケージの競合が発生しない

gnome-dictionary multilib パッケージの 32 ビット版と 64 ビット版の両方がインストールされている場合は、Red Hat Enterprise Linux 7.2 から Red Hat Enterprise Linux 7.3 へのアップグレードに失敗していました。この問題を修正するために、Red Hat Enterprise Linux 7.3 から 32 ビットのパッケージが削除されたのでこのような状況でも予想どおりにアップグレードされるようになりました (BZ#1360338)。

第23章 認証および相互運用性

keep alive エントリーのロギングレベルの変更

keep alive エントリーは、部分レプリケーションでスキップされた更新が複数回評価されないようにするために使用されます。大量の更新がスキップされた場合、これらのエントリーは大変頻繁に更新されます。また、各エントリーは更新前に存在の有無がテストされるため、一意のエントリーのみが作成されます。
これまで、このテストは Fatal レベルでログに記録されたため、フィルターで除去できない可能性がある不必要なメッセージによってエラーログが満杯になりました。この更新により、keep alive エントリーのロギングレベルが Fatal から Replication debugging (8192) に変更になり、エントリーをフィルターで除去できるようになりました (BZ#1314557)。

cleanAllRUV タスクが不適切な attrlist_replace エラーをログに記録しない

cleanAllRUV タスクのメモリー破損バグが原因で、attrlist_replace エラーが誤ってログに記録されました。このタスクは更新され、メモリーのコピーに異なる関数が使用されるようになったため、不適切なエラーメッセージがログに記録されないようになりました (BZ#1288229)。

接続オブジェクトのデッドロックが発生しない

これまで、不必要なロックが接続オブジェクトで取得されることがあり、これが原因でデッドロックが発生することがありました。不必要なロックを削除するためにパッチが適用されたため、デッドロックが発生しないようになりました (BZ#1278755)。

シンプルなページ結果検索の破棄リクエストによるクラッシュが発生しない

今回の更新が適用される前、破棄チェックの完了後に結果が完全に送信されなくても Directory Server はシンプルなページ結果の検索の破棄リクエストを受信することができました。この場合、結果の送信中に破棄リクエストが処理され、Directory Server がクラッシュする原因となりました。今回の更新により、結果の送信中に破棄リクエストが処理されないようにするロックが追加され、クラッシュが発生しないようになりました (BZ#1278567)。

失敗後にシンプルなページ結果の検索のスロットが正しくリリースされる

これまで、バックエンドでシンプルなページ結果の検索に失敗すると、シンプルなページ結果スロットがリリースされませんでした。そのため、シンプルなページ結果スロットが複数接続オブジェクトに累積されました。この更新により、検索に失敗するとシンプルなページ結果スロットが適切にリリースされるようになり、未使用のシンプルなページ結果スロットが接続オブジェクトに放置されないようになりました (BZ#1290242)。

DES から AES へのパスワード変更は cn=config 以外の接尾辞で手動で行う必要がある

Directory Server が起動すると、DES (Data Encryption Standard) アルゴリズムによって暗号化されたすべてのパスワードは、より安全な AES (Advanced Encryption Standard) アルゴリズムを使用するよう変換されます。これまで、DES で暗号化されたパスワードは内部のインデックスのない検索を使用して検出されましたが、大変大きなユーザーデータベースでは速度が遅く、場合によっては起動プロセスがタイムアウトし、Directory Server が起動しないことがありました。今回の更新では、設定接尾辞 cn=config のみが DES パスワードに対してチェックされるようになり、新しい slapi タスクの des2aes を使用できるようになりました。管理者は必要であれば、サーバーの起動後に des2aes を実行し、特定のデータベース上でパスワードを AES に変換できます。そのため、ユーザーデータベースの大きさに関係なくサーバーは起動します (BZ#1342609)。

バックエンドデータベースを削除してもデッドロックが発生しない

これまで、バックエンドの削除中にトランザクション情報がデータベースヘルパー関数の 1 つに渡されませんでした。そのため、プラグインがトランザクションによってロックされた領域にあるデータにアクセスしようとするとデッドロックが発生しました。この更新により、トランザクション情報が必要なすべてのデータベースヘルパー関数に渡されるようになり、デッドロックが発生しないようになりました (BZ#1273555)。

同じ LDAP 属性を削除および追加すると等価性インデックスが適切に更新される

これまで、ldapmodify コマンドを使用して異なる値の同じ LDAP 属性が削除されると、同じ操作中に 1 つ以上の属性値が再度追加され、等価性インデックスが更新されませんでした。そのため、再度追加された属性値の完全検索がエントリーを返しませんでした。インデックスコードの論理が変更され、エントリーの値の 1 つ以上が変更されると、再度追加された属性値の完全検索が正しいエントリーを返すようになりました (BZ#1290600)。

シンプルなページ結果検索の破棄リクエストによるデッドロックが発生しない

シンプルなページ結果検索の破棄リクエストに関連するバグ修正の一環として排他的接続ロックが追加されましたが、特定の状況下でこのロック自体がデッドロックを引き起こしました。今回の更新により、ロックが再入可能になり、簡単なページ結果の検索中にデッドロックが発生しないようになりました (BZ#1295947)。

シンプルなページ結果検索が 0 ではない実際の値を返す

SIZELIMIT_EXCEEDED などのエラーによって、接続のシンプルなページ結果スロットが破棄されると、破棄されたスロットが適切にクリーンアップされませんでした。このスロットを再使用した後続の検索は常に 0 を返しました。今回の更新により、破棄されたスロットが適切にクリーンアップされるようになり、スロットが再使用されても検索が適切な結果を返すようになりました (BZ#1331343)。

不足している pblock オブジェクトによって ACL プラグインがクラッシュしない

必要な権限を持たない bind ユーザーによって永続検索 (psearch) が実行されると、キャッシュのアクセス権限オブジェクトがリセットに失敗し、最初の pblock 構造を永続的な構造へ示すことができませんでした。そのため、pblock オブジェクトの不足によりアクセス制御リスト (ACL) プラグインがクラッシュする可能性がありました。今回の更新で最初のオブジェクトが永続構造にリセットされるようになり、このような状況で Directory Server がクラッシュしないようになりました (BZ#1302823)。

レプリケーション changelog が不適切に更新を省略しない

changelog イテレーターバッファーのバグにより、バッファーのリロード時に不適切な場所を示しました。これにより、レプリケーションが changelog の一部をスキップし、一部の変更がレプリケートされませんでした。このバグは修正され、誤ってリロードされた changelog バッファーが原因でレプリケーションのデータが損失しないようになりました (BZ#1321124)。

古いスキーマスタイルに単一引用符を用いて正しく使用できる

389-ds-base パッケージは、バージョン 1.3.2 から RFC 4512 に記載されているスキーマ定義に対応するようになりましたが、このスキーマ定義は旧式バージョンによるスキーマの使用を許可しません。旧バージョンからの移行を容易にするため、nsslapd-enquote-sup-oc パラメータが導入されましたが、このパラメーターの実装には単一引用符で囲まれた以下のような旧式のスキーマスタイルを処理できないバグが含まれていました。
SYNTAX oid
このバグは修正されたため、旧式のスキーマスタイルに単一引用符を使用できるようになりました。
さらに、今回の更新により、スキーマディレクトリーの旧式スキーマスタイルへのサポートを追加する LDAP_SCHEMA_ALLOW_QUOTES 環境変数が導入されました。この機能を有効にするには、以下の変数を /etc/sysconfig/dirsrv-INSTANCE 設定ファイルに設定します。
LDAP_SCHEMA_ALLOW_QUOTED=on
(BZ#1303641)

DES から AES へのパスワード変換が適切に動作する

Red Hat Enterprise Linux 7.1 から 7.2 へのアップグレード中、Reversible Password Plug-in によって使用される暗号アルゴリズムが DES から AES に変更されました。Directory Server は、アップグレード時に自動的にすべてのパスワードを新しいアルゴリズムに変換します。しかし、定義されたバックエンドにトップエントリーがないと、パスワードの変換が error 32 で失敗します。また、変換に失敗しても 389-ds-baseDES プラグインを無効にするため、既存のパスワードのデコードに失敗します。
このバグは修正され、バックエンドで変換するパスワードを検出するときに 389-ds-base がエラーを無視するようになり、すべてのパスワードが AES に変換された後でのみ DES プラグインが無効になるようになりました (BZ#1320715)。

Keep-alive エントリーがレプリケーションを中断しない

これまで、レプリケーション中に keep-alive エントリーが作成される機会が多すぎたため、エントリーを changelog のレプリカに追加するときに競合が発生する可能性があり、レプリケーションから操作が放棄されることがありました。今回の更新では、keep-alive エントリーが不必要に作成されなくなり、keep-alive エントリーによってレプリケーション中に操作が放棄されないようになりました (BZ#1307151)。

失敗したレプリケーションの更新が次のセッションで正しく再試行される

コンシューマー側でレプリカの更新に失敗し、後続の別の更新は成功した場合、コンシューマーのレプリケーション状態は成功した更新が適用されたため、コンシューマーはその状態が最新であると認識しました。そのため、失敗した更新は再試行されず、データ損失の原因となりました。今回の更新では、レプリケーションの失敗によって接続が閉じられ、レプリケーションのセッションが停止されるようになりました。これにより、後続の更新によってコンシューマーのレプリケーション状態が変更されないようになったため、サプライヤーが次のセッションで失敗した操作を再試行できるようになり、データが損失しないようになりました (BZ#1310848)。

LICENSE ファイルで正しいライセンス情報が表示される

これまで、rpm -qi 389-ds-base コマンドは不適切な License フィールドに古いライセンス GPLv2 with exceptions を表示しました。この問題は修正され、389-ds-base パッケージは LICENSE ファイルに正しいライセンス情報 (GPLv3+ ライセンス) を提供するようになりました (BZ#1315893)。

管理者がリセットしたパスワードがパスワード履歴に保存される

これまで、管理者がユーザーパスワードをリセットすると、古いパスワードはユーザーのパスワード履歴に保存されませんでした。そのため、ユーザーはリセット後に同じパスワードを再使用することができました。今回の更新では、管理者が手動でリセットしたパスワードがパスワード履歴に保存されるようになったため、ユーザーは別のパスワードを使用する必要があります (BZ#1332709)。

複数のプラグインによって拒否されたエントリーが検索で表示されない

エントリーが同時に複数のバックエンドトラザクションプラグイン (Auto MembershipManaged Entry など) によって拒否されると、エントリーキャッシュが不整合な状態になりました。そのため、検索が追加されていないエントリーを返す可能性がありました。今回の更新では、 add 操作に失敗したときにエントリーの識別名 (DN) を保存するエントリーキャッシュが適切にクリーンアップされるようになり、拒否されたエントリーは ldapsearch によって返されなくなりました (BZ#1304682)。

オプションを指定せずに db2index を実行してもレプリケーションが失敗しない

db2index スクリプトをオプションなしで実行すると、ディスク上の Replica Update Vector (RUV) エントリーに親エントリーがないため、スクリプトは RUV エントリーを処理できませんでした。既存の RUV はスキップされ、新しい RUV が生成されましたが、ID の不一致により次のレプリケーションに失敗しました。今回の更新により、db2index の RUV エントリーの処理が修正され、オプションを指定せずにこのスクリプトを実行してもレプリケーションに失敗しないようになりました (BZ#1340307)。

ビジー状態のデータベースを削除しようとしても Directory Server がクラッシュしない

インポートの実行中にコンソールを使用してバックエンドデータベースを削除しようとすると、Directory Server がクラッシュしました。今回の更新では、削除スクリプトが最初にバックエンドがビジー状態であるかどうかをチェックするようになり、安全に削除できる場合のみ削除を実行するようになりました。そのため、このような状況で Directory Server がクラッシュしないようになりました (BZ#1355760)。

複製 ID のエラーによってコンシューマーのマスターへの昇格が失敗しない

コンシューマーインスタンスがマスターに昇格されると、Replica Update Vector (RUV) の最後に新しい要素が追加されました。しかし、新たに昇格されたマスターからレプリケートを実行しようとすると、RUV の最後の要素ではなく最初の要素がチェックされ、ID の重複によりレプリケーションセッションが停止しました。今回の更新では、レプリカからマスターへの昇格時に RUV の順序が変更され、レプリカだったマスターからのレプリケーションに失敗しないようになりました (BZ#1278987)。

nsslapd が適切に作業ディレクトリーを設定

バグ修正によって発生した不具合が原因で、systemd によって起動されるとデフォルトで nsslapd が作業ディレクトリーの設定をスキップしました (nsslapd-workingdir 属性)。このバグは修正され、起動中に作業ディレクトリーが設定されるようになりました (BZ#1360447)。

IdM アップグレードスクリプトが正常に実行される

IdM (Identity Management) サーバーアップグレードスクリプトがバージョンの変更を検出しませんでした。そのため、IdM サーバーのアップブレードに失敗しました。このバグは修正され、アップグレードが正常に行われるようになりました . (BZ#1290142)。

libkadm5* ライブラリーが libkadm5 パッケージに移動

Red Hat Enterprise Linux 7.3 では、libkadm5* ライブラリーが krb5-libs から libkadm5 パッケージに移動しました。そのため、yumkrb5-libs パッケージを自動的にダウングレードできません。ダウングレードする前に手作業で libkadm5 パッケージを削除します。
# rpm -e --nodeps libkadm5
このパッケージを手作業で削除したら、yum downgrade コマンドを使用して krb5-libs パッケージを前のバージョンにダウングレードします (BZ#1347403)。

シングルサインオンが信頼する複数の AD フォレストルートドメインと動作する

IdM (Identity Management) がお互いを信頼する 2 つの AD (Active Directory) フォレストへの信頼を確立し、IdM がこれら 1 つの DNS サブドメインで設定されると、別の AD フォレストによって IdM と AD 間の名前接尾辞ルーティングの競合が報告されました。そのため、IdM と名前ルーティングの競合を特定した AD フォレストとの間のシングルサインオンが失敗しました。信頼を確立すると、プロシージャーがこのような競合を検出するようになりました。信頼の確立中に AD 管理者クレデンシャルを提供すると、除外エントリーが自動的に作成され、名前接尾辞ルーティングの競合が解決されます。そのため、IdM が AD フォレストの DNS サブドメインにデプロイされてもシングルサインオンが想定どおりに動作するようになりました (BZ#1348560)。

Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードが一部の multilib SSSD パッケージによって失敗しない

SSSD (System Security Services Daemon) の一部として提供される sssd-common および sssd-krb5-common パッケージは複数のアーキテクチャーをサポートしないようになりました。これまでは、これらのパッケージが 32 ビットと 64 ビットの両方のバージョンにインストールされると、Red Hat Enterprise Linux 7.2 から 7.3 へのアップグレードに失敗しました。この問題を修正するため、32 ビットの sssd-common および sssd-krb5-common が Red Hat Enterprise Linux 7.3 から削除されました。これにより、正常に更新を行えます (BZ#1360188)。

OpenLDAP が適切に NSS を設定

これまで、OpenLDAP サーバーはネットワークセキュリティー設定 (NSS) コードを誤って処理しました。そのため、設定は適用されず、olcTLSProtocolMin などの一部の NSS オプションが正しく動作しませんでした。今回の更新によってバグが修正され、影響があった NSS オプションが想定どおり動作するようになりました (BZ#1249093)。

Kerberos をスマートカードで使用したときに sudo コマンドが適切に動作する

これまで、pam_krb5 モジュールはフォーク操作中に多くのファイル記述子を閉じました。そのため、/etc/passwd ファイルの最初の 4096 文字以内でパスワードエントリーが 見つからないと、Kerberos とスマートカードを使用したユーザー認証の sudo コマンドに失敗しました。このバグは修正され、nsswitch などのライブラリーはファイル記述子を使用できるようになり、sudo が適切に動作するようになりました (BZ#1263745)。

Certificate System が CSR の PKCS#10 のサポートを修復

Certificate System のインストール中に生成され、外部署名された証明書が含まれる CSR (証明書署名リクエスト) に、一部の認証局が必要とする PKCS#10 拡張が含まれていませんでした。今回の更新では、Certificate System が基本制約やキー使用の拡張およびオプションのユーザー定義拡張を含むデフォルトの拡張で CSR を作成するようになりました (BZ#1329365)。

IPv6 専用インストールで IdM CA サービスが正しく起動

IPv6 専用で設定されたシステムでは、IdM (Identity Management) のインストール中に pki-tomcat サービスが誤って IPv4 ループバックデバイスにバインドされました。そのため、CA (認証局) サービスが起動しませんでした。IPv6 プロトコルのみが設定されているシステムで IdM 設定が IPv6 ループバックデバイスにバインドするようになり、CA サービスが適切に起動するようになりました (BZ#1082663)。

pki コマンドが失効の詳細を表示

この更新により、pki のサブコマンドである cert-show および cert-find が以下を含む失効した証明書の情報を表示するようになりました。
  • revocation date (失効日)
  • revoked by (BZ#1224382)

ipa-replica-install --setup-dns が DNS にすでに存在する DNS 名の DNS ゾーンを作成しない

ipa-replica-install ユーティリティーで --setup-dns オプションを使用すると、別の DNS 名 サーバーにプライマリー IdM (Identity Management) ドメイン名と同等の DNS ゾーンがすでに存在しても、このような DNS ゾーンと IdM サーバーのゾーン名を常に作成しました。そのため、複数の DNS サーバーが誤ってドメインの権威サーバーとして動作するとクライアント側で特定の問題が発生しました。これを修正するため、DNS名 ゾーンがすでに別の DNS サーバーに存在する場合は IdM が DNS ゾーンを作成しないようになりました。IdM インストーラーは適切に競合を検出し、競合する場合はインストールに失敗します (BZ#1343142)。

idmap_hash モジュールが他のモジュールと使用されたときに適切に動作する

idmap_hash モジュールが他のモジュールと使用されると適切に動作しませんでした。そのため、ユーザーおよびグループ ID が適切にマップされませんでした。すでに設定されたモジュールをスキップするため、パッチが適用されました。hash モジュールをデフォルトの idmap 設定バックエンドとして使用できるようになり、ID が適切に解決されるようになりました。 (BZ#1316899)

CA と netHSM との接続の切断時に CRL が生成するメッセージの量を削減

CA と Thales netHSM との接続が切断されると、HSM や LDAP などの依存コンポーネントが利用できないため、CRL 生成の途中でループに陥ることがありました。そのため、CA が再起動されるまで大量のデバッグログメッセージが生成されました。今回の更新により、ループの速度を遅くする修正が提供され、このような状況で生成されるデバッグメッセージの量が大幅に削減されました (BZ#1308772)。

Gemalto Safenet LunaSA (HSM) でインストールされても KRA がキーのリカバリーに失敗しない

これまで、Gemalto Safenet LunaSA HSM (ハードウェアセキュリティーモジュール) にインストールされていると Red Hat Certificate System の key recovery authority (KRA) サブシステムがキーをリカバリーできませんでした。パッチが適用され、HSM が 非 FIPS モードに設定されているとリカバリーが想定どおり動作するようになりました (BZ#1331596)。

Directory Server のプロセスサイズの縮小と安定化

これまで、Directory Server は glibc ライブラリーに提供されるデフォルトのメモリーアロケーターを使用しました。このアロケーターは Directory Server の malloc() および free() パターンの処理には不十分でした。そのため、ディレクトリーサーバーのメモリー使用量が大変多くなることがあり、OOM (Out of Memory) Killer によって ns-slapd プロセスが Kill される可能性がありました。今回の更新では、Directory Server が tcmallocメモリーアロケーターを使用するようになり、 Directory Server のプロセスサイズが大幅に縮小され、安定性が改善されました (BZ#1186512)。

pin.txt ファイルが見つからないときに ns-slapd が適切に pin を要求

systemd389-ds-base が使用を試みる標準入力および出力をキャプチャーするため、これまでのリリースでは pin.txt ファイル見つからない場合に 389-ds-base はピンを要求するプロンプトを表示しませんでした。今回の更新では、起動中に systemd がシステムで実行されているかどうかを 389-ds-base が検出し、適切な systemd API を使用して必要な場合にパスワードを要求するようになりました。そのため、Directory Server は pin.txt ファイルがなくても起動できるようになり、管理者は nssdb パスワードをシステムから隔離できます (BZ#1316580)。

レプリケーションアグリーメントの更新状態にレプリケーションアグリーメントの失敗に関する詳細が含まれる

エラーの発生後、レプリケーションアグリーメント (Replication Agreement) の更新状態は汎用メッセージのみを表示したため、レプリケーションアグリーメントのトラブルシューティングが困難でした。今回の更新により、更新状態にエラーメッセージの詳細が含まれるようになりました。そのため、レプリケーションアグリーメントの更新の失敗がすべて適切および正確にログに記録されるようになりました (BZ#1370300)。

IdM が使用するデフォルトのロックテーブルサイズの値が大きい

これまで、IdM (Identity Management) データベースのロックの数が少なすぎました。そのため、グループメンバーシップ属性を大量に更新できないことがありました。この問題に対応するため、デフォルトのロックテーブルサイズが 10000 から 100000 に変更されました。この変更により、グループメンバーシップ属性を大量に更新できるようになりました (BZ#1196958)。

ipa-server-certinstall コマンドが外部署名された証明書をインストールできる

これまで、ipa-server-certinstall コマンドを使用して外部署名された証明書をインストールすると以下の問題が発生しました。
  • Certificate System で以前の証明書の追跡が解除されなかった。
  • 新しい外部証明書は Certificate System によって追跡された。
  • NSS データベースで最初に見つかった証明書が使用された。
新しい証明書が外部の認証局によって署名された場合、ipa-server-certinstall コマンドは LDAP および Web サーバーの新しい証明書をインストールできず、サービスを起動できませんでした。このコマンドは修正され、IdM (Identity Management) CA によって発行された証明書のみを追跡するようになりました。そのため、新しい証明書は正しくインストールされるようになり、このような状況で LDAP や Web サーバーが起動に失敗しないようになりました (BZ#1294503)。

default_domain_suffix が設定されている場合や完全修飾名が含まれている場合に sudo ルールが正しく動作する

これまで、sudoユーティリティーは以下の状況で sudo ルールを正しく評価しませんでした。
  • /etc/sssd/sssd.conf ファイルで default_domain_suffix オプションが使用された場合。
  • sudo ルールが完全修飾ユーザー名を使用した場合。
そのため、sudo ルールが動作しませんでした。 今回の更新では、SSSD (System Security Services Daemon) が sudo ルールを変更するようになり、このような場合で sudo が適切にルールを評価するようになりました (BZ#1300663)。

プロキシー設定を SSSD デフォルト設定ファイルから削除

SSSD (System Security Services Daemon) の /usr/lib64/sssd/conf/sssd.conf デフォルト設定ファイルは自動設定されたドメインで使用され、/etc/passwd および /etc/groups ファイルへのリクエストをすべてプロキシーしました。このプロキシー設定は、realmdipa-client-install などのその他のユーティリティーを統合できませんでした。これを修正するため、[domain/shadowutils] プロキシー設定が削除され、SSSD が適切に動作するようになりました (BZ#1369118)。

sss_override ユーティリティーの show、find、export 操作が正しく動作する

Red Hat Enterprise Linux 7.3 に SSSD (System Security Services Daemon) へのローカルオーバーライドが導入されました。発生した不具合により、-n オプションを指定せずにオーバーライドが作成されると、sss_override コマンドに失敗しました。このバグは修正され、sss_override が正しく動作するようになりました (BZ#1373420)。

IdM にユーザーのホームディレクトリーがなくても ipa コマンドを実行できる

これまで、IdM (Identity Management) がホームディレクトリーの ~/.cache/ipa にキャッシュディレクトリー作成できないと、すべての ipa コマンドに失敗しました。この問題は、ユーザーのホームディレクトリーがない場合などに発生しました 。今回の更新により、IdM がキャッシュを作成したり、アクセスできなくても IdM が継続して動作するようになりました。このような場合、すべてのメタデータを繰り返しダウンロードする必要があるため、ipa コマンドの完了に時間がかかることがあります (BZ#1364113)。

IdM コマンドラインインターフェースのヘルプを表示する時間が短縮

--help オプションを使用して ipa ユーティリティーを実行すると、ipa がプラグインやコマンドから必要な情報を収集します。これまで、プラグインとコマンドは Python モジュールでした。本リリースでは、サーバーからダウンロードしたスキーマを基に ipa がプラグインとコマンドを生成します。
そのため、ヘルプにトピックやコマンドが含まれると、以前のバージョンの IdM (Identity Management) よりもヘルプの表示に大変時間がかかることがありました。このバグは修正され、--help を指定して ipa を実行するために必要な時間が短縮されました (BZ#1356146)。

サーバー上で以前のバージョンの IdM を使用してコマンドを実行する時間が短縮

IdM バージョン 4.4 を実行している IdM (Identitiy Management) クライアントのユーザーがコマンドを実行すると、IdM はクライアントがコンタクトするサーバーが新しいコマンドスキーマをサポートするかどうかをチェックします。この情報はキャッシュされないため、クライアントがサーバーにコンタクトするたびにチェックが行われます。そのため、以前のバージョンの IdM を実行しているサーバー上でコマンドを実行するために必要な時間が長くなりました。IdM 4.4 で導入された新しいコマンドを実行すると、サーバーがコマンドを認識しなかったため、操作が完了しないように見受けられました。このバグは修正され、このような状況で IdM コマンドを実行しても時間がかからないようになりました (BZ#1357488)。

信頼できる AD フォレストのツリールートドメインがフォレストルートで到達可能

AD (Active Directory) フォレストにツリールートドメイン (個別の DNS名 ドメイン) が含まれると、IdM (Identity Management) が認証リクエストをツリールートドメインのドメインコントローラーに正しくルーティングできないことがありました。そのため、ツリールートドメインのユーザーは IdM でホストされるサービスに対して認証されませんでした。今回の更新ではこのバグが修正され、このような状況でツリールートドメインのユーザーが想定どおり認証されるようになりました (BZ#1318169)。

IdM web UI が想定どおりサブ CA によって発行される証明書を表示

CA (認証局) によって発行される証明書を表示するため、IdM web UI は ipa cert-find コマンドを使用して CA 名をクエリーした後、ipa cert-show コマンドを使用します。これまで、ipa cert-show は CA 名を使用しませんでした。そのため、web UI のエラーにより、サブ CA によって発行された証明書の詳細ページの表示に失敗しました。このバグは修正され、web UI が想定どおり証明書の詳細ページを表示するようになりました (BZ#1368424)。

certmonger が IdM サブ CA からの証明書をリクエスト

certmonger サービスは不適切な API 呼び出しを使用して IdM サブ CA (サブ認証局) から証明書をリクエストしました。そのため、サブ CA の設定は無視され、証明書が常に IdM ルート CA から発行されました。今回の更新によりこのバグが修正され、想定どおりに certmonger が IdM サブ CA から証明書をリクエストするようになりました (BZ#1367683)。

カスタムキーを使用した IdM OTP トークンの追加が想定どおり動作する

--key オプションを指定して ipa otptoken-add コマンドを実行し、新しいワンタイムパスワード (OTP) トークンを追加すると、IdM (Identity Management) コマンドラインがユーザー提供のトークンキーを不適切に変換しました。そのため、IdM で作成された OTP トークンは無効となり、OTP トークンを使用した認証に失敗しました。今回の更新ではこのバグが修正されたため、このような状況で作成された OTP トークンは有効になります (BZ#1368981)。

EE ページを使用して Administrator Certificate を web ブラウザーにインポートできる

EnrollSuccess.template を使用して Certificate System Administrator Certificate を web ブラウザーにインポートすると以下エラーが発生してインポートに失敗しました。
Error encountered while rendering a response.
今回の更新では、以下の手順に従って証明書をインポートできます。
1. pki-tomcatd サービスを停止します。
systemctl stop pki-tomcatd@pki-tomcat.service
2. /etc/pki/pki-tomcat/ca/CS.cfg ファイルを編集し、以下が含まれるようにします。
ca.Policy.enable=true
 cmsgateway.enableAdminEnroll=true
3. pki-tomcatd サービスを開始します。
systemctl start pki-tomcatd@pki-tomcat.service
4. 新しい Firefox プロファイルを作成します。
5. EE (End Entity) ページに移動し、Retrieval タブを選択します。
6. CA 証明書をインポートし、信頼できる証明書として設定します。
7. 新しい Firefox プロファイル内で https://pki.example.com:8443/ca/admin/ca/adminEnroll.html に移動し、フォームを入力します。
8. 新しい Administrator Certificate ソースが生成されます。これを新しい Firefox プロファイルにインポートします。
証明書が正しくインポートされたことを確認するには、Agents ページに移動します (BZ#1274419)。

第24章 クラスタリング

Pacemaker が systemd の応答を正しく解釈し、クラスターのシャットダウン時には systemd のサービスが適切な順序で停止される

以前のリリースでは、systemd リソースを使用して Pacemaker クラスターを設定し、そのクラスターが停止されると、Pacemaker は systemd サービスが実際に停止する前に停止したものと誤って仮定していました。そのため、サービスは間違った順序で停止される場合があり、停止が失敗する可能性がありました。今回の更新により、Pacemaker は systemd の応答を正しく解釈するようになり、クラスターのシャットダウン時には、systemd サービスが適切な順序で停止されるようになりました (BZ#1286316)。

Pacemaker が systemd ユニットのロード時に一時的なエラーと致命的なエラーを区別

以前のリリースでは、Pacemaker は systemd ユニットのロード時のエラーをすべて致命的なエラーとして扱っていました。そのため Pacemaker は、CPU のロードなどの一時的な状態が原因でロードが失敗した場合でも、systemd ユニットをロードできなかったノード上の systemd リソースを起動しませんでした。今回の更新により、Pacemaker は systemd ユニットのロード時に、一時的なエラーと致命的なエラーを区別するようになりました。ログおよびクラスターのステータスには、より適切なメッセージが表示されるようになり、一時的なエラーがクリアになると、そのノード上でリソースを起動することができます (BZ#1346726)。

Pacemaker がクラスターから除外されたノードを削除する際に、そのメモリーからノードの属性を削除

以前のリリースでは、Pacemaker のノード属性マネージャーは、クラスターから除外されたノードを削除する際に、そのノードのメモリーから属性の値を削除していましたが、属性自体は削除していなかったため、そのノード同じノード ID で新規ノードがクラスター追加されると、元のノード上にあった属性は、新しいノード上では設定できませんでした。今回の更新により、Pacemaker はノードの削除時に属性自体も削除するようになり、削除されたノードと同じ ID を使用する新規ノードで、属性の設定で問題が発生しないようになりました (BZ#1338623)。

Pacemaker がグループ内のリソースまたはクローンに依存するリソースの予想される結果を正しく特定できる

以前のリリースでは、サービスの再起動時に、Pacemaker の crm_resource ツール (および pcs resource restart コマンド) で対象のリソースがいつ正常に起動したかを適切に特定できない場合がありました。その結果、コマンドはグループのメンバーになっているリソースの再起動に失敗する場合がありました。また、再起動するリソースが別のノードに移動したリソースに依存している場合には、コマンドが無期限にハングすることがありました。今回の更新により、このコマンドは、グループ内またはクローンに依存するリソースの想定される結果を適切に特定するようになりました。必要なサービスが再起動され、コマンドからは応答が返されるようになりました (BZ#1337688)。

フェンシングは DLM が必要とする場合には、クラスター自体が必要としていなくても実行される

以前のリリースでは、クォーラムの問題が原因で、クラスター自体がフェンシングを必要としていなくても、DLM がフェンシングを必要とする場合がありましたが、フェンシングを開始することができませんでした。そのため、DLM および DLM ベースのサービスがいつまでたっても実行されないフェンシングを待ってハングすることがありました。今回の更新により、ocf:pacemaker:controld リソースエージェントは、DLM がこの状態かどうかをチェックして、そうである場合にはフェンシングを要求するようになりました。フェンシングはこのような状況で実行されるようになり、DLM は回復することができます (BZ#1268313)。

DLM が接続の問題を検出して報告

以前のリリースでは、クラスターの通信に使用される Distributed Lock Manager (DLM) は TCP/IP パケットが配信されることを想定して、応答を無期限に待っていました。そのため、DLM の接続が失われると、問題は通知されませんでした。今回の更新により、DLM はクラスターの通信が失われた場合に検出および報告するようになったため、DLM の通信の問題が特定され、その問題が解決したら、応答しなくなったクラスターノードを再起動できるようになりました (BZ#1267339)。

コンピュートインスタンスの電源をオフにする際に、管理ユーザー以外のユーザーによって作成された高可用性インスタンスを退避できる

以前のリリースでは、fence_compute エージェントは管理ユーザーが作成したコンピュートインスタンスのみを検索していました。そのため、コンピュートインスタンスの電源がオフになる時には、管理ユーザー以外のユーザーが作成したインスタンスは退避されませんでした。今回の更新により、fence_compute はどのユーザーが実行しているインスタンスも検索の対象とするようになり、コンピュートインスタンスは想定どおりに新しいコンピュートノードに退避されるようになりました (BZ#1313561)。

nfsserver リソースの起動でエラーが発生しない

var-lib-nfs-rpc_pipefs.mount プロセスがアクティブな場合には、nfs-idmapd サービスは起動に失敗します。このプロセスはデフォルトでアクティブに設定されています。そのため、nfsserver リソースの起動は失敗してしまいます。今回の更新により、このような場合には、var-lib-nfs-rpc_pipefs.mount が停止し、 nfs-idmapd の起動が妨げられないようになりました。その結果、nfsserver は想定どおりに起動するようになりました (BZ#1325453)。

lrmd が想定どおりにエラーをログ記録し、クラッシュしない

以前のリリースでは、Pacemaker の Local Resource Management Daemon (lrmd) は、特定の希少な systemd エラーをログ記録する際に、無効な書式文字列を使用していました。そのため、lrmd がセグメント違反で予期せず終了してしまう場合がありました。今回のリリースではパッチが適用され、書式文字列が修正されたため、lrmd はクラッシュしなくなり、前述した希少なエラーメッセージは、意図したとおりにログ記録されるようになりました (BZ#1284069)。

stonithd が属性の削除とデバイスの削除を適切に区別

今回の更新の以前は、ユーザーがフェンスデバイスから属性を削除すると、Pacemaker の stonithd サービスが誤ってそのデバイス全体を削除してしまう場合がありました。そのため、クラスターはそのフェンスデバイスを使用しなくなってしまいました。今回の更新により、問題の原因となっていたソースコードが変更され、このバグは修正されたので、stonithd は属性の削除とデバイスの削除を適切に区別するようになりました。その結果、フェンスデバイスの属性を削除しても、そのデバイス自体は削除されなくなりました (BZ#1287315)。

HealthCPU が CPU 使用率を適切に計測

以前のリリースでは、ocf:pacemaker:HealthCPU リソースが、Red Hat Enterprise Linux 7 上で top コマンドの出力を誤って解析していたため、HealthCPU リソースが機能しませんでした。今回の更新により、リソースエージェントは、より新しいバージョンの top コマンドの出力を正しく解析するようになった結果、HealthCPU は CPU 使用率を正しく計測するようになりました (BZ#1287868)。

Pacemaker が機密情報を削除する際に、収集した全ファイルをチェック

Pacemaker には、バグレポートでシステム情報を送信する際に、特定のパターンに一致する機密情報を、Pacemaker の crm_report ツールで直接的にまたは sosreport で間接的に削除する機能がありますが、Pacemaker は特定の収集済みファイルのみをチェックして、ログファイルから抽出したデータはチェックしませんでした。このため、機密情報がログファイルの抽出データに残ってしまう可能性がありました。今回の修正により、Pacemaker は機密情報の削除時に収集済みファイルをすべてチェックするようになり、機密情報は収集されなくなりました (BZ#1219188)。

corosync メモリーフットプリントが全ノードに再度加するたびに増加しない

以前のリリースでは、ユーザーがノードに再度参加すると、corosync 内の一部のバッファーは解放されず、メモリーの消費量が増大していました。今回の修正により、メモリーリークは発生しなくなり、各ノードに再度参加するたびにフットプリントが増大することはなくなりました (BZ#1306349)。

Corosync が IPv4 を使用するように設定され、DNS が IPv4 と IPv6 の両方のアドレスを返すように指定されている場合に正しく起動する

以前のリリースでは、pcs が生成した corosync.conf ファイルでは、IP ドレスおよび Internet Protocol version 4 (IPv4) の代わりにホスト名が使用されていましたが、DNS サーバーは IPV4 と IPV6 の両方を返すように設定されていたため、corosync ユーティリティーは起動に失敗していました。今回の修正により、corosync が IPv4 を使用するように設定されている場合には、IPv4 が実際に使用されるようになったので、corosync はこのような状況でも想定どおりに起動するようになりました (BZ#1289169)。

corosync-cmapctl ユーティリティーが print_key() 関数のエラーを正しく処理

以前のリリースでは、corosync-cmapctl ユーティリティーは、print_key() 関数の corosync エラーを正しく処理していませんでした。そのため、corosync ユーティリティーが強制終了されると、corosync-cmapctl が無限ループに陥ってしまう場合がありました。今回の修正により、corosync が存在する場合に返されるすべてのエラーが確実に正しく処理されるようになったので、このようなシナリオでも、corosync-cmapctl はループから抜け出し、適切なエラーメッセージを表示するようになりました (BZ#1336462)。

第25章 コンパイラーとツール

GCC での libgomp に対する OpenMP 4.5 のサポート

今回の更新により、GCC での新規バージョンの OpenMP のサポートが提供されます。これにより、Developer Toolset の各種プログラムが適切にリンクされ、実行されます (BZ#1357060)。

GCC のスタック保護の強化

さn今回の更新の前は、GCC のスタック保護は可変長配列のみを含み、それ以外の (または非常に小さい) 配列を含まない関数については機能しませんでした。そのため、バッファーオーバーフローのエラーが検出されない可能性がありました。このバグは修正され、コンパイラーはこれらの関数もインストルメント化できるようになりました (BZ#1289022)。

gdbserver がコンテナーのプロセスのシームレスなデバッグをサポート

今回の更新の前には、GDB が SPC (スーパー特権コンテナー) 内で実行されていて、Red Hat Enterprise Linux Atomic Host の別のコンテナーで実行されているプロセスに接続されている場合、 GDB は、デバッグするプロセスでロードされる主な実行可能ファイルまたは共有ライブラリーのバイナリーイメージを見つけることができませんでした。
そのため、GDB は存在しないか、または存在しているが一致しないファイルに関連するエラーメッセージを表示していた可能性があります。また、GDB は正常に接続されているようでも、その後のコマンドが失敗したり、不正な情報を表示する可能性がありました。
Red Hat Enterprise Linux 7.3 では、コンテナーのプロセスのシームレスなデバッグをサポートするために gdbserver が拡張されました。Red Hat Enterprise Linux 7.3 バージョンの gdbserverqXfer:exec-file:read および vFile:setfs パケットを新たにサポートします。ただし、Red Hat Enterprise Linux 7.3 バージョンの gdb はこれらのパケットを使用できません。Red Hat Developer Toolset 4.1 (および 4.1 以降の) バージョンの gdb をコンテナーおよび Red Hat Enterprise Linux 7.3 gdbserver と共に使用することをお勧めします。Red Hat Developer Toolset バージョンの gdbserver も使用できます。
Red Hat Enterprise Linux 7.3 gdb は、-p パラメーター (または attach コマンド) と共に実行される場合で、接続されているプロセスがコンテナー内のプロセスであることを検出する場合に gdbserver の使用を提案します。さらに、Red Hat Enterprise Linux 7.3 gdb は、デバッグ対象となる実行可能なプロセスのコンテナー内の場所を指定するために file コマンドの明示的な使用を提案します。Red Hat Developer Toolset バージョンの gdb が使用されている場合には file コマンドを入力する必要はありません。
今回の更新により、Red Hat Enterprise Linux 7.3 gdbserver は Red Hat Developer Toolset 4.1 (または 4.1 以降) の gdb と共にコンテナーのプロセスのシームレスなデバッグを行います。さらに、Red Hat Enterprise Linux 7.3 gdb は、Red Hat Developer Toolset gdb が利用できない場合にコンテナー内のプロセスのデバッグをガイドします (BZ#1186918)。

GDB が削除された実行可能ファイルで実行中のプロセスを強制終了しない

今回の更新の前には、削除された実行可能ファイルで実行中のプロセスへの接続を試行する GDB がプロセスを間違って強制終了することがありました。このバグは修正され、GDB が削除された実行可能なファイルを使ってプロセスを誤って強制終了することがなくなりました (BZ#1326476)。

GDB が生成するコアファイルが小さくなり、コアダンプフィルターが使用される

GDB に独自のコアダンプ機能を提供する gcore コマンドは、Linux カーネルコアダンプコードの機能のより詳細なシミュレーションを実行できるように更新されました。これにより、生成されあるコアダンプファイルのサイズが小さくなりました。GDB は、どのメモリーセグメントをコアダンプファイルに書き込むかを制御する /proc/PID/coredump_filter ファイルも使用します (BZ#1265351)。

AArch64 のエラーメッセージを改善

AArch64 ターゲットの場合、プログラムがグローバル変数を整数型よりも小さい型として宣言するものの、それが別のファイルで整数として参照される場合、リンカーにより混乱させるエラーメッセージが生成される可能性がありました。今回の更新により、このエラーメッセージは修正され、原因が明確に特定されると共に、考えられるエラーの理由がユーザーに表示されるようになりました (BZ#1300543)。

大規模または高アドレスのプログラムが AArch64 で正常にリンクされ、実行される

以前のリリースでは、リンカー内の正しくないコードにより、正しくないブランチスタブが生成される可能性がありました。そのため、プログラムのサイズが非常に大きい場合や、プログラマーがプログラムの一部が非常に高アドレスに置かれるようにコード化した場合にはリンクに失敗しました。このバグは修正され、ブランチスタブの正しいタイプが選択されるようになりました (BZ#1243559)。

opreport および opannote ユーティリティーがアーカイブデータを適切に解析

以前のリリースでは、データを保存するために oparchive を使用する際に関連サンプルがアーカイブに組み込まれませんでした。さらに、oprofile ユーティリティーは、アーカイブではなく、実行中の oprofile_data ディレクトリーにあるデータを選択しました。そのため、opreport および opannote ユーティリティーは、oparchive で生成されるアーカイブのデータを適切に解析できませんでした。今回の更新により、プロファイリングサンプルをアーカイブに保存し、それらをアーカイブで使用するための修正が提供されています。また、opreport および opannote が予想どおりに機能するようになりました (BZ#1264443)。

同じ数値のユニットマスクを複数持つイベントが名前で処理される

第 5 世代 Core i3、i5、および i7 インテルプロセッサーには、同じ数値のユニットマスクが複数あるイベントが含まれます。そのため、一部のイベントのデフォルトのユニットマスクを検索したり、選択したりすることができませんでした。今回の更新により、イベントがデフォルトのユニットマスクに数値ではなく名前を使用するよう変更され、このバグが修正されました (BZ#1272136)。

新規の MACRO_INSTS_FUSED イベント識別子

以前のリリースでは、MACRO_INSTS 識別子は、第 1 世代 Core i3、i5、および i7 インテルプロセッサーの 2 つの異なるイベントに使用されていました。そのため、MACRO_INSTS を使用してそれらのいずれかを明確に選択することはできませんでした。今回の更新により、その内の 1 つのイベントの名前が MACRO_INSTS_FUSED に変更されたため、このバグが修正されました (BZ#1335145)。

libpfm を複数回にわたって初期化してもアプリケーションがクラッシュしない

以前のリリースでは、libpfm 初期化コードが複数回呼び出されると (例: PAPI fmultiplex1 テストでの呼び出し)、root で実行されている場合に libpfm 内部データ構造が破損し、予期しない終了が発生しました。今回の更新により、利用可能なイベントのカウンターが適切にリセットされ、root で実行されている libpfm を使用するアプリケーションが libpfm の再初期化時にもクラッシュしなくなりました (BZ#1276702)。

物理的に存在しないノードについての不要な警告メッセージの削除

以前のリリースでは、numa_node_to_cpus() 関数が sysfs ディレクトリーにエントリーを持たないノードで呼び出されると、libnuma ライブラリーが無効な sysfs についての警告メッセージを常に出力していました。そのため、libnuma は物理的に存在しないノードについても混乱させる警告メッセージを出力し (連続していないノード番号など)、この警告は dlsym インターフェースを使って関数が呼び出される場合にオーバーライドされませんでした。今回の更新により、この警告メッセージは初回のスキャン時に検出されたものの、sysfs には表示されなかった NUMA ノードについてのみ出力されるようになりました。これにより、libnuma のユーザーは連続していないノード番号の警告メッセージを受信することはなくなりました (BZ#1270734)。

OpenJDK バージョンファミリーの選択が複数の更新間で記憶される

今回の更新以前は、複数の JDK がインストールされているときに、yum update は、ユーザーが優先度の低い JDK を 事前に選択している場合でも最新の JDK に更新していました。今回の更新により、chkconfig--family スイッチが導入され、選択した JDK がシステム更新後にもバージョン family に残るようになりました (BZ#1296413)。

RC4 が OpenJDK 6 と OpenJDK 7 でデフォルトで無効にされる

以前の OpenJDK パッケージでは、トランスポート層セキュリティー (TLS) を使用した安全な接続を作成する際に RC4 暗号化アルゴリズムを使用できました。しかし、このアルゴリズムの使用は安全でないため、今回のリリースでは無効にされています。これを引き続き使用するには、SSLv3, DH keySize < 768jdk.tls.disabledAlgorithms の設定に戻す必要があります。これを実行するには、<java.home>/jre/lib/security/java.security ファイルで永続的に実行します。
jdk.tls.disabledAlgorithms=SSLv3, DH keySize < 768
または、以下の行を新たなテキストファイルに追加し、引数 -Djava.security.properties=<path to file> をコマンドラインで使用してこのファイルの場所を Java に渡します (BZ#1302385)。

zshmalloc() 実行時もデッドロック状態にならない

以前のリリースでは、zsh プロセスがメモリー割り当て関数の実行時にシグナルを受信し、シグナルハンドラーがメモリーの割り当てや解放を試行すると、zsh はデッドロック状態になり、応答しなくなりました。今回の更新により、シグナルハンドラーは zsh のグローバルな状態の処理中や、ヒープメモリーアロケーターの使用中に有効にされることがなくなりました。これにより、先のデッドロックが発生しなくなりました (BZ#1267912)。

複数文字で記述される SCSI デバイスタイプも正常に処理される

今回の更新の前には、rescan-scsi-bus.sh ツールは Medium Changer または Optical Device などの 2 文字以上を使用して記述される SCSI デバイスタイプを誤って解釈していました。そのため、このようなデバイスタイプが接続されたシステムでスクリプトが実行されると、スクリプトは複数の誤解を招くエラーメッセージを出力しました。今回の更新により、複数文字で記述されるデバイスタイプも適切に処理されるようになり、適切なデバイスタイプの記述がエラーなしにユーザーに返されるようになりました (BZ#1298739)。

Sphinx が FIPS モードで HTML ドキュメントを適切にビルド

以前のリリースでは、Python Sphinx ジェネレーターは FIPS モードがアクティブ状態の場合、システム上で HTML 形式のドキュメントをビルドできませんでした。今回の更新により、used_for_security パラメーターを false に設定することで md5() 関数の使用に関連する問題は修正されました。これにより、Sphinx が HTML ドキュメントを予想どおりにビルドできるようになりました (BZ#966954)。

Perl インタープリターが PerlIO ロケールプラグマの使用後にクラッシュしない

スレッドが PerlIO ロケールプラグマの使用後に生成されると、Perl インタープリターはセグメンテーション違反により予期せずに終了しました。アップストリームのパッチが適用されることにより、PerlIO::encoding オブジェクトの重複が解決されました。この結果、スレッドがファイルハンドルのエンコーディングの設定後に適切に作成されるようになりました (BZ#1344749)。

行末が Net::FTP Perl モジュールを使ってテキストモードでアップロードされたファイルに保持される

以前のリリースでは、ファイルを Net::FTP Perl モジュールを使ってテキストモードでアップロードした場合、アップロードしたファイルの行の終わりは正しく変換されませんでした。今回の更新により、データの FTP サーバーへのアップロード時にローカルからネットワーク仮想端末 (NVT; Network Virtual Terminal) のエンコーディングにおける行末の正規化が修正されました。これにより、この問題は発生しなくなりました (BZ#1263734)。

Perl インタープリターがスレッド化されたプログラムで glob() を使用してもクラッシュしない

以前のリリースでは、スレッドの生成後に Perl glob() 関数を呼び出すと、Perl インタープリターはセグメント違反で予期せずに終了しました。アップストリームのパッチが glob() インタープリター全体のデータをクローンできるように適用され、スレッド化されたプログラムで Perl glob() を使用しても予想どおりに機能するようになりました (BZ#1223045)。

親プロセス下のスレッドの cgroup 値を ps -o thcgr を使用して表示

以前のリリースでは、ps コマンドは親プロセスのコントロールグループ (cgroup) のみを表示していました。そのため、親プロセスの下にある cgroup の値は親プロセスの cgroup 値と同じでした。今回の更新により、最新の cgroup リストとの互換性を維持するための thcgr という新たなオプションが導入されました。thcgr オプションを使用すると、親プロセス下のスレッドについての正しい cgroup 値を表示できるようになりました (BZ#1284087)。

pmap が合計数を誤って報告しない

VmFlags がカーネル smaps インターフェースに導入されることにより、pmap ツールは VmFlags エントリーの形式の違いにより、コンテンツを正確に処理できなくなりました。そのため、pmap によって正しくない合計数が報告されました。しかし、基礎となるソースコードへのパッチの適用により、pmap は予想どおりに機能するようになりました (BZ#1262864)。

vmstat -d で長い名前のデバイスを表示できる

以前のリリースでは、ディスクの統計レポートが必要になる場合、デバイス名の最初の 15 文字のみが /proc/diskstats ファイルから読み取られました。そのため、16 文字以上の文字が使用された名前を持つデバイスは vmstat -d コマンドの出力に表示されませんでした。今回の更新により、フォーマット文字列は 31 文字までを読み取れるように変更され、長い名前を持つデバイスは vmstat -d で正しく表示されるようになりました (BZ#1169349)。

新規の perl-Perl4-CoreLibs サブパッケージには削除済みファイルが含まれる

provides タグが perl パッケージに組み込まれなくなった非推奨ファイルに間違って設定されていました。このバグを修正するために、これらのファイルが以前のバージョンの Perl からバックポートされ、新たに作成された perl-Perl4-CoreLibs サブパッケージで提供されるようになりました (BZ#1365991)。

GSS-Proxy がファイルディスクリプターをキャッシュする頻度が低下

以前のリリースでは、GSS-Proxy の mechglue レイヤーは、プロセスの有効期間にファイルディスクリプターをキャッシュしました。そのため、autofs などの UID または GID をたびたび変更するデーモンが予期しない動作をする可能性がありました。ID の変更時に GSS-Proxy への接続を閉じたり、再度開いたりできるようにするパッチが適用されました。その結果、GSS-Proxy がファイルディスクリプターをキャッシュする頻度が低くなり、UID または GID を変更するデーモンが予想どおりに機能するようになりました (BZ#1340259)。

PAPI_L1_TCM イベント計算への修正

以前のリリースでは、L1 キャッシュミスの合計回数 (PAPI_L1_TCM) の PAPI の事前設定が第 4 世代 Core i3、i5、および i7 インテルプロセッサーについて間違って計算されていました。今回の更新により、PAPI_L1_TCM イベントおよびこれらのプロセッサーで PAPI_L1_TCM を使用するプログラムからより正確な測定値を取得できるようになりました (BZ#1277931)。

IBM Power7 および IBM Power8 プラットフォームでの PAPI_L1_DC* イベントの精度が向上

以前のリリースでは、キャッシュイベントの PAPI イベントの事前設定は各種 IBM Power7 および Power8 プロセッサーの派生値を間違って計算していました。そのため、PAPI_L1_DCRPAPI_L1_DCW、および PAPI_L1_DCA イベントの値は正しくありませんでした。事前に設定された計算値は修正され、このイベントの精度が上がりました (BZ#1263666)。

Postfix 式パーサーを改良

以前のリリースでは、papi_events.csv ファイルの式から派生メトリックを計算するために使用された Postfix 式パーサーは、適切なエラーチェックを実行せず、一部の式を正しく解析しませんでした。そのため、パーサーは派生メトリックの値を計算するために使用されるバッファー外で書き込みを行う可能性があり、一部の式についてスタックスマッシュのエラーが発生する可能性がありました。そこで、パーサーが正しくない式でメモリーを上書きしないようにするための修正が提供されています。現在パーサーは、papi_events.csvPostfix 式を適切かつ確実に解析し、メモリーのランダム領域を上書きするのではなく、不適切な式についてのエラーを報告するようになりました (BZ#1357587)。

python-dns ツールキットの udp() 関数の未定義変数を設定

以前のリリースでは、python-dns ツールキットは udp() 関数の finally セクションにある未定義の response_time 変数を使用しました。そのため、ユーザーには間違った例外が表示されました。このバグは修正され、間違った例外が返されるようになりました (BZ#1312770)。

zsh がエスケープされていない感嘆符を解析

以前のリリースでは、zsh パーサーの状態の初期化は十分に実行されていませんでした。そのため、zsh はテキスト文字列でエスケープされていない感嘆符を解析できませんでした。今回の更新により、zsh はパーサーの状態を適切に解析できるようになりました。その結果、zsh はエスケープされていない感嘆符を適切に解析できるようになりました (BZ#1338689)。

zsh がジョブ終了の処理中のシグナルの受信時にハングしない

以前のリリースでは、シグナルハンドラーは zsh でのジョブ終了を処理中に有効にされました。そのため、メモリーアロケーターの使用中にシグナルが受信され、そのハンドラーがメモリーを割り当てるか、または解放しようとする際に、zsh プロセスはデッドロックで終了し、応答しなくなりました。今回の更新により、シグナルハンドラーはジョブ終了の処理中に有効にされなくなりました。その代わりに、シグナルはシグナルハンドラーの遅延実行のキューに入れられます。その結果、デッドロックは発生しなくなり、zsh はハングしなくなりました (BZ#1291782)。

zshout of memory (メモリー不足) シナリオを正常に処理

zsh シェルは、out of memory という致命的なエラーメッセージの出力中にメモリーを割り当てます。以前のリリースでは、出力のルーチンがメモリーの割り当てに失敗した場合、無限再帰がトリガーされました。そのため、zsh プロセスはスタックオーバーフローにより予期せずに終了しました。今回の更新により、無限再帰がこのシナリオで発生しなくなりました。その結果、致命的なエラーメッセージの出力後に zsh はメモリーが不足する場合も正常に終了するようになりました (BZ#1302229)。

ksh 互換性モードでの構文チェックが zsh で予想どおりに機能

以前のリリースでは、ksh 互換性モードでシェルスクリプトの構文をチェックする間に zsh$HOME 内部変数を正しく初期化しませんでした。そのため、zsh プロセスは NULL ポインターの逆参照を試行した後に予期せずに終了しました。今回の更新により、$HOME 内部変数は適切に初期化されるようになりました。その結果、ksh 互換性モードの構文チェックは zsh で予想どおりに機能します (BZ#1267251)。

コマンド置換の解析でコマンド履歴が破損しない

以前のリリースでは、$() コマンド置換コンストラクトを持つコマンドはコマンド履歴に正常に記録されませんでした。このバグは修正され、コマンド置換の解析によってコマンド履歴が破損することはなくなりました (BZ#1321303)。

haproxy 設定ファイルで 32 文字を超えるホスト名を正常に使用できる

以前のリリースでは、haproxy がピアホスト名を使用するように設定された場合、バグにより 32 文字を超えるホスト名が切り捨てられていました。そのため、haproxy 設定ファイルは無効になりました。このバグは修正され、ピアとして指定されるホスト名は 32 文字を超えても正常に処理されるようになりました (BZ#1300392)。

psacct のインストール後に RPM 検証の失敗が発生しない

psacct パッケージのインストール時に、/var/account/pacct ファイルのモードは psacctlogrotate ルールに基づいて設定されませんでした。そのため、/var/account/pacct のモードはインストール後もこれらのルールとは異なるものとなり、これにより RPM 検証が失敗しました。今回の更新により、/var/account/pacct のモードは psacct のインストール時に 0600 に設定され、logrotate ghost ファイルルールに一致するものになりました。これによって RPM 検証の失敗は発生しなくなりました (BZ#1249665)。

sadc で渡される SIGINT によってシステムが予期せずに再起動されない

競合状態により、sadc コマンドは SIGINT シグナルを init プロセスに渡すことがありました。そのため、システムが予期せずに再起動する可能性がありました。今回の更新により、SIGINT シグナルが init プロセスに送信されていないことを確認する検証が追加されました。その結果、システムが予期せずに再起動することがなくなりました (BZ#1328490)。

pidstat が特定フィールドに 100% を超える値を出力しない

以前のリリースでは、pidstat コマンドによって有効期間の短いプロセスを多数持つシステムの PID に事前に割り当てたスペースが不足することが稀にありました。そのため、pidstat 出力の %CPU%user、および %sys フィールドに 100% を超える無意味な値が含まれていました。今回の更新により、pidstat は PID のスペースを自動的に再割り当てし、すべてのフィールドに正しい値を出力するようになりました (BZ#1224882)。

sysstat が提供する /usr/bin/nfsiostat が非推奨となり nfs-utils が提供する /sbin/nfsiostat が推奨される

以前のリリースでは、sysstat パッケージが提供する /usr/bin/nfsiostatnfs-utils パッケージが提供する /sbin/nfsiostat という 2 つのパッケージが同じ名前の実行可能ファイルを提供していました。そのため、完全パスが指定されるまでどちらのバイナリーが実行されたのかが明確ではありませんでした。sysstat が提供する nfsiostat ユーティリティーは非推奨となり、その代わりに nfs-utils が提供するユーリティティーが推奨されるようになりました。移行期間に sysstat パッケージの nfsiostat バイナリーの名前は nfsiostat-sysstat に変更されます (BZ#846699)。

iostat が 72 文字を超えるデバイス名を出力

以前のリリースでは、72 文字を超えるデバイス名は、デバイス名フィールドが短すぎるために iostat コマンド出力で切り捨てられました。今回の更新により、デバイス名に割り当てられた領域は 128 文字に拡大し、iostat が出力に表示できるデバイス名は長くなりました (BZ#1267972)。

cp を使用して後続エクステントのあるスパースファイルをコピーしてもデータ破損が生じない

スパースファイルの作成時に、fallocate ユーティリティーは FALLOC_FL_KEEP_SIZE を使用して EOF を超えてエクステントを割り当てる可能性がありました。そのため、エクステント間にギャップ (穴) があり、EOF がギャップにある場合に最後の穴は再現されなくなりました。これにより、コピーされるファイルに、そのサイズが小さすぎることから無兆候データ破損 (silent data corruption) が生じました。今回の更新により、cp コマンドでは、明確なファイルサイズを超えるエクステントの処理とその割り当てがサポートされなくなったことから、これらの処理が実行されなくなりました。その結果、特定タイプのスパースファイルで無兆候データ破損 (silent data corruption) が発生しなくなりました (BZ#1284906)。

autofs でマウントされる NFS 共有によって、df の使用によるローカルマウントのリスト時のタイムアウトがなくなる

df のバグにより、autofs でマウントされる NFS 共有はローカルマウントとして検出される可能性がありました。-l オプションを使用してローカルマウントのみを一覧表示しようとすると、df がこれらの誤って検出された共有を一覧表示しようとするためにタイムアウトが生じました。このバグは修正され、ローカルマウントの一覧表示は予想どおりに機能するようになりました (BZ#1309247)。

ksh がログインメッセージを正しく表示

対話型ログインシェルにログインすると、初期環境をセットアップするために /etc/profile スクリプトの内容が実行されました。Korn シェル (ksh) へのログイン時にユーザーに表示されるはずのメッセージは、シェルが /etc/profile の実行前にすでに設定されている PS1 環境変数の値に依存した、ログインシェルであるかを判別する内部テストが実行されるために表示されませんでした。しかし、この環境変数は /etc/profile の実行後にのみ Korn シェルで設定されるため、メッセージが ksh ユーザーに表示されることはありませんでした。今回の更新により、/etc/profile の実行前に設定される PS1 変数に依存しない代替テストが提供されるようになり、メッセージがログイン時に Korn シェルのユーザーに表示されるようになりました (BZ#1321648)。

新規の POSIX セマフォ破壊セマンティクス

以前のリリースでは、glibc での POSIX セマフォの実装は、セマフォを自己同期型にするための現在の POSIX 要件に基づいていませんでした。そのため、sem_post() および sem_wait() 関数はセマフォの破壊後にこれにアクセスするため、予期せずに終了したり、EINVAL エラーコードを返したりしました。今回の更新により、待機処理を記録し、セマフォの早まった破壊を防ぐ新規の POSIX セマフォ破壊セマンティクスが実装されます。glibc で実装されるセマフォは自己同期型となるため、このバグは修正されました (BZ#1027348)。

SELinux の自動再ラベル付け後にディスクが正常にアンマウントされる

以前のリリースでは、SELinux の再ラベル付け後に rhel-autorelabel スクリプトは systemctl --force reboot コマンドを実行してシステム再起動を開始しました。そのため、rootfs イメージを正常にアンマウントし、基礎となるデバイスマッパー (DM) デバイスの非アクティブ化を実行するために必要な特定のステップが省略されました。このバグを修正するために、rhel-autorelabel スクリプトは、再起動の前に dracut-initframs-restore スクリプトを起動できるように変更されました。その結果、ディスクはこのシナリオで正常にアンマウントされるようになりました (BZ#1281821)。

sosreport が ASCII 以外の文字を含むソースの出力を正常に収集

今回の更新の前は、sosreport ユーティリティーが名前に ASCII 以外の文字を含むファイルやコマンドの出力を収集しようとする際に sosreport が完全に生成されませんでした。今回の更新により、これらのファイルやコマンドは適切に収集され、ユーティリティーで報告されます (BZ#1296813)。

Kernel Dump Configuration GUI で kdump を NFS ターゲット宛先に設定できる

以前のリリースでは、Kernel Dump Configuration GUI の NFS ターゲット宛先の入力ボックスは、エクスポートパスを入力する必要があることを示唆しませんでした。そのため、ユーザーはこの GUI を使って kdump 機能を NFS ターゲット宛先に設定できませんでした。今回の更新により、入力ボックスのラベルはエクスポートパスが必須であることを示唆するように変更され、ユーザーはこの状況で kdump を設定できるようになりました (BZ#1208191)。

NFS 共有がアンマウントされた状態で kdump を NFS ターゲットに設定すると正しい警告メッセージが表示される

今回の更新の前には、NFS 共有がマウントされていない場合にユーザーが kdump を NFS ターゲット宛先に設定しようとすると混乱させるエラーメッセージと共に警告が出されました。Kernel Dump Configuration GUI で操作される system-config-kdump ユーティリティーは、kdump 設定の適用前に NFS エクスポートをマウントする必要があることを示唆しませんでした。その代わりに、複数の混乱させるエラーメッセージが返されました。今回の更新により、警告メッセージは、NFS エクスポートがその時点でマウントされておらず、kdump 設定の段階にすでにマウントされている必要があることを示唆するように変更されました。この警告メッセージにより混乱が少なくなり、kdump 設定を正常に完了する方法についての適切な情報がユーザーに提供されるようになります (BZ#1121590)。

lparstat/proc/interrupts の長い行によって失敗しない

今回の更新の前には、/proc/interrupts ファイルの SPU 行が 512 文字を超える場合に lparstat コマンドを使用すると失敗しました。今回の更新により、lparstat は interrupt 行を正常に解析するようになり、この状況でも正常な結果を返すようになりました (BZ#1366512)。

lparstat のデフォルト出力モードで適切な報告が実行される

以前のリリースでは、lparstat ユーティリティーのデフォルト出力モードを使用すると、lparstatphysc0.00 とするなど、特定パラメーターの値を誤って報告しました。この問題は修正され、影響を受けた値は適切に表示されるようになりました (BZ#1347083)。

Socket::getnameinfo モジュールが汚染された値を正常に処理できる

以前のリリースでは、Perl Socket::getnameinfo モジュールは汚染された値を処理できませんでした。今回の更新でパッチが適用された結果、モジュールは汚染された値を使用できるようになりました (BZ#1200167)。

python-sphinx モジュールがドキュメントのビルドに失敗しない

以前のリリースでは、python-sphinx パッケージの man ページ作成モジュールには meta および inline ノードビジターがありませんでした。そのため、ドキュメントのビルドは失敗する可能性がありました。欠落しているノードビジターを追加するパッチが提供されることにより、ドキュメントが正常にビルドされるようになりました (BZ#1291573)。

プログラムが polkit アクションの一覧を繰り返し表示してもメモリー不足にならない

以前のリリースでは、polkit クライアントライブラリーは利用可能なアクションを一覧表示する際にメモリーを適切に解放しませんでした。これにより、プログラムのメモリーが不足し、プログラムが終了する可能性がありました。今回の更新により、ライブラリーはメモリーを正常に解放し、プログラムはこのシナリオでクラッシュしなくなりました (BZ#1310738)。

unzip がラテン以外および Unicode 以外のエンコーディングをサポート

以前のリリースでは、unzip はラテン以外および Unicode 以外のエンコーディングをサポートしなかったため、正しくない名前のファイルが作成される可能性がありました。今回の更新により、unzip-O および -I オプションを使用してこれらのエンコーディングをサポートします。詳細は、unzip -h コマンドを実行して確認してください (BZ#1276744)。

zlib が RFC1951 互換ファイルを正常に圧縮解除

以前のリリースでは、zlib のバグにより RFC1951 互換ファイルは正常に圧縮解除されませんでした。この更新によりバグが修正され、zlib は RFC1951 互換ファイルを正常に圧縮解除できます (BZ#1127330)。

glibc times() 関数がバッファーの NULL をサポート

以前のリリースでは、glibctimes() 関数は、ユーザーがバッファーに NULL 値を設定することを許可しませんでした。そのため、この関数を使用するアプリケーションが予期せずに終了する可能性がありました。今回の更新でパッチが適用された結果、バッファーに NULL 値を設定でき、カーネルシステムの呼び出しで予想どおりの結果が返されるようになりました (BZ#1308728)。

iconv が不要なシフトシーケンスを追加しない

以前のリリースでは、iconv で使用される IBM930、IBM933、IBM935、IBM937、および IBM939 文字セットの文字変換ルーチンのバグにより、不要なシフトシーケンスがツールの出力に組み込まれる可能性がありました。不適合の出力が生成されて出力データを読み取れなくなる可能性がありました。しかし、文字変換ルーチンは修正さ、不要なシフトシーケンスが返されなくなりました (BZ#1293916)。

コア C ライブラリー (glibc) が機能強化され、malloc() の拡張性が増大

malloc() 関数の実装にあった不具合により、複数スレッド間でのメモリー割り当て要求が不必要にシリアル化される可能性がありました。今回の更新によりバグが修正され、スレッドを頻繁に作成し、破棄するアプリケーションの割り当て要求の同時スループットが向上しました (BZ#1276753)。

動的リンカーが監査モードによる代替 DSO の提供時に失敗しない

以前のリリースでは、監査モジュールが代替 DSO (動的共有オブジェクト) パスを提供すると、ld.so 動的リンカーはセグメテーション違反で予期せずに終了しました。今回の更新によりバグが修正され、動的リンカーは後の参照用に元の DSO パスを記録し、このシナリオでクラッシュしなくなりました (BZ#1211100)。

selinux-policyhypervkvpd による全ファイルシステムタイプでの getattr を許可

以前のリリースでは、IP インジェクションが Data Exchange オプションが有効な状態で仮想マシンに実行された後に restorecon コマンドを実行すると SELinux 拒否が生じました。selinux-policy パッケージが更新されてから、IP インジェクションは SELinux の permissive および enforcing モードの両方で正常に終了するようになりました (BZ#1349356)。

第26章 デスクトップ

Poppler が一部の文字を適切にレンダリング

Poppler ライブラリーが文字コードへのマッピングを正しく行わなかったため、Poppler により適切なグリフではなく fi 文字列が表示されました。また、フォントに必要なグリフが含まれていない場合は何も表示されませんでした。今回の更新では、以前 fi 文字列に置き換えられた文字が正しく表示されるようになりました (BZ#1298616)。

Poppler がアレイの背後でメモリーへのアクセスを試行しない

アレイ長の超過によるメモリーの破損が原因で、Poppler ライブラリーが予期せず終了しましたが、Poppler がアレイの背後でメモリーにアクセスしないようにする修正が適用され、このような状況で Poppler がクラッシュしないようになりました (BZ#1299506)。

グループカラースペースを指定せずに PDF を処理するときに pdftocairo がクラッシュしない

以前のリリースでは、グループカラースペースを指定せずに PDF を処理すると Poppler ライブラリーが存在しないオブジェクトにアクセスしようとしました。そのため、セグメンテーション違反により Poppler ライブラリーが予期せず終了しました。グループカラースペースが存在するかどうかを確認するパッチが適用され、Poppler がクラッシュしないようになり、このような状況で pdftocairo ユーティリティーが想定どおり動作するようになりました (BZ#1299479)。

テキストの抽出中に Poppler が予期せず終了しない

以前のリリースでは、行の最後の後に書き込みを行うとアレイによりメモリーが破損することがありました。そのため、Poppler ライブラリーが予期せず終了することがありました。パッチが適用され、項目の追加時にアレイが常に再配置されるようになりました。その結果、このような状況で Poppler がクラッシュしないようになりました (BZ#1299481)。

不足の GfxSeparationColorSpace クラスによって Popplerが予期せず終了しない

以前のリリースでは、Poppler ライブラリーが存在しない GfxSeparationColorSpace クラスをコピーしようとし、予期せず終了しました。今回の更新では、PopplerGfxSeparationColorSpace クラスが存在するかどうかを確認するようになり、このような状況でクラッシュしないようになりました (BZ#1299490)。

破損した暗号化情報のアサートによって pdfinfo が予期せず終了しない

これまで、Poppler は破損した暗号化所有者情報を取得しようとしたため、pdfinfo ユーティリティーが予期せず終了しました。このバグの修正が適用され、Poppler は破損した暗号化情報をアサートしないようになりました。そのため、このような状況で pdfinfo がクラッシュしないようになりました (BZ#1299500)。

PDF の閲覧時に Evince がクラッシュしない

これまで、スクリーンアノテーションおよびフォームフィールドは NULL ポインターを _poppler_action_new に渡し、Evince アプリケーションで特定の PDF を閲覧するときに Poppler は誤った PopplerAction を作成しました。そのため、セグメンテーション違反により PopplerAction が予期せず終了しました。パッチが適用され、_poppler_annot_scren_new および poppler_form_field_get_action が NULL ではなく PopplerDocument を渡すようになりました。そのため、このような状況で Evince がクラッシュしないようになりました (BZ#1299503)。

GNOME Boxes によって起動された仮想マシンにすべてのユーザーがアクセスできない

以前のリリースでは、 GNOME Boxes によって起動された仮想マシンはローカル TCP ソケット上でリッスンされました。そのため、すべてのユーザーは他のユーザーが起動した仮想マシンに接続することができました。パッチが適用され、GNOME Boxes はデフォルトでそのようなソケットを開かないようになりました。仮想マシンを所有するユーザーのみが SPICE を介して仮想マシンにアクセスできるようになりました (BZ#1043950)。

GNOME boxes がバージョン 3.14.3.1 にリベース

GNOME boxes アプリケーションがバージョン 3.14.3.1 に更新されました。最も大きな変更は、このリベースの一部としてあるバグへのパッチが適用されたことです。
  • 以前は、GNOME boxes アプリケーションで仮想ネットワークコンピューティング (VNC) の認証パラメーターが正しく処理されませんでした。その結果、認証を介した VNC サーバーへの接続が失敗していました。このバグは修正され、認証を介した VNC サーバーへの接続は期待どおりに行われるようになりました (BZ#1015199)。

FreeRDP がワイルドカード証明書を認識

以前のリリースでは、FreeRDP にワイルドカード証明書サポートが実装されていませんでした。そのため、FreeRDP によってワイルドカード証明書が認識されず、接続時に以下の警告が表示されました。
WARNING: CERTIFICATE NAME MISMATCH!
不足していた機能がアップストリームからバックポートされ、ホスト名を比較するコードが改善されました。そのため、有効なワイルドカード証明書が使用されると上記の警告が表示されないようになりました (BZ#1275241)。

重要なセキュリティー更新が自動的にインストールされる

以前のリリースでは、セキュリティー更新を自動的にインストールすることができませんでした。GNOME が利用可能な更新を通知しても、ユーザーは通知を無視し、更新をインストールしないよう選択することができました。そのため、重要な更新がインストールされずに放置されることがありました。重要な更新のインストールを強制する gnome-shell 拡張が使用できるようになりました。新しい更新が使用できるようになると、更新の適用を通知するダイアログウインドウが表示され、作業を保存するよう促されます。指定時間 (設定可能) の経過後、システムが再起動され、更新がインストールされます (BZ#1302864)。

accountsservice のアカウントのシェルが常に検証される

無効化されたアカウントを判断する accountsservice パッケージヒューリスティックが Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 の間で変更になりました。そのため、500 から 1000 以外の UID を持つユーザーはシェルが無効であってもユーザーリストに表示されました。パッチが適用され、リスト可能なユーザーアカウントとして処理される前にアカウントのシェルが常に検証されるようになり、/sbin/nologin をシェルとするユーザーは除外されるようになりました (BZ#1341276)。

Nautilus 3 でデスクトップを扱う方法を変更

以前のリリースでは、最も大きなモニターを選択し、デスクトップウインドウを長方形にフィットする最小の形に適合することでデスクトップの Nautilus 3 のアイコンが管理されました。そのため、一部のモニターではアイコンを好きな場所に移動できませんでした。この動作は変更され、デスクトップウインドウの形をプライマリーモニターに制限するようになりました。この変更によってすべてのモニターをデスクトップの一部として使用できるわけではありませんが、前述のバグは修正されます (BZ#1207646)。

Xvnc セッションの GLX サポート

Xvnc の GLX サポートコードでは libGL ライブラリーを使用する必要があります。サードパーティーのドライバーがインストールされ、libGL を置き換える場合、Xvnc セッションは GLX サポートがない状態で起動され、Xvnc では 3D アプリケーションが動作しませんでした。今回の更新では、/usr/lib64/ にインストールされることが想定される libGL が必要になるよう Xvnc が再構築されました。サブディレクトリーにインストールされたサードパーティードライバーは Xvnc と競合を起こさなくなり、GLX が正常に初期化されるようになりました。そのため、Xvnc セッションで GLX 機能を利用できるようになりました。
Xvnc に接続するクライアントアプリケーションは Xvnc サーバーと同じ libGL バージョンを使用する必要があり、LD_LIBRARY_PATH 環境変数の使用が必要になる場合があります (BZ#1326867)。

フラットなドキュメントコレクション

gnome-documents アプリケーションの使用時、同時に 1 つのコレクションを他のコレクションに含め、その逆 (他のコレクションにそのコレクションを含める) を行うことができました。その結果、アプリケーションが予期せず終了しました。今回の更新では、コレクションがフラットになるようにし、コレクションの循環チェーンが発生しないようになったため、このバグは修正されました (BZ#958690)。

特殊文字でクエリーを行うときに control-center がクラッシュしない

新しいプリンターの検索時にユーザーが入力するテキストには特定の文字セットが必要でした。そのため、特殊文字が含まれるプリンター名を検索するときに control-center ユーティリティーが予期せず終了することがありました。今回の更新では、テキストが有効な ASCII 形式にエンコードされるようになりました。その結果、control-center がクラッシュしなくなり、適切にプリンターがクエリーされるようになりました (BZ#1298952)。

ゼロ長の文字列によって gnome-control-center がクラッシュしない

以前のリリースでは、gnome-control-center ユーティリティーは空の文字列や無効なポインターで動作し、予期せず終了しました。gnome-control-center ユーティリティーが指定のアプリケーションの識別子が 1 文字以上であるかどうかを確認し、new_app_ids ポインターを初期化するようになりました。そのため、この問題が発生しないようになりました (BZ#1298951)。

Release Notes パッケージが適切にインストールされる

以前のリリースでは、gnome-control-center パッケージの名前により、英語以外の言語で設定されたシステムでパッケージがインストールされませんでした。今回の更新では、gnome-control-center パッケージに追加の解析ルールが提供されました。そのため、Release Notes パッケージが適切にインストールされるようになりました (BZ#1263241)。

pt_BRzh_CN、および zh_TW 向けに LibreOffice の言語パックが正しくインストールされる

pt_BRzh_CN、および zh_TW の言語パックを使用するシステム上で、翻訳された libreoffice-langpack パッケージが自動的にインストールされませんでした。問題に対応するため、解析ルールが yum 言語プラグインに追加されました。そのため、適切な LibreOffice 言語パックがインストールされるようになりました (BZ#1251388)。

第27章 ファイルシステム

quota RPC サービスが利用できる

nfs-utils パッケージのアップグレード後、これまでは quota RPC (Remote Procedure Call) サービスを開始した後にシステムで nfs-rquotad.service systemd サービスが利用できませんでした。このバグを修正するため、quota パッケージにネットワーク上でディスククォータをクエリーおよび設定できる新しい rpc-rquotad.service *systemd* サービスが追加されました。このサービスは /etc/sysconfig/rpc-rquotad ファイルで設定できます。さらに、以前のバージョンとの互換性を維持するため nfs-rquotad サービスエイリアスも提供されます。これにより、このような状況で想定どおり quota RPC サービスを Red Hat Enterprise Linux 7 で利用できるようになりました (BZ#1207239)。

repquota がローカルの passwd データベースで定義されていないユーザーのクォータを報告

一部のユーザーが LDAP ディレクトリーのみで定義されている場合に XFS ファイルシステム上で repquota ツールを使用してすべてのユーザーのクォータを表示すると、これまではローカルの passwd データベースに定義されていないユーザーのクォータが repquota によって報告されませんでした。今回の更新では、新しいカーネルインターフェースと Q_GETNEXTQUOTA および Q_XGETNEXTQUOTA クォータ IOCTL コマンドを使用してファイルシステムに保存されたすべてのクォータエントリーを取得するようになりました。この方法では、すべてのユーザーアカウントを列挙する必要がなく、ローカルシステムが認識しないユーザーに対しても動作します。その結果、ユーザーアカウントがリモート LDAP サーバーから取得されたり、SSSD (System Security Services Daemon) がユーザーアカウントをキャッシュしても、repquota がすべてのユーザーのクォータを報告するようになりました (BZ#1305968)。

quota が正しく猶予期間を報告

以前のリリースでは、現ユーザーのソフトクォータの制限を超え、quota ツールが NFS がマウントされたファイルシステムの猶予期間を表示し、猶予クォータ期間がすでに期限切れであると整数型が誤って解釈されました。そのため quota コマンドは none ではなく、多くの日数を誤って報告しました。今回の更新で、ネットワーク上で猶予期間を転送するために使用される整数型が正しく解釈されるようになりました。さらに、今回の更新では、CPU のワードサイズが異なる NFS サーバーとクライアント間で相互運用性を維持するために、可能な値の範囲を 32 ビットの署名された整数境界に制限します。これにより、quota ツールがサーバー時間からの差の範囲が -2^31+1 から 2^31 秒である猶予期間を適切に報告するようになりました。低い値は期限切れとして報告され、高い値は差が適切な範囲内であるまで変更されない最大可能期間として報告されます (BZ#1072858)。

cifs.idmap が SID を UID にマップ

以前のリリースでは、cifs.idmap ツールは Red Hat Enterprise Linux 7 で SID を UDI にマップできませんでした。そのため、cifs.idmap を使用して所有権を AD (Active Directory) からユーザー名またはグループ名にマップできませんでした。makefile が変更され、マッピングが動作するよう正しいビルドオプションが表示されたことを確認するようになりました。その結果、cifs.idmap のマッピングが想定どおり動作するようになりました (BZ#1289454)。

cifs-utils がバージョン 6.2 にリベース

cifs-utils パッケージがアップストリームバージョン 6.2 にアップブレードされ、旧バージョンのバグが多く修正されました。以下のバグ修正が含まれています。
  • 不必要な libwbclient のリンクが発生しないようになりました。
  • マウントの 2 度目の試行で orig_dev を大文字にします。
  • mtab.cpaths.h が含まれました。
  • man ページで backupuidbackupgid の使用が明確になりました。
  • x-* マウントオプションが追加されました (BZ#1351618)。

第28章 ハードウェアの有効化

プライマリーボンドインターフェースが失敗していないアクティブなインターフェースより優先されない

以前のリリースでは、primary_reselect=failure ボンドパラメーターは正しく機能しませんでした。プライマリーインターフェースは他のインターフェースが失敗していなくても常に優先されました。今回の更新により、このパラメーターは予想どおりに機能するようになり、プライマリーボンドインターフェースは現行のプライマリー以外のアクティブなインターフェースが失敗する場合にのみ優先されるようになりました (BZ#1301451)。

Little Endian 版の IBM Power Systems で updatepp 操作が失敗してもメモリー破損を防止できる

以前のリリースでは、Little Endian 版の IBM Power Systems での updatepp 操作の失敗により、正しくないハッシュ値がページテーブルの次のハッシュ挿入操作で使用されることがありました。これにより、ハッシュページテーブルエントリー (PTE) の更新操作やハッシュ PTE の無効化操作が失敗し、メモリーが破損する可能性がありました。今回の更新により、ハッシュ値は updatepp 操作の失敗後に常に再計算されるようになり、メモリー破損の可能性がなくなりました (BZ#1264920)。

USB デバイスを削除しても競合状態が発生しない

以前のリリースでは、USB デバイスを削除すると同期の問題が発生し、競合状態が生じる可能性がありました。そのため、メモリーが破損し、USB ホストコントローラーが失敗しました。今回の更新により、タイマーが十分前もって初期化されることになり、競合状態の可能性がなくなり、USB ホストコントローラーが失敗しなくなりました (BZ#1290202)。

カーネルが AMD Turion II システムで起動

以前のリリースでは、tick broadcast コードのライブロックにより、AMD Turion II システムが起動時にロックアップし、応答しなくなることがありました。今回の更新により、ライブロックは修正され、カーネルは AMD Turion II システムでより安全に起動するようになりました (BZ#1265283)。

数多くの CPU を搭載したリアルタイムシステムでの実行キューのロック競合による長い待ち時間がない

以前のリリースでは、リアルシステムで複数の CPU が rq ロックを取得しようとすることで、ロック競合と待ち時間が発生しました。待ち時間は CPU 数を乗算したものになり、数多くの CPU が搭載されているシステムに長い待ち時間が発生しました。今回の更新により、33 以上のコアを搭載したシステムは pull ではなくpush アプローチを使用するようになり、クリティカルエリアに CPU の長い一覧が生成されなくなりました。その結果、数多くの CPU を搭載したリアルタイムシステムには実行キューのロック競合による長い待ち時間が発生しなくなりました (BZ#1209987)。

カーネルが NVM Express デバイスドライバーと共にマルチキューサポートを有効にしても起動時にクラッシュしない

コアブロックデバイスのコードにあるバグにより、カーネルは NVMe (Nonvolatile Memory Express) デバイスドライバーでマルチキューサポートを有効にすると、起動時に予期せずに終了することがありました。問題が nvme ドライバーに確認されましたが、他のブロックデバイスも影響を受けている可能性がありました。今回の更新により、このバグは修正され、カーネルはこの状況でクラッシュしなくなりました (BZ#1303255)。

CPU 周波数が要求値に達する

以前のリリースでは、CPU 周波数の値は intel_pstate によって正しく丸められませんでした。そのため、CPU 周波数はユーザーが要求する値よりも低くなっていました。今回の更新により、この丸めエラーが修正され、CPU 周波数は要求値に達しました (BZ#1279617)。

FCoE コードのリアルタイムカーネルスケジューリングコードが修正された

リアルタイムカーネルの FCoE (Fibre Channel over Ethernet) ドライバーは、より一般的な get_cpu() および put_cpu() 関数ではなく、get_cpu_light() および put_cpu_light() 関数を使用するように変更されました。ただし、get_cpu() の 1 つのケースについては get_cpu_light() に変更されませんでした。そのため、優先が無効にされ、BUG: scheduling while atomic バグが FCoE コードに発生しました。今回の更新により、このコードは修正され、バグが発生しなくなりました (BZ#1258295)。

PCI アダプターに関連した NUMA ノードの報告がないことによる IBM Power Systems のパフォーマンス低下がなくなった

以前のリリースでは、回帰の問題により NUMA (Non-Uniform Memory Access) ノードが PCI アダプターに関連して報告されませんでした。これにより、Red Hat Enterprise Linux 7 と共に実装されるすべての IBM Power System のパフォーマンスが大幅に低下しました。今回の更新により、回帰の問題が修正され、システムのパフォーマンスがこの状況で低下することはなくなりました (BZ#1273978)。

システムが DMA 転送のセットアップ時にクラッシュしない

IOMMU (Input/Output Memory Management Unit)、NVMe (Non-volatile Memory Express) デバイス、およびカーネルのページサイズの不整合により、BUG_ON シグナルが nvme_setup_prps() 関数に発生しました。これにより、DMA (Direct Memory Access) 転送のセットアップ時にシステムが予期せずに終了する可能性がありました。今回の更新により、デフォルトの NVMe ページサイズは 4 キロバイトに設定され、システムがクラッシュすることがなくなりました (BZ#1245140)。

カーネルがホットアンプラグ時にハングしない

以前のリリースでは、再試行可能コマンドのエラーにより、NVMe ドライバーは I/O ディスクリプターおよび DMA マッピングをリークしました。そのためカーネルは、ドライバーが削除されている場合のホットアンプラグの操作時に応答しなくなる可能性がありました。今回の更新により、コマンドの再試行時にドライバーのメモリーリークが修正され、カーネルがこの状況でハングしなくなりました (BZ#1271860)。

LRO (Large Receive Offload) フラグを無効にすると正常に伝播が実行される

以前のリリースでは、LRO (Large Receive Offload) フラグを無効にすると、vlan およびボンド階層の上方のデバイスから下方に伝播されませんでした。そのため、トラフィックのフローが中断されました。今回の更新によりこの問題は修正され、LRO フラグを無効にすると正常に伝播が実行されるようになりました (BZ#1266578)。

Intel Xeon v5 プラットフォームでの P-state の切り替えが正常に行われる

以前のリリースでは、Intel Xeon v5 プラットフォーム上で、プロセッサーの周波数は常に最大周波数に関連付けられていました。そのため、クライアントプラットフォームで P-state を切り換えると失敗しました。今回の更新により、範囲を判別した上で最小および最大パーセントの制限値を調整することで idle、busy および processor の周波数値が設定されるようになりました。その結果、これらのクライアントプラットフォームでの P-state の切り替えが正常に行われるようになりました (BZ#1264990)。

cpuscaling テストが失敗しない

以前のリリースでは、Red Hat Certification Test Suite の cpuscaling テストは intel-pstate ドライバーの数字の丸めのバグにより失敗しました。このバグは修正され、強力なハードウェアでの cpuscaling テストが失敗しなくなりました (BZ#1263866)。

genwqe ドライバーがメモリープレッシャー時にメモリー割り当てを実行できる

以前のリリースでは、genwqe デバイスドライバーは、これまで非アトミック状態でもカーネルのアトミックメモリープールから連続するメモリーページを割り当てるために GFP_ATOMIC フラグを使用していました。これにより、メモリープレッシャー時に割り当て障害が発生する可能性がありました。今回の更新により、genwqe ドライバーのメモリー割り当てに GFP_KERNEL フラグが使用されるように成り、ドライバーはメモリープレッシャーの状況でもメモリーを割り当てられるようになりました (BZ#1270244)。

CPU を無効にしてもコンソールがハングしない

以前のリリースでは、リアルタイムカーネルの CPU hotplug インターフェースを使って CPU を無効にする際に hotplug ロックおよびコンソールセマフォが正しくない順序で取得される可能性がありました。これにより、デッドロックが生じ、システムコンソールが応答しなくなる可能性がありました。今回の更新により、ロックは正しい順序で取得され、コンソールはハングしなくなりました (BZ#1269647)。

LRO が ixgbe ドライバーでデフォルトで無効になる

LRO (Large Receive Offload) はフォワーディングやブリッジングと互換性がなく、パフォーマンスの問題や不安定な状態を生じさせる可能性があるため、ixgbe ドライバーではデフォルトで無効に設定されています。
LRO を有効にするには以下を実行します。
# ethtool -K ethX lro on
ethX をインターフェースの名前に置き換えます (BZ#1266948)。

IBM Power Systems の nx842 コプロセッサーが破損データを提供しない

以前のリリースでは、IBM Power Systems の nx842 コプロセッサーは無効なデータを出すことがありました。これは、圧縮解除時に生じるデータ破損のバグによって発生していました。今回の更新により、nx842 コプロセッサーに対するすべての圧縮および圧縮解除呼び出しに CRC (cyclic redundancy check; 巡回冗長検査) フラグが含まれるようになりました。これにより、データ整合性チェックのためにすべての圧縮および圧縮解除操作が強制実行され、コプロセッサーから破損データが出されることがなくなりました (BZ#1264905)。

システムが mlx4_en_recover_from_oom() 関数の呼び出し時にクラッシュしない

以前のリリースでは、mlx4_en_recover_from_oom() 関数が mlx4_en ドライブによって負荷の大きい TCP ストリーム下で起動すると、オペレーティングシステムは予期せずに終了しました。今回の更新によりバグは修正され、システムはこのシナリオでクラッシュしなくなりました (BZ#1258136)。

iw が規制情報を正常に表示

以前のリリースでは、iw ユーティリティーは iw reg set コマンドで設定されても規制国を正常に表示しませんでした。今回の更新により、iw コードは Red Hat Enterprise Linux の「Wireless Code」とより詳細に一致するように調整されました。その結果として、iw は規制国情報を予想どおりに表示します (BZ#1324096)。

i40e が起動時に warn_slowpath 警告を発行しない

以前のリリースでは、i40e ドライバーはコードが rx_ring 構造体をクローンしているが新規メモリーの割り当て前にポインターをゼロ化していないため、warn_slowpath 警告を発行していました。今回の更新により、バグは修正され、この警告が表示されなくなりました (BZ#1272833)。

netprio_cgroups モジュールが起動時にマウントされる

以前のリリースでは、systemd/sys/fs/cgroup/ ディレクトリーを読み取り専用でマウントしていたため、初期システムセットアップ時に /sys/fs/cgroup/net_prio/ ディレクトリーがマウントされませんでした。そのため、netprio_cgroups モジュールは起動時にマウントされませんでした。今回の更新により、この問題は修正され、netprio_cgroups モジュールは起動時にマウントされるようになりました (BZ#1262204)。

qlcnic とのボンディングのセットアップに失敗しない

今回の更新の前に、balance-tlb または balance-alb などの特定のボンディングモードは適切に保存されていない MAC アドレスを設定しました。この MAC アドレスはボンドの終了時に復元されず、複製 MAC が残りました。そのため、元の MAC アドレスが存在しないことからボンドの再設定は失敗しました。今回の更新により、ボンディングが削除されても MAC アドレスを適切に復元するコードが改良されました。この結果、qlcnic デバイスとのボンディングが予想どおりに機能するようになりました (BZ#1265058)。

第29章 インストールと起動

ast モジュールを使用するグラフィックカードをインストール時に使用できる

インストールシステムに ast モジュールの依存関係が欠けていたので、このモジュールに依存するグラフィックカードは Red Hat Enterprise Linux 7 のインストール時に使用できませんでしたが、これらの依存関係は追加されました (BZ#1272658)。

無効な、またはサポートされていないパーティションテーブルが含まれるディスク上でもインストールができる

以前のリリースでは、パーティションテーブルが破損しているか、サポートされていないディスク上に Red Hat Enterprise Linux 7 をインストールしようとすると、多くの場合ディスクへの書き込みを試行する際にインストールは失敗していました。無効なパーティションテーブルやサポートされていないパーティションテーブルを削除するサポートが追加され、このようなパーティションテーブルが含まれるディスクでインストールができるようになりました (BZ#1266199)。

ドライバーディスクを読み込むための inst.dd オプションが複数サポートされる

inst.dd オプションをベースにドライバーディスクを読み込むジョブは、一意のオプションを使用してスケジューリングされていました。複数の inst.dd ソースがブートオプションとして指定されると、実際には最後のオプションのみが読み込まれ、適用されていました。今回の更新では、このジョブは一意とは呼ばれなくなり、複数の inst.dd ブートオプションを指定して、異なるソースから複数のドライバー更新イメージを使用してドライバーを提供できるようになりました (BZ#1268792)。

インストール時のサブスクリプションマネージャーの画面にヘルプを追加

インストーラーに内蔵されているヘルプシステムに、サブスクリプションマネージャー画面の情報が追加されました (BZ#1260071)。

初期設定 ユーティリティーが正しく起動される

initial-setup-text サービスと initial-setup-graphical サービスが競合してしまうため、初期設定 ユーティリティーのインターフェースが不正に起動することがありました。これらの 2 つのサービスは initial-setup という 1 つのサービスに統合されました。元のサービスは互換性を保つために依然として利用できますが、デフォルトでは使用されなくなったので、インターフェースが正しく表示されるようになりました (BZ#1249598)。

IPv6 を使用した VNC インストールが正しく機能する

IPv6 アドレスの処理中のエラーが原因で、IPv6 アドレス検索が失敗していました。そのため、IPv6 を使用して VNC 経由でインストールすることができませんでしたが、この問題は修正されました (BZ#1267872)。

インストール時に使用される HyperPAV エイリアスがインストール先のシステムで利用できる

以前のリリースでは、インストール時に有効になる HyperPAV エイリアスがインストール先のシステムで正しく設定されませんでした。HyperPAV の処理が向上され、インストール時に使用される HyperPAV エイリアスがインストール先のシステムで自動的に設定されるようになりました (BZ#1031589)。

カスタムパーティション設定でのエラーが正しく検出される

以前のリリースでは、カスタムパーティション設定でのエラーはユーザーに正しく表示されず、無効なカスタムパーティション設定でインストールが続行できたため予期せぬ動作が発生する原因となっていました。この問題は修正され、カスタムパーティション設定のエラーが正しくユーザーに報告され、インストールを続行する前に調節できるようになりました (BZ#1269195)。

インストール時に設定された静的なルートがインストール先のシステムで自動的に設定される

以前のリリースでは、静的ルートの設定ファイルはインストール環境からインストール先のシステムにコピーされなかったため、インストール中の静的ルートの設定はインストール完了後に失われていました。これらのファイルはコピーされ、インストール中の静的ルートは自動的にインストール先のシステムに設定されるようになりました (BZ#1255801)。

grub2-mkconfig ユーティリティーで特定の grubby 設定変数が受け入れられる

以前のリリースでは、grubby により、特に debug エントリーなどのエントリーが grub 設定ファイルに追加された場合に、grub2-mkconfig は再実行時にこれらのエントリーの認識、複製に失敗していました。今回の更新では、/etc/sysconfig/kernelMAKEDEBUG=yes と指定した場合に grub2-mkconfig は新しい grubby 設定エントリーを複製するようになりました (BZ#1226325)。

GRUB2 がカーネルと redhat-release-* のアップグレード時に正しく設定される

以前のリリースでは、redhat-release-* パッケージとカーネルパッケージが同じ Yum のトランザクションに含まれている場合に、GRUB2 のブートローダーは間違って再設定されたために、GRUB2 は新規インストールされたカーネルの起動に失敗していました。今回の更新では、GRUB2 は正しく再設定され、このような場合に新規カーネルを起動できるようになりました (BZ#1289314)。

Red Hat Enterprise Linux 6 に有効なキックスタートファイルが ksvalidator により正しく認識される

以前のリリースでは、Red Hat Enterprise Linux 6 向けに作成されたキックスタートファイルで --reserved-percent オプションを指定して logvol コマンドを使用している場合に、ksvalidator ユーティリティーでこのキックスタートを検証すると、--reserved-percent は有効なオプションではないとのメッセージが ksvalidator により返されていましたが、この問題は修正されました (BZ#1290244)。

Anaconda が iSCSI デバイスの追加時にクラッシュしない

以前のリリースでは、ストレージ の画面の ディスクの追加 オプションで特定の iSCSI デバイスを追加しようとすると、Anaconda インストーラーは予期せず中断されました。この問題は修正されました (BZ#1255280)。

Anaconda インストーラーで、問題のあるディスクを正しく調整できる

以前のリリースでは、Red Hat Enterprise Linux 7 のインストール時にディスクの選択で問題が発生した場合に、インストールが開始されたからエラーが表示されたためにインストールの失敗の原因となっていました。今回の更新では、正しいタイミングで警告が表示され、インストール続行前にディスクの選択肢を調整できるようになりました (BZ#1265330)。

anaconda-user-help パッケージが正しくアップグレードされる

Red Hat Enterprise Linux 7.1 からアップグレードする際に、anaconda-user-help パッケージが正しくアップグレードされませんでした。この問題は修正され、パッケージが正しくアップグレードされるようになりました (BZ#1275285)。

/boot としてさまざまなパーティションを使用可能

以前のリリースでは、GRUB2 ブートローダーは 8 ビットのノードデバイスのミラー番号のみをサポートしていたため、ミラー番号が 255 以上のデバイスノード上でのブートローダーのインストールに失敗していました。有効な Linux デバイスノードのミラー番号がすべてサポートされるようになったので、/boot パーティションとしてより多種のパーティションが使用できるようになりました (BZ#1279599)。

systemd/ 文字が正しくエスケープされないためにシステムの起動ができなくなる問題が解消

以前のリリースでは、systemd により初期 RAM ディスク (initrd) の LABEL=/ オプションが正しく処理されなかったために、ラベルが見つからず、root パーティションの LABEL に / 文字が含まれている場合にシステムが起動に失敗していました。今回の更新では、/ は上記の状況で正しくエスケープされ、システムが起動に失敗しなくなりました。Red Hat Enterprise Linux の新しいマイナーバージョンに更新すると、カーネルが更新されて initrd が再構築されます。また、dracut -f コマンドを実行しても、initrd を再構築することができます (BZ#1306126)。

/boot パーティションのデフォルトサイズが 1 GB

Red Hat Enterprise Linux 7 の以前のリリースでは、/boot パーティションのデフォルトサイズは 500 MB に設定されていました。これが原因で、システムに複数のカーネルがあり、kernel-debuginfo などの追加のパッケージがインストールされている場合に問題が発生する可能性がありました。このような状況では、/boot パーティションがいっぱいになるか、ほぼいっぱいになるため、システムのアップグレードができなくなり、追加の空き容量を増やすために手動でクリーンアップする必要がありました。
Red Hat Enterprise Linux 7.3 では/boot パーティションのデフォルトのサイズは 1 GB に増え、これらの問題は新規インストールしたシステムでは発生しなくなりました。以前のバージョンをインストールしたシステムで /boot パーティションのリサイズを行わない場合には、依然としてアップグレードの際に手動でクリーンアップする必要があります (BZ#1369837)。

インストール後に biosboot および prepboot がキックスタートファイルに追加される

キックスタートファイルに biosboot または prepboot パーティションの作成指示が含まれている場合には、Blivet モジュールではキックスタートデータに含まれるこの情報が渡されなかったために、キックスタートのインストール後に、新規インストールされたシステム上のキックスタートファイルには biosbootprepboot パーティションを作成するオプションが含まれず、他のシステムで正常に再利用することができませんでした。今回の更新では、キックスタートの出力に予想通りにこれらのオプションが含まれており、他のシステム上でこのキックスタートファイルを使用して biosbootprepboot のパーティションを作成できるようになりました (BZ#1242666)。

os-prober ではブートローダー設定のデバイスマッパーのエイリアス名が使用される

以前のリリースでは、os-prober コンポーネントはブートローダー設定で数字のデバイスマッパーデバイスを使用していました。リブートした後にはインストーラーのディスクイメージがマウントされず、数字が変更されてしまい、ブートエントリーが使用不可になっていました。そのため、1 台のマシンに 2 つの Red Hat Enterprise Linux がインストールされている場合には、1 つの Red Hat Enterprise Linux が起動に失敗していました。この問題を修正するために、os-prober は直接列挙のデバイスマッパー名ではなく、デバイスマッパーのエイリアス名を使用するようになりました。エイリアス名のほうが安定性があるので、上記の状況においてブートエントリーも予想通りに機能するようになりました (BZ#1300262)。

IBM z Systems のインストールで正しいキックスタートファイルが生成される

以前のリリースでは、anaconda-ks.cfg ファイルはシステムのインストール中に生成されるキックスタートファイルで、インストールプロセス中に選択されたものがすべて含まれており、IBM z Systems DASDs にインストール際にはディスクサイズは小数点で表示されていました。ディスクサイズを指定する際には整数しか受け入れられないために、この問題が原因でキックスタートファイルが無効になり、ユーザーはインストールをもう一度行うにはファイルを手動で編集してからしか使用できませんでした。この問題は修正され、IBM z Systems でのインストール中に生成されたキックスタートファイルを以降のインストールでも編集せずに使用できるようになりました (BZ#1257997)。

テキストベースのインストール中に DASDs のフォーマットが正しく機能する

以前のリリースでは、バグにより、テキストベースのインストール中に DASDs が正しくフォーマットされず、フォーマットされなかった DASDs や不正にフォーマットされた DASDs を使用前に手動でフォーマットし直す必要がありました。この問題は修正され、インストーラーはテキストベースのインストールを実行している場合にも DASDs をフォーマットできるようになりました (BZ#1259437)。

初期設定で正しいウィンドのタイトルが表示される

初期設定ツールは、インストール後に初めて再起動すると自動的に表示され、ネットワーク接続やシステム登録ができるものです。以前のリリースでは、このウィンドウタイトルに __main__.py という文字列が誤って表示されていましたが、今回の更新ではこの問題は修正されています (BZ#1267203)。

キックスタートファイルで %packages --nobase --nocore を使用した場合に、インストールが失敗しない

以前のリリースでは、キックスタートファイルに %packages セクションが含まれていて --nobase--nocore のオプションを同時に指定すると、yum-langpacks パッケージがないため、トレースバックメッセージが出てインストールが失敗していました。このパッケージが利用できるようになり、上記の問題は発生しなくなりました (BZ#1271766)。

第30章 カーネル

以前はクラッシュダンプ中に破損していた PT_NOTE エントリーが修正された

一部の HP サーバーでは、カーネルのコードに欠陥があったため、カーネルのクラッシュが発生すると、PT_NOTE エントリーが破損してしまう場合がありました。そのため、カーネルクラッシュダンプユーティリティーの初期化に失敗してしまいました。今回提供されたパッチにより、PT_NOTE エントリーが 1 つの物理ページ内に配置されるように割り当てが調整され、書き込みと読み取りのデータが全く同じになるようになったため、カーネルクラッシュダンプはこのような状況でも想定どおりに機能するようになりました (BZ#1073651)。

メモリーを保存するための slub_debug パラメーターが削除された

以前のリリースでは、slub_debug パラメーターにより、各オブジェクトが追加のメモリーを使用できるようにする SLUB アロケーターのデバッグが有効化されていました。slub_debug カーネルパラメーターが使用されている場合には、128 GB システムで自動設定により kdump キャプチャーカーネルに割り当てられるメモリーは十分ではありませんでした。そのため、kdump init スクリプトのさまざまなタスクが Out Of Memory (OOM) のエラーメッセージで終了し、クラッシュダンプは保存されませんでした。今回のリリースでは、slub_debugパラメーターを削除するためのパッチが提供され、クラッシュダンプはこのようなシナリオで想定どおりにクラッシュダンプを保存するようになりました (BZ#1180246)。

新規 CPU のアタッチ時にデッドロックの原因となっていた競合条件が削除された

以前のリリースでは、新しい CPU がアタッチされると、CPU のホットプラグと stop_two_cpus() 関数の間で競合状態が発生する場合があり、その新しい CPU 上の移行スレッドがすでに active にマークされていても enabled されていない状態の場合にはデッドロックの原因となっていました。今回のリリースではパッチセットが適用され、この競合条件は削除されたため、システムに新しい CPU をアタッチしても、意図したとおりに動作するようになりました (BZ#1252281)。

アップストリームからのヒュージページ移行のパッチでカーネルが更新された

以前のリリースでは、ヒュージページの移行で、カーネルパニックを含む複数のタイプのバグが発生することがありました。今回のリリースでは、アップストリームからのパッチセットがバックポートされ、それらのバグは修正されました。更新されたカーネルは、より安定し、ヒュージページの移行は AMD64 および Intel 64 以外のアーキテクチャーでは自動的に無効化されるようになりました (BZ#1287322)。

UEFI およびセキュアブートを有効化したカーネルのブート

以前のリリースでは、Unified Extensible Firmware Interface (UEFI) を使用している場合にセキュアブートを有効化すると、オペレーティングシステムは 3.10.0-327.3.1.el7.x86_64 以降の全カーネルでブートに失敗していました。今回のリリースではカーネルが 3.10.0-327.4.4.el7 以降のバージョンに更新され、システムは想定どおりにブートするようになりました (BZ#1290441)。

インストール済みの全カーネル向けの initramfs イメージに新規マイクロコードが追加された

以前のリリースでは、microcode_ctl パッケージがインストールされると、インストール後のスクリプトレットにより実行中のカーネル向けのみに initramfs ファイルが作成され、他のインストール済みカーネル向けには作成されませんでした。そのため、ビルドが完了すると、インストールもされていないカーネル向けの initramfs ファイルが作成されていました。今回の修正により、インストール済みの全カーネル向けの initramfs イメージに新たなマイクロコードが追加されるようになりました。その結果、不必要な initramfs ファイルは生成されなくなりました (BZ#1292158)。

GFS2 の競合条件を原因とするカーネルの slab エラーが発生しない

以前のリリースでは、GFS2 ファイルシステムで、ディレクトリーのルックアップに使用されるカーネルの slab メモリーを 2 つのプロセスが同時に解放しようとして、競合状態が発生していました。そのため、両プロセスが同じメモリーを解放すると、カーネルで slab メモリーエラーが発生していました。今回のリリースでは、GFS2 ファイルシステムにパッチが適用されて競合状態が発生しないようになり、1 つのプロセスがすでに解放しているメモリーを別のプロセスが解放を試みることはできなくなりました。メモリーの解放を試みる際に各プロセスは、順番に処理を行うように強制されます。その結果、カーネルの slab エラーは発生しなくなりました (BZ#1276477)。

GFS2 がファイル内の正しい場所にデータを書き込む

以前のリリースでは、GFS2 ファイルシステムは、4 KB を超える場所で O_DIRECT (Direct I/O) を使用して開いたファイルの書き込み時に、開始オフセットの計算を誤っていたため、データがファイル内の間違った場所に書き込まれていました。GFS2 にパッチが適用され、Direct I/O 書き込のファイルオフセットが正しく計算されるようになりました。その結果、GFS2 はファイル内の正しい場所にデータを書き込むようになりました (BZ#1289630)。

kdump のメカニズムでエラーが発生した場合に、ダンプキャプチャーカーネルのメモリーが解放される

以前のリリースでは、,high および ,low の構文を使用してクラッシュカーネルのメモリー割り当てられる場合に、high の部分の予約は正常に処理されましたが、low の部分の予約で kdump のメカニズムが失敗する場合がありました。このエラーは特に大型のシステムで発生することがあり、それには複数の理由がありました。手動で指定したクラッシュカーネルの low メモリーが大き過ぎるため、適切な memblock リージョンが見つかりませんでした。kexec ユーティリティーはダンプキャプチャーカーネルを正常に読み込むことは可能でしたが、low メモリーがなかったため、ダンプキャプチャーカーネルのブートに失敗していました。今回のリリースではパッチセットが適用され、ダンプキャプチャーカーネル用の low メモリーは、high のメモリーが割り当てられた 後で 予約されるようになりました。その結果、kdump メカニズムでエラーが発生した場合には、ダンプキャプチャーカーネルのメモリーが解放されるようになり、ユーザーが適宜対策を取る機会が提供されるようになりました (BZ#1241236)。

kabi-whitelists コンポーネントが利用できない場合でも ksc ユーティリティーはバグの提出で失敗しない

以前の更新により、kabi-whitelists コンポーネントは、 カーネルコンポーネントの kabi-whitelists サブコンポーネントに変更されて、kabi-whitelists コンポーネントの値が有効ではなかったため、ksc ユーティリティーがバグを提出することはできずに、以下のようなエラーメッセージが生成されていました。
Could not create bug.<Fault 32000:"The component value 'kabi-whitelists' is not active">
今回の更新により、カーネルコンポーネントの正しいサブコンポーネントが kabi-whitelist に含まれるようになり、ksc は想定どおりにバグを提出するようになりました (BZ#1328384)。

ksc が、必須の引数を指定せずに実行すると、クラッシュせずにエラーメッセージを返す

以前のリリースでは、必須の引数を指定せずに ksc ツールを実行すると予期せず終了していました。今回の更新により、ksc は、このような状況ではエラーメッセージを返してから、正常に終了するようになりました (BZ#1272348)。

ext4 ファイルシステムが想定どおりにサイズ変更できる

以前のリリースでは、ext4 コードのバグが原因で、ブロックサイズが 1 キロバイトの、32 メガバイト未満の ext4 ファイルシステムはサイズ変更できませんでした。今回の更新で、このバグを修正するためのパッチが適用され、このような ext4 ファイルシステムにおけるサイズ変更が想定どおりにできるようになりました (BZ#1172496)。

qdisc を仮想デバイスにアタッチした時に予期しない動作が発生しない

以前のリリースでは、qdisc を仮想デバイスにアタッチすると、処理が完了する前にパケットが破棄されてしまったり、帯域幅が削減されるなどの予期せぬ動作が発生する場合がありました。今回の更新により、仮想デバイスには、tx_queue_len がデフォルトで 1000 に設定され、それらのデバイスはデバイスフラグで示されるようになりました。仮想デバイスへの qdisc のアタッチは、デフォルトの設定でサポートされるようになり、tx_queue_len=0 を特別に処理する必要はなくなりました (BZ#1152231)。

udev デーモンが dracut よって停止されない

以前のリリースでは、initramfs プロセス中に dracut スクリプトによって、udevadm control コマンドを使用して udev デーモンが停止され、udev デーモンは終了してしまっていましたが、systemd サービスのポリシーはこのデーモンを再起動するようになっていました。特定の状況では、この問題によりシステムがブートできませんでした。今回の更新により、udev デーモンを停止するコードは dracut スクリプトから削除されて、このような問題が発生しないようになりました (BZ#1276983)。

multi-fsb バッファーのロギングが修正された

以前のリリースでは、ブロックサイズが大きな XFS ファイルシステムでディレクトリーを変更するとカーネルパニックが発生し、マルチブロックバッファーのロギングでの問題が原因でサーバーがクラッシュする場合がありました。今回のリリースでは、パッチが適用されて multi-fsb バッファーのロギングが修正され、このシナリオではサーバーはクラッシュしなくなりました (BZ#1356009)。

第 6 世代 インテル Core プロセッサーの統合型グラフィックスを使用するラップトップで、画面のハードロックアップが発生しない

以前のリリースでは、第 6 世代 インテル Core プロセッサーの統合型グラフィックスを使用するラップトップで、以下のような場合に画面のハードロックアップが発生することがありました。
  • モニターの端から端にカーソルを移動した場合
  • 複数のモニター間でカーソルを移動した場合
  • モニター設定のアスペクト比を変更した場合
  • マシンをドッキングまたはドッキング解除した場合
  • モニターを結線または抜線した場合
今回のリリースではこのバグは修正され、このような状況で画面のハードロックアップは発生しなくなりました (BZ#1341633)。

永続メモリーを使用するシステムで複数の問題が修正された

memmap=X!Y カーネルコマンドラインパラメーターを使用して実際の Non-Volatile Dual In-line Memory Modules (NVDIMM) またはエミュレーションされた NVDIMM のいずれかの永続メモリーを使用してシステムでブート中に複数の問題が発生する場合がありました。
永続メモリーをオンラインにすると、pmem デバイスの全ブロック (128 MB) に対して以下のようなメッセージが表示されました。
Built 2 zonelists in Zone order, mobility grouping on.  Total pages: 8126731
Policy zone: Normal
この結果、システムが応答しなくなりました。
また、以下の BUG メッセージが表示されました。
BUG: unable to handle kernel paging request at ffff88007b7eef70
今回の更新でこのバグは修正されました (BZ#1367257)。

SUDO_USER および USER の変数が設定されていない場合に python エラーが表示されない

以前のリリースでは、SUDO_USER または USER の環境変数が設定されていない予備の環境で操作を実行すると、多数の python エラーが表示されていました。今回の更新では、未定義の SUDO_USER および USER 変数が正しく処理されるようになり、エラーは表示されなくなりました (BZ#1312057)。

CIFS 匿名認証が失敗しない

以前のリリースでは、cifs モジュールが匿名認証のための値を間違って設定していました。このバグは、samba ファイルサーバーに加えられた変更が原因でした。そのために匿名認証が失敗していました。今回の更新により、クライアントの動作が変更され、正しい auth 値が設定されるようになりました。その結果、CIFS の匿名認証は正常に操作するようになりました (BZ#1361407)。

第31章 ネットワーク

HTTP ホスト名が TLS セッションホスト名と一致する必要のあるサーバーと libcurl が通信できる

これまではケースによっては、Network Security Services (NSS) が異なるホスト名のサーバーに間違って TLS セッションを再利用していました。このため、HTTPS サーバーは、HTTP error 400 (Bad Request) を返すことがありました。libcurl ライブラリーのソースコードにアップストリームパッチが適用され、HTTP ホスト名が TLS セッションホスト名に一致しないケースで NSS が TLS セッションを再利用しないようにしました。この結果、libcurl は、HTTP ホスト名が TLS セッションホスト名と一致する必要のあるサーバーと正常に通信できるようになりました (BZ#1269855)。

curl がユーザー指定の公開キーを必要としない

これまでは、curl ユーティリティーはペアリングされている秘密および公開 SSH キーの両方をユーザー認証に必要としていました。このため、scp ユーティリティーではよくあるように、ユーザーが秘密 SSH キーのみを提供すると、curl はユーザーの認証に失敗していました。SSH ユーザー認証を改善するためにアップストリームパッチが適用され、curl は秘密 SSH キーのみが提供された場合でも、正常にユーザー認証ができるようになりました (BZ#1275769)。

libcurl が長いユーザー名とパスワードを切り捨てない

これまでは、libcurl ライブラリーの URL パーサーは長いユーザー名とパスワードを任意でサポートしていませんでした。このため、255 文字を超えるユーザー名とパスワードは切り詰められていました。libcurl ソースコードにアップストリームパッチが適用されたことで、libcurl は URL 内の長いユーザー名とパスワードを正常に処理するようになりました (BZ#1260178)。

PycURLpycurl.POSTFIELDS オプションが正常に機能する

これまでは、PycURL インターフェースは libcurl API を違反していました。これは、送信が完了するまで CURLOPT_POSTFIELDS オプションが渡す文字列が有効である必要があります。このため、pycurl.POSTFIELDS オプションが使用されると、libcurl がライフタイムが終わっている文字列にアクセスし、未定義の動作につながっていました。PycURL ソースコードにアップストリームパッチが適用されたことで、libcurlCURLOPT_POSTFIELDS オプションに渡される文字列の有効期間が長くなり、上記の問題が発生しなくなりました (BZ#1153321)。

sctp_accept() がタイムアウトイベント中に呼び出されてもデッドロックが発生しない

これまでは、4 方向のハンドシェイク後のハートビートタイムアウトイベント中にユーザーが sctp_accept() を呼び出すと、デッドロックが発生することがありました。今回の更新で assoc->base.sk ポインターが与えられ、SCTP が正常にリスニングしているソケットをロック、アンロックするようになりました (BZ#1270586)。

スタックサイズを無制限に設定すると、メモリー不足のメッセージが表示されない

これまでは、スタックサイズを無制限に設定した状態で ftpput コマンドを使用すると、sysconf(_SC_ARG_MAX) 関数が -1 を返し、これによりmalloc() 関数が 0 引数で呼び出され、Out of memory メッセージが表示されていました。今回の更新で基礎的なソースコードが改善され、妥当な最小限のメモリーが割り当てられるようになりました。この結果、スタックサイズが無制限に設定されても Out of memory メッセージが表示されないようになりました (BZ#1304064)。

NetworkManager が完全修飾ドメイン名 (DHCP_HOSTNAME) を dhclient に提供しない

これまでは、NetworkManager は常に DHCP リクエスト内でマシンホスト名のホスト部分のみを送信していました。このため、完全修飾ドメイン名 (FQDN) の送信を強制することができませんでした。今回の更新で、ユーザーは nmcli を使って DHCP リクエスト内で FQDN を送信するよう設定でき、ipv4.dhcp-fqdn を希望する FQDN に設定し、ipv4.dhcp-send-hostname が有効になるようになりました。設定ファイル内では、FQDN は DHCP_FQDN 変数で指定できます (BZ#1255507)。

第32章 セキュリティー

ftp_home_dir SELinux ブール値を削除

以前のリリースでは、ユーザーは ftp_home_dir SELinux ブール値が off に設定されている場合でもホームディレクトリーにログインできませんでした。今回の更新により、ftp_home_dir ブール値は削除されました (BZ#1097775)。

第33章 サーバーとサービス

namedサービスが全インターフェースをバインド

今回の更新では BIND は、新規の IP アドレスがインターフェースに追加されるような状況に対応できるようになりました。設定で新規アドレスが許可されている場合には BIND は自動的にそのインターフェースをリッスンし始めます (BZ#1294506)。

パスワードのハッシュを生成する tomcat-digest の修正

tomcat-digest ユーティリティーを使用して、Tomcat のパスワードの SHA ハッシュを作成する場合に、コマンドは ClassNotFoundException Java の例外で予期せず中断されていました。この問題を修正するパッチが提供され、tomcat-digest は予想通りにパスワードのハッシュを生成するようになりました (BZ#1240279)。

Tomcat が新しい conf.d ディレクトリー内の設定ファイルで shell の拡張機能を使用できる

以前のリリースでは、/etc/sysconfig/tomcat および /etc/tomcat/tomcat.conf ファイルは shell の拡張機能なしに読み込まれてしまい、アプリケーションが予期せず終了する原因となっていました。今回の更新では、/etc/tomcat/conf.d という新しい設定ディレクトリーが追加され、Tomcat の設定ファイルの shell 拡張機能を使用するメカニズムが提供されました。この新しいディレクトリーにファイルを配置することで shell 変数が追加できるようになりました (BZ#1221896)。

tomcat-jsvc サービスユニットが修正され、2 つの独立した Tomcat サーバーが作成される

複数の独立した Tomcat サーバーを起動しようとすると、jsvc サービスがエラーを返すことが原因で 2 つ目のサーバーは起動に失敗していました。今回の更新では、jsvc systemd サービスユニットと、TOMCAT_USER 変数の処理が修正されました (BZ#1201409)。

ファイルディスクリプターの漏えいが原因で dbus-daemon サービスの応答がなくなる問題が解決

以前のリリースでは、dbus-daemon サービスは、短期間に複数のメッセージを受信した場合にファイルディスクリプターが含まれるこれらのメッセージを誤って処理していました。そのため、dbus-daemon はファイルディスクリプターを漏えいしまい、応答がなくなりました。dbus-daemon に含まれる異なるメッセージからの複数のファイルディスクリプターが正しく処理されるように修正が適用されたので、dbus-daemon は正しくファイルディスクリプターを終了して渡すようになり、上記の状況でも応答がなくなることはありません (BZ#1325870)。

tomcat-admin-webapps パッケージの設定ファイルとしてマークされるように更新が追加された

以前のリリースでは tomcat-admin-webapps web.xml ファイルは設定ファイルとしてマークされていませんでした。そのため、tomcat-admin-webapps パッケージをアップグレードすると、/usr/share/tomcat/webapps/host-manager/WEB-INF/web.xml/usr/share/tomcat/webapps/manager/WEB-INF/web.xml ファイルを上書きし、カスタムのユーザー設定が自動的に削除される原因となっていました。今回の更新では、これらのファイルを分類する修正が追加され、この問題を回避できるようになりました (BZ#1208402)。

PDF ファイルを PNG に変換する際に Ghostcript がハングしない

以前のリリースでは、PDF ファイルを PNG ファイルに変換すると応答がなくなりました。このバグは修正され、変換の所要時間は、変換される PDF のファイルサイズに比例するようになりました (BZ#1302121)。

named-chroot サービスが正しく起動する

バグの再発により -t /var/named/chroot オプションが named-chroot.service ファイルから省略されていました。そのため、/etc/named.conf ファイルがない場合には named-chroot サービスは起動に失敗していました。さらに、 /etc//var/named/chroot/etc/ に異なる named.conf ファイルが存在する場合には、named-checkconf ユーティリティーはサービスの起動時に変更された root ディレクトリーのファイルを誤ってチェックしていました。今回の更新では、このサービスファイルにオプションが追加され、named-chroot サービスは正しく機能するようになりました (BZ#1278082)。

AT-SPI2 ドライバーが brltty に追加された

Assistive Technology Service Provider Interface driver version 2 (AT-SPI2) が brltty デーモンに追加されました。たとえば、AT-SPI2 により、GNOME Accessibility Toolkit と brltty を併用できるようになりました (BZ#1324672)。

tuned-adm verify に新しい --ignore-missing のオプションが追加された

--ignore-missing のコマンドラインオプションが tuned-adm verify コマンドに追加されました。このコマンドは、Tuned プロファイルが正常に適用されたかどうか検証して、要求された Tuned プロファイルと現在のシステム設定との差異を表示します。--ignore-missing パラメーターを指定すると tuned-adm verify はこのシステムでサポートされていない機能を警告なしにスキップするようになり、上記のエラーを回避できます (BZ#1243807)。

Tuned 向けの新しい modules プラグイン

modules プラグインでは、Tuned が Tuned プロファイルの設定で指定したパラメーターを使用してカーネルモジュールを読み込みおよび再読み込みできるようになります (BZ#1249618)。

inotify ユーザーウォッチの数が 65536 件に増加

Red Hat Enterprise Linux Atomic ホストでより多くのポッド数を許容できるように、inotify のユーザーウォッチを 8 倍の 65536 に増やしました (BZ#1322001)。

リアルタイムの Tune プロファイルのタイマーの移行が無効

以前のリリースでは tuned-profiles-realtime パッケージに含まれるリアルタイムの Tuned プロファイルにより、kernel.timer_migration 変数の値が 1 に設定されるため、リアルタイムの適用に悪影響を与えていました。今回の更新では、リアルタイムプロファイルでのタイマーの移行は無効になっています (BZ#1323283)。

kernel ブートパラメーターに rcu-nocbs が設定されていないという問題が解決

以前のリリースでは rcu_nocbs のカーネルパラメーターは、 realtime-virtual-hostrealtime-virtual-guest の tuned プロファイルに設定されていませんでした。公開の更新では rcu-nocbs は予想どおりに設定されるようになりました (BZ#1334479)。

リアルタイムのスケジューリングの使用時間に対するグローバルの制約がリアルタイム Tuned プロファイルから削除された

今回の更新以前は、tuned-profiles-realtime パッケージに含まれるリアルタイムプロファイルの kernel.sched_rt_runtime_us sysctl 変数に対する Tuned ユーティリティーの設定が間違っていました。そのため、仮想マシンのインスタンスを作成すると、スケジューリング時間が原因でエラーが発生していました。kernel.sched_rt_runtime_us の値は -1 (制限なし) に設定されたため、上記の問題が発生しなくなりました (BZ#1346715)。

sapconf が NTP 設定を正しく検出

以前のリリースでは、sapconf ユーティリティーはホストシステムがネットワークタイムプロトコル (NTP) を使用するように設定されているかどうかを確認しませんでした。そのため、NTP が設定されている場合でも sapconf は以下のエラーを表示していました。
3: NTP Service should be configured and started
今回の更新では、sapconf は NTP の設定の有無を正しくチェックして、上記の問題が発生しなくなりました (BZ#1228550)。

sapconf がデフォルトのパッケージを正しく表示

今回の更新以前は、sapconf ユーティリティーが repoquery ユーティリティーに不正なパラメーターを渡すことが原因で、sapconf がパッケージグループに含まれるデフォルトのパッケージを表示できませんでした。この問題は修正され、sapconf は予想どおりにデフォルトのパッケージを表示するようになりました (BZ#1235608)。

logrotate ユーティリティーが /var/lib/logrotate/ ディレクトリーにステータスを保存

以前のリリースでは logrotate ユーティリティーはステータスを /var/lib/logrotate.status ファイルに保存していたため、/var/lib が読み取り専用のファイルシステムであるシステムで logrotate が機能しませんでした。今回の更新では、ステータスのファイルが新しい /var/lib/logrotate/ ディレクトリーに移動され、書き込みパーミッションでマウントできるようになりました。この結果、/var/lib が読み取り専用のファイルシステムであるシステムでも logrotate が機能するようになりました (BZ#1272236)。

Kerberos 認証が設定されている場合に cups を使用して SMB プリンターに出力するサポートが追加された

今回の更新では、cups パッケージにより、/usr/libexec/samba/cups_backend_smb ファイルを参照する /usr/lib/cups/backend/smb のシンボリックリンクが作成されるようになりました。このシンボリックリンクは、smb_krb5_wrapper ユーティリティーが Kerberos 認証で Server Message Block (SMB) 共有プリンターに出力する際に使用されます (BZ#1302055)。

新規インストールした tomcat パッケージで /sbin/nologin を参照する正しいシェル が設定される

以前のリリースでは、/bin/nologin が存在しないにも拘らず、インストール後のスクリプトにより Tomcat shell は bin/nologin を参照していたため、Tomcat ユーザーとしてログイン使用しようとした場合にログインアクセスが拒否されても役立つメッセージが表示されませんでした。この問題は修正され、インストール後のスクリプトにより Tomcat shell が正しく /sbin/nologin を参照するように設定されるようになりました (BZ#1277197)。

第34章 ストレージ

/dev/disk/by-path/ が複数の NPIV パスに対応

以前のリリースでは、仮想ホストバスアダプター (HBA) が単一の物理 HBA 上に作成された場合には、/dev/disk/by-path/ ディレクトリーで作成されるデバイスへのリンクは、1 パスあたり 1 リンクではなく、1 つのみでした。そのため、ファイバーチャネルの N_Port ID Virtualization (NPIV) を使用して仮想 HBA で virsh プールを作成すると、正常に機能しませんでした。今回の更新により、/dev/disk/by-path/ 内にシンボリックリンクが正しく作成されるようになりました、物理ファイバーチャネルの N_Port を通して接続される論理ユニット番号 (LUN) 用に udev によって作成される /dev/disk/by-path/ 内のシンボリックリンクは変更されなくなりました (BZ#1266934)。

シンプロビジョニングを使用する場合に、シンプールが最大容量に達しても、バッファーされた書き込みは失われない

以前のリリースでは、サイズ変更の操作を実行すると、自動化されている場合でも、サイズ変更の実行前に、未処理の I/O をストレージデバイスにフラッシュしようと試みていました。シンプールには容量がなかったため、最初に I/O 操作でエラーが発生してからでないと、サイズ拡張を正常に行うことはできませんでした。その結果、シンプールが最大容量に達している場合には、この操作と同時に容量が拡張されても、一部の書き込みデータが損失されてしまう可能性がありました。今回の更新では、このような状況でも、バッファーされた書き込みはシンプールから失われなくなりました (BZ#1274676)。

IBM Power Systems のリトルエンディアン版で RAID 移行が正しく機能

以前のリリースでは、IBM Power Systems の Little Endian 版でストライプのサイズを指定せずに raid-migrate コマンドを実行すると、iprconfig ユーティリティーが RAID の現在のストライプサイズにフォールバックして、正しいエンディアンネス変換を実行せずにアダプターからロードしていたため、エラーが発生していました。今回の更新でその原因となっていたソースコードが変更され、このバグは修正されたので、RAID の移行は IBM Power Systems の Little Endian 版でも正常に機能するようになりました (BZ#1297921)。

multipathd デーモンが、使用できない暗黙的 ALUA のゴーストパスを再開しない

以前のリリースでは、multipathd デーモンにより、使用することのできない、GHOST 状態の暗黙的 ALUA デバイスが自動的に再開されていました。そのようなデバイスしか存在しない場合には、I/O 操作が失敗するのではなく、マルチパスは使用できないデバイスに対して継続的に再試行していました。今回の修正により、multipathd は使用不可能な暗黙的 ALUA のゴーストパスを再開しなくなりました。その結果、マルチパスは、使用できない暗黙的 ALUA パスしかない場合に、I/O 操作を継続的に再試行しなくなりました (BZ#1291406)。

マルチパスがマルチパスデバイス内に 0 サイズのスタンバイパスを追加

一部のアレイでは、スタンバイポート上のサイズがレポートされないため、デバイスのサイズが 0 となります。以前のリリースでは、マルチパスは 0 サイズのデバイスをマルチパスデバイスに追加することを許可していませんでした。このため、マルチパスは 0 サイズのスタンバイパスをマルチパスデバイスに追加しませんでした。今回の更新により、マルチパスはデバイスへの 0 サイズのパスの追加を許可するようになりました (BZ#1356651)。

マルチパスで、別のプログラムによって作成された dm テーブルタイプが multipath のデバイスが変更されない

以前のリリースでは、マルチパスツールは、テーブルタイプが multipath の dm デバイスをすべて管理する役割を果すことを前提としていました。今回の更新では、マルチパスツールは、dm UUID が mpath- (マルチパスによって作成される全デバイスに使用される UUID プレフィックス) で始まるデバイスのみで機能するようになりました。その結果、マルチパスは、他のプログラムによって作成された dm テーブルタイプが multipath のデバイスを変更しないようになりました (BZ#1241528)。

multipathd デーモンが、マルチパスデバイスの新規作成時に使用可能なパスがない場合にそのデバイスにパスを追加することを許可

以前のリリースでは、multipathd が新規マルチパスデバイスを作成する際に、使用可能なパスがないマルチパスデバイスが作成された場合でも、そのデバイスの udev 変更イベントが確認されるまでは、パスを追加できませんでした。使用可能なパスなしにマルチパスデバイスが作成された場合には、udev デバイスマネージャーは、そのデバイス上の情報の取得を試みてハングしていまい、タイムアウトになるまではアクティブなパスを追加できませんでした。今回の修正により、multipathd はマルチパスデバイスの新規作成時にそのデバイスで使用可能なパスがない場合に、使用可能なパスを追加できるようになりました。これにより、使用可能なパスがなかった新規デバイスに使用可能なパスが直ちに追加され、udev はハングしなくなりました (BZ#1350931、BZ#1351430)。

起動時に回復可能なエラーが発生した場合に、multipathd デーモンが終了しない

以前のリリースでは、起動中に回復可能なエラーが発生すると、multipathd はリカバリーを実行する代わりに終了していました。今回の修正により、multipathd は、回復可能なエラーが発生した場合でも稼働を継続し、終了しないようになりました (BZ#1368501)。

multipathd デーモンが、削除に失敗した場合に ok ではなく fail で応答する

以前のリリースでは、multipathd デーモンは、パスまたはマップの削除が失敗しても、エラーのステータスを維持しなかったため、削除に失敗した場合に ok で応答していました。今回の修正により、multipathd は、削除に失敗した場合に fail で応答するようになりました (BZ#1272620)。

デバイスが追加された後に削除され uid_attribute が変わっても、Multipath はクラッシュしない

以前のリリースでは、マルチパスデバイスに追加された後に、パスの WWID が変わると、multipathd デーモンは新規デバイスを作成していました。これにより、パスは両方のデバイスに入ってしまうため、マルチパスデバイスの作成後にユーザーが uid_attribute を変更してからデバイスを削除すると、multipathd は解放されたメモリーへのアクセスを試みてクラッシュしてしまうことがありました。今回の修正により、multipathd はパスがマルチパスデバイスで使用中の場合には WWID を変更しなくなりました。その結果、multipathd はこのシナリオではクラッシュしなくなりました (BZ#1323429)。

マルチパスでデバイスの名前変更中にエラーが発生しない

以前のリリースでは、マルチパスは、デバイスの名前を変更する関数で、初期化されていない変数を使用していました。そのため、変数は無効な値に設定されて、マルチパスはデバイスの名前変更中にエラーが発生することがありました。今回の修正により、マルチパスは、デバイスの名前変更時にこの変数を初期化するようになりました (BZ#1363830)。

Systemd が multipath.pid ファイルが読み取り不可能と報告しない

以前のリリースでは、systemd は multipathd コマンドが返された後に multipathd.pid ファイルを読み取りできないと報告していました。これは、デーモンをフォークした直後に multipathd コマンドが返されて、デーモンは設定が完了するまで pid ファイルに書き込みを行わないことが原因でした。今回の修正により、multipathd コマンドは、multipathd デーモンが pid ファイルへの書き込みを完了するまで待つか、処理が返されるまで 3 秒経過するのを待つようになりました。またデーモンは、起動の初期段階で pid ファイルに書き込みを行うようになりました。その結果、systemdmultipath.pid ファイルが読み取り可能でないことを報告しなくなりました (BZ#1253913)。

マルチパスは、ブロックデバイスに属さないパスに対して、パスが not a valid argument (有効な引数ではない) というメッセージを表示

以前のリリースでは、有効なブロックデバイス以外へのパスを使用すると、マルチパスは requires a path to check という、あまり役に立たないメッセージを表示していました。これは、マルチパスが、ブロックデバイスパスと major:minor 番号以外は、マルチパスのエイリアスと判断していたためでした。今回の修正により、マルチパスは、ブロックデバイス以外への完全修飾パスをマルチパスのエイリアスとして扱わなくなりました。その結果、マルチパスはブロックデバイスに属さないパスに対してパスが not a valid argument というメッセージを表示するようになりました (BZ#1319853)。

マルチパスデバイスの /dev/mapper エントリーがすべて udev によって作成されたシンボリックリンクになる

以前のリリースでは、/dev/mapper エントリーはシンボリックリンク (symlink) の場合と、ブロックデバイスの場合がありました。これは、マルチパスが、udev による /dev/mapper/ symlink の作成を適切に待たなかったことが原因でした。今回の修正により、マルチパスは各トランザクションの後に、 udev を待つようになったため、マルチパスデバイスの /dev/mapper エントリーはすべて udev によって作成された symlink となりました (BZ#1255885)。

マルチパスが新規デバイス上にマルチパスデバイスを作成するとすぐに、それらの新規デバイスはマルチパスによって要求される

以前のリリースでは、マルチパスによって初めてデバイスが確認された時には、udev ルール内では、マルチパスによって要求されませんでした。これは、マルチパスが、uevent を処理する際に、WWID が /etc/multipath/wwids ファイルになければ、udev のデバイスは要求しないのが理由です。今回の修正により、マルチパスが新規デバイスの WWIDを wwids ファイルに追加すると、そのデバイス上で変更イベントが発行されて、マルチパスは udev ルール内でデバイスを要求することができるようになりました。マルチパスが新規デバイス上にマルチパスデバイスを作成するとすぐに、マルチパスがそのデバイスを要求するようになりました (BZ#1299600)。

一部のデバイスでエラーが発生しても、マルチパスによる他のデバイスの作成が妨げられない

以前のリリースでは、関係のないデバイスのエラーによって、multipath コマンドが作業デバイスの設定に失敗する場合がありました。これは、作成しようとしているデバイスの情報の取得に失敗した場合には、操作が早く終了してしまうことが原因でした。今回の修正により、マルチパスは、いずれかのデバイスの情報の取得に失敗しても早く終了しなくなり、デバイス上でエラーが発生しても、マルチパスによる他のデバイスの作成は妨げられなくなりました (BZ#1313324)。

マルチパスが、 uevent メッセージを見落とさなくなり、適切なデバイスをすべて追加する

以前のリリースでは、マルチパスデバイスは、すべてのパスデバイスを正しく追加しませんでした。uevent ソケットのサイズ変更のサポートを実装してコンパイルするための libudev 関数の有無を正しく確認していなかったことが原因でした。そのため、マルチパスは、uevent ソケットのサイズ変更をせず、オーバーフローしてしまう可能性があったため、必要なイベントを見落としていました。今回の修正により、マルチパスは適切な libudev 関数の有無を確認し、uevent ソケットのサイズ変更に対するサポートを実装してコンパイルするようになった結果、マルチパスは uevent メッセージを見落とすことはなくなり、適切なデバイスをすべて追加するようになりました (BZ#1296979)。

kpartx ツールが、デバイスが作成される前に値を返さない

以前のリリースでは、kpartx ツールはデフォルトで、デバイスの作成が完了するのを待たずに値を返していました。これは、kpartx が値を返した直後にデバイスが終了すると予想していたユーザーにとって、混乱の原因となっていました。今回の更新により、kpartx はデフォルトでデバイスの作成が完了するのを待ってから値を返すようになりました (BZ#1299648)。

1 つのデバイスをサイズ変更するコールが複数回実行された場合に、各コールがデバイスのサイズ変更を試みて、結果を正しく報告する

以前のリリースでは、multipathd がデバイスのサイズ変更に失敗した場合でも、デバイスのサイズが新たに変更されたという認識が変わりませんでした。その後にデバイスのサイズ変更のコールを実行しても、multipathd は実行すべき操作は残っていないと判断するため、操作が成功したというメッセージが返され、デバイスのサイズ変更は行われませんでした。今回の修正により、サイズ変更が失敗した場合には、multipathd がデバイスのサイズを元のサイズにリセットするようになったため、サイズ変更のコールを複数回実行しても、各コールでサイズ変更の操作が試みられ、その結果が正しく報告されるようになりました (BZ#1333492)。

マルチパスは、サイズが 2 TB を超える DOS パーティションで、4 k のブロックデバイス向けのパーティションデバイスを正しく作成する

以前のリリースでは、2 TB を超える DOS パーティションでは、kpartx ツールにより、サイズが 4 k のブロックデバイス向けに誤ったサイズのパーティションが作成されていました。これは、kpartx がセクター数を保管して、乗数がネイティブのセクターサイズを 32 ビットの符号なし整数で 512 バイトのセクターに変換する必要があったことが理由です。このために 2 つの数字を掛けあわせた値が 2^32 を超える場合には、ロールオーバーされていました。今回の修正により、マルチパスは、セクターサイズの乗数の変数に 64 ビットの符号なし整数を使用するようになったため、これらが掛け合わされても、結果はロールオーバーされなくなりました。その結果、マルチパスはパーティションを正しく作成するようになりました (BZ#1311463)。

マルチパスは、使用中のパーティションを削除せずに、パスが再度追加された場合には復元する

以前のリリースでは、デバイスへの全パスが失われた場合には、マルチパスが使用していないパーティションをすべて削除してしまい、それらを復元することはありませんでした。この問題は、マルチパスがデバイスの削除を試みると、使用中のパーティションがある場合でも削除してしまい、一旦削除されるとそれらのパーティションを復元することがなかったために発生していました。今回の修正により、マルチパスは削除を試みる前にパーティションが使用中かどうかを確認し、削除が失敗した場合には、パスが再度追加された際にそれらのパーティションを復元するようになりました (BZ#1292599)

kpartx ツールは、新規デバイスの名前が既存のデバイスの名前と一致している場合でも、既存のパーティションを上書きしない

以前のリリースでは、新しく作成しようとしているデバイスの名前が既存のデバイス名と一致している場合には、kpartx は警告なしに既存のパーティションデバイスを新しい名前で上書きしていました。そのため、名前の競合が発生した場合には、kpartx デバイスのポイント先が突然変更されてしまいました。今回の修正により、kpartx は UUID を確認して、別のデバイス全体に属するパーティションデバイスを上書きしないようになりました。名前の競合が発生した場合には、既存のデバイスのポイント先を変更してしまう代わりに、kpartx でエラーメッセージが表示されて操作が失敗します (BZ#1283750)。

mpathconf --allow コマンドは、ノードがブートするために許可されている正しいデバイスを指定する設定ファイルを作成する

以前のリリースでは、特定の環境で mpathconf --allow コマンドによりノードがブートすることができない設定ファイルが作成されていました。この問題は、mpathconf --allow によって設定ファイルの blacklist_exceptions セクションから既存のエントリーが削除されてしまったために、一部の許可されているデバイスがブラックリストされてしまう場合があるために発生していました。またこのコマンドにより、blacklist_exceptions セクションに重複した WWID のエントリーが出力されていました。今回の修正により、mpathconf --allow は既存の blacklist_exceptions エントリーを削除しなくなり、また WWID エントリーは 1 回しか出力されないようになりました。このコマンドは常に、ノードをブートするために許可されている正しいデバイスを指定して設定ファイルを作成するようになりました (BZ#1288660)。

マルチパスデバイスが LVM 物理ボリュームとして正しく識別される

以前のリリースでは、LVMがマルチパス PV の認識に失敗することがありました。これは、multipathd が、作成の uevent を受信するのと同時に、デバイスをリロードする場合があったためです。LVM の udev ルールでは、現在サスペンド状態のデバイスの処理は許可されませんが、この処理はリロード中に行われます。今回の修正により、multipathd は作成の uevent を受信するまでデバイスのリロードを遅らせるようになりました (BZ#1304687)。

multipathd デーモンは、パスが実際には down の場合に up と出力しない

以前のリリースでは、multipathd デーモンは、パスが実際には down の状態の場合に up と出力する場合がありました。multipathd がパスチェッカーを呼び出す前にパスが down であることを検出した場合でも、最後のパスチェッカーのメッセージを消去せず、それを出力してしまっていました。今回の修正により、multipathd は、チェッカーが実行される前にパスが down 状態と確認された場合には、パスチェッカーのメッセージを消去するようになりました (BZ#1280524)。

multipathd デバイスの作成は、udev がパーティションデバイスを同時に処理しても操作が失敗しない

以前のリリースでは、multipathd は、udev がパスデバイスに対するロックを取得している場合には、マルチパスデバイスを作成できませんでした。この問題は、multipathd がマルチパスデバイスの作成中にパスデバイスに対する排他的ロックを取得し、udev がパーティションデバイスの処理中にそのパスデバイスに対する共有ロックを取得するために発生していました。今回の修正により、multipathd は共有ロックも取得するようになったので、udev と同時に実行できるようになりました (BZ#1347769)。

systemd は依存関係が不足しているという警告のメッセージを出力しない

以前のリリースでは、systemd により、依存関係の不足についての警告のメッセージが出力されていました。multipathd systemd サービスユニットファイルには、 initramfs では利用できない別のユニットファイルが必要でした。今回の修正により、multipathd ユニットファイルは、blk-availability ユニットファイルがなくても動作できるように、Requires の代わりに Wants を使用するようになりました (BZ#1269293)。

kpartx によって生成されるデバイスには、実際のパーティション番号と同じパーティション番号が付けられる

以前のリリースでは、kpartx によって生成されるデバイスのパーティション番号が実際のパーティション番号と一致しませんでした。これは、kpartx がセクターのない sun のパーティションを数に入れていなかったのが原因でした。今回の修正により、kpartx は、パーティション番号を決定する際に、セクターのない sun のパーティションを数に入れるようになり、kpartx によって生成されたデバイスには、実際のパーティション番号と同じパーティション番号が付けられるようになりました (BZ#1241774)。

MTX は大型のテープストレージアレイでも操作が失敗しない

以前のリリースでは、大型のテープストレージドライブアレイを使用して構成されているシステムでは、MTX ツールでエラーが発生して操作が失敗していました。そのため、そのテープストレージを管理することができませんでした。今回の更新により、大型のテープストレージアレイのサポートが改善され、MTX は大型のテープストレージを想定どおりに管理できるようになりました (BZ#1298647)。

dmraid と他の device-mapper サブシステム間で干渉が発生しない

以前のリリースでは、dmraid パッケージが間違ったテストオプションでコンパイルされていたため、dmraid ツールは意図せずに、LVM などの 他の device-mapper サブシステムを含む全デバイスをスキャンしてしまい、それらの別のサブシステムに干渉が発生し、ブート時にさまざまなエラーが発生する場合がありました。今回の更新により、dmraid でテストモードが無効となり、ブート時に全デバイスがスキャンされないようになりました。その結果、dmraid とその他の device-mapper サブシステム間の干渉は発生しなくなりました (BZ#1348289)。

dmraid のアンインストール後に、systemddmraid-activation.service で不足しているユニットについての警告を表示しない

今回の更新の以前は、dmraid パッケージをアンインストールした後でも、/etc/systemd/system/sysinit.target.wants/dmraid-activation.service のシンボリックリンクがシステムに残っていたため、systemd サービスによって dmraid-activation.service で不足しているユニットについての警告が表示されていました。今回の更新により、このシンボリックリンクは dmraid のアンインストール時に削除されるようになりました (BZ#1315644)。

mdadm が再形成中に IMSM RAID アレイの停止に失敗しない

以前のリリースでは、バグが原因で、再形成中に Intel Matrix Storage Manager (IMSM) RAID アレイの停止を試みるとエラーが発生していました。このバグを修正するために問題の原因となっていたソースコードが変更され、mdadm ユーティリティーは、このような状況でアレイを適切に停止するようになりました (BZ#1312837)。

mdadm を使用して、I/O 操作の実行中に機能低下したアレイにホットスペアを割り当ててもエラーが発生しない

以前のリリースでは、MD アレイ上で I/O 操作の実行中に機能低下したアレイにホットスペアを割り当てると操作が失敗し、mdadm ユーティリティーが以下のようなエラーメッセージを返していました。
mdadm: /dev/md1 has failed so using --add cannot work and might destroy
mdadm: data on /dev/sdd1. You should stop the array and re-assemble it
このバグを修正するためのパッチが適用され、このような状況で機能低下したアレイにホットスペアを追加しても、操作が想定どおりに完了するようになりました (BZ#1300579)。

mdadm によって作成された機能低下した RAID1 アレイがリブート後に非アクティブ状態で表示されない

以前のリリースでは、mdadm ユーティリティーを使用して作成された、機能低下した RAID1 アレイが、システムの再起動後に非アクティブな RAID0 アレイとして表示される場合がありました。今回の更新により、このようなアレイはシステムの再起動後に正しく起動されるようになりました (BZ#1290494)。

RAID0 アレイに対してビットマップを含む RAID1 アレイの再形成を試みても、RAID1 アレイは破損しない

mdadm ツールを使用してビットマップを含む RAID1 アレイを RAID0 アレイに対して再形成する操作はサポートされていません。以前のリリースでは、ビットマップを含む RAID1 アレイを RAID0 アレイに対して再形成を試みると操作は拒否されましたが、RAID1 アレイが破損していました。今回の更新により、再形成の操作は拒否されますが、RAID1 アレイは想定どおりに機能し続けるようになりました. (BZ#1174622)。

mdadm で再形成の操作を実行している IMSM RAID アレイで競合状態が発生しない

以前のリリースでは、mdadm の再形成操作を実行する Intel Matrix Storage Manager (IMSM) RAID アレイでは、競合状態が発生した場合には、最初の操作が完了する前に、同じアレイで 2 番目の再形成の操作を起動することが可能だったため、最初の再形成の操作が完了しない場合がありました。今回の更新により、このような競合状態は発生しなくなり、1 回目の再形成操作が完了するまで 2 回目の操作は開始できないようになりました (BZ#1347762)。

mdadm が 15 文字を超えるデバイス名を使用するアレイをアセンブルできる

以前のリリースでは、15 文字以上のデバイス名が付いたデバイスを含むアレイのアセンブルを試みると、セグメンテーション違反が発生して、mdadm ユーティリティーは予期せずに終了することがありました。今回の更新によりアレイが 15 文字を超えるデバイス名を使用している場合でも、mdadm はアレイを正しくアセンブルするようになりました (BZ#1347749)。

第35章 仮想化

SMEP および SMAP のビットがマスクされ、第 2 の仮想 CPU が有効になる

以前のリリースでは、ホストで Supervisor Mode Execution Protection (SMEP) または Supervisor Mode Access Protection (SMAP) をサポートする Extended Page Table (EPT) を無効にすると、ゲストは 1 つの仮想 CPU に制限されていました。今回の更新により、必要な場合にホスト側で SMEP および SMAP のビットがマスクされるようになったため、第 2 の仮想 CPU が起動して、ゲスト仮想マシンで使用できるようになりました (BZ#1273807)。

日本語ロケールの Force Reset のメニューエントリーが正しく翻訳された

以前のバージョンでは、日本語ロケールの仮想マシンマネージャーで Force Reset のメニューエントリーが間違って翻訳されていました。今回の更新では、Force Reset メニューエントリーは正しく翻訳されています (BZ#1282276)。

KSM 重複排除率が制限された

以前のリリースでは、Kernel Samepage Merging (KSM) の重複廃除率は明示的に制限されていなかったため、Red Hat Enterprise Linux ホストでパフォーマンスの問題が発生したり、ワークロードが高い場合には応答しない状態となっていました。今回の更新で KSM の重複排除率は制限され、KSM ページに関連した仮想メモリーの操作でそのような問題は発生しなくなりました (BZ#1298618)

streamOptimized サブフォーマットの VMDK イメージが受け入れられる

以前のリリースでは、qemu-img ツールによって作成された streamOptimized サブフォーマットの仮想マシンディスク (VMDK) イメージは、バージョン番号が低すぎたため、Elastic Sky X (ESX) サービスにより拒否されていました。今回の更新により、streamOptimized VMDK イメージのサブフォーマット番号が自動的に高くなるようになったため、VMDK イメージが ESX サービスに受け入れられるようになりました (BZ#1299116)。

streamOptimized サブフォーマットを使用した VMDK イメージのデータレイアウトが正しくない

以前のリリースでは、qemu-img ツールで作成された streamOptimized サブフォーマットを使用する仮想マシンディスク (VMDK) イメージのデータレイアウトは正しくありませんでした。このため、ESX サーバーにインポートした場合に VMDK イメージはブートできませんでした。今回の更新により、このイメージは有効な VMDK streamOptimized イメージに変換されるようになり、VMDK イメージはブート可能となりました (BZ#1299250)。

blockcopy--pivot オプションを指定しても失敗しない

以前のリリースでは、--pivot オプションを指定すると、blockcopy で必ずエラーが発生していました。今回のリリースでは、この問題を防ぐように、libvirt パッケージが更新されました。blockcopy--pivot オプションを指定して実行できるようになりました (BZ#1197592)。

virt-v2v 変換後のゲストのディスプレイの問題が修正された

以前のリリースでは、 virt-v2v ユーティリティーを使用して変換されたゲストのビデオカード設定が無視されていたため、ディスプレイでさまざまな問題が発生していました。今回の更新により、virt-v2v が変換されたゲストの libvirt XML ファイルを適切に生成するようになったため、ビデオカードの設定は保持され、ゲストは変換後にグラフィカル機能をフル活用できるようになりました (BZ#1225789)。

MSR_TSC_AUX の移行が適切に機能する

以前のリリースでは、ゲストのマイグレーション中に、MSR_TSC_AUX ファイルの内容が正しく移行されない場合がありました。そのため、マイグレーションの終了後にゲストが予期せず終了していました。今回の更新では、MSR_TSC_AUX の内容が想定どおりに移行されるようになり、そのようなクラッシュは発生しなくなりました (BZ#1265427)。

Windows ゲスト仮想マシンの情報がドキュメントから削除された

今回の更新で、Windows ゲスト仮想マシンへの言及はすべてドキュメントから削除されました。この情報は、次のリンクのナレッジベースの記事に移行しました: https://access.redhat.com/articles/2470791 (BZ#1262007)。

SELinux と libguestfs-python を使用している場合でも、 virt-manager でのゲストディスクへのアクセスが適切に機能する

今回の更新の以前は、ホストマシンに libguestfs-python パッケージがインストールされて、SELinux が有効に設定されている場合には、virt-manager インターフェースを使用してゲストディスクにアクセスすると I/O エラーが発生していました。今回の更新により、virt-managerlibguestfs ライブラリーが同じ libvirt 接続を共有するようになり、そのようなエラーは発生しなくなりました (BZ#1173695)。

パート III. テクノロジープレビュー

ここでは Red Hat Enterprise Linux 7.3 で更新または導入されたテクノロジープレビューについて簡単に説明します。
Red Hat のテクノロジープレビュー機能のサポート範囲については、https://access.redhat.com/support/offerings/techpreview/ を参照してください。

第36章 全般的な更新

systemd-importd VM およびコンテナーのインポートおよびエクスポートサービス

最新バージョンの systemd には、以前のビルドでは有効にされておらず、machinectl pull-* コマンドを失敗させる可能性のあった systemd-importd デーモンが組み込まれるようになりました。systemd-importd デーモンがテクノロジープレビューとして提供されていること、またこのデーモンが安定している訳ではないことに注意してください (BZ#1284974)。

第37章 認証および相互運用性

コンテナー内の SSSD が利用可能

コンテナー内の System Security Services Daemon (SSSD) は、テクノロジープレビューとして提供され、これにより Red Hat Enterprise Linux Atomic Host 認証サブシステムを Red Hat Identity Management や Microsoft Active Directory といった集中型アイデンティティープロバイダーに接続することができます。
この新イメージをインストールするには、atomic install rhel7/sssd コマンドを使用します (BZ#1200143)。

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 から、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしてサポートされています。AD sudo プロバイダーを有効にするには sudo_provider=ad 設定を sssd.conf ファイルの [domain] セクションに追加します (BZ#1068725)。

DNSSEC が Identity Management でテクノロジープレビューとして利用可能

統合 DNS を備える Identity Management サーバーで DNSSEC (DNS Security Extension) に対応するようになりました。DNSSEC とは DNS プロトコルの安全性を強化する DNS に対する拡張セットです。Identity Management サーバーでホストされる DNS ゾーンには DNSSEC を使用した自動署名が可能です。暗号キーは自動的に生成、回転されます。
DNSSEC で DNS ゾーンの安全性を強化する決定をした場合は、以下のドキュメントを参照することが推奨されます。
統合 DNS を備えた Identity Management サーバーは他の DNS サーバーから取得する DNS の答えを DNSSEC を使って認証します。Red Hat Enterprise Linux ネットワークガイド (https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html/Networking_Guide/ch-Configure_Host_Names.html#sec-Recommended_Naming_Practices) に記載の推奨命名に準じた設定ではない DNS ゾーンの場合は、その可用性に影響する場合があるため注意してください (BZ#1115294)。

Nunc Stans イベントフレームワークが Directory Server で利用可能

複数の同時接続を処理する新たな Nunc Stans フレームワークがテクノロジープレビューとして追加されました。このフレームワークを使用すると、パフォーマンスを低下させずに数千のアクティブな接続をサポートすることができます。これはデフォルトでは無効になっています (BZ#1206301)。

secrets をサービスとしてサポート

今回の更新では、レスポンダー secrets がテクノロジープレビューとして System Security Services Daemon (SSSD) に追加されました。このレスポンダーを使用すると、アプリケーションは Custodia API を使用して UNIX ソケット経由で SSSD と通信できるようになります。これにより SSSD は、ローカルデータベースに秘密を保存するか、Custodia サーバーに転送することが可能になりました (BZ#1311056)。

IdM ウェブ UI でスマートカードを使用したログインが可能

Identity Management (IdM) ウェブ UI を使用して、ユーザーがスマートカードを使用したログインをできるようになりました。この機能は実験的で、サポート対象となっていないことに注意してください (BZ#1317379、BZ#1346883、BZ#1343422)。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能

API が Identity Management (IdM) で利用可能になりました。API を表示するために、IdM は API ブラウザーをテクノロジープレビューとして提供しています。
Red Hat Enterprise Linux 7.3 では、IdM API は複数バージョンの API コマンドを有効とするように機能拡張されました。これまでは、機能拡張では、コマンドによる動作が互換性のない方法で変更されていました。今回の更新では、ユーザーは IdM API が変更されても、既存のツールやスクリプトを引き続き使用することができます。これにより、以下が可能になっています。
  • 管理者は、管理しているクライアント以外のサーバー上で IdM の以前のバージョンもしくは最近のバージョンを使用することができます。
  • IdM のバージョンが変更されても、開発者は特定バージョンの IdM コールを使用することができます。
すべてのケースでサーバーとの通信は可能になっています。例えば、ある機能向けの新オプションが新しいバージョンで導入されていて、通信の一方の側でこれを使用していたとしても、特に問題ありません。
API に使用に関する詳細情報は、https://access.redhat.com/articles/2728021 を参照して下さい (BZ#1298286)。

第38章 クラスタリング

pcs が Booth および ticket の制約を使用したマルチサイトクラスターの管理をサポート

Red Hat Enterprise Linux 7.3 より、テクノロジープレビューとして、pcs ツールにより、Booth クラスターチケットマネージャーを使用するマルチサイトクラスターを pcs booth コマンドで管理することができるようになりました。 また、 pcs constraint ticket コマンドでチケットの制約を設定して、マルチサイトクラスター内のリソースを管理することもできます。チケットの制約は、Web UI での管理も可能です (BZ#1305049、BZ#1308514)。

Pacemaker クラスターにおけるクォーラムデバイスのサポート

Red Hat Enterprise Linux 7.3 より、クラスター用のサードパーティーのアービトレーションデバイスとして機能する別のクォーラムデバイス (QDevice) を設定することが可能となりました。この機能は、テクノロジープレビューとして提供されており、主要な用途は、クラスターが、標準のクォーラムルールによって許容されているよりも多くのノードエラーに耐えられるようにすることです。クォーラムデバイスは、偶数のノードで構成されるクラスターに推奨しており、2 ノード構成のクラスターに強くお勧めします。クォーラムデバイスの設定については、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ を参照してください (BZ#1158805)。

クラスター構成フォーマットの変換および分析用のツール clufter に対するサポート

Red Hat Enterprise Linux 7 でテクノロジープレビューとして提供されている clufter パッケージは、クラスター設定の形式を変換/分析するツールを提供します。これは、旧スタック設定から Pacemaker を活用した新設定への移行を支援するのに使用することができます。clufter の機能に関する情報は、clufter(1) の man ページまたは clufter -h コマンドの出力を参照してください (BZ#1212909)。

clufter がバージョン 0.59.5 にリベース

テクノロジープレビューとして提供されている clufter パッケージは、アップストリームのバージョン 0.59.5 にアップグレードされました。このバージョンでは、多数のバグが修正され、以前のバージョンに比べて数多くの機能が拡張されて、ユーザーエクスペリエンスが向上しました。中でも注目すべき更新点は以下のとおりです。
  • clufter コマンドの ccs2pcs および ccs2pcscmd ファミリーを使用して、旧クラスターのスタック設定を Pacemaker のスタックまたは pcs コマンドの適切なシーケンスに変換する場合には、モニターのアクションが適切に反映または追加されます。
  • corosync.conf ファイルを使用する Pacemaker スタック向けに設定ファイルを変換する場合は、CMAN ベースの設定の変換の副産物として、あるいは *2pcscmd{,-needle} コマンドファミリーなどのファーストクラスインプットを使用して、クラスター名が正しく反映されます。以前のリリースでは、クラスター名は誤って省かれていたため、たとえば、「pcs cluster setup --start --name node1 node2 node3」のように、コマンドは最初のクラスターノードの名前をクラスター名と混同していました。
  • ccs2pcs コマンドファミリーで CMAN ベースの設定を Pacemaker スタック用の並列設定に変換する場合に、スキーマ内に ID タイプがあるものとしてマークされていた属性の値が誤って途切れてしまう問題は発生しなくなりました。
  • CMAN または Pacemaker スタック固有の設定を *2pcscmd のコマンドファミリーを使用する pcs コマンドの 各シーケンスに変換する際に、後に続くローカル変更の pcs コマンドには現在機能しない clufter ツールは pcs cluster cib file --config を候補に表示しなくなりました。その代わりに、pcs cluster cib file が候補として表示されます。
  • clufter ツールの出力は、指定したディストリビューションターゲットによって、大幅に異なるようになりました。これは、その環境が何をサポート可能であるか (例: pcs のバージョンなど) に応じてツールの出力が調整されるようになったためです。このため、お使いのディストリビューションまたは環境がサポートされていない可能性があり、 clufter ツールが生成する単一の pcs コマンドシーケンスは完全に異なる環境に移植可能であると想定しないようにする必要があります。
  • clufter は、クォーラムデバイスを含む、pcs ツールの新機能を複数サポートするようになりました。また、clufter ツールは、チケットの制約やコロケーション用のリソースセット、順序の制約など、pcs ツールに最近追加されていた以前の機能もサポートします (BZ#1343661、BZ#1270740、BZ#1272570、BZ#1272592、BZ#1300014、BZ#1300050、BZ#1328078)。

Booth クラスターチケットマネージャーのサポート

Red Hat Enterprise Linux 7.3 では、Booth クラスターチケットマネージャーのサポートをテクノロジープレビューとして提供しています。この機能により、複数の高可用性クラスターを、別々のサイトに構成することができます。これらのサイト間では、分散サービスを介して通信を行い、リソース管理を調整します。Booth チケットマネージャーは、指定したリソースが 1 度に実行されるのは、チケットで許可されている 1 つのサイトのみとなるようにする、各チケットの合意に基づいた意思決定プロセスを円滑化します。Booth チケットマネージャーを使用したマルチサイトクラスターの設定に関する情報は、https://access.redhat.com/documentation/ja-JP/Red_Hat_Enterprise_Linux/7/html/High_Availability_Add-On_Reference/ を参照してください (BZ#1302087)。

第39章 ファイルシステム

CephFS カーネルクライアントが利用可能

Red Hat Enterprise Linux 7.3 以降で、Ceph File System (CephFS) カーネルモジュールがテクノロジープレビューとして提供されるようになり、Red Hat Enterprise Linux ノードが Red Hat Ceph Storage クラスターから Ceph File System をマウントできるようになりました。Red Hat Enterprise Linux のカーネルクライアントは、Red Hat Ceph Storage に同梱されている Filesystem in Userspace (FUSE) クライアントよりも効率性の高いオプションです。現在、カーネルクライアントには CephFS のクォータのサポートがありません。詳しい情報は Red Hat Ceph Storage 2 の Ceph File System Guide: https://access.redhat.com/documentation/en/red-hat-ceph-storage/2/single/ceph-file-system-guide-technology-preview (BZ#1205497) を参照してください。

ext4 および XFS ファイルシステムが DAX をサポート

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) では、アプリケーションがアドレス空間に永続メモリーを直接マッピングする手段をテクノロジープレビューとして提供するようになりました。DAX を使用するには、永続メモリーがシステムに設定されている必要があります。永続メモリーは通常、1 つまたは複数の Non-Volatile Dual In-line Memory Module (NVDIMM) などの形式で提供され、DAX をサポートするファイルシステムは NVDIMM 上に作成する必要があります。また、ファイルシステムは dax のマウントオプションでマウントする必要があります。DAX でマウントしたファイルシステムにファイルを mmap すると、アプリケーションのアドレス空間にストレージが直接マッピングされます。
サポートされる NVDIMM 製品および設定に関する一覧は、「パート I の新しい機能」の「ストレージ」の章にある New kernel subsystem: libnvdimm のエントリーを参照してください (BZ#1274459)。

pNFS ブロックレイアウトのサポート

テクノロジープレビューとしてアップストリームのコードが Red Hat Enterprise Linux クライアントにバックポートされ、pNFS ブロックレイアウトのサポートが提供されています。
さらに、Red Hat Enterprise Linux 7.3 には、pNFS SCSI レイアウトがテクノロジープレビューとして追加されました。この機能は、pNFS ブロックレイアウトサポートによく似ていますが、SCSI デバイスのみに制限されるため、より簡単に使用できます。そのため、Red Hat は多くのユースケースで、pNFS ブロックレイアウトではなく、pNFS SCSI レイアウトを評価することを推奨しています。

OverlayFS

OverlayFS とはユニオンファイルシステムのタイプの 1 つです。任意のファイルシステム上に別のファイルシステムを重ねる (オーバーレイする) ことができます。変更は上層側のファイルシステムに記録され、下層側のファイルシステムは未変更のままになります。コンテナーの場合や DVD-ROM などベースのイメージが読み取り専用メディアの場合には、複数のユーザーで 1 つのファイルシステムイメージを共有することができます。詳細はカーネルファイルの Documentation/filesystems/overlayfs.txt を参照してください。
多くの状況で OverlayFS は Red Hat Enterprise Linux 7.3 では引き続きテクノロジープレビューとして提供されます。このため、OverlayFS を作動させるとカーネルにより警告のログが記録されます。
Docker で次の制約を付けて使用する場合は完全対応として利用していただけます。
  • OverlayFS は Docker のグラフドライバーとして使用する場合にのみサポートされます。コンテナー COW コンテンツでの使用のみサポートされ、永続ストレージとしてはサポートされません。永続ストレージは OverlayFS 以外のボリュームに配置している場合に限りサポートの対象となります。使用できるのはデフォルトの Docker 設定のみです。つまり、オーバーレイレベル 1 つ、下層側ディレクトリー 1 つ、同じファイルシステム上に配置された上層レベルと下層レベルという構成です。
  • 下層ファイルシステムとして使用がサポートされているのは現在 XFS のみです。
  • 物理マシンで SELinux を有効にして enforcing モードの設定にしておく必要がありますが、コンテナーの分離を行う場合はコンテナー側では無効にしなければなりません。つまり、/etc/sysconfig/docker には --selinux-enabled は追加しないでください。OverlayFS の SELinux サポートはアップストリームで開発中であり、今後のリリースで提供される予定です。
  • OverlayFS カーネル ABI とユーザー空間の動作については安定性に欠けるとみなされているため、今後の更新で変更が加えられる可能性があります。
  • コンテナー内で yum および rpm のユーティリティーを正常に機能させるには、yum-plugin-ovl パッケージを使用する必要があります。
OverlayFS は制限付きで POSIX 標準セットを提供しています。OverlayFS で POSIX 標準を導入する場合はまず先にアプリケーションテストを十分に行ってから導入するようにしてください。
オーバーレイとして使用するように -n ftype=1 オプションを有効にして、XFS ファイルシステムを作成する必要がある点に注意してください。システムのインストール時に作成される rootfs およびファイルシステムについては、Anaconda キックスタートで --mkfsoptions=-n ftype=1 のパラメーターを設定してください。インストール後に新しいファイルシステムを作成する場合は # mkfs -t xfs -n ftype=1 /PATH/TO/DEVICE コマンドを実行します。既存のファイルシステムがオーバーレイとして使用する資格があるかを判断するには # xfs_info /PATH/TO/DEVICE | grep ftype コマンドを使用して ftype=1 オプションが有効であるかどうかを確認します。
また、Red Hat Enterprise Linux 7.3 リリースの時点で OverlayFS に関連する既知の問題がいくつかあります。詳細については、Documentation/filesystems/overlayfs.txt ファイルの Non-standard behavior を参照してください (BZ#1206277)。

柔軟なファイルレイアウトによる NFSv4 クライアントのサポート

Red Hat Enterprise Linux 7.2 で初めて NFSv4 クライアントでの柔軟なファイルレイアウトのサポートがテクノロジープレビューとして導入されました。このテクノロジーは、中断のないファイルモビリティーやクライアント側のミラーリングなどの高度な機能を有効にし、データベース、ビッグデータ、仮想化のエリアのユーザビリティーを強化します。この機能は Red Hat Enterprise Linux 7.3 で更新され、継続してテクノロジープレビューとして提供されています。
NFSの柔軟なファイルレイアウトに関する詳細情報は https://datatracker.ietf.org/doc/draft-ietf-nfsv4-flex-files/ を参照してください (BZ#1217590)。

Btrfs ファイルシステム

Red Hat Enterprise Linux 7.3 では Btrfs (B-Tree) ファイルシステムはテクノロジープレビューとして提供されています。このファイルシステムでは高度な管理、信頼性、拡張性に関する機能を提供します。このファイルシステムを使用することでスナップショットの作成や、統合化された圧縮デバイス管理が可能になります (BZ#1205873)。

pNFS SCSI レイアウトクライアントおよびサーバーサポートの提供

Red Hat Enterprise Linux 7.3 より、Parallel NFS (pNFS) SCSI レイアウトのクライアントおよびサーバーサポートがテクノロジープレビューとして提供されます。ブロックレイアウトをベースに構築されている pNFS レイアウトは SCSI デバイスをまたいで定義されており、このレイアウトには論理ユニットとして順番に並んだ固定サイズのブロックが含まれています。この論理ユニットには SCSI の永続予約をサポートできる機能が必要です。論理ユニット (LU) デバイスは、SCSI デバイスの ID で識別され、フェンシングは予約の割り当てで処理されます (BZ#1305092)。

第40章 ハードウェアの有効化

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage)アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーはこれまで有効であったアダプターに対して完全サポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは LSI、システムインテグレーター、またはシステムベンダーによって直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。http://www.lsi.com/products/shared-das/pages/default.aspx にアクセスしてください (BZ#1062759)。

Intel DIMM 管理ツール

テクノロジープレビューとして、Intel Dual Inline Memory Module (DIMM) の管理を有効にするために以下のコンポーネントが追加されました。
  • DIMM を設定するために API が追加された
  • ストレージコマンドライン (CLI) アプリケーションをサポートする libinvm-cli ライブラリー
  • ストレージ CIM (Common Information Model) プロバイダーの使用を可能にする libinvm-cim ライブラリー
  • DIMM 向けの国際化機能を提供する libinvm-i18n ライブラリー
これらにより、ユーザーは基本的な DIMM インベントリー、容量プロビジョニング、健全性監視、およびトラブルシューティングを実行できるようになります (BZ#1270993、BZ#1270998、BZ#1326924、BZ#1326931)。

第41章 インストールと起動

rpm-build のマルチスレッド xz 圧縮

現在、1 つのコアのみを使用するため、高並列構築の圧縮に時間がかかることがあります。これは、特に多くのコアを持つハードウェアに構築された大型プロジェクトを継続的に統合する場合に問題になります。
テクノロジープレビューとして提供されるこの機能は、%_source_payload または %_binary_payload マクロを wLTX.xzdio パターンに設定すると、ソースおよびバイナリーパッケージのマルチスレッド xz 圧縮を可能にします。wLTX.xzdioL は圧縮レベルを表し (デフォルトは 6)、 X は使用されるスレッドの数 (複数桁も可能) を表します (例: w6T12.xzdio)。この設定を行うには、/usr/lib/rpm/macros ファイルを編集するか、仕様ファイルまたはコマンドライン内でマクロを宣言します (BZ#1278924)。

第42章 カーネル

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして組み込まれる

Red Hat Enterprise Linux 7.3 では、HMM (heterogeneous memory management) 機能をテクノロジープレビューとして提供しています。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとしてカーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します (BZ#1230959)。

ユーザーの名前空間

この機能によりホストとコンテナーが適切に分離されるため、Linux コンテナーを実行しているサーバーに対する安全性が高まります。コンテナー管理者がホストで管理操作を実行できなくなり、安全性は高まります (BZ#1138782)。

Oce141xx カードの libocrdma RoCE サポート

テクノロジープレビューとして、ocrdma モジュールおよび libocrdma パッケージは Oce141xx ファミリーのすべてのネットワークアダプターでの RoCE (Remote Direct Memory Access over Converged Ethernet) 機能をサポートします (BZ#1334675)。

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) なしに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないために安全に使用することができません (BZ#1299662)。

criu がバージョン 2.3 にリベース

Red Hat Enterprise Linux 7.2 は criu ツールをテクノロジープレビューとして導入しました。ユーザー空間向けチェックポイント/復元 (CRIU; Checkpoint/Restore in User-space) を実装します。これを使用すると、実行中のアプリケーションをフリーズさせた後にファイルの集合としてこれを保存し、後にフリーズ状態から復元できます。
criu ツールは Protocol Buffers に依存します。これは、構造化データをシリアル化するための、言語とプラットフォームに中立的な拡張性のあるメカニズムです。依存パッケージとなる protobufprotobuf-c パッケージも Red Hat Enterprise Linux 7.2 にテクノロジープレビューとして導入されています。
Red Hat Enterprise Linux 7.3 では criu パッケージがアップストリームのバージョン 2.3 にアップグレードされ、以前のバージョンに対してバグ修正と拡張機能が数多く加えられています。とくに、criu は Red Hat Enterprise Linux for POWER (Little Endian 版) でも利用できるようになりました。
さらに criu は、Red Hat Enterprise Linux 7 runc コンテナーで実行される以下のアプリケーションでも使用できるようになりました。
  • vsftpd
  • apache httpd
  • sendmail
  • postgresql
  • mongodb
  • mariadb
  • mysql
  • tomcat
  • dnsmasq (BZ#1296578)

ibmvnic デバイスドライバーを追加

ibmvnic デバイスドライバーが Red Hat Enterprise Linux 7.3 for IBM POWER アーキテクチャーにテクノロジープレビューとして追加されました。vNIC (Virtual Network Interface Controller) はエンタープライズケイパビリティーを提供し、ネットワーク管理を単純化する新たな PowerVM 仮想ネットワークテクノロジーです。これは SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅の制御に関する Qos (Quality of Service) ケイパビリティーを提供する高パフォーマンスの効率的なテクノロジーとして機能します。vNIC は仮想化オーバーヘッドを大幅に削減するため、待ち時間が短縮し、ネットワークの仮想化に必要な CPU およびメモリーを含むサーバーリソースが少なくなります (BZ#947163)。

第43章 リアルタイムカーネル

新しいスケジューラークラス: SCHED_DEADLINE

今回の更新で、リアルタイムカーネル向けの SCHED_DEADLINE スケジューラークラスがテクノロジープレビューとして導入されました。この新しいスケジューラーを使用すると、アプリケーションの締め切りに基づいた予測可能なタスクのスケジューリングが可能になります。SCHED_DEADLINE を使用するとアプリケーションタイマー操作が減るので、定期的なワークロードで役立ちます (BZ#1297061)。

第44章 ネットワーク

Cisco usNIC ドライバー

Cisco Unified Communication Manager (UCM) サーバーには Cisco 専用の User Space Network Interface Controller (usNIC) を提供するオプション機能があります。これを使用すると、ユーザースペースのアプリケーションに対して Remote Direct Memory Access (RDMA) のような動作を実行することができるようになります。テクノロジープレビューとしての対応となる libusnic_verbs ドライバーを使用すると、Verbs API ベースの標準 InfiniBand RDMA プログラミングで usNIC デバイスを使用することが可能になります (BZ#916384)。

Cisco VIC カーネルドライバー

テクノロジープレビューとしての対応となる Cisco VIC Infiniband のカーネルドライバーを使用すると、RDMA (Remote Directory Memory Access) のようなセマンティックが専用の Cisco アーキテクチャーで使用可能になります (BZ#916382)。

Trusted Network Connect

テクノロジープレビューとしての対応となる Trusted Network Connect は、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用して、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを構成している設定、インストールしているパッケージ、その他、整合性測定と呼ばれているもの)。エンドポイントのネットワークへのアクセスを許可する前に、Trusted Network Connect を使用してこれらの測定をネットワークアクセスポリシーに対して検証します (BZ#755087)。

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートが qlcnic ドライバーにテクノロジープレビューとして追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのフィードバックをぜひお願いします。qlcnic ドライバー内の他の機能は引き続き完全サポートとなります (BZ#1259547)。

新パッケージ: libnftnlnftables

今回の更新では nftableslibnftl のパッケージがテクノロジープレビューとして追加されました。
nftables パッケージはパケットフィルタリングツールを提供し、以前のものに比べると利便性、機能およびパフォーマンスが改善しています。これは、iptablesip6tablesarptables、および ebtables のユーティリティーの後継となるものです。
libnftnl パッケージは、nftables Netlink の API と libmnl ライブラリーで低レベルの対話をするためのライブラリーを提供します (BZ#1332585、BZ#1332581)。

第45章 ストレージ

LVM RAID レベルテイクオーバーが利用可能

RAID タイプを切り替えできる RAID レベルテイクオーバーをテクノロジープレビューとして使用できるようになりました。RAID レベルテイクオーバーを使用すると、変更するハードウェアの特性を基に必要性に見合う最適な RAID 設定を判断でき、論理ボリュームを非アクティブにしなくても変更を追加することができます。たとえば、striped 論理ボリュームが作成され、追加のデバイスが使用可能であれば、後で RAID4 論理ボリュームに変換できます。
Red Hat Enterprise Linux 7.3 以上のバージョンでは、テクノロジーレビューとして以下の変換を行うことができます。
  • striped <-> RAID4
  • linear <-> RAID1
  • mirror <-> RAID1 (mirror はレガシータイプですがサポートされます) (BZ#1191630)

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージにより、SCSI (Small Computer System Interface) サブシステムはこの新しいキューイングメカニズムを使用できます。この機能はテクノロジープレビューとして提供され、デフォルトでは有効になっていません。有効にするには、 scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します (BZ#1109348)。

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使ったストレージアレイの管理が完全サポートされました。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、含まれているコマンドラインインターフェースを使用してストレージ管理タスクを自動化したりできます。
Targetdプラグインは完全サポートされず、引き続きテクノロジープレビューとして提供されます (BZ#1119909)。

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX は新たに SCSI 標準に追加されました。Red Hat Enterprise Linux 7.3 では「機能」の章に記載されている HBA およびストレージアレイに対して完全サポートされますが、その他の HBA およびストレージアレイに対しては引き続きテクノロジープレビューとなります。
DIF/DIX により DIF (Data Integrity Field) が追加され、一般的に使用される 512 バイトのディスクブロックのサイズが 512 から 520 バイトに増加します。IDF は、書き込みの発生時に HBA (Host Bus Adapter) によって算出されるデータブロックのチェックサム値を保存します。その後、受信時にストレージデバイスがチェックサムを確認し、データとチェックサムの両方を保存します。読み取りが発生すると、チェックサムはストレージデバイスおよび受信する HBA によって検証されます (BZ#1072107)。

第46章 仮想化

仮想化のネスト

Red Hat Enterprise Linux 7.2 ではネスト化した仮想化機能をテクノロジープレビューとして提供しています。KVM ゲストをホストとして起動し、これがハイパーバイザーとして動作して、独自のゲストを作成できるようになります。詳しい情報は、Red Hat Enterprise Linux 7 仮想化デプロイメントおよび管理ガイドを参照してください (BZ#1187762)。

KVM ゲスト用の USB 3.0 サポート

KVM ゲスト用の USB 3.0 ホストアダプター (xHCI) エミュレーションは引き続き Red Hat Enterprise Linux 7.3 ではテクノロジープレビューとして提供されます (BZ#1103193)。

Intel ネットワークアダプターの選択において Hyper-V 上のゲストとして SR-IOV がサポートされる

Hyper-V を実行する Red Hat Enterprise Linux ゲスト仮想マシンの今回の更新では、新しい PCI パススルードライバーが追加され、ixgbevf ドライバーでサポートされる Intel ネットワークアダプターに Single-Root I/O Virtualization (SR-IOV) 機能を使用できるようになりました。この機能は、以下の条件が満たされた場合に有効になります。
  • ネットワークインターフェースコントローラー (NIC) の SR-IOV サポートが有効化されている場合
  • 仮想 NIC の SR-IOV サポートが有効化されている場合
  • 仮想スイッチの SR-IOV サポートが有効化されている場合
NIC からの Virtual Function (VF) は、仮想マシンにアタッチされています。
現在この機能は Microsoft Windows Server 2016 Technical Preview 5 でサポートされています (BZ#1348508)。

Hyper-V のゲスト仮想マシンにおいて PCI Express バスで接続されているデバイスに対してドライバーが追加された

今回の更新では、PCI Express で接続されているデバイスが Hyper-V ハイパーバイザーで実行中の Red Hat Enterprise Linux ゲスト仮想マシンにパススルーされる場合に、Root PCI バスを公開するように、新しいドライバーが追加されました。現在この機能は Microsoft Windows Server 2016 Technical Preview 5 でサポートされています (BZ#1302147)。

パート IV. デバイスドライバー

本パートでは、Red Hat Enterprise Linux 7.3 で更新された全デバイスドライバーを一覧表示しています。

第47章 新しいドライバー

ストレージドライバー

  • cxgbit
  • libnvdimm
  • mpt2sas
  • nd_blk
  • nd_btt
  • nd_e820
  • nd_pmem
  • nvme

ネットワークドライバー

  • ath10k_core (BZ#1298484)
  • ath10k_pci (BZ#1298484)
  • bnxt_en (BZ#1184635)
  • brcmfmac
  • brcmsmac
  • brcmutil
  • btbcm
  • btcoexist
  • btintel
  • btrtl
  • c_can
  • c_can_pci
  • c_can_platform
  • can-dev
  • cc770
  • cc770_platform
  • ems_pci
  • ems_usb
  • esd_usb2
  • fjes
  • geneve
  • hfi1
  • i40iw
  • iwl3945
  • iwl4965
  • iwldvm
  • iwlegacy
  • iwlmvm
  • iwlwifi (BZ#1298113)
  • kvaser_pci
  • kvaser_usb
  • macsec
  • mwifiex
  • mwifiex_pcie
  • mwifiex_sdio
  • mwifiex_usb
  • mwl8k
  • peak_pci
  • peak_usb
  • plx_pci
  • qed
  • qede
  • rdmavt
  • rt2800lib
  • rt2800mmio
  • rt2800pci
  • rt2800usb
  • rt2x00lib
  • rt2x00mmio
  • rt2x00pci
  • rt2x00usb
  • rt61pci
  • rt73usb
  • rtl_pci
  • rtl_usb
  • rtl8187
  • rtl8188ee
  • rtl8192c-common
  • rtl8192ce
  • rtl8192cu
  • rtl8192de
  • rtl8192ee
  • rtl8192se
  • rtl8723-common
  • rtl8723ae
  • rtl8723be
  • rtl8821ae
  • rtlwifi
  • sja1000
  • sja1000_platform
  • slcan
  • softing
  • uas
  • usb_8dev
  • vcan

グラフィックスドライバーおよびその他のドライバー

  • amdgpu
  • amdkfd
  • gp2ap002a00f
  • gpio-ich
  • gpio-viperboard
  • idma64
  • int3400_thermal
  • leds-lt3593
  • ledtrig-gpio
  • nfit
  • pci-hyperv
  • pwm-lpss
  • qat_c3xxx
  • qat_c3xxxvf
  • qat_c62x
  • qat_c62xvf
  • qat_dh895xccvf
  • regmap-spi
  • rotary_encoder
  • rtc-rx4581
  • rtsx_usb
  • rtsx_usb_sdmmc
  • sht15
  • target_core_user
  • tpm_st33zp24
  • tpm_st33zp24_i2c
  • virt-dma
  • virtio-gpu
  • zram

第48章 更新されたドライバー

ストレージドライバー

  • 3w-9xxx をバージョン 2.26.02.014.rh1 に更新。
  • aacraid をバージョン 1.2-1[41066]-ms に更新。
  • be2iscsi をバージョン 11.0.0.0 に更新 (BZ#1274912)。
  • bfa をバージョン 3.2.25.0 に更新。
  • bnx2fc をバージョン 2.10.3 に更新。
  • cxgb3i をバージョン 2.0.1-ko に更新。
  • cxgb4i をバージョン 0.9.5-ko に更新。
  • libcxgbi をバージョン 0.9.1-ko に更新。
  • fnic をバージョン 1.6.0.21 に更新。
  • hpsa をバージョン 3.4.14-0-RH1 に更新。
  • isci をバージョン 1.2.0 に更新。
  • lpfc をバージョン 0:11.1.0.2 に更新。
  • megaraid_sas をバージョン 06.811.02.00-rh1 に更新。
  • mt2sas をバージョン 20.102.00.00 に更新。
  • mt3sas をバージョン 13.100.00.00 に更新。
  • qla2xxx をバージョン 8.07.00.33.07.3-k1 に更新。
  • vmw_pvscsi をバージョン 1.0.6.0-k に更新。
  • cxgbit をバージョン 1.0.0-ko に更新。
  • nvme をバージョン 1.0 に更新。
  • smartpqi をバージョン 0.9.13-370 に更新。
  • mtip32xx をバージョン 1.3.1 に更新 (BZ#1273618、BZ#1269525)。
  • ipr をバージョン 2.6.3 に更新 (BZ#1274357)。
  • bnx2i をバージョン 2.7.10.1 に更新 (BZ#1273086)。

ネットワークドライバー

  • bpa10x をバージョン 0.11 に更新。
  • btbcm をバージョン 0.1 に更新。
  • btintel をバージョン 0.1 に更新。
  • btrtl をバージョン 0.1 に更新。
  • btusb をバージョン 0.8 に更新。
  • hci_uart をバージョン 2.3 に更新。
  • hci_vhci をバージョン 1.5 に更新。
  • hfi1 をバージョン 0.9-294 に更新。
  • i40iw をバージョン 0.5.123 に更新。
  • ocrdma をバージョン 11.0.0.0 に更新。
  • ib_srp をバージョン 2.0 に更新。
  • bnx2x をバージョン 1.712.30-0 に更新。
  • bnxt_en をバージョン 1.2.0 に更新。
  • cnic をバージョン 2.5.22 に更新。
  • enic をバージョン 2.3.0.20 に更新。
  • be2net をバージョン 11.0.0.0r に更新。
  • e1000e をバージョン 3.2.6-k に更新。
  • i40e をバージョン 1.5.10-k に更新。
  • i40evf をバージョン 1.5.10-k に更新。
  • igb をバージョン 5.3.0-k に更新。
  • ixgbe をバージョン 4.4.0-k-rh7.3 に更新。
  • ixgbevf をバージョン 2.12.1-k-rh7.3 に更新。
  • qed をバージョン 8.7.1.20 に更新。
  • qede をバージョン 8.7.1.20 に更新。
  • qlcnic をバージョン 5.3.65 に更新。
  • fjes をバージョン 1.1 に更新。
  • geneve をバージョン 0.6 に更新。
  • vmxnet をバージョン 1.4.7.0-k に更新。
  • iwl3945 をバージョン in-tree:ds に更新。
  • iwl4965 をバージョン in-tree:d に更新。
  • iwlegacy をバージョン in-tree: に更新。
  • mwifiex をバージョン 1.0 に更新。
  • mwifiex_pcie をバージョン 1.0 に更新。
  • mwifiex_sdio をバージョン 1.0 に更新。
  • mwifiex_usb をバージョン 1.0 に更新。
  • mwl8k をバージョン 0.13 に更新。
  • rt2800lib をバージョン 2.3.0 に更新。
  • rt2800mmio をバージョン 2.3.0 に更新。
  • rt2800pci をバージョン 2.3.0 に更新。
  • rt2800usb をバージョン 2.3.0 に更新。
  • rt2x00lib をバージョン 2.3.0 に更新。
  • rt2x00mmio をバージョン 2.3.0 に更新。
  • rt2x00pci をバージョン 2.3.0 に更新。
  • rt2x00usb をバージョン 2.3.0 に更新。
  • rt61pci をバージョン 2.3.0 に更新。
  • rt73usb をバージョン 2.3.0 に更新。
  • mlx4_core をバージョン 2.2-1 に更新 (BZ#1298421)。
  • mlx4_en をバージョン 2.2-1 に更新 (BZ#1298422)。
  • mlx4_ib をバージョン 2.2-1 に更新 (BZ#1298423)。
  • mlx5_core をバージョン 2.2-1 に更新 (BZ#1298424)。
  • mlx5_ib をバージョン 3.0-1 に更新 (BZ#1298425)。
  • sfc を最新のアップストリームバージョンに更新 (BZ#1298425)。

グラフィックドライバーおよび他のドライバー

  • tpm_st33zp24 をバージョン 1.3.0 に更新。
  • tpm_st33zp24_i2c をバージョン 1.3.0 に更新。
  • qat_c3xxx をバージョン 0.6.0 に更新。
  • qat_c62x をバージョン 0.6.0 に更新。
  • intel_qat をバージョン 0.6.0 に更新。
  • qat_dh895xcc をバージョン 0.6.0 に更新。
  • qat_dh895xccvf をバージョン 0.6.0 に更新。
  • amdkfd をバージョン 0.7.2 に更新。
  • qat_dh895xccvf をバージョン 0.6.0 に更新。
  • vmwgfx をバージョン 2.10.0.0 に更新。
  • vmw_balloon をバージョン 1.4.0.0-k に更新。
  • hpilo をバージョン 1.4.1 に更新 (BZ#1274436)。

第49章 非推奨の機能

本章では、Red Hat Enterprise Linux 7.3 までの Red Hat Enterprise Linux 7 のマイナーリリースで非推奨となった機能の概要を説明します。
非推奨の機能は、Red Hat Enterprise Linux 7 のライフサイクル終了までサポートされます。非推奨の機能は、本製品の今後のメジャーリリースではサポートされない可能性が高く、新規実装は推奨されません。特定のメジャーリリースの非推奨の機能の最新の一覧は、そのメジャーリリースの最新版のリリースノートを参照してください。
現行および今後のメジャーリリースでは、非推奨の ハードウェア コンポーネントの新規実装は推奨されません。ハードウェアドライバー更新はセキュリティーと重大な修正のみに限定されます。Red Hat は、このようなハードウェアはできるだけ早い機会に取り替えることをお勧めします。
パッケージ が非推奨となり、使用を継続することは推奨されない場合があります。特定の状況では、パッケージが製品から削除されることもあります。その場合には、製品のドキュメントで、非推奨となったパッケージと同様、同一、またはより高度な機能を提供する最近のパッケージが特定され、詳しい推奨事項が記載されます。

nautilus-open-terminalgnome-terminal-nautilus に置き換えられた

Red Hat Enterprise Linux 7.3 より、nautilus-open-terminal パッケージが非推奨となり、gnome-terminal-nautilus パッケージに置き換えられました。このパッケージは、Nautilus の右クリックのコンテキストメニューに 端末の中に開く のオプションを追加する Nautilus の拡張機能です。nautilus-open-terminal は、システムのアップグレード中に gnome-terminal-nautilus によって置き換えられます。

sslwrap()Python から削除された

Python 2.7 から sslwrap() 関数が削除されました。466 Python Enhancement Proposal が実装された後にこの関数を使用すると、セグメンテーション違反が発生します。この削除はアップストリームと一貫しています。 Red Hat は、この関数の代わりに ssl.wrap_socket() 関数の使用を推奨します。

Windows ゲスト仮想マシンのサポートが限定される

Red Hat Enterprise Linux 7 の時点では、Windows ゲスト仮想マシンは、Advanced Mission Critical (AMC) などの特定のサブスクリプションプログラムにおいてのみサポートされています。

libnetlink は非推奨

iproute-devel パッケージに含まれている libnetlink ライブラリーは非推奨になりました。ユーザーは、このライブラリーの代わりに libnl および libmnl ライブラリーを使用することを推奨します。

KVM の S3 および S4 の電源管理状態は非推奨

S3 (Suspend to RAM) および S4 (Suspend to Disk) の電源管理状態に対する KVM のネイティブサポートが廃止されました。この機能は、以前はテクノロジープレビューとして提供されていました。

Certificate Server の udnPwdDirAuth プラグインが廃止された

Red Hat Enterprise Linux 7.3 では、Red Hat Certificate Server の udnPwdDirAuth 認証プラグインが廃止されました。このプラグインを使用するプロファイルはサポートされなくなりました。Certificates created with a profile using the udnPwdDirAuth プラグインを使用したプロファイルで作成された証明書は、承認済みの場合には引き続き有効です。

IdM 向けの Red Hat Access プラグインが廃止された

Red Hat Enterprise Linux 7.3 では、Identity Management (IdM) 向けの Red Hat Access プラグインが廃止されました。redhat-access-plugin-ipa パッケージはシステムの更新時に自動的にアンインストールされます。 ナレッジベースへのアクセスやサポートケースエンゲージメントなど、このプラグインによって以前提供されていた機能は、Red Hat カスタマーポータルで引き続き利用することができます。Red Hat は、redhat-support-tool ツールなどの代替オプションをご検討いただくことを推奨します。

フェデレーション方式のシングルサインオン向けの Ipsilon 認証プロバイダーサービス

ipsilon パッケージは Red Hat Enterprise Linux 7.2 でテクノロジープレビューとして導入されました。Ipsilon は認証プロバイダーとアプリケーション/ユーティリティーをリンクして、シングルサインオン (SSO) を可能にします。
Red Hat は、Ipsilon をテクノロジープレビューから完全にサポートされた機能にアップグレードする予定はありません。ipsilon パッケージは、Red Hat Enterprise Linux の今後のマイナーリリースで削除される予定です。
Red Hat では、Keycloak コミュニティープロジェクトをベースとした Web SSO リューションとして Red Hat Single Sign-On をリリースしました。Red Hat Single Sign-On は、Ipsilon よりも優れた機能を提供し、Red Hat の製品ポートフォリオ全体の標準の Web SSO ソリューションとして設計されています。詳しくは、「1章概要」を参照してください。

非推奨となったデバイスドライバー

  • 3w-9xxx
  • 3w-sas
  • mptbase
  • mptctl
  • mptsas
  • mptscsih
  • mptspi
  • qla3xxx
  • megaraid_sas ドライバーの以下のコントローラーが非推奨となりました。
    • Dell PERC5、PCI ID 0x15
    • SAS1078R、PCI ID 0x60
    • SAS1078DE、PCI ID 0x7C
    • SAS1064R、PCI ID 0x411
    • VERDE_ZCR、PCI ID 0x413
    • SAS1078GEN2、PCI ID 0x78
  • be2net ドライバーによって制御される次のイーサネットアダプターは非推奨となりました。
    • TIGERSHARK NIC、PCI ID 0x0700
  • be2iscsi ドライバーの以下のコントローラーは非推奨となりました。
    • Emulex OneConnect 10Gb iSCSI Initiator (汎用)、PCI ID 0x212
    • OCe10101、OCm10101、OCe10102、OCm10102 BE2 アダプターファミリー、PCI ID 0x702
    • OCe10100 BE2 アダプターファミリー、PCI ID 0x703
  • lpfc ドライバーの以下の Emulex ボートは非推奨となりました。
    BladeEngine 2 (BE2) デバイス
    • TIGERSHARK FCOE、PCI ID 0x0704
    ファイバーチャネル (FC) デバイス
    • FIREFLY、PCI ID 0x1ae5
    • PROTEUS_VF、PCI ID 0xe100
    • BALIUS、PCI ID 0xe131
    • PROTEUS_PF、PCI ID 0xe180
    • RFLY、PCI ID 0xf095
    • PFLY、PCI ID 0xf098
    • LP101、PCI ID 0xf0a1
    • TFLY、PCI ID 0xf0a5
    • BSMB、PCI ID 0xf0d1
    • BMID、PCI ID 0xf0d5
    • ZSMB、PCI ID 0xf0e1
    • ZMID、PCI ID 0xf0e5
    • NEPTUNE、PCI ID 0xf0f5
    • NEPTUNE_SCSP、PCI ID 0xf0f6
    • NEPTUNE_DCSP、PCI ID 0xf0f7
    • FALCON、PCI ID 0xf180
    • SUPERFLY、PCI ID 0xf700
    • DRAGONFLY、PCI ID 0xf800
    • CENTAUR、PCI ID 0xf900
    • PEGASUS、PCI ID 0xf980
    • THOR、PCI ID 0xfa00
    • VIPER、PCI ID 0xfb00
    • LP10000S、PCI ID 0xfc00
    • LP11000S、PCI ID 0xfc10
    • LPE11000S、PCI ID 0xfc20
    • PROTEUS_S、PCI ID 0xfc50
    • HELIOS、PCI ID 0xfd00
    • HELIOS_SCSP、PCI ID 0xfd11
    • HELIOS_DCSP、PCI ID 0xfd12
    • ZEPHYR、PCI ID 0xfe00
    • HORNET、PCI ID 0xfe05
    • ZEPHYR_SCSP、PCI ID 0xfe11
    • ZEPHYR_DCSP、PCI ID 0xfe12
使用中のシステム上の PCI ID を確認するには、lspci -nn コマンドを実行します。
上記のドライバーのコントローラーで、この一覧には含まれていないコントローラーについては変更がない点に注意してください。

パート V. 既知の問題

ここでは Red Hat Enterprise Linux 7.3 の既知の問題について説明します。

第50章 全般的な更新

TAB キーはデフォルトで $PWD を拡張しない

Red Hat Enterprise Linux 6 の CLI を使用する場合、TAB キーを押すと、$PWD/ が現行ディレクトリーに拡張されました。Red Hat Enterprise Linux 7 では、CLI で同じ動作が行われません。ユーザーは以下の行を $HOME/.bash_profile ファイルに追加してこの動作を実行できます。
if ((BASH_VERSINFO[0] >= 4)) && ((BASH_VERSINFO[1] >= 2)); then
    shopt -s direxpand
fi
(BZ#1185416)

gnome-getting-started-docs-* が Optional チャンネルに移動

Red Hat Enterprise Linux 7.3 の時点で、gnome-getting-started-docs-* パッケージは Base チャンネルから Optional チャンネルに移動しました。そのため、これらのパッケージが以前にインストールされている場合は以前のバージョンの Red Hat Enterprise Linux 7 からのアップグレードが失敗します。この問題を回避するには、Red Hat Enterprise Linux 7.3 にアップグレードする前に gnome-getting-started-docs-* をアンインストールします (BZ#1350802)。

remote-viewer SPICE クライアントが新たにプラグインされたスマートカードリーダーを検出できない

Red Hat Enterprise Linux 7.3 の libcacard ライブラリーは USB ホットプラグイベントを処理できません。そのため、remote-viewer SPICE クライアントの実行中に、このアプリケーションが USB スマートカードリーダーのプラグイン時にこれを検出できない場合があります。この問題を回避するには、スマートカードをリーダーから削除し、再度挿入します (BZ#1249116)。

第51章 認証および相互運用性

SSL 上で CA からユーザー証明書をインポートするときの問題

pki user-cert-addコマンドは、CA から直接ユーザー証明書をインポートするオプションを提供します。不適切なクライアントライブラリーの初期化が原因で、コマンドを SSL ポート上で実行すると以下のエラーメッセージが表示され、コマンドの実行に失敗します。
javax.net.ssl.SSLPeerUnverifiedException: peer not authenticated.
この問題を回避するには、pki cert-show コマンドを使用して CA からファイルに証明書をダウンロードします。その後、pki user-cert-add コマンドを使用してそのファイルから証明書をアップロードします。このように対応すると、ユーザー証明書が適切に追加されます。(BZ#1246635)

IdM web UI が Certificates テーブルですべての証明書を 1 つのページに表示

IdM (Identity Management) web UI の Authentication タブにある Certificates テーブルでは、20 エントリーのページサイズ制限が無視されます。21 個以上の証明書があると、ページごとに 20 個の証明書を表示せずに、すべての証明書が 1 つのページに表示されます (BZ#1358836)。

ipa-kra-installipa-ca-install、または ipa-replica-install を使用するとセキュリティー警告が表示される

ipa-kra-installipa-ca-install、および ipa-replica-install ユーティリティーを使用して追加の KRA (Key Recovery Authority) コンポーネント、認証局、またはレプリカをインストールすると以下の警告が表示されます。
SecurityWarning: Certificate has no `subjectAltName`,
falling back to check for a `commonName` for now.
This feature is being removed by major browsers and deprecated by RFC 2818.
このエラーは、サブジェクト識別名 (DN) のコモンネーム (CN) フィールドにサブジェクトホスト名を使用する慣例を廃止している RFC 2818 が原因で発生します。警告が表示されてもこれら 3 つのユーティリティーは正しく実行されるため、警告メッセージを無視してもかまいません (BZ#1358457)。

pam_pkcs11 が 1 つのトークンのみをサポート

opensc および coolkey パッケージの PKCS#11 モジュールはさまざまなタイプのスマートカードをサポートしますが、pam_pkcs11 モジュールは 1 度に 1 つのスマートカードのみをサポートします。そのため、同じ設定で PKCS#15 と CAC トークンを使用できません。この問題を回避するには、以下の 1 つ をインストールします。
  • PKCS#15 および PIV サポート用の opensc パッケージ
  • CAC、Coolkey、および PIV サポート用の coolkey パッケージ (BZ#1367919)

Directory Server が LDAPS で設定されていないと IdM レプリカで ipa-ca-install を使用できない

IdM (Identity Management) レプリカの Directory Server が LDAPS と設定されていないと (ポート 636 上の TLS プロトコルを使用)、そのレプリカで ipa-ca-install ユーティリティーを使用して CA (認証局) をインストールできません。以下のエラーが表示され、インストールに失敗します。
[2/30]: configuring certificate server instance
ipa.ipaserver.install.cainstance.CAInstance: CRITICAL Failed to configure CA
instance: Command '/usr/sbin/pkispawn -s CA -f /tmp/tmpsDHYbO' returned non-zero exit status 1
...
この場合、レプリカをインストールすることはできません。以下のオプションの 1 つを選択してください。
  • 代わりにマスターサーバーに CA をインストールする。
  • ipa-ca-install の実行前に手作業でレプリカ上の LDAPS を有効にする。
レプリカ上で LDAPS を有効にするには、以下を行います。
1. /etc/httpd/alias ファイルからサーバー証明書をエクスポートします。
$ pk12util -d /etc/httpd/alias -k /etc/httpd/alias/pwdfile.txt -o temp.p12 -n 'ca1/replica'
ca1/replica を証明書のニックネームに置き換えてください。
2. 信頼チェーンはすでにインポートされたため、証明書から信頼チェーンを削除します。
a. プライベートキーを抽出します。
$ openssl pkcs12 -in temp.p12 -nocerts -nodes -out temp.key
b. パブリックキーを抽出します。
$ openssl pkcs12 -in temp.p12 -nokeys -clcerts -out temp.pem
c. CA 証明書なしで PKCS#12 ファイルを作成します。
$ openssl pkcs12 -export -in temp.pem -inkey temp.key -out repl.p12 -name 'ca1/replica'
ca1/replica を証明書のニックネームに置き換えてください。
3. 作成した証明書を Directory Server の NSSDB データベースにインポートします。
$ pk12util -d /etc/dirsrv/slapd-EXAMPLE-COM -K '' -i repl.p12
4. 一時証明書ファイルを削除します。
$ rm -f temp.p12 temp.key temp.pem repl.p12
5. 以下が含まれる /tmp/enable_ssl.ldif というファイルを作成します。
dn: cn=encryption,cn=config
changetype: modify
replace: nsSSL3
nsSSL3: off
-
replace: nsSSLClientAuth
nsSSLClientAuth: allowed
-
replace: nsSSL3Ciphers
nsSSL3Ciphers: default

dn: cn=config
changetype: modify
replace: nsslapd-security
nsslapd-security: on
6. LDAP 設定を変更して SSL を有効にします。
$ ldapmodify -H "ldap://localhost" -D "cn=directory manager" -f /tmp/enable_ssl.ldif -w dm_password
dm_password は Directory Manager のパスワードに置き換えてください。
7. 以下が含まれる /tmp/add_rsa.ldif というファイルを作成します。
dn: cn=RSA,cn=encryption,cn=config
changetype: add
objectclass: top
objectclass: nsEncryptionModule
cn: RSA
nsSSLPersonalitySSL: ca1/replica
nsSSLToken: internal (software)
nsSSLActivation: on
ca1/replica を証明書のニックネームに置き換えてください。
8. エントリーを LDAP に追加します。
$ ldapadd -H "ldap://localhost" -D "cn=directory manager" -f /tmp/add_rsa.ldif -w dm_password
dm_password は Directory Manager のパスワードに置き換えてください。
9. 一時ファイルを削除します。
$ rm -f /tmp/enable_ssl.ldif /tmp/add_rsa.ldif
10. ディレクトリーサーバーを再起動します。
# systemctl restart dirsrv@EXAMPLE-COM.service
この手順の実行後、LDAPS が有効になり、レプリカで ipa-ca-install を実行できるようになります (BZ#1365858)。

外部 CA の IdM へのインストール後、サードパーティーの証明書信頼フラグがリセットされる

外部 CA (認証局) を既存の IdM (Identity Management) ドメインにインストールするために使用される ipa-ca-install --external-caコマンドは、ユーザーが外部 CA に提出する必要がある CSR (証明書署名リクエスト) を生成します。
以前インストールしたサードパーティーの証明書を使用して CSR に署名すると、NSS データベースのサードパーティー証明書信頼フラグがリセットされます。そのため、信頼できる証明書として認識されなくなります。さらに、mod_nss モジュールによって実行されるチェックに失敗し、 httpd サービスが起動しません。このような場合、CA のインストールに失敗し、以下のメッセージが表示されます。
CA failed to start after 300 seconds
この問題を回避するには、上記のメッセージが表示された後にサードパーティーの証明書フラグを以前の状態にリセットし、httpd を再起動します。たとえば、ca1 証明書に C,, 信頼フラグがあった場合は以下を実行します。
# certutil -d /etc/httpd/alias -n 'ca1' -M -t C,,
# systemctl restart httpd.service
これにより、システムが適切な状態に復元されます (BZ#1318616)。

realmd が AD からコンピューターアカウントを削除できない

Red Hat Enterprise Linux は、AD (Active Directory) ドメインメンバーシップのデフォルトのバックエンドとして Samba を使用します。realm joinコマンドで --computer-name オプションを使用してコンピューター名を手動で設定する場合、ドメインから脱退した後に AD からそのアカウントを削除できません。この問題を回避するには、--computer-name オプションを使用せずに、コンピューター名を /etc/realmd.conf ファイルに追加します。例を以下に示します。
[domain.example.com]
computer-name = host_name
このように対応すると、ホストは正常にドメインへ参加し、realm leave --remove コマンドを使用してドメインから脱退するとアカウントが自動的に削除されます (BZ#1370457)。

SSSD が LDAP ツリーから autofs マッピングを管理できない

RFC2307 LDAP スキーマの使用時、SSSD (System Security Services Daemon) が autofs マッピングの誤ったデフォルト値を実装しました。パッチが適用され、スキーマと一致するようデフォルトが修正されました。しかし、以前使用したスキーマ SSSD とのマッピングが含まれる LDAP サーバーに接続するユーザーは autofs 属性を読み込みできません。影響を受けるユーザーは、以下のエラーが /var/log/messages ログファイルに記録されます。
Your configuration uses the autofs provider with schema set to rfc2307 and default attribute mappings. The default map has changed in this release, please make sure the configuration matches the server attributes.
この問題を回避するには、/etc/sssd/sssd.conf ファイルを編集し、既存の属性マッピングを使用するようドメインを設定します。
[domain/EXAMPLE]
...
ldap_autofs_map_object_class   = automountMap
ldap_autofs_map_name           = ou
ldap_autofs_entry_object_class = automount
ldap_autofs_entry_key          = cn
ldap_autofs_entry_value        = automountInformation
この結果、SSSD は属性から autofs マッピングを読み込みできるようになります (BZ#1372814)。

pkispawn の依存関係リストに openssl が含まれない

openssl パッケージがインストールされていない場合、pkispawn ユーティリティーを実行できず、以下のエラーが表示されます。
Installation failed: [Errno 2] No such file or directory
この問題は、pki-core 内に含まれる pki-server パッケージのランタイム依存関係として openssl パッケージが含まれていないため発生します。この問題を回避するには pkispawn の実行前に openssl をインストールします (BZ#1376488)。

多数のユーザーを列挙すると CPU の負荷が高くなり、他の操作が遅くなる

etc/sssd/sssd.conf ファイルに enumerate=true が設定され、LDAP サーバーに多数のユーザー (たとえば 30,000 ユーザー) が存在する場合、以下のようなパフォーマンスの問題が発生します。
  • sssd_be プロセスが CPU リソースの約 99% を消費する。
  • ローカルユーザーとしてのログインやログアウトなど、一部の操作の完了に予想外の時間がかかる。
  • sysdb および timestamp キャッシュで ldbsearch 操作の実行に失敗し、インデックスおよび完全検索の両方に失敗したというエラーが報告される。
これは新たな既知の問題ではなく、以前のリリースの SSSD でも問題が発生することに注意してください (BZ#888739, BZ#1379774)。

スマートカードを使用して GDM を認証できない

スマートカード認証を使用する場合、ログイン名が Kerberos ユーザープリンシパル名 (UPN) であるかを SSSD (System Security Services Daemon) の PAM レスポンダーが検証できません。そのため、ユーザープリンシパル名 (PAM) をログイン名として使用すると gdm-password プラグ可能認証モジュール (PAM) がスマートカード PIN のプロンプトではなくパスワードプロンプトを表示しました。そのため、GNOME ディスプレイマネージャー (GDM) へのスマートカード認証に失敗します (BZ#1389796)。

ユーザー名が大文字または大文字と小文字が混ざっていると ipa passwd コマンドを実行できない

IdM (Identity Management) 4.4.0 ではすべてのコマンドでユーザープリンシパルの処理が統一されましたが、一部のコマンドは完全に変更されませんでした。そのため、ユーザー名が大文字であったり大文字と小文字が混ざっていると、ipa passwd コマンドの実行に失敗します。この問題を回避するには、ipa passwd コマンドを使用するときにユーザー名に小文字のみを使用するようにします (BZ#1375133)。

IdM web UI が失効した証明書の状態を正しく認識しない

現在、IdM (Identity Management) web UI は証明書の失効の有無を判断することができません。そのため、以下のような問題が発生します。
  • ユーザー、サービス、またはホスト詳細ページから証明書を見ると、Revoked サインが表示されません。
  • 詳細ページで Revoke アクションが使用可能になります。すでに失効した証明証を失効しようとするとエラーダイアログが表示されます。
  • Certificate Hold (失効の理由 6) により、証明書が失効しても Remove Hold ボタンが常に無効化されます (BZ#1371479)。

SSSD が AD からの sudoUser 属性の値に小文字のみを適用

SSSD (System Security Services Daemon) が AD (Active Directory) から sudo ルールを取得する場合、 sudoUser 属性の大文字と小文字がルールが割り当てられたユーザーの samAccountName 属性と一致する必要があります。Red Hat Enterprise Linux 7.3 での不具合により sudoUser 属性が小文字の値のみと一致します。この問題を回避するには、sudoUser 属性の値を小文字に変更します。このように対応すると、sudoUser ルールは適切に適用されます (BZ#1380436)。

ipa-client および ipa-admintools パッケージを更新できない

Red Hat Enterprise Linux 7.2 から Red Hat Enterprise Linux 7.3 へのアップグレード中、ipa-client および ipa-admintools パッケージの更新に失敗することがあります。この問題を回避するには、Red Hat Enterprise Linux 7.3 にアップグレードする前に ipa-client および ipa-admintools をアンインストールし、その後これらのパッケージの新しいバージョンをインストールします (BZ#1390565)。

SSSD をアップグレードすると、sssd プロセスが終了することがある

sssd プロセスが予想よりも長い時間アクションを実行する場合は、内部ウォッチドッグプロセスが処理を終了します。 ただし、sssd プロセスは再び起動されません。この問題は通常、SSSD データベースに大量のエントリーが含まれる場合に、低速のシステムで SSSD をアップグレードしようとするときに発生します。
この問題を回避するには、以下の手順を実行します。
1. 中央認証サーバーが利用可能であることを確認します。これにより、ユーザーは次の手順で SSSD キャッシュを削除する前に認証することができます。
2. アップグレードする前に sss_cache ユーティリティーを使用して SSSD キャッシュを削除します。
この既知の問題に対する修正は、次のアップデートで利用できます (BZ#1392441)。

bind-dyndb-ldap スキーマエラーのためディレクトリーサーバーが失敗

ID 管理に含まれる bind-dyndb-ldap LDAP スキーマのバージョンは構文エラーを含み、1 つの属性の説明がありません。ユーザーがこのスキーマのバージョンを使用する場合、ディレクトリーサーバーコンポーネントは起動に失敗します。結果的に、正しくない構文についてユーザーに通知するエラーメッセージがジャーナルに記録されます。
この問題を回避するには、以下の手順を実行します。
  1. 修正されたスキーマファイルをアップストリーム git.fedorahosted.org リポジトリーから取得します。
    # wget https://git.fedorahosted.org/cgit/bind-dyndb-ldap.git/plain/doc/schema.ldif?id=17711141882aca3847a5daba2292bcbcc471ec63 -O /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif
  2. 修正されたスキーマファイルをディレクトリーサーバーのインスタンス設定フォルダーにコピーします。
    # cp /usr/share/doc/bind-dyndb-ldap-10.0/schema.ldif /etc/dirsrv/slapd-[EXAMPLE-COM]/schema/[SCHEMA_FILE_NAME].ldif
  3. ディレクトリーサーバーを再起動します。
    # systemctl restart dirsrv.target
(BZ#1413805)

第52章 コンパイラーとツール

Oprofile ユーティリティーはデフォルトではカーネルコード内のパフォーマンスデータを収集できない

Red Hat Enterprise Linux 7.3 のカーネルでは、/proc/sys/kernel/perf_event_paranoid のデフォルト値が 1 から 2 に変わりました。そのため、カーネル内のコードのパフォーマンスイベントのデータを収集するのに root 権限が必要となります。occount または operf ユーティリティーを標準ユーザーとして実行する場合には、デフォルトのパフォーマンスイベントがカーネルとユーザーコードの両方からデータの収集を試みるので、デフォルトの perf_event_paranoid 設定が原因でパフォーマンスイベントの設定が失敗します。
この問題を回避するには、/proc/sys/kernel/perf_event_paranoid で値を 1 に変更します。変更できない場合には、代わりに ophelp -d コマンドを実行して、そのマシン上で使用されるデフォルトイベントを特定し、そのイベントの末尾を :1:1 から :0:1 に明示的に変更して、カーネル空間におけるデータ収集を無効にします。以下に例を示します。
$ operf -e CPU_CLK_UNHALTED:100000:0:0:1 true
結果として、/proc/sys/kernel/perf_event_paranoid を変更するか、標準ユーザーのカーネルイベントのモニタリングを明示的に無効にすると、データの収集が可能となり、この問題が回避されます (BZ#1349077)。

pesign キーデータベースではパーミッションを手動で変更して、改善されたアクセス権制御を有効にする必要がある

UEFI バイナリーの署名に使用される pesign キーデータベースは、より汎用化されたデータベースのアクセス権設定方法を提供します。システム全体のキーデータベースでパーミッションを設定できるようになったので、任意のユーザーまたはグループにアクセス権を付与することができます。
ただし、pesign のパーミッション設定における既知の問題により、現在、この新機能は正常に動作しません。改善されたアクセス制御を有効にするには、そのパーミッションを手動で pesign に変更する必要があります。
chmod 0660 /etc/pki/pesign/*
chmod 0770 /etc/pki/pesign
これらのパーミッションを設定した後は、改善されたアクセス制御が使用できるようになります。これらの手順を実行しなかった場合、pesign の動作は以前のリリースと全く同じになります (BZ#1141263)。

第53章 デスクトップ

ノートパソコンを閉じると、GNOME マルチディスプレイ設定が維持されない

外部ディスプレイに接続されているノートパソコンで GNOME グラフィカル環境を使用している場合、ノートパソコンを閉じてサスペンド状態にするとディスプレイ間でウィンドウやアイコンが移動し、システム再開時にディスプレイレイアウトがリセットされてしまう場合があります。この問題を回避するには GNOME ディスプレイインターフェースを開き、ディスプレイ設定を再読み込みします (BZ#1360906)。

第54章 ファイルシステム

デフォルトオプションの仕様が /etc/exports のホスト固有のオプションによって上書きされない

/etc/exports ファイルのデフォルトオプションのセクションで sec=sys を使用する場合に、その後に続くオプションの一覧が正しく解析されません。そのため、デフォルトのオプションをホスト固有のオプションで上書きすることはできません (BZ#1359042)。

第55章 ハードウェアの有効化

DDF ベースの RAID に依存するプラットフォームはサポートされない

DDF (ディスクデータフォーマット) ベースの BIOS RAID は現在 Red Hat Enterprise Linux でサポートされていません。これには、megasr 専用ドライバーが必要な LSI BIOS を使用するシステムが含まれます。
ただし、ServeRAID アダプターが搭載されている IBM z Systems サーバーなどの特定システムでは、BIOS で RAID を無効にすることができます。これを実行するには、UEFI メニューを実行し、System Settings and DevicesI/O Ports メニューから Configure the onboard SCU サブメニューに移動します。次に、SCU 設定を RAID から nonRAID に変更します。変更を保存してからシステムを再起動します。このモードでは、ストレージは Red Hat Enterprise Linux で利用可能な mptsasmpt2sas、または mpt3sas などのオープンソースの non-RAID LSI ドライバーを使用して設定されます。
IBM システムの megasr ドライバーを取得するには、IBM サポートページを参照してください。
この制約は megaraid ドライバーを使用する LSI アダプターには適用されないことに注意してください。このアダプターはファームウェアに RAID 機能を実装しているためです (BZ#1067292)。

第56章 インストールと起動

Dell Latitude E6430 ラップトップが予期せずシャットダウンする

Nvidia グラフィックカードが搭載された Dell Latitude E6430 ラップトップの BIOS 設定で Nvidia Optimus が有効化された状態で起動すると、システムが Nvidia GPU を使用しようとした途端すぐにシャットダウンしてしまいます。また、次回の起動時に BIOS では system board thermal trip エラーと間違って表示されます。この問題を回避するには、起動時に nouveau.runpm=0 パラメーターを使用します。ただし nouveau.runpm=0 を使用すると電源の消費量が増加する可能性がある点に注意してください (BZ#1349827)。

/boot パーティションのサイズが十分でないため、システムのアップグレードができない

/boot パーティションにはインストール済みのカーネルや初期 ram ディスクが含まれていますが、複数のカーネルや kernel-debug などのパッケージが追加でインストールされると、満杯になってしまう場合があります。これは、インストール中にこのパーティションのサイズがデフォルトの 500 MB に設定されることが原因で発生し、システムがアップグレードできなくなります。
回避策としては、yum を使用して不要になった古いカーネルを削除します。
この既知の問題は、Red Hat Enterprise Linux 7.2 以前のインストールのみで影響を受けます。Red Hat Enterprise Linux 7.3 では、/boot パーティションのデフォルトサイズが 1 GB に増加しており、今後のアップグレードではこの問題は回避されます (BZ#1270883)。

Anaconda のキックスタートが短すぎるパスワードを受け入れる

キックスタートファイルを使用して Red Hat Enterprise Linux 7 をインストールする際に、パスワードの強度が十分である場合 (デフォルトのクォリティー値は 50 以上)、Anaconda インストーラーは --minlen のキックスタートオプションで定義した最小長よりも短いパスワードを即座に受け入れます (BZ#1383718、BZ#1356975)。

SCAP パスワード長の要件がキックスタートのインストールで無視される

対話式のキックスタートのインストールでは、SCAP ルールで定義したパスワード長のチェックは強制されず、短い root パスワードでも受け入れます。この問題を回避するには、キックスタートファイルの pwpolicy root コマンドで pwpolicy root のオプションを使用してください。

静的 IP アドレスを使用した iSCSI のインストール後にネーム サーバーが /etc/resolv.conf に含まれない

静的 IP アドレスを使用したインターフェースから iSCSI ターゲット上のルートファイルシステムに接続する場合、インストールされたシステムではネームサーバーが設定されません。この問題を回避するには、インストールされたシステムのブートローダー設定に nameserver=<IP> カーネルオプションを追加します (BZ#1363831)。

EAV DASD でのインストール時に Standard Partition レシピにもとづいてパーティションスキームを生成できない

Extended Address Volume (EAV) などの十分に大きい Common Disk Layout (CDL) Direct Access Storage Device (DASD) をインストールする場合に、インストーラーは /、スワップ、および /boot 以外に /home パーティションを作成しようとします。CDL DASD では 3 つのパーティションのみ存在することができるため、エラーが発生します。この問題を回避するには、ディスクレイアウトを手動で作成します。また、複数の論理ボリューム (LV) で構成される LVM を使用することもできますが、/boot は独立した標準パーティションに存在する必要があります (BZ#1370173)。

Anaconda でパスワードなしのユーザーを作成できない

現在は、対話式のインストール中に、Anaconda GUI の このアカウントを使用する場合にパスワードを必要とする オプションのチェックを解除することができず、パスワードなしのユーザーアカウントを作成できません。この問題を回避するには、pwpolicy user の行の --emptyok オプションでキックスタートファイルによるインストールを使用します (BZ#1380277)。

Anaconda キックスタートのインストールが --changesok オプションを認識しない

現在、Red Hat Enterprise Linux 7 のインストール時にキックスタートファイルからの --changesok オプションを使用すると、Anaconda インストーラーが root パスワードを正しく変更できません (BZ#1356966)。

ハードディスクドライブ上の ISO ファイルを Anaconda TUI によりマウントできない

ハードディスクドライブ上の ISO ファイルを Anaconda Terminal User Interface (TUI) によってマウントできません。したがって、ハードディスク上の ISO ファイルをインストールソースとして使用できません。ハードディスク上の ISO ファイルからインストールしようとすると、No mountable devices found エラーが表示されます。
コマンドラインで inst.repo=hd:/dev/<hard disk>:/ parameter を使用することはできますが、インストーラーでネットワーク設定を変更できません。したがって、インストールソースはリセットされ、ISO ファイルに再びアクセスできなくなります (BZ#1369818)。

SSH 経由で IBM z システムにアクセスする場合はグラフィカルインターフェースで初期設定を開くことができない

SSH を使用して IBM z システムマシンに接続している場合に、X 転送機能を有効化していても Red Hat Enterprise Linux 7 のインストール後の初期設定インターフェースがテキストバージョンで開きます。

UEFI と IPv6 を使用して PXE ブートを行うと、オペレーティングシステムの選択メニューの代わりに grub2 シェルが表示される

Pre-Boot Execution Environment (PXE) が UEFI と IPv6 が設定されたクライアントで起動すると、/boot/grub/grub.cfg ファイルで設定された起動メニューが表示されず、次のことが起こります。クライアントが期待される DHCPv6 サブネットから IPv6 アドレスを取得し、PXE サーバーから .../grubx64.efi netboot イメージをダウンロードします。タイムアウト後に、設定されたオペレーティングシステムの選択メニューの代わりに GRUB2 シェルが表示されます (BZ#1154226)。

HTTP キックスタートのソースからインストールする場合に FIPS モードがサポートされない

HTTPS キックスタートのソースでインストールする際に、インストールイメージで FIPS モードがサポートされていないため、現在コマンドラインに fips=1inst.ks=https://<location>/ks.cfg オプションを追加してシステムをインストールすることができません (BZ#1341280)。

Geolocation サービスが有効になっている場合に通常以上にインストール時間が必要

インターネットアクセスなし、またはインターネットアクセスに制限がある状態で、Red Hat Enterprise Linux 7.3 をインストールする場合は、インストーラーは、セキュリティーポリシーのセクションが Not ready と表示され、インストール概要画面で数分止まります。そのため、インストールが次のステップに進むまで余分な時間が追加されてしまいます。
この問題を回避するには、起動コマンドラインに inst.geoloc=0 オプションを追加して geolocation サービスを無効にします (BZ#1380224)。

第57章 カーネル

SCTP パフォーマンスと転送速度が向上

SCTP (Stream Control Transmission Protocol) 実装は、CPU リソースを大量に消費することで知られています。そのため、CPU のリソースが不足していると、転送速度を上げるのが困難になります (たとえば、単一のアソシエーションで 10 Gbps など)。今回の更新では、特定の SCTP 処理で CPU の使用量が削減される改良が加えられ、SCTP のパフォーマンスが改善されました。その結果、状況によって転送速度が向上されます。
この更新は、SCTP による 10Gbps の転送速度を保証するものではありません (BZ#1058148)。

トランスポートまたはアソシエーションを検索するとカーネルパニックが発生することがある

Use-after-free バグが原因で、カーネルの SCTP (Stream Control Transmission Protocol) 実装は使用中にトランスポートパスへのポインターを保持しません。そのため、別の CPU がポインターを開放し、利用できないはずのメモリーへアクセスできるため、カーネルパニックが発生します。この問題解決への取り組みは https://bugzilla.redhat.com/show_bug.cgi?id=1368884 で確認できます (BZ#1368884)。

dracut が存在しない /etc/hba.conf に関する悪影響のないエラーメッセージを表示

dracut で FCoE (Fibre Channel over Ethernet) サポートを持つ初期 RAM ファイルシステム (initramfs) を作成する場合、/etc/hba.confファイルが存在しないと dracut がエラーメッセージを表示します。このメッセージは無視しても問題ありません (BZ#1373129)。

kdump がレガシーの Type 12 永続メモリーで動作しない

レガシーの Type 12 NVDIMM (Non-Volatile Dual In-line Memory Module) を持つシステムでは、真の DIMM (Dual In-line Memory Module) または _memmap=XG!YG カーネルコマンドラインパラメーターを使用したエミュレートのどちらの場合でも、正常にカーネルクラッシュダンプをキャプチャーできません。真の NVDIMM を持つシステムでは、カーネルクラッシュダンプをキャプチャーしようとすると、データが破損することがあります。この問題を回避するには、このようなシステムで kdump 機能を無効にします (BZ#1351098)。

megaraid_sas を更新するとパフォーマンスが劣化することがある

megaraid_sas ドライバーが 06.811.02.00-rh1 に更新され、以前のバージョンにパフォーマンスの改善点が多く加えられました。しかし、場合によっては SSD (Solid-state Drive) ベースの設定でパフォーマンスの劣化が報告されました。この問題を回避し、パフォーマンスを元の状態に戻すには、/sys/ ディレクトリーの対応する can_queue パラメーターをより大きな値 (最大値 256) に設定します (BZ#1367444)。

xgene-enet が空きメモリーが少ない状態を処理しない

現在、xgene_enetドライバーはメモリー不足エラーを適切に処理しません。このようなエラーが発生すると、ドライバーが予期せず終了することがあり、カーネルバックトレースをシリアルコンソールおよび dmesg ログに返します。その結果、システムはネットワーク上で通信できなくなり、再起動する必要があります (BZ#1248185)。

一部の NIC ファームウェアが bnx2x で反応しない

プリブートドライバーのアンロードシーケンスのバグにより、 bnx2x ドライバーがデバイスを引き継いだ後に一部のインターネットアダプターのファームウェアが反応しなくなります。 bnx2x ドライバーはこの問題を検出し、storm stats were not updated for 3 times というメッセージをカーネルログに返します。この問題を回避するには、ハードウェアベンダーが提供する最新の NIC ファームウェアの更新を適用します。これにより、プリブートファームウェアのアンロードが想定どおりに動作し、bnx2x がデバイスを引き継いだ後もファームウェアはハングしないようになります (BZ#1315400)。

kdump メカニズムの適切な機能を利用するために FCoE サーバーのデフォルト設定を変更

FCoE (Fibre Channel over Ethernet) サーバーのディスクは、異なるインターフェースからディスクがシステムに接続できるマルチパスストレージシステムを使用します。システムには複数の論理ディスクが存在しますが、1 つの真のディスクへのみマッピングされます。そのため、デフォルト設定では FCoE サーバーは kdump カーネルで起動できません。kdump メカニズムの正しい機能を利用するため、FCoE ディスクの UUID (Universally Unique Identifier) を指定することが推奨されます。また、ディスクがより効率的に管理されるようにするため、multipath オプションを有効にすることも推奨されます (BZ#1293520)。

iSCSI 接続によって I/O エラーが発生

Red Hat Enterprise Linux 7.3 は、SCSI ディスクの I/O リクエストを最大 512Kib に制限しないようになりました。そのため、Red Hat Enterprise Linux 7.3 で実行しているゲストが、fileio バックストアを使用するよう設定され古いバージョンの Red Hat Enterprise Linux を実行している iSCSI ターゲットに接続すると、ログに警告メッセージが表示され、パフォーマンスも悪影響を受けます。この問題を回避するには、システムに udev ルールをインストールし、I/O リクエストのサイズを最大 4096Kib に制限します。fileio バックストアの問題は、iSCSI ターゲットを Red Hat Enterprise Linux 7.3 にアップグレードすると修正されます (BZ#1387858)。

ディスプレイポートケーブルが接続されていると MST ディスプレイが反応しない

以前のリリースでは、無関係の dp-aux メッセージが I2C デバイスの読み書きを実装した dp-aux メッセージのシーケンスを割り込みしたため、ディスプレイポートケーブルが接続されていると Dell MST ディスプレイが反応しなくなりました。今回の更新により、 I2C-over-dp-aux シーケンスが無関係の MST 設定メッセージによって割り込みされなくなり、このような状況でも MST ディスプレイが反応するようになりました (BZ#1274157)。

IBM Power Systems で fadump が以前に使用された場合に kdump が失敗する (両方がネットワークターゲットを使用する場合)

同じシステムが firmware-assisted dumping (fadump) を使用し、ダンプをリモートで保存するよう以前に設定された場合に、kdump カーネルクラッシュダンプメカニズムがネットワークの場所へのダンプの保存に失敗します。これは、メカニズムが kdump に切り替えられたときに、設定されたネットワークインターフェースに kdump- 接頭辞が追加されるが、fadump により同じ接頭辞がすでに設定されているためです。結果として、インターフェース名は kdump-kdump-eth0 になり、最後の 0 は切り捨てられます。この結果、無効なインターフェース名 kdump-kdump-eth になり、kdump がインターフェースへのアクセスとリモートターゲットへのクラッシュダンプの保存に失敗するようになります。
この問題を回避するには、以下の手順を実行します。
1. 現在の /boot/initramfs-$kver.img initrd を /boot /initramfs-$kver.img.default ファイルに置き換えます。
2. 再起動後にkdump initrd の再ビルドを強制するために touch /etc/kdump.conf コマンドを実行します。
3. システムを再起動します (BZ#1372464)。

第58章 ネットワーク

MD5 ハッシュアルゴリズムを使用した署名の検証が Red Hat Enterprise Linux 7 で無効になる

MD5 で署名された証明書を必要とする Wi-Fi Protected Access (WPA) Enterprise Access Point (AP) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。
Environment=OPENSSL_ENABLE_MD5_VERIFY=1
次に root として systemctl daemon-reload コマンドを実行し、サービスファイルを再読み込みします。
重要: MD5 証明書は安全性が非常に低いため、Red Hat では使用を推奨していません (BZ#1062656)。

第59章 セキュリティー

Red Hat Enterprise Linux 6 の scap-security-guide サンプルキックスタートファイルの使用は非推奨

Red Hat Enterprise Linux 7 の scap-security-guide パッケージに含まれる Red Hat Enterprise Linux 6 のサンプルキックファイルは、最新バージョンの scap-security-guide パッケージをアップストリームリポジトリーから直接インストールします。つまりこれは、このバージョンは Red Hat Quality Engineering チームによって検査されていないことを意味します。この問題を回避するには、現行の Red Hat Enterprise Linux 6 リリースに含まれる scap-security-guide パッケージの修正された Red Hat Enterprise Linux 6 サンプルファイルを使用するか、またはキックスタートファイルの %post セクションを手動で変更します。Red Hat Enterprise Linux 7 のサンプルキックスタートファイルはこの問題の影響を受けないことに注意してください (BZ#1378489)。

openscap パッケージは atomic を依存関係としてインストールしない

OpenSCAP スイートは SCAP (Security Content Automation Protocol) 標準の統合を可能にします。現行バージョンでは、atomic scan および oscap-docker コマンドを使用してコンテナーをスキャンする機能を追加しています。ただし、openscapopenscap-utils、および openscap-scanner パッケージのみをインストールする場合、atomic パッケージはデフォルトでインストールされません。そのため、いずれのコンテナースキャンコマンドもエラーメッセージを出して失敗します。この問題を回避するには、root で yum install atomic コマンドを実行して atomic パッケージをインストールします (BZ#1356547)。

CIL には個別のモジュールステートメントがない

新規の SELinux ユーザースペースではモジュールストアの SELinux Common Intermediate Language (CIL) を使用します。CIL はファイルをモジュールとして処理しますが、個別のモジュールステートメントを持たないため、モジュールの名前はファイル名に基づいて付けられます。そのため、ポリシーモジュールの名前がそのベースファイル名と同じではなく、 semodule -l コマンドがモジュールバージョンを表示しない場合に混乱が生じる可能性があります。さらに、semodule -l は無効にされたモジュールを表示しません。この問題を回避するには、semodule --l=full コマンドを使用してすべてのモジュールを一覧表示します (BZ#1345825)。

第60章 サーバーとサービス

ReaR は 1 つではなく 2 つの ISO イメージを作成

ReaR では、OUTPUT_URL ディレクティブにより レスキューシステムが含まれている ISO イメージの場所を指定することができます。現在、このディレクティブを設定すると、ReaR は、ISO イメージのコピーを 2 つ作成します (指定したディレクトリーに 1 つと /var/lib/rear/output/ のデフォルトディレクトリー 1 つ)。このため、イメージを保管する追加の容量が必要となります。これは、ISO イメージに完全なシステムのバックアップが含まれる場合に特に重要となります (BACKUP=NETFSBACKUP_URL=iso:///backup/ の設定を使用)。
この動作による問題を回避するには、ReaR の作業が終了したら追加の ISO イメージを削除するか、イメージをデフォルトのディレクトリーに作成してから希望の場所に手動で移動することにより一定期間にストレージが 2 倍消費されるのを防ぎます。
この動作を変更して、ReaR が ISO イメージのコピーを 1 つだけ作成するようにするための機能拡張の要望があります (BZ#1320552)。

dovecotfirst_valid_uid のデフォルト値の変更

Red Hat Enterprise Linux 7 では、dovecot 内の first_valid_uid のデフォルト設定が 1000 に変わって、/etc/login.defsUID_MIN として指定されているシステム全体の設定と一致するようになりました。システムで UID_MIN が手動で 500 に変更されて、dovecot のデフォルト値に依存している場合には、dovecotfirst_valid_uid よりも低い ID をユーザーに提供しません。そのため、標準ユーザーの ID が 1000 の場合には、first_valid_uid を更新する必要があります。この作業を完了すると、dovecot が想定どおりに機能するようになります (BZ#1280433)。

第61章 ストレージ

クラスター内で RAID にシンプロビジョニングを加えた場合のサポートがない

RAID 論理ボリュームとシンプロビジョニングされた論理ボリュームはクラスター内でそれぞれ別にアクティブにされると使用が可能ですが、クラスター内では RAID にシンプロビジョニングを加えた場合は、サポートされていません。これは、この組み合わせが別々にアクティベートされても変わりません。現時点では、この組み合わせがサポートされるのは、LVM の単一マシンの非クラスター化されたモードのみになります (BZ#1014758)。

mirror セグメントタイプが使用された場合に lvmetad デーモンとの対話で問題が発生する

レガシーの mirror セグメントタイプを使用して 3 leg 以上のミラー論理ボリュームを作成すると、lvmetad デーモンとの対話で問題が発生する場合があります。この問題は、2 回目のデバイス失敗後にのみ発生し、ミラー障害ポリシーがデフォルト以外の allocate オプションに送信され、lvmetad が使用されて、デバイスの失敗イベント間にマシンの再起動が行われない場合に発生します。最も簡単な回避策は、lvm.conf ファイル内で use_lvmetad = 0 を設定して lvmetad を無効にすることです。
この問題は、Red Hat Enterprise Linux 7 のデフォルトタイプである raid1 セグメントタイプでは発生しません (BZ#1380521)。

RAID4 および RAID10 論理ボリュームのあるシステムでの Red Hat Enterprise Linux 7.3 アップグレードに関する重要な制限

RAID4 および RAID10 論理ボリュームのあるシステムでの Red Hat Enterprise Linux 7.3 アップグレードには、以下の重要な制限が適用されます。
  • 既存の LVM RAID4 または RAID10 論理ボリュームのあるシステムを Red Hat Enterprise Linux 7.3 にアップグレードしないでください。これらの論理ボリュームがアクティベートに失敗します。これら以外のタイプには影響ありません。
  • 既存の RAID4 または RAID10 論理ボリュームがなく、アップグレードする場合は、新規の RAID4 論理ボリュームを作成しないでください。新規に作成したこの論理ボリュームが今後のリリースや更新でアクティベートしなくなる可能性があります。Red Hat Enterprise Linux 7.3 では RAID10 論理ボリュームを作成することが安全策になります。
  • 既存の RAID4 および RAID10 論理ボリュームと RAID4 論理ボリュームの新規作成が Red Hat Enterprise Linux 7.3 でアクティベートするように、z-stream フィクスを開発中です (BZ#1385149)。

iSCSI ターゲットへの機能するネットワークパスがない場合にシステムが応答しなくなることがある

iSCSI ターゲットの使用時には、zfcp が SCSI 論理ユニット番号 (LUN) にアタッチされている必要があるので、イニシエーターからターゲットへの継続的なマルチパスが必要になります。swap が iSCSI でオンになっていて、ネットワークパスでエラー回復が発生した場合にシステムのメモリーが少なくなっていると、このシステムではエラーの回復に追加のメモリーが必要になります。このため、システムが応答しなくなることがあります。この問題を回避するには、swap からメモリーを取得できるように、iSCSI ターゲットまで機能するネットワークパスを確保します (BZ#1389245)。

lvextend コマンドで返される終了コードが変更された

これまでは、論理ボリュームのサイズが変更されない使用法で lvextend lvresize コマンドが実行されても、ファイルシステムのサイズ変更が試行されていました。この不要なファイルシステムのサイズ変更の試行が行われないようになり、これによってコマンドの終了コードが変更されました。LVM は、ゼロ (成功) およびゼロ以外 (失敗) を超えた終了コードの一貫性は保証していません (BZ#1354396)。

第62章 仮想化

特定のゲストを Red Hat Enterprise Linux 7.2 から 7.3 ホストに移行できない

今回の更新の前には、明示的に指定された model 値を持たない USB コントローラーの PCI アドレスは IBM Power ゲスト仮想マシンで無視されました。このバグは修正されましたが、この修正の結果、USB コントローラーの PCI アドレスが異なるためにこの USB コントローラーを使用するゲストの Red Hat Enterprise Linux 7.2 ホストから Red Hat Enterprise Linux 7.3 ホストへのライブ移行を実行できません。
この問題を回避するには、たとえば以下のようにゲスト XML ファイルを編集し、pci-ohci 値を USB <controller> 要素に設定した model 属性を追加します。
<controller type='usb' model='pci-ohci' index='0'>
  <address type='pci' domain='0x0000' bus='0x00' slot='0x05' function='0x0'/>
</controller>
次にゲストをシャットダウンしてから、変更を有効にするために再起動します。これでゲストを Red Hat Enterprise Linux 7.2 から 7.3 に移行できます (BZ#1357468)。

numad が QEMU メモリーバインディングを変更

現時点で numad デーモンは、numad が設定するメモリーバインディングとプロセスのメモリーマッピングで明示的に設定されるメモリーバインディングを区別できません。そのため、NUMA メモリーポリシーが QEMU コマンドラインで指定される場合でも numad は QEMU メモリーバインディングを変更します。この問題を回避するには、手動の NUMA バインディングがゲストに指定されている場合、numad を無効にします。これにより、仮想マシンで設定される手動バインディングは numad で変更されません (BZ#1360584)。

QEMU プロセスのメモリー使用量がマップされた hugetlbfs ページなしで表示される

マップされた hugetlbfs ページは、プロセスのメモリー使用量の計算時にカーネルで説明されません。そのため、top および ps などのコマンドは、仮想マシンが huge page を使用するように設定される場合にマップされた hugelbfs ページなしに QEMU プロセスのメモリー使用量を表示します (BZ#1221443)。

バージョン 2.6.0 より前の qemu-kvm では 2.88 MB フロッピーディスクをロードできない

バージョン 2.6.0 より前の qemu-kvm パッケージを使用する際、KVM ゲストは、2.88 MB フロッピーディスクがゲストの起動後に挿入される場合にこれをロードすることができません。この問題を回避するには、ゲストの起動前にフロッピーディスクを挿入するか、または qemu-kvm バージョン 2.6.0 以降を使用します (BZ#1209707)。

第63章 Atomic Host とコンテナー

SELinux により Docker がコンテナーを実行できない

/usr/bin/docker-current バイナリーファイルに不足しているラベルがあるため、Docker によるコンテナーの実行が SELinux によって阻止されます (BZ#1358819)。

付録A コンポーネントのバージョン

Red Hat Enterprise Linux 7.3 リリースを構成しているコンポーネントとそのバージョンを以下に示します。

表A.1 コンポーネントのバージョン

コンポーネント
バージョン
Kernel
3.10.0-514
QLogic qla2xxx ドライバー
8.07.00.33.07.3-k1
QLogic qla4xxx ドライバー
5.04.00.00.07.02-k0
Emulex lpfc ドライバー
0:11.1.0.2
iSCSI initiator utils
iscsi-initiator-utils-6.2.0.873-35
DM-Multipath
device-mapper-multipath-0.4.9-99
LVM
lvm2-2.02.166-1

付録B コンポーネント別の Bugzilla リスト

本付録では、本リリースノートに含まれるすべてのコンポーネントとそれらに関連する Bugzilla のリストを提供します。公開されている Bugzilla の番号には Bugzilla の詳細へのリンクが含まれています。

表B.1 コンポーネント別の Bugzilla リスト

コンポーネント新しい機能注目すべきバグ修正テクノロジープレビュー既知の問題
389-ds-baseBZ#1018944、BZ#1209094、BZ#1209128、BZ#1273549、BZ#1290111、BZ#1349571BZ#1186512、BZ#1273555、BZ#1278567、 BZ#1278755、BZ#1278987、BZ#1288229、BZ#1290242、BZ#1290600、 BZ#1295947、BZ#1302823、BZ#1303641、BZ#1304682、BZ#1307151、BZ#1310848、BZ#1314557、BZ#1315893、BZ#1316580、BZ#1320715、BZ#1321124、BZ#1331343、BZ#1332709、BZ#1340307、BZ#1342609、BZ#1355760、BZ#1360447、BZ#1370300BZ#1206301 
MySQL-pythonBZ#1266849   
NetworkManagerBZ#1142898、BZ#1259063、BZ#1262922、BZ#1367916BZ#1255507  
TPS   BZ#1274096、BZ#1379379
WALinuxAgentBZ#1387783   
abrtBZ#1277848、BZ#1277849、BZ#1281312   
accountsservice BZ#1341276  
adwaita-qtBZ#1306307   
anacondaBZ#1101653、BZ#1240379、BZ#1254368BZ#1255280、BZ#1255801、BZ#1259437、BZ#1265330、BZ#1266199、BZ#1267203、BZ#1267872、BZ#1268792、BZ#1269195、BZ#1271766 BZ#1356966、BZ#1363831、BZ#1369818、BZ#1370173、BZ#1380224、BZ#1380277、BZ#1383718
anaconda-user-help BZ#1260071、BZ#1275285  
arpwatchBZ#1291722   
auditBZ#1127343、BZ#1296204   
bash   BZ#1185416
bindBZ#1220594、BZ#1306610BZ#1278082、BZ#1294506  
bind-dyndb-ldap   BZ#1413805
binutilsBZ#1276755、BZ#1335313、BZ#1335684、BZ#1341730、BZ#1364516BZ#1243559、BZ#1300543  
booth  BZ#1302087 
brltty BZ#1324672  
certmonger BZ#1367683  
chkconfigBZ#1291340   
cifs-utils BZ#1289454、BZ#1351618  
clufter  BZ#1212909、BZ#1343661 
control-center BZ#1298951、BZ#1298952  
coreutilsBZ#1280357BZ#1284906、BZ#1309247、BZ#1321648  
corosync BZ#1289169、BZ#1306349、BZ#1336462  
cpuidBZ#1307043   
crashBZ#1292566   
crash-ptdump-commandBZ#1298172   
criu  BZ#1296578 
cups BZ#1302055  
curlBZ#1263318BZ#1260178、BZ#1269855、BZ#1275769  
custodiaBZ#1206288   
dbus BZ#1325870  
device-mapper-multipathBZ#1297456、BZ#1299651、BZ#1299652、BZ#1300415、BZ#1311659、BZ#1333331、BZ#1341748、BZ#1348372、BZ#1353357BZ#1241528、BZ#1241774、BZ#1253913、BZ#1255885、BZ#1269293、BZ#1272620、BZ#1280524、BZ#1283750、BZ#1288660、BZ#1291406、BZ#1292599、BZ#1296979、BZ#1299600、BZ#1299648、BZ#1304687、BZ#1311463、BZ#1313324、BZ#1319853、BZ#1323429、BZ#1333492、BZ#1347769、BZ#1350931、BZ#1356651、BZ#1363830、BZ#1368501  
device-mapper-persistent-dataBZ#1315452   
distributionBZ#1272603、BZ#1297815、BZ#1374826  BZ#1062656
dmraid BZ#1315644、BZ#1348289  
Docker   BZ#1358819
dovecotBZ#1229164  BZ#1280433
dracutBZ#1359144BZ#1276983 BZ#1373129
efibootmgrBZ#1271412   
elfutilsBZ#1296313   
ethtoolBZ#1318316   
fence-agents BZ#1313561  
firewalldBZ#1147500、BZ#1302802   
freerdp BZ#1275241  
ftp BZ#1304064  
gccBZ#1182152、BZ#1213268、BZ#1304449BZ#1289022、BZ#1357060  
gcc-librariesBZ#1265252   
gdbBZ#1182151BZ#1186918、BZ#1265351、BZ#1326476  
gfs2-utilsBZ#1196321、BZ#1268045、BZ#1271674   
ghostscript BZ#1302121  
gimpBZ#1298226   
gimp-helpBZ#1370595   
glibcBZ#1211823、BZ#1213267、BZ#1268008、BZ#1292018、BZ#1296297、BZ#1298526、BZ#1335286BZ#1027348、BZ#1211100、BZ#1276753、BZ#1293916、BZ#1308728  
gnome-boxes BZ#1015199、BZ#1043950  
gnome-documents BZ#958690  
gnome-packagekit BZ#1290868  
gnome-shell-extensions BZ#1302864  
gnome-terminalBZ#1296110、BZ#1300826   
gnutlsBZ#1110750   
grub2 BZ#1226325、BZ#1279599 BZ#1154226
gssproxyBZ#1092515、BZ#1292487BZ#1340259  
haproxy BZ#1300392  
initial-setup BZ#1249598 BZ#1378082
initscripts BZ#1281821  
ipaBZ#747612、BZ#768316、BZ#825391、BZ#826790、BZ#837369、BZ#1084018、BZ#1146860、BZ#1200731、BZ#1211595、BZ#1212713、BZ#1224057、BZ#1274524、BZ#1287194、BZ#1292141、BZ#1298288、BZ#1298848、BZ#1298966、BZ#1314786、BZ#1320838、BZ#1328552BZ#1196958、BZ#1290142、BZ#1294503、BZ#1318169、BZ#1343142、BZ#1348560、BZ#1356146、BZ#1357488、BZ#1364113、BZ#1368424、BZ#1368981BZ#1115294、BZ#1298286、BZ#1317379BZ#1318616、BZ#1358457、BZ#1365858、BZ#1371479、BZ#1375133
iprouteBZ#1013584、BZ#1212026、BZ#1275426   
iprutilsBZ#1274367BZ#1297921  
iputilsBZ#1273336   
ipxeBZ#1298313   
iw BZ#1324096  
iwpmdBZ#1331651   
ixpdimm_sw  BZ#1270993 
java-1.7.0-openjdk BZ#1296413、BZ#1302385  
java-1.8.0-openjdkBZ#1245810   
kernelBZ#727269、BZ#797488、BZ#838926、BZ#965453、BZ#1084618、BZ#1104151、BZ#1115947、BZ#1117093、BZ#1135562、BZ#1138650、BZ#1165316、BZ#1172351、BZ#1172819、BZ#1182021、BZ#1186835、BZ#1210350、BZ#1221311、BZ#1222936、BZ#1227339、BZ#1232050、BZ#1262031、BZ#1262728、BZ#1265259、BZ#1265339、BZ#1267398、BZ#1268334、BZ#1269051、BZ#1269281、BZ#1269626、BZ#1270763、BZ#1273115、BZ#1273499、BZ#1274471、BZ#1275423、BZ#1275711、BZ#1275829、BZ#1276458、BZ#1278794、BZ#1280133、BZ#1283886、BZ#1286946、BZ#1287040、BZ#1289929、BZ#1289933、BZ#1296707、BZ#1297039、BZ#1297465、BZ#1298446、BZ#1300325、BZ#1302101、BZ#1308703、BZ#1310154、BZ#1311631、BZ#1328874、BZ#1331018、BZ#1331578、BZ#1337587、BZ#1342989、BZ#1365689BZ#1073651、BZ#1152231、BZ#1172496、BZ#1241236、BZ#1245140、BZ#1252281、BZ#1257320、BZ#1258136、BZ#1262204、BZ#1263866、BZ#1264905、BZ#1264920、BZ#1264990、BZ#1265058、BZ#1265283、BZ#1266578、BZ#1266948、BZ#1267339、BZ#1270244、BZ#1270586、BZ#1271860、BZ#1272833、BZ#1273807、BZ#1273978、BZ#1276477、BZ#1279617、BZ#1287322、BZ#1289314、BZ#1289630、BZ#1290202、BZ#1290441、BZ#1298618、BZ#1301451、BZ#1341633、BZ#1361407、BZ#1367257BZ#916382、BZ#947163、BZ#1109348、BZ#1111712、BZ#1138782、BZ#1187762、BZ#1205497、BZ#1205873、BZ#1206277、BZ#1217590、BZ#1230959、BZ#1274459、BZ#1299662、BZ#1302147、BZ#1305092、BZ#1334675、BZ#1348508BZ#1058148、BZ#1221443、BZ#1274157、BZ#1293520、BZ#1315400、BZ#1349827、BZ#1351098、BZ#1367444、BZ#1368884、BZ#1385149、BZ#1387858
kernel-aarch64 BZ#1356009 BZ#1248185
kernel-rtBZ#1328607BZ#1209987、BZ#1258295、BZ#1269647、BZ#1303255BZ#1297061 
kexec-toolsBZ#1282554BZ#1180246 BZ#1372464
krb5BZ#1146945、BZ#1292153BZ#1347403  
kscBZ#906659BZ#1272348、BZ#1328384  
libcacard   BZ#1249116
libcxlBZ#1305080   
libdvdnavBZ#1068814   
libdvdreadBZ#1326238   
libguestfsBZ#1190669、BZ#1218766、BZ#1358332BZ#1173695、BZ#1225789  
libgweatherBZ#1371550   
libicaBZ#1274390   
libnftnl  BZ#1332585 
libnl3BZ#1296058   
libosinfoBZ#1257865、BZ#1282919   
libpfmBZ#1321051BZ#1276702  
libreofficeBZ#1290148   
libreportBZ#1258482、BZ#1289513   
libstoragemgmt  BZ#1119909 
libusnic_verbs  BZ#916384 
libvirtBZ#735385、BZ#846810、BZ#1215968、BZ#1325996BZ#1197592 BZ#1357468
libvmaBZ#1271624   
libvpdBZ#1182031   
logrotate BZ#1272236  
lorax BZ#1272658 BZ#1341280
lvm2BZ#1131777、BZ#1189221、BZ#1286285、BZ#1299977、BZ#1329235、BZ#1348336、BZ#1364244、BZ#1371597BZ#1274676BZ#1191630BZ#1014758、BZ#1354396、BZ#1380521
mcelogBZ#1336431   
mdadm BZ#1174622、BZ#1290494、BZ#1300579、BZ#1312837、BZ#1347749、BZ#1347762 BZ#1067292
memkindBZ#1210910   
memtest86+BZ#1280352   
mesaBZ#1263120   
microcode_ctl BZ#1292158  
mod_auth_openidcBZ#1292561   
mod_security_crsBZ#1150614   
mtx BZ#1298647  
mutter   BZ#1360906
nautilus BZ#1207646  
ndctlBZ#1271425   
nettleBZ#1252936   
nfs-utils   BZ#1359042
numactl BZ#1270734  
numad   BZ#1360584
nvme-cliBZ#1344730   
nvmlBZ#1274541   
opal-prdBZ#1224121   
open-vm-toolsBZ#1268537   
opencryptokiBZ#1185421   
openldapBZ#1292568BZ#1249093  
openscapBZ#1278147  BZ#1356547
opensslBZ#1225379   
oprofileBZ#1310950、BZ#1310951BZ#1264443、BZ#1272136、BZ#1335145 BZ#1349077
os-prober BZ#1300262  
oscap-anaconda-addon   BZ#1372791
その他BZ#1278795、BZ#1354626、BZ#1368484、BZ#1379689、BZ#1388471、BZ#1389121、BZ#1389316、BZ#1390661、BZ#1396085BZ#1262007、BZ#1360188、BZ#1360338、BZ#1369837BZ#1062759、BZ#1072107、BZ#1259547BZ#1350802、BZ#1358836、BZ#1389245、BZ#1390565
pacemakerBZ#1288929、BZ#1303765BZ#1219188、BZ#1268313、BZ#1284069、BZ#1286316、BZ#1287315、BZ#1287868、BZ#1337688、BZ#1338623、BZ#1346726  
pamBZ#1273373   
pam_krb5 BZ#1263745  
pam_pkcs11   BZ#1367919
papi BZ#1263666、BZ#1277931、BZ#1357587  
pavucontrolBZ#1210846   
pcpBZ#1284307   
pcsBZ#1164402、BZ#1315371、BZ#1315652、BZ#1327739 BZ#1158805、BZ#1305049 
perl BZ#1223045、BZ#1263734、BZ#1344749、BZ#1365991  
perl-IO-Socket-SSLBZ#1316377   
perl-Net-SSLeayBZ#1316379   
perl-Socket BZ#1200167  
pesign   BZ#1141263
phpBZ#1291667   
pidginBZ#1066457   
pki-coreBZ#1224365、BZ#1224642、BZ#1289323、BZ#1302136、BZ#1303175、BZ#1305622、BZ#1305992、BZ#1321491、BZ#1327683、BZ#1347466、BZ#1353005、BZ#1358439BZ#1082663、BZ#1224382、BZ#1274419、BZ#1308772、BZ#1329365、BZ#1331596 BZ#1246635、BZ#1376488
policycoreutils   BZ#1345825
polkit BZ#1310738  
poppler BZ#1298616、BZ#1299479、BZ#1299481、BZ#1299490、BZ#1299500、BZ#1299503、BZ#1299506  
powerpc-utils BZ#1347083、BZ#1366512  
procps-ng BZ#1169349、BZ#1262864、BZ#1284087  
protobuf-cBZ#1289666   
psacct BZ#1249665  
pykickstart BZ#1290244  
pythonBZ#1289277、BZ#1315758   
python-blivet BZ#1031589、BZ#1242666、BZ#1257997 BZ#1270883
python-dns BZ#1312770  
python-gssapiBZ#1292139   
python-netifacesBZ#1303046   
python-pycurlBZ#1260407BZ#1153321  
python-rhsmBZ#1104332、BZ#1346417   
python-schedutilsBZ#948381   
python-sphinx BZ#966954、BZ#1291573  
qemu-kvmBZ#1327599BZ#1265427、BZ#1299116、BZ#1299250BZ#1103193BZ#1209707
quotaBZ#1155584BZ#1072858、BZ#1207239、BZ#1305968  
realmdBZ#1293390  BZ#1370457
rear   BZ#1320552
resource-agents BZ#1325453  
rhythmboxBZ#1298233   
rpm  BZ#1278924 
rsyslogBZ#1223566、BZ#1303617   
rt-testsBZ#1346771   
rteval BZ#1312057  
RubyBZ#1197720   
sambaBZ#1263322、BZ#1303076BZ#1316899  
sapconf BZ#1228550、BZ#1235608  
scap-security-guide   BZ#1378489
scap-workbenchBZ#1202854   
selinux-policy BZ#1097775、BZ#1349356  
servicelogBZ#1182028   
sg3_utilsBZ#1170719BZ#1298739  
shadow-utilsBZ#1114081   
sosBZ#1187258、BZ#1246423、BZ#1293044BZ#1296813  
squidBZ#1273942   
sssdBZ#789477、BZ#790113、BZ#874985、BZ#879333、BZ#988207、BZ#1007969、BZ#1031074、BZ#1059972、BZ#1140022、BZ#1287209、BZ#1290380、BZ#1310877、BZ#1325809BZ#1300663、BZ#1369118、BZ#1373420BZ#1068725、BZ#1311056BZ#888739、BZ#1372814、BZ#1380436、BZ#1389796、BZ#1392441
sssd-docker  BZ#1200143 
strongimcv  BZ#755087 
subscription-managerBZ#874735、BZ#1336880、BZ#1336883   
swigBZ#1136487   
sysstatBZ#1258990、BZ#1332662BZ#846699、BZ#1224882、BZ#1267972、BZ#1328490  
system-config-kdump BZ#1121590、BZ#1208191  
system-config-languageBZ#1328068   
system-switch-javaBZ#1283904   
systemdBZ#1142378、BZ#1265749、BZ#1305279BZ#1230210、BZ#1266934、BZ#1267707、BZ#1301990、BZ#1306126、BZ#1308795、BZ#1360160BZ#1284974 
systemtapBZ#1289617   
tcshBZ#1315713   
telnetBZ#1323094   
tftpBZ#1311092   
tomcatBZ#1133070、BZ#1287928BZ#1201409、BZ#1208402、BZ#1221896、BZ#1240279、BZ#1277197  
tuned BZ#1243807、BZ#1249618、BZ#1322001、BZ#1323283、BZ#1334479、BZ#1346715  
unboundBZ#1245250   
unzip BZ#1276744  
util-linuxBZ#587393、BZ#1153770、BZ#1298384   
valgrindBZ#1271754、BZ#1296318   
vinagreBZ#1291275   
virt-manager BZ#1282276  
virt-whoBZ#1245035、BZ#1278637、BZ#1286945   
vteBZ#1103380   
xfsprogsBZ#1309498   
xorg-x11-server BZ#1326867  
xzBZ#1160193   
yumBZ#1186690、BZ#1274211   
yum-langpacks BZ#1251388、BZ#1263241  
yum-utilsBZ#1192946、BZ#1335587   
zlib BZ#1127330  
zsh BZ#1267251、BZ#1267912、BZ#1291782、BZ#1302229、BZ#1321303、BZ#1338689  

付録C 改訂履歴

改訂履歴
改訂 0.2-0.2Tue Jul 11 2017Takuro Nagamoto
翻訳を更新
改訂 0.2-0.1Fri Jul 7 2017Terry Chuang
翻訳ファイルを XML ソースバージョン 0.2-0 と同期
改訂 0.2-0Fri Jun 23 2017Lenka Špačková
iostat バグ修正の説明が改善されました。
改訂 0.1-9Wed May 03 2017Lenka Špačková
クラスタリングに新しい Pacemaker 機能が追加されました。
改訂 0.1-8Thu Apr 27 2017Lenka Špačková
Red Hat Access Labs の名前が Red Hat Customer Portal Labs に変更されました。
改訂 0.1-7Thu Mar 30 2017Lenka Špačková
ストレージに新しい機能が追加されました。
改訂 0.1-6Thu Mar 23 2017Lenka Špačková
firewalld のリベースの説明が更新されました (セキュリティー)。
SELinux 関連のバグ修正の説明が正しい章に移動されました (セキュリティー)。
改訂 0.1-4Tue Feb 14 2017Lenka Špačková
samba のリベースの説明が更新されました (認証および相互運用性)。
改訂 0.1-2Fri Jan 20 2017Lenka Špačková
bind-dyndb-ldap に関連する既知の問題が追加されました (認証および相互運用性)。
改訂 0.1-1Fri Dec 16 2016Lenka Špačková
IBM z System のランタイムインフラストラクチャーが完全にサポートされた機能に移行されました (ハードウェアの有効化)。
デフォルトの登録 URL に関する情報が追加されました (システムおよびサブスクリプション管理)。
Extras チャンネルの WALinuxAgent リベースに関する注記が追加されました (仮想化)。
ABRT レポーターアップロードツール向けの設定可能な SSH キーファイルに関する注記が追加されました (コンパイラーおよびツール)。
改訂 0.1-0Fri Nov 25 2016Lenka Špačková
Intel DIMM 管理ツールがテクノロジープレビューに追加されました (ハードウェアの有効化)。
既知の問題が追加されました (カーネル)。
改訂 0.0-9Mon Nov 21 2016Lenka Špačková
既知の問題 (認証および相互運用性、インストール、起動) と新しい機能 (コンパイラーおよびツール、カーネル、ストレージ) が更新されました。
改訂 0.0-8Thu Nov 03 2016Lenka Špačková
Red Hat Enterprise Linux 7.3 リリースノートの公開
改訂 0.0-3Thu Aug 25 2016Lenka Špačková
Red Hat Enterprise Linux 7.3 Beta 版リリースノートの公開
改訂 0.0-0.7.1Tue Mar 11 2014Chester Cheng
翻訳ファイルを XML ソースバージョン 0.0-0.7 と同期

法律上の通知

Copyright © 2016-2017 Red Hat, Inc.
This document is licensed by Red Hat under the Creative Commons Attribution-ShareAlike 3.0 Unported License. If you distribute this document, or a modified version of it, you must provide attribution to Red Hat, Inc. and provide a link to the original. If the document is modified, all Red Hat trademarks must be removed.
Red Hat, as the licensor of this document, waives the right to enforce, and agrees not to assert, Section 4d of CC-BY-SA to the fullest extent permitted by applicable law.
Red Hat, Red Hat Enterprise Linux, the Shadowman logo, JBoss, OpenShift, Fedora, the Infinity logo, and RHCE are trademarks of Red Hat, Inc., registered in the United States and other countries.
Linux® is the registered trademark of Linus Torvalds in the United States and other countries.
Java® is a registered trademark of Oracle and/or its affiliates.
XFS® is a trademark of Silicon Graphics International Corp. or its subsidiaries in the United States and/or other countries.
MySQL® is a registered trademark of MySQL AB in the United States, the European Union and other countries.
Node.js® is an official trademark of Joyent. Red Hat Software Collections is not formally related to or endorsed by the official Joyent Node.js open source or commercial project.
The OpenStack® Word Mark and OpenStack logo are either registered trademarks/service marks or trademarks/service marks of the OpenStack Foundation, in the United States and other countries and are used with the OpenStack Foundation's permission. We are not affiliated with, endorsed or sponsored by the OpenStack Foundation, or the OpenStack community.
All other trademarks are the property of their respective owners.