スマートカード共有が ActiveClient ドライバーにより Windows ゲストで対応

今回の更新で、Windows ゲスト OS および ActivClient ドライバーを使用する仮想マシンでスマートカードの共有のサポートが追加されました。これにより、これらの仮想マシンでエミュレートされたスマートカードまたは共有スマートカードを使用したユーザーログインに対するスマートカード認証が有効になります。

ipa-client-automount ユーティリティーが、IdM ドメインとは異なる NFS ドメインの設定に対応

今回の機能拡張により、--idmap-domain オプションが ipa-client-automount ユーティリティーに追加されました。以前は、ipa-client-automount は NFS ドメインが Identity Management (IdM) と同じであると仮定していましたが、これは常に当てはまるわけではありません。これにより、IdM ドメインとは異なる NFS ドメインを指定できるようになりました。

Samba がバージョン 4.10.4 にリベース

samba パッケージがアップストリームバージョン 4.10.4 にアップグレードされ、以前のバージョンのバグ修正および機能拡張が数多く追加されました。

Pacemaker の concurrent-fencing クラスタープロパティーのデフォルト値が true に設定

Pacemaker が、concurrent-fencing クラスタープロパティーを true にデフォルト設定するようになりました。複数のノードが同時にフェンシングされる必要があり、異なる設定のフェンスデバイスを使用する場合、Pacemaker は、以前と同様にシリアル化されるのではなく、フェンシングを同時に実行します。これにより、複数のノードがフェンスされる必要がある場合に、大規模なクラスターでの復旧速度が大幅に向上します。

ノードの適切なシャットダウンでリソースが停止したままになるように設定するための Pacemaker サポート

クラスターノードがシャットダウンした場合、Pacemaker のデフォルトの応答は、そのノードで実行中のすべてのリソースを停止し、別の場所でリソースを復元します。一部のユーザーは、不具合に対してのみ高可用性を確保し、クリーンなシャットダウンを予定された停止として扱うことを好みます。これに対応するため、Pacemaker は shutdown-lock および shutdown-lock-limit クラスタープロパティーをサポートするようになりました。これは、シャットダウン時にノードでアクティブであったリソースは、ノードが次に再参加するまで停止したままにすることを必須と指定するものです。ユーザーは、手動の介入なしに、予定された停止としてクリーンシャットダウンを使用できるようになりました。ノード の正常なシャットダウン時に停止したままになるようにリソースを設定する方法は ノードのシャットダウン時にリソースが停止したままにする設定 を参照し てください。

IBM PowerPC システムでの SHA-2 操作の最適化された実装

今回の更新で、IBM PowerPC システムで SHA-2 オペレーションのアセンブリーコード実装が追加され、パフォーマンスが大幅に改善されました。

OpenJDK の secp256k1 のサポート

以前のバージョンでは、Open Java Development Kit (OpenJDK) は NSS ライブラリーの曲線しか使用できませんでした。そのため、OpenJDK は、ECC (elliptic curve cipher) に secp256r1、secp384r1、および secp521r1 の曲線のみを提供していました。今回の更新で、OpenJDK は内部 ECC 実装を使用し、secp256k1 曲線もサポートします。

GNOME クラシックでのワークスペーススイッチの変更を行いました。

GNOME クラシック環境のワークスペーススイッチが変更されました。このスイッチは、一番下のバーの右部分に移動され、横線のサムネイルとして設計されています。

GNOME が root グラフィカルログインに対して警告するようになりました

今回の更新により、root ユーザーとしてグラフィカルセッションにログインすると、GNOME は警告通知を表示するようになりました。

Aero アダプターが完全対応になりました。

以前テクノロジープレビューとして利用できた以下の Aero アダプターが、完全にサポートされるようになりました。

RHEL 7.8 で Blueprint のカスタマイズに対応

今回の機能拡張により、RHEL 7.8 は、CLI を使用する際に Blueprint 内の一連のイメージのカスタマイズに対応するようになりました。このようなカスタマイズを使用するには、Blueprint で設定して、Image Builder にインポート (プッシュ) する必要があります。これにより、システムの仕様を追加できます。

RHEL 7.8 のカーネルバージョン

Red Hat Enterprise Linux 7.8 には、カーネルバージョン 3.10.0-1127 が同梱されています。

Fuse ファイルシステムがユーザーの名前空間内で使用可能に

RHEL 7 では、ユーザーの名前空間に、ユーザースペース (FUSE) ベースのファイルシステムをマウントできるようになりました。これにより、Buildah ユーティリティーまたは Podman ユーティリティーで作成されたルートレスコンテナー内で fuse-overlayfs コマンドを使用できるようになります。

ipcmin_extend が追加され、一意の System V IPC 識別子の数が増加

新しいカーネルコマンドラインパラメーター ipcmin_extend により、一意の System V interprocess Communication (IPC) 識別子の数が 32,768 から 16,777,216 に増加しました。これにより、一意の System V IPC 識別子数が 32,768 を超えるアプリケーションを使用する場合に、大規模な再設計を行わずに、 ipcmin_extend を追加して、関連のある RHEL アプリケーションを移植できます。

Intel® Omni-Path Architecture (OPA) ホストソフトウェア

Red Hat Enterprise Linux 7.8 は、Intel® Omni-Path Architecture (OPA) ホストソフトウェアに完全に対応しています。Intel OPA は、クラスター環境のコンピュートと I/O ノード間の高性能データ転送 (高帯域幅、高メッセージレート、低レイテンシー) のために、初期化とセットアップを行う Host Fabric Interface (HFI) ハードウェアを提供します。

kernel-rt ソースツリーが、最新の RHEL 7 ツリーに一致するようになる

kernel-rt ソースが最新の Red Hat Enterprise Linux カーネルソースツリーにアップグレードされ、以前のバージョンのバグ修正および拡張機能が数多く追加されました。

ストレージ ロールが RHEL システムロールに追加

RHEL 7 Extras リポジトリーで利用可能な rhel-system-roles パッケージが提供する RHEL システムロールに、ストレージ ロールが追加されました。

SCAP セキュリティーガイド が SPP 4.2.1 プロファイルおよび NCP プロファイルを提供

OSPP (Protection Profile for General Purpose Operating Systems) プロファイルが更新され、OSPP 4.2.1 ベースラインに準拠するようになりました。ospp42 ID を持つプロファイルが OSPP プロファイルに統合されました。ospp42 は有効な ID ではなくなったため、管理者は ospp42 プロファイルを使用してシステムを ospp に切り替える必要があります。

SCAP セキュリティーガイドが ACSC Essential Eight に対応

scap-security-guide パッケージで、Australian Cyber Security Centre (ACSC) Essential Eight 準拠のプロファイルと、これに対応するキックスタートファイルを利用できるようになりました。今回の機能強化により、このセキュリティーベースラインに準拠するシステムをインストールできるようになりました。さらに、OpenSCAP スイートを使用して、ACSC で定義された最小限のセキュリティー制御に関するこの仕様を使用して、セキュリティーのコンプライアンスおよび修復を確認できます。

SCAP セキュリティーガイド でサービスが適切に無効になる

今回の更新で、SCAP セキュリティーガイド (SSG) プロファイルが、開始すべきでないサービスを適切に無効およびマスクするようになりました。これにより、無効にしたサービスが、別のサービスの依存関係として誤って開始されないことを保証します。この変更を行う前は、U.S などの SSG プロファイルになります。Government Commercial Cloud Services (C2S) プロファイルは、このサービスのみを無効にします。したがって、最初にマスクを解除しない限り、SSG プロファイルで無効にしたサービスを開始できません。

SCAP Security Guide がバージョン 0.1.46 にリベース

SCAP Security Guide (SSG) パッケージがバージョン 0.1.46 にアップグレードし、以前のバージョンに拡張機能およびバグ修正が追加されました。主な変更は以下のとおりです。

SCAP セキュリティーガイドが RHEL 7 からの RHEL 8 システムのスキャンに対応

scap-security-guide パッケージに RHEL 8 用の SCAP コンテンツと、Ansible Playbook が追加されました。これにより、RHEL 7 環境から RHEL 8 システムおよびコンテナーをスキャンできます。

selinux-policy で、tomcat プロセスが redis データベースに接続可能

selinux-policy パッケージの今回の更新で、SELinux ブール値 tomcat_can_network_connect_db が有効な場合に、tomcat_t ドメインが redis_port_t と名前の付いたポートに接続することを許可するルールが導入されました。このブール値を使用して tomcat_t が複数のデータベースにアクセスできるようになりますが、redis プロセスではサポートされていませんでした。

sysadm_u ユーザーがグラフィカルセッションにログイン可能

以前は、sysadm_u SELinux ユーザーにマッピングされた Linux ユーザーは、グラフィカルセッションにログインできませんでした。SELinux ポリシーが更新され、このようなユーザーが DISA STIG 要件に準拠しながらグラフィカルセッションを使用できるようになりました。xdm_sysadm_login ブール値を有効にすると、sysadm_u ユーザーは、GNOME Display Manager から X Window System セッションに正常にログインできるようになりました。

imudp 用および imtcp 用の FROMHOST の大文字小文字を保持する rsyslog のオプションを利用可能に

rsyslog サービスの今回の更新では、imudp モジュールおよび imtcp モジュールの FROMHOST プロパティーの大文字と小文字の保持を管理するオプションが導入されました。preservecase 値を on に設定すると、FROMHOST プロパティーでは大文字と小文字が区別された状態で処理されます。既存の設定を壊さないように、preservecase のデフォルト値は、imtcp では on、imudp では off になっています。

DIF/DIX (Data Integrity Field/Data Integrity Extension) のサポート

DIF/DIX は、ハードウェアベンダーが認定している設定でサポートされ、RHEL では特定のホストバスアダプター (HBA) およびストレージアレイ設定に完全に対応しています。

Qlogic HBA で NVMe/FC に完全対応

qla2xxx ドライバーを使用する Qlogic Fibre Channel (FC) ホストバスアダプターで、NVMe/FC (NVMe over Fibre Channel) トランスポートタイプに完全に対応するようになりました。

Directory Server がバージョン 1.3.10 にリベース

389-ds-base パッケージがアップストリームバージョン 1.3.10 にアップグレードし、以前のバージョンにバグ修正が数多く追加されました。

サーバーが検索操作を拒否すると、Directory Server が検索ベースを正しくログに記録

以前では、プロトコルエラーにより Directory Server が検索操作を拒否した場合、サーバーは、ログに実際の検索ベースではなく base="(null)" を記録していました。今回の更新で、Directory Server は正しい内部変数をログ操作に渡します。これにより、サーバーは上記のシナリオで検索ベースを正しく記録します。

Directory Server が etime 値のロギングを改善

以前は、操作が 1 秒の境界で開始および完了し、操作にかかる時間が 1 秒未満の場合は、Directory Server が、誤って計算した etime 値をログに記録していました。そのため、ログに記録された値が大きすぎました。今回の更新でこの問題が修正されています。そのため、計算された etime 値は、開始および終了のタイムスタンプに近づくようになりました。

Directory Server が、アクセスログに正しい etime 値を記録

以前は、Directory Server は、/var/log/dirsrv/slapd-<instance_name>/access ログファイルの etime フィールドを誤ってフォーマットしていました。そのため、ナノ秒単位の時間値は、実際の値の 10 分の 1 でした。今回の更新でこの問題が修正されました。これにより、Directory Server は、etime フィールドに正しいナノ秒値を記録するようになりました。

Directory Server ログメッセージの重大度が変更

以前は、Directory Server が、Event <event_name> should not occur in state <state_name>; going to sleep メッセージを誤って error としてログに記録していました。今回の更新で、このメッセージの重大度が warning に変更されました。

Directory Server が、1 つの要求で 1.1 およびその他の属性を検索する際に RFC 4511 に準拠

一致する識別名 (DN) のリストのみを取得する場合、LDAP ユーザーは 1.1 特殊属性を検索できます。RFC 4511 に従って、LDAP クライアントが 1 つの検索要求で、1.1. 固有の属性をその他の属性を組みわせて検索すると、サーバーは 1.1 固有の属性を無視する必要があります。

Directory Server が、正しい順序でパスワードポリシーコントロールを返す

以前は、ユーザーのパスワードの有効期限が切れると、Directory Server は、猶予ログインが使い果たされたかどうかに応じて、異なる順序でパスワードポリシー制御を返していました。これにより、RFC 4511 標準仕様に準拠する LDAP クライアントで問題が発生することがありました。今回の更新で問題が修正され、Directory Server は正しい順序でパスワードポリシー制御を返すようになりました。

Directory Server も、拡張操作から受け取る cleanAllRUV タスクの最大同時発生数に制限を適用

Directory Server は、最大 64 個の並行 cleanAllRUV タスクに対応します。以前では、Directory Server は、手動で作成したタスクに対してのみこの制限を適用し、、拡張操作から受け取ったサーバーのタスクには適用しませんでした。これにより、64 個以上の並行 cleanAllRUV タスクが同時に実行すると、サーバーの速度が低下する可能性がありました。今回の更新で、適切なタスクの数を追跡し、スレッドを中止するカウンターが追加されました。これにより、最大 64 個の並列 cleanAllRUV タスクを同時に実行できます。

ネストされた多くのサブツリーを持つ Directory Server データベースへの大規模な LDIF ファイルのインポート速度が大きく改善

以前は、Directory Server データベースにネスト化されたサブツリーが多数含まれていた場合は、ldif2db ユーティリティーおよび ldif2db.pl ユーティリティーを使用して大規模な LDIF ファイルをインポートしていました。今回の更新で、Directory Server は、すべてのエントリーの後に ancestorid インデックスを追加するようになりました。これにより、ネストされたサブツリーを多数持つデータベースへの LDIF ファイルがインポート速度が大きく改善されました。

Directory Server が、以前の SASL バインドが接続を完全に初期化した後のみ新しい操作を処理

SASL (Simple Authentication and Security Layer) フレームワークを使用したバインド中に、Directory Server はコールバック関数セットを初期化します。以前は、Directory Server が SASL バインド時に同じ接続で追加の操作を受け取ると、この操作は完全に初期化されていなくても、コールバック機能にアクセスし、使用できるようになりました。これにより、Directory Server インスタンスが予期せずに終了します。今回の更新で、サーバーは、以前の SASL バインドが正常に初期化されるまで、コールバック構造にアクセスして使用しないようになります。これにより、この状況で Directory Server がクラッシュしなくなりました。

cl-dump.pl ユーティリティーおよび cl-dump ユーティリティーが、変更ログをエクスポートした後に一時ファイルを削除

以前は、Directory Server の cl-dump.pl ユーティリティーおよび cl-dump ユーティリティーが /var/lib/dirsrv/slapd-<instance_name>/changelogdb/ ディレクトリーに一時 LDIF ファイルを作成していました。変更ログをエクスポートした後、ユーティリティーは一時ファイルの名前を *.done に変更します。これにより、一時ファイルが大きいと、空きディスク容量が少なくなる可能性があります。今回の更新で、デフォルトでは cl-dump.pl および cl-dump が、エクスポートの終了時に一時ファイルを削除するようになりました。さらに、一時ファイルを手動で保存できるように、両方のユーティリティーに -l オプションが追加されました。このため、cl-dump.pl および cl-dump は、変更ログやユーザーをエクスポートしてからディスク領域を解放します。-l オプションを使用して古い動作を強制することもできます。

IdM は、IdM サーバーまたはレプリカのインストールまたは更新する時に TLS 1.2 のみを使用するように Apache NSS モジュールを設定

以前は、管理者が Identity Management (IdM) サーバーまたはレプリカをインストールすると、インストーラーは Apache Web サーバーのネットワークセキュリティーサービス (NSS) モジュールの TLS 1.0 プロトコル、TLS 1.1 プロトコル、および TLS 1.2 プロトコルを有効にしていました。今回の更新で、以下の変更が追加されました。

IdM が cn=CAcert,cn=ipa,cn=etc,<base_DN> エントリーの証明書レコードを適切に更新

以前は、Identity Management (IdM) の認証局 (CA) の証明書を更新するか、CA 証明書チェーンを修正した後、IdM が cn=CAcert,cn=ipa,cn=etc,<base_DN> エントリーに保存されている証明書レコードを更新しませんでした。これにより、RHEL 6 への IdM クライアントのインストールは失敗していました。今回の更新で、IdM が cn=CAcert,cn=ipa,cn=etc,<base_DN> の証明書レコードを更新するようになりました。これにより、管理者が CA 証明書を更新したり、IdM CA で証明書チェーンを更新すると、RHEL 6 に IdM をインストールすると成功するようになりました。

--server で指定されたサーバーが必要なロールをすべて提供することを ipa-replica-install ユーティリティーが確認

ipa-replica-install ユーティリティーは、--server オプションを使用して、インストーラーが登録に使用する Identity Management (IdM) サーバーを指定します。以前は、ipa-replica-install は、提供されたサーバーが認証局 (CA) ロールおよび鍵回復機関 (KRA) ロールを提供していることを確認しませんでした。そのため、インストーラーは、CA ロールおよび KRA ロールを提供する別のサーバーから、指定されたサーバーと CA データからドメインデータを複製していました。この更新により、ipa-replica-install は、指定したサーバーが必要なすべてのロールを提供することを検証します。その結果、管理者が --server オプションを使用する場合、ipa-replica-install は、指定したサーバーからのデータのみを複製します。

ipa sudorule-add-option で、既存の sudo ルールにオプションが追加されても誤ったエラーが表示されなくなる

以前のバージョンでは、sudo ルールにホスト、ホストグループ、ユーザー、またはユーザーグループがすでに含まれる場合に、ipa sudorule-add-option コマンドは sudo ルールコンテンツを誤って処理していました。このため、ipa sudorule-add-option と sudooption の引数を併せて使用すると、正常に完了してもエラーが返されていました。このバグは修正され、ipa sudorule-add-option は上記のシナリオで正確な出力を表示するようになりました。

IdM ではアカウントを preserved から stage に移行する時に全カスタム属性を消去しなくなった

以前のバージョンでは、IdM は、preserved アカウントで定義された属性の一部のみを処理していました。そのため、アカウントを preserved から stage に移動すると、カスタム属性がすべて失われていました。今回の更新で、IdM は preserved アカウントに定義されたすべての属性を処理し、上記の問題が発生しなくなりました。

サブ CA 鍵レプリケーションに失敗しなくなる

以前のバージョンでは、Kerberos ライブラリーで認証情報キャシュ (ccache) の動作を変更すると、軽量の認証局 (CA) の鍵レプリケーションに失敗していました。今回の更新で、IdM の軽量 CA 鍵レプリケーションクライアントコードが、ccache の動作の変更に対応するようになりました。そのため、軽量の CA 鍵レプリケーションが適切に機能するようになりました。

証明書システムはシステムが他のサブシステムまたは LDAP サーバーのクライアントとして動作する場合の監査イベントを記録する

以前のバージョンでは、システムが他のサブシステムまたは LDAP サーバーのクライアントとして動作した場合には、証明書システムに監査イベントが含まれませんでした。そのため、このような状況下では、サーバーはイベントを記録しませんでした。今回の更新で、CLIENT_ACCESS_SESSION_ESTABLISH_FAILURE、CLIENT_ACCESS_SESSION_ESTABLISH_SUCCESS および CLIENT_ACCESS_SESSION_TERMINATED イベントが証明書システムに追加されました。その結果、証明書システムは、クライアントとして動作する場合に監査イベントを記録します。

python-kdcproxy ライブラリーで、大規模な Kerberos 応答が破棄されなくなる

以前は、Active Directory Kerberos Distribution Center (KDC) が、大規模な Kerberos レプリカを複数の TCP パケットに分割した場合に、python-kdcproxy ライブラリーがそのパッケージを削除していました。今回の更新でこの問題が修正されました。これにより、python-kdcproxy が大規模な Kerberos 応答を正しく処理します。

Socket::inet_aton() が複数のスレッドから安全に使用可能

以前は、複数の Perl スレッドからドメイン名を解決するのに使用していた Socket::inet_aton() 関数が、安全でない gethostbyname() glibc 関数を呼び出していました。このため、時折間違った IPv4 アドレスが返されたり、または Perl インタープリターが予期せずに終了したりしていました。今回の更新で、gethostbyname() ではなく、スレッドセーフ getaddrinfo() glibc 関数を使用するように Socket::inet_aton() 実装が変更されました。これにより、Perl Socket モジュールの inet_aton() 関数が、複数のスレッドから安全に使用できるようになりました。

sosreport が HTML レポートを高速に生成

以前は、sosreport ユーティリティーが何万ものファイルを収集すると、HTML レポートの生成が非常に遅くなります。今回の更新で、テキストレポートコードの変更が提供され、レポート構造と形式が改善されました。また、JSON ファイル形式のレポートのサポートが追加されています。これにより、HTML レポートが遅延なく生成されるようになりました。

システムのインストールまたはアップグレード時に、32 ビットおよび 64 ビットの fwupd パッケージが使用可能

以前は、32 ビットと 64 ビットアーキテクチャーで、fwupd パッケージの /usr/lib/systemd/system/fwupd.service ファイルが異なっていました。そのため、32 ビットおよび 64 ビットの両方の fwupd パッケージをインストールすることはできませんでした。また、32 ビットおよび 64 ビットの fwupd パッケージの両方を使用する Red Hat Enterprise Linux 7.5 を後続バージョンにアップグレードすることもできませんでした。今回の更新で fwupd が修正され、32 ビットアーキテクチャーと 64 ビットアーキテクチャーの両方で同じ /usr/lib/systemd/system/fwupd.service ファイルが使用されるようになりました。これにより、32 ビットおよび 64 ビットの fwupd パッケージの両方をインストールしたり、両方の fwupd パッケージを含む Red Hat Enterprise Linux 7.5 システムを後続のバージョンにアップグレードできるようになりました。

libteam におけるメモリーリークが修正

以前は、libteam ライブラリーは、ユーザーがネットワークチームのステータスをクエリーする際に誤った JSON API を使用していました。これにより、teamdctl <team_device> state コマンドがメモリーをリークしていました。今回の更新で、ライブラリーが正しい API を使用し、チームのステータスをクエリーしてもメモリーリークが発生しなくなりました。

インストールプログラムがキックスタートネットワークチームデバイスの接続タイプを正しく設定

以前は、インストールプログラムは DEVICETYPE="Team" パラメーターの代わりに TYPE="Team" パラメーターを使用して、キックスタートのネットワークチームデバイス用に作成された ifcfg ファイルの接続タイプを指定していました。これにより、network サービスを使用するネットワークチームデバイスは、システム起動プロセス中に有効にはなりませんでした。この更新により、インストールプログラムは DEVICETYPE パラメーターを使用して ifcfg ファイルで接続の種類を指定するようになりました。これにより、システムがネットワーク設定に network サービスを使用している場合でも、キックスタートのネットワークチームデバイスが有効になります。たとえば、NetworkManager サービスが無効になります。

GTK がインストールされていない場合にインストールプログラムが例外を正しく処理

以前は、GTK GUI ツールキットがその環境にインストールされていないと、インストールプログラムが例外を処理できませんでした。そのため、例外がユーザーに通知されませんでした。今回の更新で、GTK GUI ツールキットがインストールされていない場合は、インストールプログラムが例外を適切に処理し、例外がユーザーに通知されるようになりました。

IBM Z システムが特定の BCC ツールの使用時に応答しなくなる

以前のバージョンでは、カーネルのバグが原因で、bcc-tools からの dcsnoop、runqlen および slabratetop ユーティリティーを実行すると、IBM Z システムが応答しなくなりました。今回の更新で問題が修正され、上記のシナリオで IBM Z システムがハングしなくなりました。

仮想マシンで不要な CPU 脆弱性の移行が有効ではなくなる

以前は、CPU フラグの MDS_NO が Microarchitectural Data Sampling(MDS) の脆弱性に対して脆弱ではないことを示し、仮想マシンが CPU ホストパススルーを使用している場合に、ゲストオペレーティングシステムに公開されませんでした。このため、ゲストのオペレーティングシステムは、その時点でホストに必要ない CPU 脆弱性の回避策機能を自動的に有効にしていました。今回の更新で、CPU ホストパススルーの使用時に MDS_NO フラグがゲストオペレーティングシステムに適切に表示されるようになり、上記の問題が発生しなくなりました。

nf-logger フレームワークでのロギングの無効化を修正

以前は、管理者が sysctl または echo コマンドを使用して、割り当てられた netfilter ロガーをオフにした際に、NUL 文字が NONE 文字列の末尾に追加されませんでした。そのため、strcmp() 関数が失敗し、No such file or directory というエラーが表示されました。今回の更新でこの問題が修正されました。その結果、sysctl net.netfilter.nf_log.2=NONE などのコマンドが期待どおりに機能し、ロギングをオフにします。

megaraid_sas ドライバーでハイバネートからの再開が可能になりました

以前のリリースでは、megaraid_sas ドライバーがハイバネートから再開する際に、Message Signaled Interrupts (MSIx) の割り当てが正常に機能しませんでした。そのため、ハイバネートからの再開が失敗し、システムの再起動が必要でした。このバグは修正され、ハイバネートからの再開が期待どおりに実行されるようになりました。

Kdump が 2 番目のカーネルで失敗しなくなる

以前は、ディスクの移行、またはディスクイメージがある新規マシンのインストール後に、kdump initramfs イメージが 2 番目のカーネルで失敗していました。今回の更新で、kdump initramfs イメージを再構築する kdumpctl rebuild コマンドが追加されました。これにより、ユーザーが initramfs を再構築して、kdump が 2 番目のカーネルで失敗しないようにできるようになりました。

誤った ktimersoftd アクティベートを回避することにより、分離された CPU のレイテンシーが軽減

以前は、KVM-RT が設定されたシステムでは、タイマーがない場合でも CPU ごとに ktimersoftd カーネルスレッドが 1 秒に 1 回実行していました。したがって、分離された CPU でレイテンシーが増大しました。今回の更新で、ティックごとに ktimersoftd を起動しないリアルタイムカーネルに最適化が追加されました。このため、ktimersoftd が分離された CPU では発生しないため、干渉が起きず、レイテンシーが短縮されます。

tc filter show コマンドが、ハンドルが 0xffffffff の場合にフィルターを正しく表示

以前は、TC flower コードのバグにより、不要な整数オーバーフローが発生していました。そのため、0xffffffff をハンドルを処理として使用した flower ルールをダンプすると、無限のループが発生していました。今回の更新で、64 ビットアーキテクチャーで整数オーバーフローが発生しないようにします。このため、このシナリオでは tc filter show フィルターがループしなくなり、フィルターが正しく表示されるようになりました。

無効な TC ルールを適用しようとするとカーネルがクラッシュしなくなる

以前は、トラフィック制御 (TC) ルールを、無効な goto chain パラメーターを持つルールに置き換えるとカーネルクラッシュが発生していました。今回の更新で、カーネルは、上記のシナリオで NULL 逆参照を回避します。その結果、カーネルがクラッシュせず、代わりにエラーメッセージがログに記録されます。

ICMPv6 Packet Too Big メッセージの受信時にカーネルが PMTU を正しく更新

リンクローカルアドレスなどの特定の状況では、複数のルートがソースアドレスに適合できます。以前は、カーネルは、Internet Control Message Protocol Version 6 (ICMPv6) パケットを受信するときに、入力インターフェイスを確認しませんでした。そのため、ルート検索が、入力インターフェイスに一致しない宛先を返すことがありました。そのため、ICMPv6 Packet Too Big メッセージを受信すると、カーネルが別の入力インターフェイスの Path Maximum Transmission Unit (PMTU) を更新する可能性があります。今回の更新で、カーネルはルートの検索時に入力インターフェイスを確認します。その結果、カーネルはソースアドレスに基づいて正しい宛先を更新し、上述のシナリオで PMTU が想定どおりに機能するようになりました。

MACsec が有効なフレームを削除しない

以前は、AES-GCM の暗号化コンテキストが完全に初期化されていない場合は、受信フレームの復号に失敗していました。したがって、MACsec は有効な受信フレームを破棄し、InPktsNotValid カウンターを増やしていました。今回の更新で、暗号化コンテキストの初期化が修正されました。ここで、AES-GCM で復号に成功し、MACsec が有効なフレームを破棄しなくなりました。

goto chain をセカンダリー TC 制御アクションとして使用する場合にカーネルがクラッシュしない

以前は、TC (traffic control) の act gact ルールおよび act police ルールを実行するのに、無効な goto chain パラメーターがセカンダリー制御アクションとして使用された場合、カーネルは予期せずに終了していました。今回の更新で、カーネルは NULL 逆参照を使用した goto chain の使用を回避し、上記のシナリオでクラッシュしなくなりました。代わりに、カーネルは -EINVAL エラーメッセージを返します。

カーネルが、NLM_F_EXCL セットを使用して重複したルールを追加できない

以前は、新しいポリシーのルーティングルールが追加される時に、カーネルがルールコンテンツを確認しませんでした。したがって、カーネルが、完全に同じルールを追加することができました。これによりルールセットが複雑になり、NetworkManager がルールのキャッシュを試行すると問題が発生する可能性があります。今回の更新で、NLM_F_EXCL フラグがカーネルに追加されました。ルールが追加され、フラグが設定されていると、カーネルはルールの内容を確認し、ルールがすでに存在する場合には EEXIST エラーを返すようになりました。これにより、カーネルは重複するルールを追加できなくなりました。

hash セットタイプに対して一貫性のあるメモリーを ipset list コマンドが報告

エントリーを hash セットタイプに追加した場合は、ipset ユーティリティーが、さらなるメモリーブロックを割り当てて、新しいエントリーのメモリー内表示のサイズを調整する必要があります。以前は、ipset は、現在のメモリー内サイズに値を追加する代わりに、新しいブロックのサイズにのみ、セットごとに割り当てられた合計サイズを設定していました。これにより、ip list コマンドで、一貫性のないメモリーサイズが報告されていました。今回の更新で、ipset が、メモリー内のサイズを正しく計算するようになりました。これにより、ipset list コマンドがセットの正しいメモリー内サイズを表示し、出力が、ハッシュ セットタイプに対して実際に割り当てられたメモリーに一致します。

IPv6 プロトコルが無効になっていると、firewalld が IPv6 ルールの作成を試行しない

以前では、IPv6 プロトコルが無効になっていると、ip6tables ユーティリティーが利用できなくても、firewalld サービスが ip6tables ユーティリティーを使用してルールを誤って作成しようとしていました。したがって、firewalld がファイアウォールを初期化すると、サービスがエラーメッセージを記録していました。今回の更新で問題が修正され、IPv6 が無効になっていると、firewalld が IPv4 ルールのみを初期化するようになりました。

firewall-cmd の --remove-rules オプションが、指定した基準に一致するダイレクトルールのみを削除

以前は、firewall-cmd コマンドの --remove-rules オプションが、削除するルールを確認しませんでした。したがって、このコマンドは、サブセットルールではなく、すべてのダイレクトルールを削除します。今回の更新でこの問題が修正されました。したがって、firewall-cmd は、指定した基準に一致するダイレクトルールだけを削除するようになりました。

forward-ports を使用した firewalld リッチルールの削除が期待どおりに機能

以前は、firewalld サービスが、forward-ports 設定でルールの削除を誤って処理していました。そのため、ランタイム設定から forward-ports が設定されたリッチルールの削除に失敗していました。今回の更新でこの問題が修正されました。これにより、forward-ports が設定されたリッチルールを削除すると、期待通りに機能します。

パケットが他のゾーンに飛んで、予期しない動作が発生しない

以前は、1 つのゾーンにルールを設定するときに、firewalld デーモンにより、パケットが複数のゾーンの影響を受けることができました。この動作は、パケットが 1 つのゾーンの一部にしかならない firewalld ゾーンの概念に違反していました。今回の更新でバグが修正され、firewalld はパケットが複数のゾーンの影響を受けないようになりました。

OpenSCAP HTML レポートのアクセシビリティーの改善

以前のバージョンでは、Accessible Rich Internet Applications (ARIA) パラメーターが OpenSCAP HTML レポートに不正に定義されていました。したがって、スクリーニングソフトウェアのユーザーがレポート内のルールの詳細にアクセスできませんでした。今回の更新で、レポート生成のテンプレートが変更されました。その結果、スクリーンリーダーを使用する場合には、ルールの詳細に移動して、リンクやボタンを操作できるようになりました。

SELinux ポリシーにより、sysadm_u ユーザーが sudo で semanage を使用できるように

以前は、sysadm_u ラベルを持つユーザーが sudo コマンドとともに semanage コマンドを使用できるルールが SELinux ポリシーにありませんでした。これにより、sysadm_u ユーザーがシステムに SELinux を設定できませんでした。今回の更新で足りないルールが追加され、sysadm_u のラベルが付けられた SELinux ユーザーが SELinux 設定を変更できるようになりました。

mysql_install_db を使用した MariaDB の手動初期化に失敗しなくなる

MariaDB データベースを初期化する mysql_install_db スクリプトは、/usr/libexec/ ディレクトリーから resolveip バイナリーを呼び出しますが、バイナリーは /usr/bin/ に置かれています。したがって、mysql_install_db を使用したデータベースの手動初期化に失敗していました。今回の更新で、mysql_install_db が修正され、resolveip が正しく特定されるようになりました。そのため、mysql_install_db を使用した MariaDB の手動初期化に失敗しなくなりました。

ReaR 更新

RHEL 7.8 では、ReaR (Relax-and-Recover) ユーティリティーへの更新が多数追加されました。

SG_IO での同時 /dev/sg 要求でデータが破損しない

以前は、/dev/sg デバイスドライバーは、カーネルデータの同期がありませんでした。同じファイル記述子の同時要求は、ドライバー内で同時に同じデータにアクセスしていました。

アクティブ/アクティブクラスターミラーからイメージを分離したときに作成された論理ボリュームが適切にアクティブにならない

アクティブ/アクティブクラスターミラーからイメージを分離したときに作成される論理ボリュームはアクティブとして表示されますが、アクティブなコンポーネントはありませんでした。今回の修正で、新しい論理ボリュームが正しくアクティベートされるようになりました。

systemd-importd 仮想マシンおよびコンテナーイメージのインポートおよびエクスポートのサービス

最新版の systemd バージョンには、以前のビルドでは有効でなかった systemd-importd デーモンが含まれており、これにより machinectl pull-* コマンドが失敗していました。systemd-importd デーモンはテクノロジープレビューとして提供され、安定性に欠けると見なされています。

コンテナー化された Identity Management サーバーがテクノロジープレビューとして利用可能に

rhel7/ipa-server コンテナーイメージがテクノロジープレビューとして利用できます。rhel7/sssd コンテナーイメージは完全にサポートされるようになりました。

DNSSEC が IdM でテクノロジープレビューとして利用可能に

統合 DNS のある Identity Management (IdM) サーバーは、DNS プロトコルのセキュリティーを強化する DNS に対する拡張セットである DNS Security Extensions (DNSSEC) に対応するようになりました。IdM サーバーでホストされる DNS ゾーンは、DNSSEC を使用して自動的に署名できます。暗号鍵は、自動的に生成およびローテートされます。

Identity Management JSON-RPC API がテクノロジープレビューとして利用可能に

Identity Management (IdM) では API が利用できます。API を表示するために、IdM は、テクノロジープレビューとして API ブラウザーも提供します。

非表示のレプリカとして IdM を設定することがテクノロジープレビューとして利用可能に

この機能拡張により、管理者は Identity Management (IdM) レプリカを隠しレプリカとして設定できるようになりました。隠しレプリカは、稼働中および利用できるすべてのサービスを持つ IdM サーバーです。ただし、DNS のサービスに SRV レコードが存在せず、LDAP サーバーロールが有効になっていないため、他のクライアントやマスターには通知されません。そのため、クライアントはサービス検出を使用して隠しレプリカを検出することはできません。

AD および LDAP の sudo プロバイダーの使用

AD (Active Directory) プロバイダーは、AD サーバーへの接続に使用するバックエンドです。Red Hat Enterprise Linux 7.2 以降では、AD sudo プロバイダーと LDAP プロバイダーとの併用はテクノロジープレビューとしての対応になります。AD sudo プロバイダーを有効にするには、sssd.conf ファイルの [domain] セクションに sudo_provider=ad 設定を追加します。

Custodia シークレットサービスプロバイダーがテクノロジープレビューとして利用可能に

シークレットサービスプロバイダーの Custodia がテクノロジープレビューとして利用できます。Custodia は鍵やパスワードなどのシークレットのプロキシーとして保存または機能します。

テクノロジープレビューとして利用可能な corosync-qdevice のヒューリスティック

ヒューリスティックは、起動、クラスターメンバーシップの変更、corosync-qnetd への正常な接続でローカルに実行され、任意で定期的に実行される一連のコマンドです。すべてのコマンドが時間どおりに正常に終了すると (返されるエラーコードがゼロである場合)、ヒューリスティックは渡されますが、それ以外の場合は失敗します。ヒューリスティックの結果は corosync-qnetd に送信され、クォーラムとなるべきパーティションを判断するための計算に使用されます。

新しい fence-agents-heuristics-ping フェンスエージェント

Pacemaker は、テクノロジープレビューとして fence_heuristics_ping エージェントに対応するようになりました。このエージェントの目的は、実際にはフェンシングを行わず、フェンシングレベルの動作を新しい方法で活用する実験的なフェンスエージェントのクラスを開くことです。

pcs ツールが Pacemaker でバンドルリソースを管理

Pacemaker が、Red Hat Enterprise Linux 7.4 以降のテクノロジープレビューとして、必要とされるインフラストラクチャーを使用する Docker コンテナーを起動する特別な構文に対応します。Pacemaker バンドルを作成したら、バンドルがカプセル化する Pacemaker リソースを作成できます。コンテナーの Pacemaker サポートの詳細は、High Availability Add-On Reference を参照してください。

新しい LVM および LVM ロックマネージャーリソースエージェント

Red Hat Enterprise Linux 7.6 では、lvmlockd および LVM-activate の 2 つのリソースエージェントがテクノロジープレビューとして新たに導入されました。

Wayland がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux で、Wayland のディスプレイサーバープロトコルがテクノロジープレビューとして利用できるようになり、GNOME で Wayland のサポートを有効にするのに必要な分数スケールに対応する依存関係のパッケージが追加されました。Wayland は、libinput ライブラリーを入力ドライバーとして使用します。

分数スケールがテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.5 以降の GNOME では、DPI が低 (scale 1) と高 (scale 2) の中間になってしまうモニターの問題に対処するため、分数スケールがテクノロジープレビューとして提供されています。

ファイルシステム DAX が、テクノロジープレビューとして ext4 および XFS で利用可能

Red Hat Enterprise Linux 7.3 以降、Direct Access (DAX) は、テクノロジープレビューとして、永続メモリーをそのアドレス領域に直接マッピングする手段を提供します。

pNFS ブロックレイアウトが利用可能に

テクノロジープレビューとして、Red Hat Enterprise Linux クライアントがブロックレイアウト機能を設定して pNFS 共有をマウントできるようになりました。

OverlayFS

OverlayFS は、ユニオンファイルシステムのタイプです。ユーザーは、あるファイルシステムに別のファイルシステムを重ねることができます。変更は上位のファイルシステムに記録され、下位のファイルシステムは変更しません。これにより、ベースイメージが読み取り専用メディアにあるコンテナーや DVD-ROM などのファイルシステムイメージを、複数のユーザーが共有できるようになります。追加情報は、Linux カーネルのドキュメント を参照してください。

Btrfs ファイルシステム

B-Tree ファイルシステム (Btrfs) は、Red Hat Enterprise Linux 7 ではテクノロジープレビューとして提供されています。

LSI Syncro CS HA-DAS アダプター

Red Hat Enterprise Linux 7.1 には、LSI Syncro CS の HA-DAS (high-availability direct-attached storage) アダプターを有効にするため、megaraid_sas ドライバーにコードが含まれていました。megaraid_sas ドライバーは、これまで有効であったアダプターに対して完全にサポートされますが、Syncro CS に対してはテクノロジープレビューとして提供されます。このアダプターのサポートは、LSI、システムインテグレーター、またはシステムベンダーにより直接提供されます。Red Hat Enterprise Linux 7.2 以上に Syncro CS をデプロイする場合は、Red Hat および LSI へのフィードバックにご協力ください。

tss2 で IBM Power LE に対して TPM 2.0 が有効に

tss2 パッケージにより、IBM Power LE アーキテクチャー向けに、テクノロジープレビューとして Trusted Computing Group Software Stack (TSS) 2.0 の IBM 実装が追加されます。このパッケージにより、TPM 2.0 デバイスとの対話が可能になります。

ibmvnic デバイスドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.3 以降、IBM POWER アーキテクチャー向け IBM Virtual Network Interface Controller (vNIC) ドライバーである ibmvnic がテクノロジープレビューとして利用できるようになりました。vNIC は、エンタープライズ機能を提供し、ネットワーク管理を簡素化する PowerVM 仮想ネットワーク技術です。SR-IOV NIC と組み合わせると、仮想 NIC レベルで帯域幅制御サービス品質 (QoS) 機能が提供される、高性能で効率的な技術です。vNIC は、仮想化のオーバーヘッドを大幅に削減するため、ネットワーク仮想化に必要な CPU やメモリーなど、待機時間が短縮され、サーバーリソースが少なくなります。

igc ドライバーがテクノロジープレビューとして利用可能に

Intel® 2.5G Ethernet Linux Driver (igc.ko.xz) はテクノロジープレビューとして利用できます。

ice ドライバーがテクノロジープレビューとして利用可能に

Intel® Ethernet Connection E800 Series Linux Driver (ice.ko.xz) はテクノロジープレビューとして利用できます。

トレースのための eBPF システムコール

Red Hat Enterprise Linux 7.6 では、eBPF (Extended Berkeley Packet Filter) ツールがテクノロジープレビューとして導入されます。このツールは、トレーシングサブシステムに対してのみ有効になります。詳細は Red Hat ナレッジベースアーティクル Kernel tracing using eBPF を参照してください。

HMM (heterogeneous memory management) 機能がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7 では、HMM (heterogeneous memory management) 機能がテクノロジープレビューとして導入されました。この機能は、プロセスアドレス空間を独自のメモリー管理ユニット (MMU) にミラーする必要のあるデバイスのヘルパーレイヤーとして、カーネルに追加されています。これにより、CPU 以外のデバイスプロセッサーは、統一システムアドレス空間を使用してシステムメモリーを読み取ることができます。この機能を有効にするには、experimental_hmm=enable をカーネルコマンドラインに追加します。

kexec がテクノロジープレビューとして利用可能に

kexec システムコールがテクノロジープレビューとして提供されています。このシステムコールを使用すると現在実行中のカーネルから別のカーネルを読み込んだり、起動したりすることが可能で、カーネル内のブートローダーとして機能します。通常はシステム起動中に実行されるハードウェアの初期化が kexec の起動中に行われないため、再起動にかかる時間が大幅に短縮されます。

テクノロジープレビューとしての kexec fast reboot

Red Hat Enterprise Linux 7.5 で導入された kexec fast reboot 機能は、引き続きテクノロジープレビューとして利用できます。kexec fast reboot を使用するとシステムの再起動の速度が大幅に向上します。この機能を使用するには、kexec カーネルを手動で読み込んでから、オペレーティングシステムを再起動する必要があります。

perf cqm が resctrl に置き換え

Intel Cache Allocation Technology (CAT) が Red Hat Enterprise Linux 7.4 でテクノロジープレビューとして導入されました。ただし、perf インストラクチャーと CQM (Cache Quality of Service Monitoring) ハードウェアサポートの不整合により、perf cqm ツールが正常に機能しませんでした。したがって、perf cqm の使用時にさまざまな問題が生じていました。

TC HW オフロード処理がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、トラフィック制御 (TC) ハードウェアのオフロードがテクノロジープレビューとして利用できます。

AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.6 以降、AMD xgbe ネットワークドライバーがテクノロジープレビューとして利用できます。

Secure Memory Encryption はテクノロジープレビューとしてのみ利用可能に

現在、Secure Memory Encryption (SME) には、kdump 機能と互換性がありません。これは、kdump カーネルが SME で暗号化したメモリーの暗号化を解除するためのメモリーキーが欠如しているためです。Red Hat は、SME を有効にすると、テスト中のサーバーが一部の機能を実行できない可能性があるため、この機能は実稼働環境での使用には適していないことを把握しています。このため、SME はサポートレベルをサポート対象からテクノロジープレビューに変更しています。Red Hat またはシステムベンダーへの実稼働前のテスト中に見つかった問題を報告することが推奨されます。

criu がテクノロジープレビューとして利用可能に

Red Hat Enterprise Linux 7.2 では、criu ツールがテクノロジープレビューとして導入されました。このツールは、実行中のアプリケーションをフリーズさせ、ファイルの集合としてこれを保存する Checkpoint/Restore in User-space (CRIU) を実装します。アプリケーションは、後にフリーズ状態から復元できます。

mlx5_core ドライバーがテクノロジープレビューとして Mellanox ConnectX-6 Dx ネットワークアダプターに対応

今回の機能拡張により、Mellanox ConnectX-6 Dx ネットワークアダプターの PCI ID が mlx5_core ドライバーに追加されました。このアダプターを使用するホストでは、RHEL は mlx5_core ドライバーを自動的に読み込みます。Red Hat は、この機能をサポート対象外のテクノロジープレビューとして提供していることに注意してください。

Cisco usNIC ドライバー

UCM (Cisco Unified Communication Manager) サーバーには Cisco 専用の usNIC (User Space Network Interface Controller) を提供するオプション機能があります。これを使用すると、ユーザー空間のアプリケーションに対して RDMA (Remote Direct Memory Access) のような動作を実行できるようになります。テクノロジープレビューとして利用可能な libusnic_verbs ドライバーにより、Verbs API に基づいた標準の InfiniBand RDMA プログラミングを介して usNIC デバイスを使用できます。

Cisco VIC カーネルドライバー

Cisco VIC Infiniband のカーネルドライバーをテクノロジープレビューとして利用できます。これにより、専用の Cisco アーキテクチャーで、RDMA (Remote Directory Memory Access) のようなセマンティックが使用可能になります。

TNC (Trusted Network Connect)

TNC (Trusted Network Connect) はテクノロジープレビューとして利用可能で、TLS、802.1X、IPsec など既存のネットワークアクセス制御 (NAC) ソリューションと併用し、エンドポイントのポスチャー評価を一体化します。つまりエンドポイントのシステムの情報を収集します (オペレーティングシステムを設定している設定、インストールしているパッケージ、そのほか整合性測定と呼ばれているもの)。TNC を使用して、このような測定値をネットワークアクセスポリシーと照合してから、エンドポイントがネットワークにアクセスできるようにします。

qlcnic ドライバーの SR-IOV 機能

SR-IOV (Single-Root I/O virtualization) のサポートがテクノロジープレビューとして qlcnic ドライバーに追加されています。この機能のサポートは QLogic から直接提供されます。QLogic および Red Hat へのご意見ご感想をお寄せください。qlcnic ドライバーのその他の機能では引き続きフルサポートが提供されます。

オフロードサポートが付いた flower 分類子

flower はトラフィック制御 (TC) 分類子で、各種プロトコルのパケットフィールドで広く知られているマッチング設定を可能にします。これは、複雑なフィルタリングおよび分類タスクの u32 分類子に対するルールの設定を容易にすることを目的としています。また、flower は、ハードウェアが対応している場合、基盤のハードウェアに分類およびアクションルールをオフロードする機能もサポートします。flower TC 分類子はテクノロジープレビューとして提供されるようになりました。

RHEL システムロールの postfix ロールが、テクノロジープレビューとして利用可能になりました。

Red Hat Enterprise Linux システムロールは、Red Hat Enterprise Linux サブシステムの設定インターフェイスを提供します。これにより、Ansible ロールを介したシステム設定が簡単になります。このインターフェイスにより、複数バージョンの Red Hat Enterprise Linux でシステム設定を管理することや、新しいメジャーリリースを導入することもできます。

RHEL-system-roles-sap がテクノロジープレビューとして利用可能

rhel-system-roles-sap パッケージは、SAP 向けの Red Hat Enterprise Linux (RHEL) システムロールを提供します。これは、RHEL システムの設定を自動化して SAP ワークロードロードを実行するたに使用できます。これらのロールは、関連する SAP ノート記載のベストプラクティスに基づいて最適な設定を自動的に適用することで、SAP ワークロードを実行するようにシステムを設定する時間を大幅に短縮できます。アクセスは、RHEL for SAP Solutions 製品に限定されます。サブスクリプションに関するサポートが必要な場合は、Red Hat カスタマーサポートまでご連絡ください。

libreswan で SECCOMP の有効化が可能

テクノロジープレビューとして、SECCOMP (Secure Computing) モードの使用を可能にする seccomp=enabled|tolerant|disabled オプションが ipsec.conf 設定ファイルに追加されました。これにより、Libreswan を実行できるシステムコールをすべてホワイトリストに登録することで、syscall セキュリティーが改善されました。詳細は man ページの ipsec.conf(5) を参照してください。

pk12util で、RSA-PSS 鍵を使用した証明書のインポートが可能に

pk12util ツールは、テクノロジープレビューとして、RSA-PSS アルゴリズムを使用して署名する証明書をインポートするようになりました。

certutil で、RSA-PSS で署名した証明書のサポートが改善

certutil ツールの RSA-PSS アルゴリズムで署名された証明書のサポートが改善されました。主な機能強化および修正は以下のとおりです。

NSS が、証明書の RSA-PSS 署名を確認可能

nss パッケージの RHEL 7.5 バージョン以降、Network Security Services (NSS) ライブラリーが、証明書の RSA-PSS 署名の確認をテクノロジープレビューとして提供します。この更新では、SSL バックエンドとして NSS を使用するクライアントが、RSA-PSS アルゴリズムで署名した証明書のみを提供するサーバーへの TLS 接続が確立できません。

USBGuard は、画面のロック時に USB デバイスのブロックを有効にする機能をテクノロジープレビューとして提供。

USBGuard フレームワークにより、InsertedDevicePolicy ランタイムパラメーターの値を設定して、すでに実行されている usbguard-daemon インスタンスが、新たに挿入された USB デバイスをどのように処理するかを制御できます。この機能はテクノロジープレビューとして提供されており、デフォルトでは、デバイスを認証するかどうかを判断するポリシールールが適用されます。

SCSI 向けのマルチキュー I/O スケジューリング

Red Hat Enterprise Linux 7 には blk-mq として知られるブロックデバイス用の新しいマルチキュー I/O スケジューリングのメカニズムが含まれています。scsi-mq パッケージを使用すると SCSI (Small Computer System Interface) サブシステムにこの新しいキューメカニズムを利用できるようになります。この機能はテクノロジープレビューのため、デフォルトでは有効になっていません。有効にする場合は scsi_mod.use_blk_mq=Y をカーネルコマンドラインに追加します。

libStorageMgmt API の Targetd プラグイン

Red Hat Enterprise Linux 7.1 から、ストレージアレイから独立した API である libStorageMgmt を使用したストレージアレイの管理が完全サポートされています。提供される API は安定性と整合性を備え、開発者は異なるストレージアレイをプログラム的に管理し、ハードウェアアクセラレーション機能を使用できます。また、システム管理者は libStorageMgmt を使用して手動でストレージを設定したり、コマンドラインインターフェイスを使用してストレージ管理タスクを自動化したりできます。

qla2xxx ドライバーおよび lpfc ドライバーで SCSI-MQ がテクノロジープレビューとして利用可能

Red Hat Enterprise Linux 7.4 で更新された qla2xxx ドライバーは、ql2xmqsupport=1 モジュールパラメーターで SCSI-MQ (multiqueue) を使用できます。デフォルトの値は 0 (無効) です。

YUM 4 がテクノロジープレビューとして利用可能に

YUM パッケージマネージャーの次世代である YUM バージョン 4 が、Red Hat Enterprise Linux 7 の Extras リポジトリー でテクノロジープレビューとして利用できるようになりました。

KVM ゲスト用の USB 3.0 サポート

Red Hat Enterprise Linux 7 では、KVM ゲスト向けの USB 3.0 ホストアダプター (xHCI) エミュレーションが引き続きテクノロジープレビューとなります。

Hyper-V の RHEL ゲストで、Intel ネットワークアダプターが SR-IOV に対応

テクノロジープレビューとして、Hyper-V ハイパーバイザーで実行している Red Hat Enterprise Linux のゲストオペレーティングシステムは、ixgbevf および i40evf ドライバーがサポートする Intel ネットワークアダプターに、シングルルート I/O 仮想化 (SR-IOV) 機能を使用することができるようになりました。この機能は、以下の条件が満たされると有効になります。

VFIO ドライバーの No-IOMMU モード

今回の更新により、VFIO (Virtual Function I/O) ドライバーの No-IOMMU モードがテクノロジープレビューとして追加されました。No-IOMMU モードは、I/O メモリー管理ユニット (IOMMU) を使用せずに直接メモリーアクセス (DMA) 対応デバイスへの完全なユーザー空間 I/O (UIO) アクセスを提供します。しかし、このモードはサポートされないだけでなく、IOMMU で提供される I/O 管理機能がないため、安全に使用することができません。

RHEL 7 ゲストのホストとしての Azure M416v2

テクノロジープレビューとして、Azure M416v2 インスタンスタイプが、RHEL 7.6 以降をゲストのオペレーティングシステムとして使用する仮想マシンのホストとして使用できるようになりました。

virt-v2v が、Debian ゲストおよび Ubuntu ゲストを変換

テクノロジープレビューとして、virt-v2v ユーティリティーがゲスト仮想マシン Debian および Ubuntu を変換できるようになりました。現時点では、この変換を行うときに以下の問題が発生することに注意してください。

GPU ベースの仲介デバイスが VNC コンソールをサポート

テクノロジープレビューとして、NVIDIA vGPU 技術などの GPU ベースの仲介デバイスを使用した Virtual Network Computing (VNC) コンソールが利用できるようになりました。これにより、仮想マシンのグラフィカル出力のリアルタイムレンダリングにこの仲介デバイスを使用できるようになりました。

OVMF (Open Virtual Machine Firmware)

Red Hat Enterprise Linux 7 では、OVMF (Open Virtual Machine Firmware) がテクノロジープレビューとして利用できます。OVMF は、AMD64 および Intel 64 ゲストに対する、UEFI のセキュアブート環境です。ただし、OVMF は、RHEL 7 で利用可能な仮想化コンポーネントでは起動できません。OVMF は、RHEL 8 で完全に対応することに注意してください。

ldap_id_use_start_tls オプションのデフォルト値を使用する場合の潜在的なリスク。

ID ルックアップに TLS を使用せずに ldap:// を使用すると、攻撃ベクトルのリスクが生じる可能性があります。特に、中間者 (MITM) 攻撃は、攻撃者が、たとえば、LDAP 検索で返されたオブジェクトの UID または GID を変更することによってユーザーになりすますことを可能にする可能性があります。

RHEL に同梱される GCC スレッドサニタイザーが動作しない

カーネルメモリーマッピングにおける非互換性変更により、RHEL の GNU C Compiler (GCC) コンパイラーのバージョンに同梱されるスレッドサニタイザーが動作しなくなりました。さらには、スレッドサニタイザーが互換性のないメモリーレイアウトには適用されません。これにより、RHEL に同梱される GCC スレッドサニタイザーは使用されなくなります。

kexec コンテキストで radeon ドライバーによってハードウェアが正しくリセットされない

kdump プロセスを実行した場合など、現在実行中のカーネルからカーネルを起動した場合に、現在は radeon カーネルドライバーによってハードウェアが適切にリセットされません。代わりに、radeon が突然終了するため、残りの kdump サービスが失敗します。

永続メモリーのファイルシステムが原因で、システムの起動が失敗する場合がある

永続メモリーのサイズが大きい場合は、システムの起動に時間がかかります。/etc/fstab ファイルが、永続メモリーのファイルシステムを設定すると、デバイスが利用可能になる前にシステムがタイムアウトになる場合があります。その後システムの起動プロセスに失敗して、緊急プロンプトが表示されます。

RHEL 7.7 以降のインストールで spectre_v2=retpoline が Intel Cascade Lake システムに追加される 

RHEL 7.7 以降のインストールでは、spectre_v2=retpoline カーネルパラメーターが Intel Cascade Lake システムに追加されるので、システムパフォーマンスに影響があります。この問題を回避して、パフォーマンスを最適な状態に保つには、以下の手順を実施します。

Emulex OneConnect カードで iSCSI インストールが失敗する

Emulex OneConnect カードに接続し、iSCSI 起動用に設定した後、RHEL インストールを開始すると、Anaconda インストーラーが例外を返し、インストールが突然終了します。

大規模なシステムでは、システム起動が失敗することがある

起動プロセス時に、udev デバイスマネージャーにより、大規模なシステム上に非常に多くのルールが生成されることがあります。たとえば、32 TB のメモリーと 192 CPU のシステムでこの問題が発生しています。これにより、システムの起動プロセスが応答しなくなるか、タイムアウトになり、緊急シェルに切り替わります。

mirror セグメントの種類により、スタック化された設定でシステムのデッドロックが発生

mirror セグメントの種類を使用して、その上に論理ボリュームを配置すると、スタック済みの設定でシステムのデッドロックが発生します。この問題を回避するために、Red Hat は、セグメントタイプ raid1 で、RAID 1 論理ボリュームを使用することを推奨します。

zlib 圧縮形式により vmcore キャプチャーが遅くなる可能性がある

kdump 設定ファイルは、デフォルトで lzo 圧縮形式 (makedumpfile -l) を使用します。zlib 圧縮形式 (makedumpfile -c) を使用するように設定ファイルを変更すると、vmcore キャプチャープロセスの速度が遅くなるため、圧縮要因が向上する可能性が高くなります。これにより、zlib が lzo と比較されると、kdump の約 4 倍の時間で vmcore をキャプチャーできます。これにより、速度が主な要因である場合に、Red Hat はデフォルトの lzo を使用することを推奨します。ただし、ターゲットマシンで利用可能な領域が少ない場合は、zlib の方が適しています。

Bridge-over-VLAN トポロジーの使用時に、ice ドライバーを使用する Intel ネットワークデバイスがトラフィックを通過しない

Eathernet デバイスでは、以下の条件すべてを満たしている場合には、Internet Control Message Protocol (ICMP) の echo 要求および応答トラフィックが送信されません。

Red Hat Enterprise Linux 7 で、MD5 ハッシュアルゴリズムを使用した署名の検証が無効になる

MD5 で署名された証明書を必要とする WPA (Wi-Fi Protected Access) の AP (Enterprise Access Point) に接続することはできません。この問題を回避するには、wpa_supplicant.service ファイルを /usr/lib/systemd/system/ ディレクトリーから /etc/systemd/system/ ディレクトリーにコピーして、そのファイルの Service のセクションに以下の行を追加します。

bind-utils DNS ルックアップユーティリティーがサポートする検索ドメインは glibc よりも少ない

bind-utils パッケージの dig、host および nslookup DNS ルックアップユーティリティーがサポートする検索ドメインは最大 8 個であるのに対して、システムの glibc リゾルバーがサポートする検索ドメイン数に制限はありません。これにより、/etc/resolv.conf ファイルの検索にドメインが 8 個以上含まれる場合には、アプリケーションとは異なる結果が返される可能性があります。

KRB5 ピア認証を使用して、リモートのロギングサーバーで auditd サーバーを開始しない

SELinux ポリシーには、SELinux タイプの auditd_t で実行しているプロセスで作成された一時ディレクトリーおよびファイルに対する auditd_tmp_t ファイルタイプが含まれません。リモートロギングに KRB5 ピア認証を使用する場合は、サーバーで auditd サービスを起動しないようにします。

Audit の実行可能な監視機能がシンボリックリンクで機能しない

-w オプションによって提供されるファイルモニタリングでは、パスを直接追跡できません。デバイスと inode へのパスを解決して、実行したプログラムとの比較を行う必要があります。実行可能なシンボリックリンクを監視する監視機能は、メモリーで実行されるプログラムではなく、デバイスとシンボリックリンク自体の inode を監視します。これは、シンボリックリンクの解決から確認できます。監視機能がシンボリックリンクを解決して作成される実行プログラムを取得する場合でも、ルールは別のシンボリックリンクから呼び出されるマルチコールバイナリーでトリガーされます。これにより、誤検出でログがいっぱいになります。したがって、Audit の実行可能な監視機能は、シンボリックリンクでは機能しません。

mariadb-test または postgresql-docs がワークステーションがインストールされている場合に RHEL 7.8 へのアップグレードに失敗する

mariadb-test および postgresql-docs パッケージが Workstation Optional リポジトリーに移動されました。そのため、これらのパッケージがインストールされている場合に、ワークステーションのバリアントを RHEL 7.8 にシステムを更新できません。この問題を回避するには、RHEL 7.8 にアップグレードする前に mariadb-test および postgresql-docs をアンインストールしてください。

FreeRADIUS が 249 文字を超える Tunnel-Passwords を断りなく切り捨てます。

Tunnel-Password が 249 文字を超える場合、FreeRADIUS サービスはそのパスワードを断りなく切り捨てます。これにより、他のシステムと矛盾する想定外のパスワードになる可能性があります。

外部 MD メタデータを使用すると、低メモリーの状況でシステムが応答しなくなることがある

以下のすべての条件を満たすと、システムが定期的に応答しなくなることがあります。

異なる物理アドレスサイズを持つホスト間で仮想マシンのライブマイグレーションが機能しないことがある

現在、ホストの物理アドレスサイズが異なる場合に、ホットプラグ CPU を使用する仮想マシンのライブマイグレーションが失敗する可能性があります。この問題を回避するには、CPU ホットプラグを使用しているときにこのようなホスト間でライブマイグレーションを行わないでください。物理アドレスサイズが異なるホストに移行した仮想マシンに CPU をホットプラグしないでください。

virt-clone は、--nonsparse の使用時に進捗バーが常に 100% を表示している

現在、virt-clone ユーティリティーを --nonparse オプションとともに使用すると、CLI に表示される進捗バーが常にプロセスが 100% 完了していることが示されます。このため、仮想マシンのクローン作成の実際の進捗を確認できません。

RHEL 7 仮想マシンが起動できず、Witherspoon ホストに移行できない場合がある

RHEL 7 仮想マシンで pseries -rhel7.6.0-sxxm マシンタイプを使用すると、DD2.3 CPU を使用する Power9 S922LC for HPC ホスト (Witherspoon とも呼ばれています) で起動できない場合があります。

kdump では Hyper-V 仮想マシンの nr_cpus 値を 2 以上に設定できない

Microsoft Hyper-V ハイパーバイザーで RHEL 7.8 をゲストオペレーティングシステムとして使用すると、nr_cpus パラメーターが 2 以上に設定されている場合に kdump カーネルが応答しなくなることがあります。この問題を回避するには、ゲストの /etc/sysconfig/kdump ファイルに指定されているデフォルトの nr_cpus=1 パラメーターを変更しないでください。