2.7. ネットワーク設定

このセクションでは、Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 との間でなされたネットワーキング、ネットワークプロトコルサポート、および関連設定ツールの変更の概要について説明しています。

2.7.2. NetworkManager の更新

Red Hat Enterprise Linux 7 には、NetworkManager の更新バージョンが含まれており、多くの機能強化と新機能をいくつか提供しています。
  • nmcli ツールは、nmcli con edit および nmcli con modify コマンドを使った接続の編集をサポートします。
  • ネットワーク設定およびネットワーク接続管理には、新たなテキストベースのユーザーインターフェース (nmtui) が簡素化されたコンソールベースのツールを提供します。これは、system-config-network-tui ツールに代わるものです。
  • これまで NetworkManager は、認識しないインターフェース (Ethernet、Infiniband、WiFi、Bridge、Bond、および VLAN 以外のインターフェース) を無視していました。現在は、ip link が検出したネットワークインターフェースはすべて NetworkManager が認識するようになり、これを nmcli のような D-Bus インターフェースやクライアントで公開します。これにより、NetworkManagerip のようなツールと同様のものになっています。
  • NetworkManager は、Ethernet、InfiniBand、Bridge、Bond、VLAN、Team など、ネイティブに設定可能なインターフェースを非破壊的に所有するようになりました。これらのインターフェースが NetworkManager の起動もしくは再起動前に設定されても、以前に設定された接続は切断されません。つまり、NM_CONTROLLED オプションは不要となりました。
  • ネットワーク接続性、ホットスポット、ポータルのチェックをサポートします。この動作は、デフォルトでは無効になっています。
  • チームインターフェースをサポートします。
  • GRE、macvlan、macvtap、tun、tap、veth、および vxlan デバイスの基本的かつ非ネイティブサポートです。
  • 新たな NetworkManager-config-server パッケージが、サーバーに適切なデフォルトを提供します。たとえば、キャリアの変更無視や、デフォルト DHCP 接続を作成しないなどです。
  • NetworkManager.conf の新たな dns=none 設定オプションにより、NetworkManagerresolv.conf ファイルを変更しないようにします。
  • ユーザーのすばやいスイッチングをサポートします。
  • インターフェースの MAC アドレスに追加、もしくはその代わりに使用するインターフェース名への接続固定をサポートします。
この更新により、動作をモニターする設定ファイルも変更されます。NetworkManager は、ディスク上の設定ファイルの変更をモニターしなくなりました。代わりに、nmcli con reload コマンドで手動で変更した設定ファイルをリロードする必要があります。

2.7.3. 新ネットワーク命名スキーマ

Red Hat Enterprise Linux 7 は、ネットワークインターフェース用に一貫した予想可能なネットワークデバイス命名の方法を提供します。この機能は、システム上のネットワークインターフェース名を変更して、インターフェースの位置判定と区別が容易になります。
従来の Linux のネットワークインターフェースには、eth[0123...] のように数値が付いていました。しかし、これらの名前がシャーシー上の実際のラベルと必ずしも一致しているとは限りません。最近のサーバープラットフォームには、複数のネットワークアダプターがあるため、このように明確でも直感的でもない名前が付けられたインターフェースに遭遇する可能性があります。これは、マザーボードに組み込まれたネットワークアダプター (Lan-on-Motherboard、もしくは LOM) とアドイン (シングルおよびマルチのポート) アダプターの両方に影響します。
Red Hat Enterprise Linux 7 では、systemd および udevd が多くの異なる命名スキームをサポートしています。デフォルトの動作では、ファームウェア、トポロジー、および場所情報に基づいて固定名が割り当てられます。これは、名前が完全に自動的かつ予想可能であり、ハードウェアが追加もしくは削除されても (再列挙がなされず) 固定のままであり、またハードウェアが壊れた場合にシームレスに交換できるという利点があります。マイナス面は、従来使用されていた名前と比べて読みにくい場合があるという点です。たとえば、eth0 であったものが enp5s0 になるというようにです。
以下のネットワークインターフェース用の命名スキームは、udevd がネイティブにサポートしています。
スキーム 1
組み入れるファームウェアまたは BIOS が提供するインデックス番号をボード上のデバイスに命名します。たとえば、eno1 です。ファームウェアからの情報が適応可能かつ利用可能な場合、systemd はデフォルトでインターフェースをこのスキームにしたがって命名します。スキーム 2 がフォールバックとして使われます。
スキーム 2
組み入れるファームウェアまたは BIOS が提供するPCI Express ホットプラグスロットインデックス番号を命名します。たとえば、ens1 です。ファームウェアからの情報が適応可能かつ利用可能な場合、systemd はデフォルトでインターフェースをこのスキームにしたがって命名します。スキーム 3 がフォールバックとして使われます。
スキーム 3
組み入れるハードウェアのコネクターの物理的場所を命名します。たとえば、enp2s0 です。ファームウェアからの情報が適応可能かつ利用可能な場合、systemd はデフォルトでインターフェースをこのスキームにしたがって命名します。スキーム 5 がフォールバックとして使われます。
スキーム 4
組み入れるインターフェースの MAC アドレスを命名します。たとえば、enx78e7d1ea46da です。デフォルトでは、systemd はインターフェースをこのスキームにしたがって命名しませんが、必要に応じて有効にすることができます。
スキーム 5
従来の予測不可能なカーネルネイティブの ethX 命名です。たとえば、eth0 です。他のすべての方法が失敗した場合に、systemd はこの方法にしたがってインターフェースを命名します。
システムが BIOSDEVNAME を有効にしている場合、もしくはユーザーがカーネルデバイスの名前を変更する udevd ルールを追加している場合は、これらのルールがデフォルトの systemd ポリシーに優先されます。
この新命名システムについての詳細情報は、『Red Hat Enterprise Linux 7 ネットワークガイド』 を参照してください。http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ から入手できます 。

2.7.4. 新しいネットワーキングユーティリティー (ncat)

新たなネットワークユーティリティーの ncat は、Red Hat Enterprise Linux 7 で netcat に代わるものとなっています。ncat は信頼性のあるバックエンドツールで、他のアプリケーションやユーザーにネットワーク接続性を提供します。コマンドラインからデータの読み取りと書き込みを行い、通信に TCP と UDP の両方を使用します。
ncat のコマンドのいくつかは、netcat が元々提供していたものとは異なるか、同じオプションでも異なる機能を提供します。この違いは、以下のリストで要約されています。
  • netcat -P オプションは、認証が必要なプロキシーサーバーに提示するユーザー名をとっていました。この動作を行う ncat オプションは、--proxy-auth user[:pass] になります。
  • netcat -X オプションは、プロキシサーバーとの通信時に使用するネットワークユーティリティー用に指定されたプロトコルをとっていました。この動作を行う ncat オプションは、--proxy-type になります。
  • netcat -x オプションは、プロキシサーバーと接続するためのネットワークユーティリティー用のアドレスおよびオプションのポートをとっていました。この動作を行う ncat オプションは --proxy です。これは IP アドレスおよびオプションのポートをとり、--proxy host[:port] のようになります。
  • netcat -d オプションは、stdin からの読み取りを無効にしていました。ncat -d オプションでは、ユーザーが読み取りと書き込み操作間の待ち時間を指定することができます。しかし、ncat には --recv-only オプションがあり、netcat -d と同様の動作を行うことができます。
  • netcat -i オプションは、テキスト行の送受信間隔または複数ポートへの接続間隔を指定していました。ncat -i オプションでは、接続がタイムアウトして切断されるまでの待機時間を指定します。ncat には netcat -i オプションと同様のものはありません。
  • netcat -w オプションは、確立できない接続がタイムアウトして切断されるまでの待機時間を指定していました。ncat -w オプションでは、タイムアウトまでの接続試行時間を指定します。
netcat で利用可能だったオプションには ncat で同様のものがないものもあります。ncat では現在、以下のことが実行できません。
  • ソケット上でのデバッグの有効化 (以前は netcat -D が提供)。
  • TCP 送受信バッファーサイズの指定 (以前は netcat -I および netcat -O が提供)。
  • 送信元もしくは宛先ポートがランダムに選択されることを指定 (以前は netcat -r が提供)。
  • TCP MD5 シグネチャーオプション、RFC 2385 経由での BGP セッション保護の有効化 (以前は netcat -S が提供)。
  • サービスの IPv4 タイプを指定 (以前は netcat -T が提供)。
  • UNIX ドメインソケットの使用を指定 (以前は netcat -U が提供)。
  • 使用するルーティングテーブルを指定 (以前は netcat -V が提供)。
  • データの送信なしにリスニングデーモンをスキャン。
  • テキスト行の送受信間隔または複数ポートへの接続間隔を指定。
ncat ユーティリティーは nmap-ncat パッケージが提供します。 ncat についての詳細情報は、man ページを参照してください。 
$ man ncat

2.7.5. Postfix の変更点

Red Hat Enterprise Linux 7 では、postfix はバージョン 2.6 からバージョン 2.10 にアップグレードされます。Red Hat Enterprise Linux 6 から 7 にアップグレードするときに、主要な互換性の問題は Preupgrade Assistant によって処理されますが、ユーザーは以下の致命的でない互換性の問題に注意する必要があります。
  • pass マスターサービスでの問題を回避するために、postscreen デーモンを使用する前に postfix stop コマンドと postfix start コマンドを実行する必要があります。
  • システムにより提供されるデフォルトの CA 証明書は、*_tls_CAfile または *_tls_CApath リストに追加されなくなりました。つまり、permit_tls_all_clientcerts が使用された場合、サードパーティー製の証明書はメールリレーパーミッションを受け取りません。設定に証明書の検証が必要である場合は、tls_append_default_CA = yes を設定することにより、後方互換性の動作を有効にします。
  • verify サービスは、デフォルトで定期クリーンアップが有効な状態で永続キャッシュを使用するようになりました。削除操作とシーケンス操作のサポートが必要です。このキャッシュを無効にするには、main.cfで空の address_verify_map パラメーターを指定します。定期クリーンアップを無効にするには、address_verify_cache_cleanup_interval0 に設定します。
  • 以前は、フィルターの次ホップ宛先が指定されていない場合に、デフォルトの次ホップ宛先が $myhostname の値でした。このデフォルト値は受信者ドメインになりました。デフォルトの次ホップ宛先を変更するには、default_filter_nexthop = $myhostname を指定します。パイプベースのフィルターでは、これにより、ラウンドロビンドメインが選択されずに FIFO 配信順序も有効になります。
  • postmulti -e destroy コマンドを実行した場合に、postmulti -e create コマンドの実行後に作成されたファイルの削除が試行されなくなりました。
  • Postfix は、Milter の smfi_addrcpt アクションで受信者を追加したときにデフォルトの配信ステータス通知を要求するようになりました。
  • 仮想エイリアスの拡張の結果が仮想エイリアスの再帰または拡張の制限を超過したときに、Postfix は、余分な受信者を警告なしで破棄し、メッセージを配信する代わりに一時配信エラーを報告するようになりました。
  • ローカル配信エージェントが、owner-alias を持たない子エイリアスにメールを配信するときに親エイリアスの owner-alias 属性を保持するようになりました。これにより、メーリングリストへの重複配信の可能性が少なくなります。古い動作を有効にするには、reset_owner_alias = yes を指定します。
  • Postfix SMTP クライアントは、"." なしで DNS 名をルックアップするときにローカルドメインを追加しなくなりました。古い動作を有効にするには、smtp_dns_resolver_options = res_defnames を指定します。これにより、予期しない結果がもたらされることがあることに注意してください。
  • postfix/smtpd[pid]: queueid: client=host[addr] ログファイルレコードの形式が変更されました。可能な場合は、レコードの最後に before-filter クライアント情報と before-filter キュー ID が追加されるようになりました。
  • デフォルトでは、postfix は受信者が指定されていないメッセージに未公開の受信者ヘッダーを追加するようになりました。古い動作を有効にするには、mail.cf で以下の内容を指定します。 
    undisclosed_recipients_header = To: undisclosed-recipients:;
  • SASL メカニズムリストは、STARTTLS が正常に完了したあとに常に再計算されるようになりました。
  • smtpd_starttls_timeout のデフォルト値は、ストレス依存になりました。
  • ドメイン名にシークレット部分がある DNSBL クエリーで、postscreen SMTP 返信からそのシークレット部分を隠すことが必要になりました。たとえば、main.cf で、以下のように指定します。 
    postscreen_dnsbl_reply_map = texthash:/etc/postfix/dnsbl_reply
    dnsbl_reply で、以下のように個別の DNSBL 名を指定します。 
    # Secret DNSBL name        Name in postscreen(8) replies
secret.zen.spamhaus.org    zen.spamhaus.org
  • VSTREAM エラーが読み取りおよび書き込みエラーに別のフラグを使用するようになったため、postfix VSTREAMs を使用するすべてのプログラムは再コンパイルする必要があります。
  • smtp_line_length_limit のデフォルト値は、SMTP の標準値に合わせて 999 になりました。
  • Sendmail は、<CR><LF> で終わるすべての入力行を UNIX 形式 (<LF>) に変換するようになりました。
  • デフォルトでは、SMTP クライアントは AUTH=<>MAIL FROM コマンドに追加しなくなりました。
  • fatal と以前に分類された一部のログメッセージは、error と分類されるようになりました。それに応じて、ログファイルベースのアラートシステムを更新する必要がある場合があります。古い動作を有効にするには、daemon_table_open_error_is_fatalyes に設定します。
  • 新しくサポートされた長いキューファイル名は、Postfix 2.9 より前のバージョンではサポートされていません。Postfix 2.8 またはそれ以前のバージョンに移行するには、長いキューファイル名のすべてを変換する必要があります。この場合は、postfix を停止し、enable_long_queue_idsno に設定して、キューファイル名の変更をエクスポートしなくなるまで postsuper コマンドを実行します。
  • Postfix は、TLS ロギングレベルが 0 の場合に正常な TLS ネゴシエーションの結果をログに記録するようになりました。ログレベルの詳細については、postconf の man ページを参照してください。
  • postfix SMTP サーバーは、常に smtpd_sender_login_maps テーブルをチェックします。
  • デフォルトの inet_protocols 値は all (IPv4 と IPv6 の両方を使用) になりました。グローバルな IPv6 接続がないサイトで予期しないパフォーマンスの損失を回避するために、make upgrade コマンドと postfix upgrade-configuration コマンドは、明示的な設定が存在しない場合に inet_protocols = ipv4main.cf に追加します。
  • デフォルトの smtp_address_preference 値は、any (IPv4 または IPv6 をランダムに選択) になりました。
  • SMTP サーバーは、ルックアップテーブルが利用可能でないためクライアントのコマンドが拒否されたセッションの内容を報告しなくなりました。このようなレポートを引き続き受け取るには、data クラスを notify_classes パラメーターの値に追加します。
  • 新しい smtpd_relay_restrictions パラメーターが追加されました。デフォルトでは、これにより permit_mynetworkspermit_sasl_authenticated、および defer_unauth_destination が有効になります。また、smtpd_recipient_restrictions のスパムフィルタールールの間違いにより発生するオープンリレーの問題が回避されます。ただし、smtpd_recipient_restrictions 下で複雑なメールリレーポリシーが設定されているサイトの場合は、一部のメールが間違って遅延されることがあります。この問題を修正するには、smtpd_relay_restrictions 設定を削除するか、smtpd_recipient_restrictions の既存のポリシーを使用するか、既存のポリシーを smtpd_recipient_restrictions から smtpd_relay_restrictions にコピーします。

2.7.6. ネットワークプロトコル

このセクションでは、Red Hat Enterprise Linux 6 と Red Hat Enterprise Linux 7 との間でなされたネットワークプロトコル変更の概要について説明しています。

2.7.6.1. Network File System (NFS)

Red Hat Enterprise Linux 7 は NFS 3、NFS 4.0 および NFS 4.1 をサポートしています。NFS 2 は Red Hat Enterprise Linux 7 ではサポート対象外となっています。
NFS 4.1 は、Parallel NFS (pNFS) のクライアントサポートを含む多くのパフォーマンスおよびセキュリティ機能強化を提供します。さらに、コールバックには別個の TCP 接続が不要となり、たとえば NAT やファイアウォールが妨害するなど NFS サーバーがクライアントにコンタクトできない場合でも NFS サーバーは委任を許可することができます。
NFS 3、NFS 4.0、NFS 4.1 がサーバー上でサポートされています。特定バージョンのサポートは、/etc/sysconfig/nfs ファイルで RPCNFSDARGS パラメーターを変更することで有効もしくは無効にできます。たとえば、RPCNFSDARGS="-N4.1 -V3" は NFS 3 のサポートを有効にし、NFS 4.1 のサポートを無効にします。詳細情報は、man ページを参照してください。 
$ man rpc.nfsd
NFS クライアントはデフォルトで NFS 4.0 を使ってマウントを試行し、マウント操作が失敗すると NFS 3 にフォールバックします。デフォルトの動作は /etc/nfsmount.conf ファイルを編集し、コマンドラインオプションを使用することで変更できます。詳細情報は、man ページを参照してください。 
$ man nfs
$ man nfsmount.conf
2.7.6.1.1. Parallel NFS (pNFS)
Red Hat Enterprise Linux 7 では、Parallel NFS (pNFS) にクライアントサポートを提供しています。pNFS は NFS のスケーラビリティを改善します。また、パフォーマンスが改善される可能性があります。Red Hat Enterprise Linux 7 クライアントが pNFS に対応するサーバーをマウントすると、そのクライアントは、複数のサーバーから同時にデータにアクセスできるようになります。Red Hat Enterprise Linux 7 は、ファイルのレイアウトタイプをサポートします。また、オブジェクトとブロックのレイアウトタイプがテクノロジープレビューと同梱されています。このプロトコルと機能の詳細は、『Red Hat Enterprise Linux 7 ストレージ管理ガイド』を参照してください。

2.7.6.2. Apache Web Server (httpd)

Red Hat Enterprise Linux 7 では、Apache Web Server の更新バージョンが提供されています。この新バージョン (2.4) には、多くの新機能に加えて重要なパッケージ変更も含まれています。
変更されたプロキシー設定
SSL バックエンドを使用する Apache Web Server (httpd) 設定では、設定されたホスト名にSSL 証明書が一致しない場合に SSLProxyCheckPeerName ディレクティブを使用する必要があります。以前は、プロキシーバックエンドの SSL 証明書に記載されているホスト名が検証されました。
新制御メカニズム
Red Hat Enterprise Linux はシステムを SysV init スクリプトから移動しているので、httpd サービスを制御するコマンドが変更されました。Red Hat では、service コマンドではなく、apachectl および systemctl コマンドを推奨しています。たとえば、以前は service httpd graceful を実行していた場面では、apachectl graceful を実行することを Red Hat では推奨します。
デフォルトのサブコマンド動作の変更
httpd 用の systemd ユニットファイルが reload および stop サブコマンドの動作を定義します。具体的には、デフォルトで reload サブコマンドは正常にサービスをリロードし、stop コマンドはサービスを停止します。
ハードコーディングされたデフォルト設定
以前のバージョンの httpd は、すべての構成設定とデフォルトを一覧表示した網羅的な設定ファイルを提供していました。多くの共通構成設定は、デフォルト設定ファイルで明示的に設定されることはなくなりました。代わりに、デフォルト設定はハードコーディングされています。デフォルト設定ファイルにあるのは最小限のコンテンツで、その結果、管理が容易になっています。ハードコーディングされた全設定向けのデフォルト値はマニュアルで指定されており、これはデフォルトでは /usr/share/httpd にインストールされています。
新 Multi-Processing Model モジュール
Red Hat Enterprise Linux の以前のリリースでは、いくつかの Multi-Processing Models (prefork および worker) を異なる httpd バイナリーとして提供していました。Red Hat Enterprise Linux 7 では単一のバイナリーを使用し、これらの Multi-Processing Models を読み込み可能なモジュール workerprefork (デフォルト)、および event として提供しています。読み込むモジュールを選択するには、/etc/httpd/conf.modules.d/00-mpm.conf ファイルを編集してください。
ディレクトリーの変更
この更新バージョンの httpd では、多くのディレクトリーが移動してしまったか、提供されていません。
  • これまで /var/cache/mod_proxy にインストールされていたコンテンツは /var/cache/httpd に移動し、proxy または ssl サブディレクトリー下にあります。
  • これまで /var/www にインストールされていたコンテンツは /usr/share/httpd に移動しました。
  • これまで /var/www/icons にインストールされていたコンテンツは /usr/share/httpd/icons に移動しました。このディレクトリーには、ディレクトリーインデックスで使われるアイコンが含まれています。
  • httpd マニュアルの HTML バージョンはこれまで /var/www/manual にインストールされていましたが、/usr/share/httpd/manual に移動しました。
  • カスタムの多言語 HTTP エラーページはこれまで /var/www/error にインストールされていましたが、/usr/share/httpd/error に移動しました。
suexec の変更
suexec バイナリーには、インストール時に root に設定されていたユーザー ID がなくなりました。代わりに、より限定的なパーミッションセットがファイルシステムの機能を使って適用されます。これにより、httpd サービスのセキュリティが改善されます。また、suexec/var/log/httpd/suexec.log を使用する代わりにログメッセージを syslog に送信します。syslog に送信されたメッセージは、デフォルトで /var/log/secure に現れます。
モジュールインターフェース互換性の変更
httpd モジュールインターフェースが変更したことで、この更新バージョンの httpd は、以前のバージョンの httpd (2.2) に構築されたサードパーティーのバイナリーモジュールとは互換性がないことになります。これらのモジュールは、必要に応じて httpd 2.4 モジュールインターフェース用に調整し、再構築する必要があります。バージョン 2.4 における API 変更の詳細は、Apache ドキュメンテーションを参照してください。
apxs バイナリーの場所の変更
ソースからのモジュール構築に使用される apxs バイナリーは、/usr/sbin/apxs から /usr/bin/apxs に移動しました。
新設定ファイルおよび移動された設定ファイル
モジュールを読み込む設定ファイルは、/etc/httpd/conf.modules.d ディレクトリー内にあります。(php パッケージのような) httpd 用の追加の読み込み可能なモジュールを提供するパッケージは、ファイルをこのディレクトリーに追加します。conf.modules.d ディレクトリー内の設定ファイルはすべて、httpd.conf の本文の前に処理されます。/etc/httpd/conf.d ディレクトリー内の設定ファイルは、httpd.conf の本文の後で処理されるようになりました。
httpd パッケージは追加の設定ファイルを提供しています。
  • /etc/httpd/conf.d/autoindex.conf は、mod_autoindex ディレクトリーのインデックス作成を設定します。
  • /etc/httpd/conf.d/userdir.conf は、ユーザーディレクトリー (http://example.com/~username/) へのアクセスを設定します。デフォルトでは、このアクセスはセキュリティのために無効になっています。
  • /etc/httpd/conf.d/welcome.conf は、コンテンツがない場合に http://localhost/ に表示される「ようこそ」のページを設定します。
設定互換性の変更
このバージョンの httpd は、以前のバージョン (2.2) の設定構文と互換性がありません。設定ファイルは、この更新バージョンの httpd で使用可能となる前に、構文を更新する必要があります。バージョン 2.2 から 2.4 で変更された構文の詳細については、Apache ドキュメンテーションを参照してください。

2.7.6.3. Samba

Red Hat Enterprise Linux 7 は Samba 4 を提供します。これは、デーモンとクライアントユーティリティー、SMB1、SMB2、SMB3 のプロトコルを使用した通信を可能にする Python バインディングを組み合わせたものです。
現行の Kerberos 実装は、Samba 4 Active Directory ドメインコントローラーの機能をサポートしていません。この機能は Red Hat Enterprise Linux 7.0 では省略されていますが、今後のリリースで導入される予定です。Active Directory DC に依存しないその他の機能はすべて、含まれています。
Red Hat Enterprise Linux 6.4 およびそれ以降では、Samba 4 はテクノロジープレビューとして提供され、安定性のある Samba 3 パッケージ (samba-*) との競合を避けるために samba4-* パッケージシリーズとしてパッケージ化されていました。Samba 4 は今回、完全にサポートされ、Samba 3 に関して多くの機能強化を提供しているため、Red Hat Enterprise Linux 7 では Samba 4 を標準 samba-* パッケージとして提供しています。特別な samba4-* パッケージは廃止予定となっています。
Samba についての詳細情報は、『Red Hat Enterprise Linux 7 システム管理者のガイド』 および 『システム管理者のリファレンスガイド』 を参照してください。http://access.redhat.com/site/documentation/Red_Hat_Enterprise_Linux/ から入手できます 。

2.7.6.4. BIND

Red Hat Enterprise Linux 6 では、bind-chroot パッケージをインストールすると、/etc/sysconfig/named の chroot 環境の場所を参照する ROOTDIR 環境変数が変更されました。named サービスを (chroot 環境ではなく) 正常に実行するには、bind-chroot パッケージを削除するか、/etc/sysconfig/named ファイルで ROOTDIR 環境変数を手動で編集する必要がありました。
Red Hat Enterprise Linux 7 では、bind-chroot パッケージをインストールしても、named サービスが実行される方法は変わりません。代わりに、新しいサービスである named-chroot がインストールされます。このサービスは、以下のように systemctl コマンドを使用して起動または停止できます。 
# systemctl start named-chroot.service
# systemctl stop named-chroot.service
named-chroot サービスは、named サービスと同時に実行できません。

2.7.7. デフォルトの製品証明書

Red Hat Enterprise Linux  7.2 リリース以降では、デフォルトの証明書が redhat-release パッケージに追加されています。このデフォルトの証明書は、/etc/pki/product-default/ ディレクトリーに保存されています。
サブスクリプションマネージャーは、/etc/pki/product/ ディレクトリーの証明書一覧を調べてから、/etc/pki/product-default/ ディレクトリーを調べます。/etc/pki/product-default/ ディレクトリーのコンテンツは redhat-release パッケージが提供します。/etc/pki/product/ に置かれていない /etc/pki/product-default/ ディレクトリーの証明書は、インストールされているとみなされます。サブスクリプションマネージャーが、サブスクライブしているチャンネルから製品証明書を取得するまで、デフォルトの製品証明書が使用されます。