第 4 章 新功能

现在，使用 ActivClient 驱动程序的 Windows 客户端支持智能卡共享

在这个版本中，增加了对使用 Windows 客户机操作系统和 ActivClient 驱动程序的虚拟机中的智能卡共享的支持。这为使用这些虚拟机上模拟或共享智能卡的用户登录启用智能卡验证。

ipa-client-automount 工具现在支持设置与 IdM 域不同的 NFS 域

在这个版本中，在 ipa-client-automount 工具中添加了 --idmap-domain 选项。在以前的版本中，ipa-client-automount 假设 NFS 域与 Identity Management（IdM）域相同，但情况并非始终如此。现在，您可以指定一个与 IdM 域不同的 NFS 域。

samba rebase 到版本 4.10.4

samba 软件包升级至上游版本 4.10.4，它提供了大量的程序错误修复和增强：

Pacemaker concurrent-fencing 集群属性的默认值现在设置为 true

Pacemaker 现在将 concurrent-fencing 集群属性默认设置为 true。如果需要同时隔离多个节点，且它们使用不同的配置的隔离设备，Pacemaker 会同时执行隔离，而不是像以前一样顺序进行。当必须隔离多个节点时，这可以大大加快大型集群中的恢复速度。

Pacemaker 支持配置资源,以便在清理节点关闭时保持停止

当集群节点关闭时，Pacemaker 的默认响应是停止在该节点上运行的所有资源，并在其它位置恢复这些资源。有些用户希望只在失败时具有高可用性，并希望将清理关闭视为调度的中断。要解决这个问题，Pacemaker 现在支持 shutdown-lock 和 shutdown-lock-limit 集群属性，指定在关闭时活跃的资源应保持停止直到节点下次重新加入为止。现在，用户可以根据调度的中断使用干净的关闭，而无需手动干预。有关在干净节点关闭时配置资源以保持停止的详情，请参考在 Clean 节点 Shutdown 中配置资源为重置。

在 IBM PowerPC 系统中优化 SHA-2 操作的实现

在这个版本中，在 IBM PowerPC 系统中增加了对 SHA-2 操作的编译代码实施，这可以显著提高性能。

OpenJDK 现在也支持 secp256k1

在以前的版本中，OpenJDK（OpenJDK）只能使用 NSS 库中的 curves。因此，对于椭圆曲线加密（ECC），OpenJDK 只提供了 secp256r1、secp384r1 和 secp521r1 curves。在这个版本中，OpenJDK 使用内部 ECC 实现，并支持 secp256k1 curve。

修改了 GNOME Classic 中的工作空间交换器

GNOME Classic 环境中的工作空间交换器已被修改。交换器现在位于底部栏的右侧，它被设计为一个横向的缩略图。

当出现一个 root 图形登录时，GNOME 现在会发出一个警告

在这个版本中，如果以 root 用户身份以图形方式进行登录时，GNOME 会显示警告通知。

现在完全支持 Aero 适配器

以下 Aero 适配器（之前作为技术预览提供）现已获得全面支持：

RHEL 7.8 现在支持蓝图定制

在这个版本中，在使用 CLI 时，RHEL 7.8 支持蓝图中的一组镜像自定义。要使用这些自定义,您必须在蓝图中配置它们,并将它们导入(push)到 Image Builder。因此，您可以为您的系统添加规格。

RHEL 7.8 中的内核版本

Red Hat Enterprise Linux 7.8 带有内核版本 3.10.0-1127。

FUSE 文件系统可以在用户命名空间中使用

RHEL 7 现在允许用户在用户命名空间中将文件系统挂载到基于 Userspace(FUSE)的文件系统中。因此,用户可以在使用 Buildah 或 Podman 程序创建的无根容器内使用 fuse-overlayfs 命令。

ipcmin_extend 增加了唯一 System V IPC 标识符的数量

一个新的内核命令行参数 ipcmin_extend 将唯一 System V Interprocess Communication (IPC) 标识符从 32,768 增加到 16,777,216。因此，带有唯一 System V IPC 标识符超过 32,768 的应用程序的用户，可以将 ipcmin_extend 添加到 RHEL，而无需进行重大的重新设计。

Intel® Omni-Path Architecture (OPA) 主机软件

Red Hat Enterprise Linux 7.8 完全支持 Intel® Omni-Path 架构(OPA)主机软件。Intel OPA 为在集群环境中的计算和 I/O 节点之间的高性能数据传输（高带宽、高消息率、低延迟）提供主机 Fabric Interface（HFI）硬件初始化和设置。

kernel-rt 源树现在与最新的 RHEL 7 树匹配

kernel-rt 源已升级到最新的 Red Hat Enterprise Linux 内核源树，它提供了大量的程序错误修复和增强。

为 RHEL 系统角色添加了新的 storage 角色

storage 角色已添加到 rhel-system-roles 软件包提供的 RHEL 系统角色中，该角色可在 RHEL 7 Extras 软件仓库中找到。

SCAP Security Guide 现在提供 OSPP 4.2.1 和 NCP 配置集

OSPP（通用操作系统检测配置集）配置集已更新，现在它符合 OSPP 4.2.1 基准。带有 ospp42 ID 的配置集已合并到 OSPP 配置集中。管理员应该使用 ospp42 配置集切换到 ospp，因为 ospp42 不再是一个有效的 ID。

SCAP 安全指南现在支持 ACSC Esential Eight

scap-security-guide 软件包现在提供所需 Cyber Security 工具程序(ACSC)Essential Eight 合规配置集,以及对应的 Kickstart 文件。在这个改进中，用户可以安装一个符合这个安全基点的系统。另外,您可以使用 ACSC 定义的最低安全控制规格使用 OpenSCAP 套件来检查安全合规和补救。

SCAP Security Guide 现在可以正确地禁用服务

在这个版本中，SCAP Security Guide （SSG）配置集可以正确地禁用并屏蔽不应该启动的服务。这可保证，禁用的服务不会意外地作为另一个服务的依赖项启动。在此更改前，SSG 配置集，如 U.S.Government Commercial Cloud Services（C2S）配置集会禁用服务。因此，除非您已取消了服务屏蔽，否则无法启动被 SSG 配置集禁用的服务。

SCAP Security Guide rebase 到版本 0.1.46

SCAP Security Guide (SSG)软件包已升级到 0.1.46 版本,提供与之前的版本相比的改进和程序错误修复,最重要的是：

SCAP 安全指南现在支持从 RHEL 7 中扫描 RHEL 8 系统

scap-security-guide 软件包现在包含 RHEL 8 的 SCAP 内容和 Ansible playbook。这可让您从 RHEL 7 环境中扫描 RHEL 8 系统和容器。

selinux-policy 现在允许 tomcat 进程连接到 redis 数据库

这个 selinux-policy 软件包的更新引入了规则，在启用了 tomcat_can_network_connect_db SELinux 布尔值时，tomcat_t 域可以连接到标记为 redis_port_t 的端口。现在，您可以使用这个布尔值来允许 tomcat_t 访问多个数据库，它之前不支持 redis 进程。

sysadm_u 用户现在可以登录到图形会话

在以前的版本中，映射到 sysadm_u SELinux 用户的 Linux 用户无法登录到图形会话。SELinux 策略已被更新，允许这些用户在符合 DISA STIG 要求的情况下使用图形会话。如果启用了 xdm_sysadm_login 布尔值,现在 sysadm_u 用户可以从 GNOME 显示管理器成功登录到 X 窗口系统会话。

一个 rsyslog 用来为 imudp 和 imtcp 保留 FROMHOST 的选项

这个 rsyslog 服务的更新引进了选项，用来管理 imudp 和 imtcp 模块的 FROMHOST 属性的字母大小写保留。将 preservecase 值设置为 on 意味着 FROMHOST 属性以区分大小写的方式处理。为了避免破坏现有配置，preservecase 的默认值为 on（对于 imtcp）和 off（对于 imudp）

支持 Data Integrity Field/Data Integrity Extension（DIF/DIX）

只有在硬件厂商已验证，并完全支持在 RHEL 中的特定主机总线适配器（HBA）和存储阵列，则支持 DIF/DIX。

现在,Qlogic HBA 完全支持 NVMe/FC

Qlogic Fibre Channel(FC)主机总线适配器(HBA),现在完全支持 NVMe over Fibre Channel(NVMe/FC)传输类型,它使用 qla2xxx 驱动程序。