Mail.app で SSO できない問題は、最初は解決しようと頑張るつもりだったんですが、 Mail.app 依存の問題と判明した時点で解決する気が失せました。
今分かってる問題は AltSecurityIdentities を書き換えちゃうと Mail.app で SSO 出来なくなる、というもの。なんで AltSecurityIdentities を書き換えたいかと言えば untitled_1@HYRULE.JP なんてダサい値が設定されているから。であれば解決策は真っ当な AltSecurityIdentities が設定される方法でネットワークアカウントを登録するに決まりでしょう(ホントかな…?)。
であれば実験あるのみ。
- Workgroup Manager.app
やるまでもなくアウト、というかこれがダメだっつー話だからなぁ - Directory Utility.app
ちまちまといろんな属性を手動で登録する必要があるのでダルい。必要そうな属性を登録してみたけど SSO 出来なかった。けど、ツールが悪いのか登録内容が足りてないのかは不明 - dscl
Directory Utility.app と同じ - System Preferences.app
ネットワークアカウントも表示されるんで期待したんだけど、ここで作成されるのはローカルアカウントのみの様子。 - Server.app
System Preferences.app と同様アカウントの種類が選べないのでこれもローカルアカウントが作成されるのかなー、と期待しないで作ったら華麗にネットワークアカウントが作成されました。 AltSecurityIdentities も期待通りの値が入っていて、これならイケる、と思ったものの SSO が出来ないという…モバイルアカウントの設定を Workgroup Manager.app からやらないとイケナイのもあるのでこれまたダメ。
ということで、 Mail.app で SSO したいのなら普段見えないとはいえ AltSecurityIdentities がダサい値になってるのを我慢しないとイケナイという結論に…。
ま、 Mail.app を諦めて Thunderbird やその他 Kerberos 認証に対応した MUA を使いなさい、というのが正解なのでしょう…。
その後 Lion 10.7.2 にあげたところ、 Mail.app も改善されたらしく Kerberos 認証が出来るようになっていたのでした。よかったよかった