カテゴリー
Mac

Mail.app と Dovecot の Kerberos 認証のナゾ

Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。ざっと思いつくいたのを並べると

  • Workgroup Manager.app (Server Admin についてる)
  • Directory Utility.app (/System/Library/CoreService にある)
  • Server.app
  • System Preferences.app (システム環境設定ね)
  • dscl (コマンドライン)

という具合。

で、 Workgroup Manager.app を使ってネットワークアカウントを作成して使ってたんですが、ふと dscl を使って作ったアカウントを見てみたら

AltSecurityIdentities: Kerberos:untitled_1@HYRULE.JP

なんてダッサいことになっていたのです。 Workgroup Manager.app でアカウントを作ると最初に「名称未設定」が入ってるのですが、どーやらそれが残っちゃうのでしょうね。

で気になって他のアカウントを見ると AltSecurityIdentities は全部 Kerberos:untitled_1@HYRULE.JP で統一されているというダサさ。これは修正しなきゃだなぁ、と

dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:untitled_1@HYRULE.JP Kerberos:goro@HYRULE.JP

という具合に修正かましてみました。

で、 Kerberos とか書いてあると Kerberos 認証というか SSO (シングルサインオン)になんらかの影響がありそーだなぁ、といくつか試してみたところ、 Mail.app で SSO 出来なくなっていたのです!

正確には、 SSO 出来ないのは IMAP だけで、 SMTP 認証は全く問題ないというさっぱりな状況。で IMAP は Dovecot 、 SMTP は postfix なので、 Dovecot  側の問題なのかなーとログを確認してみたら

imap-login: Disconnected: Input buffer full (no auth attempts):

なんてなエラーを発見。この文字でググったところ Dovecot 1.2.1 の頃にあった問題らしいのですが、 2 年ぐらい過去の話で Dovecot 2 では問題なさそう、というか変えるまでは動いてたしな!

参考になるかなー、と Dovecot 2 wiki Authentiction/kerberos を読みながら Lion Server の Dovecot の設定を眺めてみたんだけど該当しそうな問題点はなし。ただ、 Mail.app 以外にも Kerberos 認証(GSSAPI)に対応した MUA があるっぽいし、 Authentiction/kerberos には mutt で動作確認とかやってるんで、じゃあ手軽に試せるものってことで Thunderbird を Kerberos 認証を試してみたところ!

さくっと認証されました。え? なに? Mail.app の問題だったの? Apple 純正の組み合わせなのに!?

ちなみに SSO 出来なくなると

dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:goro@HYRULE.JP Kerberos:untitled_1@HYRULE.JP

と戻しても状況は改善しない素敵仕様(ただし Mail.app 限定)。いったいなにがどうなっているんだ…というところで次回に続く

「Mail.app と Dovecot の Kerberos 認証のナゾ」への1件の返信

コメントを残す