Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。ざっと思いつくいたのを並べると
- Workgroup Manager.app (Server Admin についてる)
- Directory Utility.app (/System/Library/CoreService にある)
- Server.app
- System Preferences.app (システム環境設定ね)
- dscl (コマンドライン)
という具合。
で、 Workgroup Manager.app を使ってネットワークアカウントを作成して使ってたんですが、ふと dscl を使って作ったアカウントを見てみたら
AltSecurityIdentities: Kerberos:untitled_1@HYRULE.JP
なんてダッサいことになっていたのです。 Workgroup Manager.app でアカウントを作ると最初に「名称未設定」が入ってるのですが、どーやらそれが残っちゃうのでしょうね。
で気になって他のアカウントを見ると AltSecurityIdentities は全部 Kerberos:untitled_1@HYRULE.JP で統一されているというダサさ。これは修正しなきゃだなぁ、と
dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:untitled_1@HYRULE.JP Kerberos:goro@HYRULE.JP
という具合に修正かましてみました。
で、 Kerberos とか書いてあると Kerberos 認証というか SSO (シングルサインオン)になんらかの影響がありそーだなぁ、といくつか試してみたところ、 Mail.app で SSO 出来なくなっていたのです!
正確には、 SSO 出来ないのは IMAP だけで、 SMTP 認証は全く問題ないというさっぱりな状況。で IMAP は Dovecot 、 SMTP は postfix なので、 Dovecot 側の問題なのかなーとログを確認してみたら
imap-login: Disconnected: Input buffer full (no auth attempts):
なんてなエラーを発見。この文字でググったところ Dovecot 1.2.1 の頃にあった問題らしいのですが、 2 年ぐらい過去の話で Dovecot 2 では問題なさそう、というか変えるまでは動いてたしな!
参考になるかなー、と Dovecot 2 wiki の Authentiction/kerberos を読みながら Lion Server の Dovecot の設定を眺めてみたんだけど該当しそうな問題点はなし。ただ、 Mail.app 以外にも Kerberos 認証(GSSAPI)に対応した MUA があるっぽいし、 Authentiction/kerberos には mutt で動作確認とかやってるんで、じゃあ手軽に試せるものってことで Thunderbird を Kerberos 認証を試してみたところ!
さくっと認証されました。え? なに? Mail.app の問題だったの? Apple 純正の組み合わせなのに!?
ちなみに SSO 出来なくなると
dscl -u diradmin /LDAPv3/127.0.0.1 -change /Users/goro AltSecurityIdentities Kerberos:goro@HYRULE.JP Kerberos:untitled_1@HYRULE.JP
と戻しても状況は改善しない素敵仕様(ただし Mail.app 限定)。いったいなにがどうなっているんだ…というところで次回に続く
「Mail.app と Dovecot の Kerberos 認証のナゾ」への1件の返信
『Lion Server にはアカウントを登録する方法が無駄に豊富に用意されています。』だな。|Mail.app と Dovecot の Kerberos 認証のナゾ | 不定期な記録 http://t.co/xCPG2SOY