答え: ~/.account

基本的な戦略はdslocalと一緒。中身はplist形式なので、.plist 拡張子をつけてダブルクリックすれば内容は参照できる。ただし、/Searchで得られたものをそのままキャッシュしているようで、/var/db/dslocal/nodes/Default/users/*.plist よりは内容が濃い。

特筆なのが、dsAttrTypeStandard:AuthenticationAuthority が差し替わる点。元のAuthenticationAutorityは、dsAttrTypeStandard:OriginalAuthenticationAuthorityという、実も蓋もない名前のレコードに格納されている。

ディレクトリサービスやKerberosデータベースがクラッシュした、といった不測の事態のときには、この辺りの知識が、復旧の時間に大きく影響するはず。