うー、苦労した。

1. あらかじめrpmなどでsasl2が入っていると/etc/rc.d/init.d/saslauthdのpathがそっちに行ってしまう（ソースからインストールしたらその旨パスを書き換えること）
2. saslpasswd2はroot権限で実行すると/etc/sasldb2がrootグループに置き換わるので、実行するたびにchgrp postfixすること
3. /varと/が違うボリュームのときには/etc/sasldb2は/var/spool/postfix/etc/sasldb2に毎回コピーすること

……うーむ、運用が面倒くさいなぁ。
「pwcheck_method: auxprop」じゃなくて、「pwcheck_method: saslauthd」にすればちょっとはましになるのかなぁ。MD5パスワード使えないけど。