Прости, что поднимаю старую тему, но если кто-то наткнется на это в Google, я хотел сообщить, что это можно сделать с небольшими изменениями в PVE. Не хочу выкладывать код, если нет интереса, потому что я не уверен, что это абсолютно надежно, но суть в чем: нужно изменить конфигурацию SSL сервера в PVE/Services/pveproxy.pm, чтобы проверять клиентский сертификат, если он есть, и помещать CN из сертификата x509 в запрос. Нужен, конечно, файл CA-пакета, загрузи его из /etc/pve, чтобы он был кластеризован. Нужно написать скрипт, который возьмет код из Auth/PVE.pm, чтобы получить имя пользователя и CN, сделать hash(shared_secret+CN) и зашифровать это в priv/shadow.cfg для пользователя. Нужно изменить PVE/APIServer/AnyEvent.pm’s proxy_request функцию так, чтобы если URI – /api2/extjs/access/ticket, realm – pve, и CN клиентского сертификата в reqstate->hdl, то сделать hash(shared_secret+CN) и отправить это как параметр password. И все работает. Это, по сути, повторное использование realm PVE для сопоставления имен сертификатов пользователям и их авторизация. Цель shared_secret – чтобы пароль был не просто хеш CN, shared_secret нужно читать из файла в /etc/pve, к которому shell-пользователи не имеют доступа. О, да, и нужно будет изменить JavaScript (не помню, в каком файле это было), чтобы разрешить blank на поле пароля. Пользователи вставляют свою смарт-карту и т.д., вводят PIN при загрузке UI, вводят свое имя пользователя и выбирают realm PVE, если он не сохранен, оставляют поле пароля пустым и нажимают «войти».