>Если удастся заставить pam_ldap аутентифицировать пользователя по аттрибуту CACert и придумать как
>заставить pam_ldap читать сертификат с карты - то должно работать, если
>есть АРі pkcs11 нужно чуток подправить исходники pam_ldap и должно работать...
>еще как вариант, изменить исходники pam_ldap, чтобы он брал из AD сертификат и ложил в локальную папку обновляя мап, потом вызвать по цепочке pam_pkcs11 для сверки...
=== ага - не надо править -> 12.4.4. LDAP (lightweight directory access protocol) mapper
из PAM-PKCS11 User Manual на оффсайте