Аутентификация Dovecot с помощью аппаратного ключа (yubikey)

В последнее время я работал над реализацией аппаратных ключей для авторизации в dovecot/postfix и к сожалению, возможно из-за нехватки знаний, мне не удалось это реализовать. Судя по тому, что я видел, у yubikey есть возможность использовать закрытые ключи (в документации dovecot я нашел, что он может проверять сертификат клиента), но, к сожалению, я понятия не имею, как это реализовать, потому что как бы yubikey передавал сертификат/частный ключ от Thunderbird, а затем от голубятни. Есть еще постфикс. На данный момент у нас есть почтовый сервер, который синхронизируется с активным каталогом и берет оттуда пароли, в то время как пользователи виртуальные (vmail, поэтому PAM не подходит). Postfix авторизуется через SASL. В активном каталоге сервера Windows он уже протестирован и работает (на основе сертификата аппаратного ключа). Можете ли вы предложить решение, где бы мы могли иметь авторизацию с помощью аппаратного ключа (может быть и сертификат, даже лучше всего было бы из-за авторизации в активном каталоге)?