Сильно не рекомендовал-бы такой подход, но если сильно хочется:
client-cert-not-required
username-as-common-name
Ну и для авторизации по пользователю-паролю - выбрать внешний плагин (PAM, RADIUS, etc)
plugin <auth_plugin> system-auth
через GPO решается минут за 10, гуглить «AD auto certificate enrollment»