Для ответа на вопрос, Вы спросили:
Это было бы лучше всего сделано через PAM?
Нет.
Вы пытаетесь привязать и Webcit, и Apache httpd к локальному порту 2000. В вашей настройке Webcit либо полностью доступен, либо недоступен вообще, в зависимости от того, какой сервер резервирует порт первым.
Переместите службу Webcit на другой порт. Затем прокси из порта 2000 в порт службы Webcit.
Однако, как заметил Хэмптон, вероятно, имеет смысл использовать брандмауэр.