Всё верно - получить разрешение по имени и паролю нельзя.
Этот способ вообще довольно странный, т.к. вынуждает конечного пользователя фактически давать
приложению полный доступ лишь для того, чтобы приложение могло запросить некоторые права.

Относительный Callback URI указать нельзя. Если вы пишете плагин для CMS, то конечному пользователю
этого плагина придётся либо завести своё клиентское приложение и указать свой адрес в настройках плагина,
либо вам придётся завести собственный URL, который будет перенаправлять пользователя к нему на сайт.
Сайт надо будет указать в параметрах плагина и при запросе токена передавать через state.
См. http://api.yandex.ru/oauth/doc/dg/reference/obtain-access-token.xml
В этому случае придётся постоянно поддерживать собственный URL в рабочем состоянии.