JRJ píše:VPN a Roundcube dodatečnou autorizaci nepotřebují.
Tak je otázka co přesně tam máte. Ale dneska jsou třeba systémy (např PrivacyIDEA), které si to OTP heslo umí vyzobnout z normálního. Pokud teda VPN umí třeba RADIUS (což skoro všechny alespoň trochu příčetné systémy umí), tak se to nasměruje na RADIUS napojenej třeba na tu PrivacyIDEA. Uživatel pak namlátí svoje jméno a do hesla dá svoje heslo a na jeho konec to jednorázové. PI najde uživatele, ověří OTP heslo a ověří normální heslo v AD a když je to ok, tak přihlášení projde.
Roundcube ano - sám o sobě to asi neumí. Ale zase záleží na té VPN. Já co jsem měl předtím v rukou Juniper SA (bývalý netscreen), tak to mělo web režim. Otevřel sis v prohlížeči stránku VPN, tam ses přihlásil tím nadefinovaným loginem a otevřeli se ti záložky na webové aplikace. Otevřel sis jí a měl jsi to normálně v prohlížeči (VPN dělala nějaký rewrite a posílala to dál). Dalo se tam hrát i s SSO, posíláním cookies a podobně, takže když si admin hodně vyhrál a měl si přesně ten stav, že do VPN se loguješ stejným jménem/heslem co do té aplikace, tak by to ten např. roundcube otevřelo už přihlášený
Teď mám v pazourách Fortineta, s ním jsem to ještě detailně nezkoušel, ale co jsem se na to díval, tak to umí něco dost podobného.
Jo a jinak já jako naprostej úchyl si ty OTP hesla generuju na YubiKey Neo. S tím je pak úplně jedno, jestli se to přečte ze zavirovaného počítače, děravého mobilu nebo čehokoliv. Nejradši bych to vnutil i do firmy, ale tady mi to dost kazí banda BFU s těma zmetkama od Applu, které NFC sice mají, ale stejně se v aplikaci nedá použít...