Add fully manual VPN mode

README.md

@@ -14,7 +14,7 @@ CLI-установка корпоративного VPN `vpn.lemanapro.ru` дл
 - опциональный Touch ID helper для мастер-пароля Bitwarden;
 - Swift Menu Bar app `LemanaVPN.app`;
 - безопасный DNS cleanup через root-owned wrapper;
-- алиасы `vpn`, `vpn-auto`, `vpn-manual`, `vpn-debug`, `vpn-fix-dns`.
+- алиасы `vpn`, `vpn-auto`, `vpn-manual`, `vpn-manual-full`, `vpn-debug`, `vpn-fix-dns`.
 
 ## Быстрая установка
 
@@ -106,7 +106,7 @@ curl -fsSL https://example.org/dokril/lemana-vpn/raw/branch/main/install.sh \
 | `/usr/local/sbin/lemana-vpn-dns-cleanup` | Root-owned wrapper для сброса только корпоративных DNS |
 | `/etc/sudoers.d/lemana-vpn-openconnect` | `NOPASSWD` только для `openconnect` |
 | `/etc/sudoers.d/lemana-vpn-dns` | `NOPASSWD` только для DNS cleanup wrapper |
-| `~/.zshrc` | Идемпотентный блок алиасов `vpn`, `vpn-auto`, `vpn-manual`, `vpn-debug`, `vpn-fix-dns` |
+| `~/.zshrc` | Идемпотентный блок алиасов `vpn`, `vpn-auto`, `vpn-manual`, `vpn-manual-full`, `vpn-debug`, `vpn-fix-dns` |
 
 ## Статус модулей
 
@@ -355,7 +355,9 @@ open ~/Applications/LemanaVPN.app
 vpn                 # подключиться
 vpn-auto            # автоматический режим: скрытый браузер, auto-fill и submit
 vpn-manual          # ручной режим: видимый браузер, auto-fill без submit
+vpn-manual-full     # полностью ручной режим: видимый браузер без auto-fill и submit
 vpn --manual        # то же самое без alias
+vpn --manual-full   # то же самое без alias
 vpn --status        # статус без нового подключения
 vpn --status --json # статус в JSON
 vpn-debug           # видимый браузер и debug-логи
@@ -368,7 +370,9 @@ open ~/Applications/LemanaVPN.app  # открыть Swift-приложение
 
 - `auto` — режим по умолчанию. Браузер скрытый, LDAP-пароль и TOTP берутся из Bitwarden/Keychain, Keycloak форма заполняется и отправляется автоматически.
 - `manual` — браузер видимый, LDAP-пароль и TOTP берутся из Bitwarden/Keychain и подставляются в поля, но кнопки входа не нажимаются. Нажимаешь сам после проверки формы.
+- `manual-full` — браузер видимый, auto-fill отключён полностью: поля Keycloak заполняешь и отправляешь сам.
 - `--manual-sso` оставлен как совместимый alias для `--manual`.
+- `--manual-no-autofill` оставлен как совместимый alias для `--manual-full`.
 
 Первый запуск с Bitwarden:
 
@@ -443,7 +447,7 @@ curl -fsSL https://git.dokops.ru/dokril/lemana-vpn/raw/branch/main/install.sh \
 | `URL guard` | Проверяет `location.href` через `new RegExp(...)` перед auto-fill | Qt игнорирует `@include`, без guard auto-fill может кликнуть Cisco ACS и сломать SAML |
 | `auth redirect` | Читает 302 с `vpn.lemanapro.ru` без автоматического follow-redirect | Python `requests` может падать на TLS reset при открытии `/` на `sslvpna/b`, хотя для SAML нужен только конечный host |
 | `manual submit gate` | Позволяет отключить только auto-click через `LEMANA_VPN_AUTOFILL_CLICK=0` | Ручной режим видит заполненную форму, но сам решает, когда нажать вход |
-| `manual SSO disable` | Позволяет полностью отключить auto-fill через `LEMANA_VPN_AUTOFILL_DISABLE=1` | Нужен для низкоуровневой диагностики без подстановки полей |
+| `manual SSO disable` | Позволяет полностью отключить auto-fill через `vpn --manual-full` или `LEMANA_VPN_AUTOFILL_DISABLE=1` | Нужен для низкоуровневой диагностики без подстановки полей |
 
 Перед первым изменением CLI сохраняет оригинальный файл:
 
@@ -500,7 +504,13 @@ vpn-debug
 vpn --manual
 ```
 
-В этом режиме браузер видимый, `openconnect-lite` заполняет поля из Keychain/Bitwarden, но не нажимает submit. Для полной диагностики без подстановки можно отдельно выставить `LEMANA_VPN_AUTOFILL_DISABLE=1`.
+В этом режиме браузер видимый, `openconnect-lite` заполняет поля из Keychain/Bitwarden, но не нажимает submit.
+
+Если нужно проверить SSO полностью вручную, без подстановки LDAP-пароля и TOTP:
+
+```sh
+vpn --manual-full
+```
 
 Если установка падает на строке `install: /usr/local/sbin/...: No such file or directory`, значит на машине не было `/usr/local/sbin`. Актуальный `install.sh` создаёт эту директорию сам; достаточно повторить установку свежей командой `curl`.