Add docker admin bootstrap for clean release

README.md

@@ -250,21 +250,32 @@ cd /home/busya/dev/ss-tools
 
 ```bash
 # 1. Собрать образы в подключённом контуре
-./scripts/build_offline_docker_bundle.sh v1.0.0-rc2
+./scripts/build_offline_docker_bundle.sh v1.0.0-rc2-docker
 
 # 2. Передать dist/docker/* в изолированный контур
 # 3. Импортировать образы локально
-docker load -i dist/docker/backend.v1.0.0-rc2.tar
-docker load -i dist/docker/frontend.v1.0.0-rc2.tar
-docker load -i dist/docker/postgres.v1.0.0-rc2.tar
+docker load -i dist/docker/backend.v1.0.0-rc2-docker.tar
+docker load -i dist/docker/frontend.v1.0.0-rc2-docker.tar
+docker load -i dist/docker/postgres.v1.0.0-rc2-docker.tar
 
 # 4. Подготовить env из шаблона
 cp dist/docker/.env.enterprise-clean.example .env.enterprise-clean
 
+# 4a. Для первого запуска задать bootstrap администратора
+# INITIAL_ADMIN_CREATE=true
+# INITIAL_ADMIN_USERNAME=<org-admin-login>
+# INITIAL_ADMIN_PASSWORD=<temporary-strong-secret>
+
 # 5. Запустить только локальные образы
 docker compose --env-file .env.enterprise-clean -f dist/docker/docker-compose.enterprise-clean.yml up -d
 ```
 
+Bootstrap администратора выполняется entrypoint-скриптом внутри backend container:
+- если `INITIAL_ADMIN_CREATE=true`, контейнер вызывает [`create_admin.py`](backend/src/scripts/create_admin.py) перед стартом API;
+- если администратор уже существует, учётная запись не меняется;
+- теги в [`.env.enterprise-clean.example`](.env.enterprise-clean.example) должны совпадать с фактически загруженными образами `ss-tools-backend:v1.0.0-rc2-docker` и `ss-tools-frontend:v1.0.0-rc2-docker`;
+- после первого входа пароль должен быть ротирован, а `INITIAL_ADMIN_CREATE` возвращён в `false`.
+
 Ограничения для production-grade offline release:
 - build не должен тянуть зависимости в изолированном контуре;
 - все base images должны быть заранее зеркалированы во внутренний registry или поставляться как tar;