Add docker admin bootstrap for clean release

specs/023-clean-repo-enterprise/quickstart.md

@@ -73,6 +73,23 @@ cd /home/busya/dev/ss-tools
 2. Повторно запустить проверку из того же TUI экрана (`F5`).
 3. Повторять до статуса `COMPLIANT`.
 
+## Admin Bootstrap via `.env.enterprise-clean` (Docker Runtime)
+
+Для offline bundle deployment в контейнерах используйте runtime файл `.env.enterprise-clean` на базе шаблона `.env.enterprise-clean.example`.
+
+Обязательные параметры bootstrap:
+- `INITIAL_ADMIN_CREATE=true` для первого запуска;
+- `INITIAL_ADMIN_USERNAME=<org-admin-login>`;
+- `INITIAL_ADMIN_PASSWORD=<strong-temporary-secret>`;
+- `INITIAL_ADMIN_EMAIL=<optional>`.
+
+Ожидаемое поведение:
+1. Backend container стартует.
+2. EntryPoint проверяет флаг `INITIAL_ADMIN_CREATE`.
+3. Если пользователь не существует — создаётся Admin user.
+4. Если пользователь уже существует — bootstrap шага пропускается без изменения учётной записи.
+5. После первого входа оператор выполняет обязательную ротацию bootstrap-пароля.
+
 ## CI Gate (обязательный)
 
 После операторского прогона TUI та же политика должна быть проверена в CI.