feat(lk-gateway): admin setup wizard — конфигурация подсистем через UI + тестовый прогон

Добавлена вкладка «Настройка» в admin-панели lk-gateway. Позволяет
ввести параметры каждой подсистемы прямо через веб-интерфейс,
проверить подключение и запустить тестовую заявку в один клик.

internal/lkgateway/runtimeconfig.go:
- Runtime-конфиг с персистом в JSON (BJ_SETUP_PATH или ~/.bj/setup.json)
- Поля: PostgresDSN, Crypto (provider/socket/jcp_path/license_key),
  NSD (profile/igw_base_url/key_container), LK (callback_url),
  LastTestRun (результат последнего тестового прогона)
- ReadinessSummary() для блока «Готовность системы: X из Y»

internal/lkgateway/setup.go:
- GET /admin/setup — страница настройки
- POST /admin/setup/postgres — DSN + sql.Ping (без pgx-драйвера упадёт
  на «unknown driver postgres», что покажет пользователю)
- POST /admin/setup/crypto — provider/socket/jcp.jar/лицензия, проверка
  существования файла jcp.jar
- POST /admin/setup/nsd — профиль/URL ИШ/контейнер, GET /healthz ИШ
- POST /admin/setup/lk — callback URL + GET /healthz эмулятора/ЛК
- POST /admin/setup/test-run — пробная сквозная заявка с предзаполнением
  (Иванов, 1500 акций Газпрома, ИИС T03), опрос статуса до финального

internal/lkgateway/web/templates/admin_setup.html:
- 4 карточки подсистем со статус-индикаторами (зелёная/красная точка)
- Inline-формы через <details>/<summary>: открыты для не настроенных,
  свёрнуты для уже настроенных
- Карточка «Тестовый прогон» с историей последнего результата
- Прогресс «Готовность системы: X из Y» в верхней части

internal/lkgateway/server.go:
- Server.rc *RuntimeConfig — поднимается при NewServer
- CheckOptions для admin-дашборда теперь берутся из runtime-конфига,
  а не только из ENV — изменения в /admin/setup сразу видны в /admin/
  и /admin/status без перезапуска

В layout.html добавлена nav-ссылка «Настройка», между «Дашборд» и
«Заявки».

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

internal/lkgateway/runtimeconfig.go

@@ -0,0 +1,279 @@
+package lkgateway
+
+import (
+	"encoding/json"
+	"errors"
+	"os"
+	"path/filepath"
+	"sync"
+	"time"
+)
+
+// RuntimeConfig — конфигурация подсистем, редактируемая через admin UI
+// без перезапуска. Сохраняется в JSON-файл (BJ_SETUP_PATH или
+// ~/.bj/setup.json), грузится при старте.
+type RuntimeConfig struct {
+	mu   sync.RWMutex
+	path string
+	data Settings
+}
+
+// Settings — сериализуемое представление настроек.
+type Settings struct {
+	Postgres  PostgresSettings `json:"postgres"`
+	Crypto    CryptoSettings   `json:"crypto"`
+	NSD       NSDSettings      `json:"nsd"`
+	LK        LKSettings       `json:"lk"`
+	LastTest  *TestRunResult   `json:"last_test,omitempty"`
+	UpdatedAt time.Time        `json:"updated_at"`
+}
+
+// PostgresSettings — DSN для подключения к БД (M2-шаг-3).
+type PostgresSettings struct {
+	DSN string `json:"dsn"`
+}
+
+// CryptoSettings — путь к JCP, провайдер, лицензионный ключ.
+type CryptoSettings struct {
+	Provider   string `json:"provider"`    // "stub" | "cryptopro" | "validata" | "vipnet"
+	SocketPath string `json:"socket_path"` // UDS crypto-service
+	JCPPath    string `json:"jcp_path"`    // путь до jcp.jar
+	LicenseKey string `json:"license_key"` // лицензионный ключ КриптоПро
+}
+
+// NSDSettings — профиль и подключение к ИШ НРД.
+type NSDSettings struct {
+	Profile      string `json:"profile"`       // "guest-gost", "test3-gost", ...
+	IGWBaseURL   string `json:"igw_base_url"`  // http://host:port
+	KeyContainer string `json:"key_container"` // имя контейнера (на стороне ИШ)
+}
+
+// LKSettings — настройки callback в ЛК клиента.
+type LKSettings struct {
+	CallbackURL string `json:"callback_url"`
+}
+
+// TestRunResult — результат последнего тестового прогона.
+type TestRunResult struct {
+	StartedAt   time.Time `json:"started_at"`
+	FinishedAt  time.Time `json:"finished_at"`
+	ClaimID     string    `json:"claim_id"`
+	FinalStatus string    `json:"final_status"`
+	OK          bool      `json:"ok"`
+	Message     string    `json:"message"`
+}
+
+// NewRuntimeConfig создаёт runtime-конфиг, читая JSON из path (или дефолт).
+func NewRuntimeConfig(path string) (*RuntimeConfig, error) {
+	if path == "" {
+		home, _ := os.UserHomeDir()
+		if home == "" {
+			home = "."
+		}
+		path = filepath.Join(home, ".bj", "setup.json")
+	}
+	rc := &RuntimeConfig{path: path}
+	if err := rc.load(); err != nil && !errors.Is(err, os.ErrNotExist) {
+		return nil, err
+	}
+	// Гарантируем разумные дефолты.
+	if rc.data.Crypto.Provider == "" {
+		rc.data.Crypto.Provider = "stub"
+	}
+	if rc.data.Crypto.SocketPath == "" {
+		rc.data.Crypto.SocketPath = "/run/bj/crypto.sock"
+	}
+	return rc, nil
+}
+
+// Snapshot возвращает копию текущих настроек.
+func (r *RuntimeConfig) Snapshot() Settings {
+	r.mu.RLock()
+	defer r.mu.RUnlock()
+	out := r.data
+	if r.data.LastTest != nil {
+		t := *r.data.LastTest
+		out.LastTest = &t
+	}
+	return out
+}
+
+// UpdatePostgres сохраняет postgres-настройки.
+func (r *RuntimeConfig) UpdatePostgres(s PostgresSettings) error {
+	r.mu.Lock()
+	r.data.Postgres = s
+	r.data.UpdatedAt = time.Now().UTC()
+	r.mu.Unlock()
+	return r.save()
+}
+
+// UpdateCrypto сохраняет crypto-настройки.
+func (r *RuntimeConfig) UpdateCrypto(s CryptoSettings) error {
+	r.mu.Lock()
+	r.data.Crypto = s
+	r.data.UpdatedAt = time.Now().UTC()
+	r.mu.Unlock()
+	return r.save()
+}
+
+// UpdateNSD сохраняет NSD-настройки.
+func (r *RuntimeConfig) UpdateNSD(s NSDSettings) error {
+	r.mu.Lock()
+	r.data.NSD = s
+	r.data.UpdatedAt = time.Now().UTC()
+	r.mu.Unlock()
+	return r.save()
+}
+
+// UpdateLK сохраняет LK callback URL.
+func (r *RuntimeConfig) UpdateLK(s LKSettings) error {
+	r.mu.Lock()
+	r.data.LK = s
+	r.data.UpdatedAt = time.Now().UTC()
+	r.mu.Unlock()
+	return r.save()
+}
+
+// RecordTestRun сохраняет результат теста.
+func (r *RuntimeConfig) RecordTestRun(res TestRunResult) error {
+	r.mu.Lock()
+	r.data.LastTest = &res
+	r.data.UpdatedAt = time.Now().UTC()
+	r.mu.Unlock()
+	return r.save()
+}
+
+// load читает JSON в r.data.
+func (r *RuntimeConfig) load() error {
+	raw, err := os.ReadFile(r.path)
+	if err != nil {
+		return err
+	}
+	return json.Unmarshal(raw, &r.data)
+}
+
+// save пишет JSON в r.path атомарно через tmp + rename.
+func (r *RuntimeConfig) save() error {
+	r.mu.RLock()
+	raw, err := json.MarshalIndent(r.data, "", "  ")
+	r.mu.RUnlock()
+	if err != nil {
+		return err
+	}
+	dir := filepath.Dir(r.path)
+	if err := os.MkdirAll(dir, 0o755); err != nil {
+		return err
+	}
+	tmp := r.path + ".tmp"
+	if err := os.WriteFile(tmp, raw, 0o600); err != nil {
+		return err
+	}
+	return os.Rename(tmp, r.path)
+}
+
+// Readiness — сводная готовность подсистемы.
+type Readiness struct {
+	Name       string `json:"name"`
+	Ready      bool   `json:"ready"`      // полностью настроена и проверена
+	Configured bool   `json:"configured"` // есть пользовательский конфиг (не stub)
+	Message    string `json:"message"`
+}
+
+// ReadinessSummary возвращает компактную сводку для UI/admin.
+func (r *RuntimeConfig) ReadinessSummary() []Readiness {
+	s := r.Snapshot()
+	out := []Readiness{
+		{
+			Name:       "postgres",
+			Configured: s.Postgres.DSN != "",
+			Ready:      false, // настоящий ping будет в checks.go
+			Message:    posMsg(s.Postgres.DSN),
+		},
+		{
+			Name:       "crypto-service",
+			Configured: s.Crypto.Provider != "" && s.Crypto.Provider != "stub" && s.Crypto.JCPPath != "",
+			Ready:      false,
+			Message:    cryptoMsg(s.Crypto),
+		},
+		{
+			Name:       "nsd-adapter",
+			Configured: s.NSD.IGWBaseURL != "" && s.NSD.Profile != "",
+			Ready:      false,
+			Message:    nsdMsg(s.NSD),
+		},
+		{
+			Name:       "lk-callback",
+			Configured: s.LK.CallbackURL != "",
+			Ready:      false,
+			Message:    lkMsg(s.LK),
+		},
+	}
+	return out
+}
+
+func posMsg(dsn string) string {
+	if dsn == "" {
+		return "DSN не задан — система в режиме in-memory (M2-демо)"
+	}
+	return "DSN настроен: " + maskDSN(dsn)
+}
+
+func cryptoMsg(c CryptoSettings) string {
+	if c.Provider == "" || c.Provider == "stub" {
+		return "Криптография не настроена (provider=stub). КриптоПро JCP не подключён."
+	}
+	if c.JCPPath == "" {
+		return "Провайдер " + c.Provider + ", но путь к JCP не задан."
+	}
+	if c.LicenseKey == "" {
+		return "Провайдер " + c.Provider + ", JCP есть, лицензия не введена."
+	}
+	return "Провайдер " + c.Provider + ", JCP подключён, лицензия введена."
+}
+
+func nsdMsg(n NSDSettings) string {
+	if n.IGWBaseURL == "" {
+		return "ИШ НРД не настроен — используется mock-режим (Decision через 3 сек)"
+	}
+	if n.Profile == "" {
+		return "URL ИШ задан, но профиль не выбран"
+	}
+	return "Профиль " + n.Profile + ", ИШ " + n.IGWBaseURL
+}
+
+func lkMsg(l LKSettings) string {
+	if l.CallbackURL == "" {
+		return "Callback URL не настроен — используется встроенный lk-emulator"
+	}
+	return "Callback URL: " + l.CallbackURL
+}
+
+// maskDSN скрывает пароль в DSN для отображения в UI.
+func maskDSN(dsn string) string {
+	// простая маскировка: ищем :///user:pass@host
+	const sep = "@"
+	if idx := indexAt(dsn, sep); idx > 0 {
+		if colon := lastColonBefore(dsn, idx); colon > 0 && colon < idx {
+			return dsn[:colon+1] + "***" + dsn[idx:]
+		}
+	}
+	return dsn
+}
+
+func indexAt(s, sub string) int {
+	for i := 0; i+len(sub) <= len(s); i++ {
+		if s[i:i+len(sub)] == sub {
+			return i
+		}
+	}
+	return -1
+}
+
+func lastColonBefore(s string, idx int) int {
+	for i := idx - 1; i >= 0; i-- {
+		if s[i] == ':' {
+			return i
+		}
+	}
+	return -1
+}