feat(lk-gateway): admin setup wizard — конфигурация подсистем через UI + тестовый прогон

Добавлена вкладка «Настройка» в admin-панели lk-gateway. Позволяет
ввести параметры каждой подсистемы прямо через веб-интерфейс,
проверить подключение и запустить тестовую заявку в один клик.

internal/lkgateway/runtimeconfig.go:
- Runtime-конфиг с персистом в JSON (BJ_SETUP_PATH или ~/.bj/setup.json)
- Поля: PostgresDSN, Crypto (provider/socket/jcp_path/license_key),
  NSD (profile/igw_base_url/key_container), LK (callback_url),
  LastTestRun (результат последнего тестового прогона)
- ReadinessSummary() для блока «Готовность системы: X из Y»

internal/lkgateway/setup.go:
- GET /admin/setup — страница настройки
- POST /admin/setup/postgres — DSN + sql.Ping (без pgx-драйвера упадёт
  на «unknown driver postgres», что покажет пользователю)
- POST /admin/setup/crypto — provider/socket/jcp.jar/лицензия, проверка
  существования файла jcp.jar
- POST /admin/setup/nsd — профиль/URL ИШ/контейнер, GET /healthz ИШ
- POST /admin/setup/lk — callback URL + GET /healthz эмулятора/ЛК
- POST /admin/setup/test-run — пробная сквозная заявка с предзаполнением
  (Иванов, 1500 акций Газпрома, ИИС T03), опрос статуса до финального

internal/lkgateway/web/templates/admin_setup.html:
- 4 карточки подсистем со статус-индикаторами (зелёная/красная точка)
- Inline-формы через <details>/<summary>: открыты для не настроенных,
  свёрнуты для уже настроенных
- Карточка «Тестовый прогон» с историей последнего результата
- Прогресс «Готовность системы: X из Y» в верхней части

internal/lkgateway/server.go:
- Server.rc *RuntimeConfig — поднимается при NewServer
- CheckOptions для admin-дашборда теперь берутся из runtime-конфига,
  а не только из ENV — изменения в /admin/setup сразу видны в /admin/
  и /admin/status без перезапуска

В layout.html добавлена nav-ссылка «Настройка», между «Дашборд» и
«Заявки».

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

internal/lkgateway/server.go

@@ -19,6 +19,7 @@ type ServerConfig struct {
 	DefaultReceiver   m2m.DeponentCode
 	CheckOptions      func() CheckOptions
 	MockDecisionDelay time.Duration // 0 = дефолт 3 секунды
+	SetupPath         string        // путь к JSON-файлу runtime-конфига (пусто = ~/.bj/setup.json)
 }
 
 // Server — обвязка HTTP + сервис + workers.
@@ -27,6 +28,7 @@ type Server struct {
 	svc    *Service
 	mock   *mock.Sender
 	store  *SeedStore
+	rc     *RuntimeConfig
 	mux    *http.ServeMux
 	server *http.Server
 }
@@ -51,18 +53,47 @@ func NewServer(cfg ServerConfig) (*Server, error) {
 		DefaultReceiver: cfg.DefaultReceiver,
 	})
 
-	mux := http.NewServeMux()
-	RegisterAPI(mux, svc)
-	if cfg.CheckOptions == nil {
-		cfg.CheckOptions = func() CheckOptions {
-			return CheckOptions{Profile: "demo (mock NSD)", CryptoProvider: "stub"}
-		}
-	}
-	if err := RegisterAdmin(mux, svc, cfg.CheckOptions); err != nil {
+	rc, err := NewRuntimeConfig(cfg.SetupPath)
+	if err != nil {
 		return nil, err
 	}
+	// Если runtime-конфиг уже содержит callback URL — применяем его.
+	if s := rc.Snapshot(); s.LK.CallbackURL != "" {
+		svc.callbackURL = s.LK.CallbackURL
+	}
+
+	mux := http.NewServeMux()
+	RegisterAPI(mux, svc)
+
+	// CheckOptions берётся из runtime-конфига при каждом запросе на дашборд.
+	checkOpts := func() CheckOptions {
+		s := rc.Snapshot()
+		profile := "demo (mock NSD)"
+		if s.NSD.Profile != "" {
+			profile = s.NSD.Profile
+		}
+		return CheckOptions{
+			PostgresDSN:    s.Postgres.DSN,
+			CryptoSocket:   s.Crypto.SocketPath,
+			NSDAdapterURL:  s.NSD.IGWBaseURL,
+			LKCallbackURL:  s.LK.CallbackURL,
+			Profile:        profile,
+			CryptoProvider: nonEmpty(s.Crypto.Provider, "stub"),
+			Timeout:        2 * time.Second,
+		}
+	}
+	if cfg.CheckOptions != nil {
+		// Опциональный override (например, из cmd/lk-gateway для override ENV-перетягивания).
+		checkOpts = cfg.CheckOptions
+	}
+
+	adminTpl, err := RegisterAdmin(mux, svc, checkOpts)
+	if err != nil {
+		return nil, err
+	}
+	registerSetup(mux, adminTpl, rc, svc)
 	registerHealth(mux)
-	registerSetCallback(mux, svc)
+	registerSetCallback(mux, svc, rc)
 	registerSeedListing(mux, store)
 
 	return &Server{
@@ -70,6 +101,7 @@ func NewServer(cfg ServerConfig) (*Server, error) {
 		svc:   svc,
 		mock:  sender,
 		store: store,
+		rc:    rc,
 		mux:   mux,
 		server: &http.Server{
 			Addr:              cfg.Addr,
@@ -79,6 +111,16 @@ func NewServer(cfg ServerConfig) (*Server, error) {
 	}, nil
 }
 
+// RuntimeConfig возвращает текущий runtime-конфиг (для тестов).
+func (s *Server) RuntimeConfig() *RuntimeConfig { return s.rc }
+
+func nonEmpty(s, def string) string {
+	if s == "" {
+		return def
+	}
+	return s
+}
+
 // SetCallbackURL обновляет адрес, куда отправлять PATCH callback'и в ЛК.
 func (s *Server) SetCallbackURL(url string) { s.svc.callbackURL = url }
 
@@ -146,8 +188,10 @@ func registerHealth(mux *http.ServeMux) {
 }
 
 // registerSetCallback — служебный POST /admin/api/callback-url для
-// эмулятора ЛК, чтобы сообщить gateway свой URL.
-func registerSetCallback(mux *http.ServeMux, svc *Service) {
+// эмулятора ЛК, чтобы сообщить gateway свой URL. Если URL уже сохранён
+// в runtime-конфиге (пользователь явно настроил его через UI), запрос
+// эмулятора игнорируется — приоритет у явно настроенного.
+func registerSetCallback(mux *http.ServeMux, svc *Service, rc *RuntimeConfig) {
 	mux.HandleFunc("/admin/api/callback-url", func(w http.ResponseWriter, r *http.Request) {
 		if r.Method != http.MethodPost {
 			http.Error(w, "method", http.StatusMethodNotAllowed)
@@ -158,6 +202,13 @@ func registerSetCallback(mux *http.ServeMux, svc *Service) {
 			http.Error(w, "url required", http.StatusBadRequest)
 			return
 		}
+		if rc != nil {
+			if s := rc.Snapshot(); s.LK.CallbackURL != "" {
+				w.WriteHeader(http.StatusOK)
+				_, _ = w.Write([]byte("kept-user-configured"))
+				return
+			}
+		}
 		svc.callbackURL = url
 		w.WriteHeader(http.StatusOK)
 		_, _ = w.Write([]byte("ok"))