infra: clean up Keycloak configuration, enforce consistency in .env, and improve health checks

Streamlined Keycloak configurations with defaults for development and production in `.env`. Added health checks and improved environment variable documentation with comments to differentiate local and server deployments. Ensured compatibility with pre-built registry images.
2026-03-06 11:23:24 +01:00 · 2026-03-06 11:23:24 +01:00 · 09b0b1a462
commit 09b0b1a462
parent 6cb1f2d5ba
75 changed files with 441 additions and 44 deletions
--- a/.env
+++ b/.env
@ -8,6 +8,10 @@
 # --- PROJECT ---
 PROJECT_NAME=meldestelle
 # --- BACKUP ---
 BACKUP_DIR=/home/stefan/backups/meldestelle
 BACKUP_RETENTION_DAYS=7
 # Docker build versions (optional overrides)
 DOCKER_VERSION=1.0.0-SNAPSHOT
 DOCKER_REGISTRY=git.mo-code.at/mocode-software
@ -48,15 +52,21 @@ SPRING_DATA_VALKEY_PASSWORD=valkey-password
 KEYCLOAK_IMAGE_TAG=26.4
 KC_HEAP_MIN=512M
 KC_HEAP_MAX=1024M
 # Lokale Entwicklung: start-dev (kein Pre-Build nötig, kein --optimized)
 # Server/Produktion: start --optimized --import-realm (nutzt das pre-built Registry-Image)
 KC_COMMAND=start-dev --import-realm
 KC_ADMIN_USERNAME=kc-admin
 KC_ADMIN_PASSWORD=kc-password
 KC_DB=postgres
 KC_DB_SCHEMA=keycloak
 KC_DB_PASSWORD=meldestelle
 # Lokal: localhost | Server: echte IP oder Domain (z.B. 192.168.1.100 oder auth.meldestelle.at)
 KC_HOSTNAME=localhost
 # false = kein Hostname-Strict-Check (empfohlen für Entwicklung und HTTP-only Server)
 KC_HOSTNAME_STRICT=false
 KC_HOSTNAME_STRICT_HTTPS=false
 KC_PORT=8180:8080
-KC_DEBUG_PORT=9000:9000
+KC_MANAGEMENT_PORT=9000:9000
 # --- KEYCLOAK TOKEN VALIDATION ---
 # Public Issuer URI (must match the token issuer from browser/postman)
--- a/.env.example
+++ b/.env.example
@ -2,12 +2,21 @@
 #  Meldestelle – Docker Compose Environment
 #  Single Source of Truth (SSoT)
 # ==========================================
-# WARNING: This file contains secrets (passwords).
+# ANLEITUNG:
-# Do NOT commit this file to version control if it contains production secrets.
+#   1. Diese Datei nach ".env" kopieren: cp .env.example .env
 #   2. Alle Werte mit <PLACEHOLDER> durch echte Werte ersetzen
 #   3. Für lokale Entwicklung: KC_COMMAND=start-dev --import-realm
 #      Für Server/Produktion:  KC_COMMAND=start --optimized --import-realm
 # WARNING: Die .env-Datei enthält Secrets – NIEMALS in Git committen!
 # --- PROJECT ---
 PROJECT_NAME=meldestelle
 # --- BACKUP ---
 # SERVER: Pfad zum Backup-Verzeichnis (z.B. /home/<USER>/backups/meldestelle)
 BACKUP_DIR=/home/<USER>/backups/meldestelle
 BACKUP_RETENTION_DAYS=7
 # Docker build versions (optional overrides)
 DOCKER_VERSION=1.0.0-SNAPSHOT
 DOCKER_BUILD_DATE=2026-02-02T15:00:00Z
@ -37,22 +46,32 @@ VALKEY_MAXMEMORY=256mb
 # --- KEYCLOAK ---
 KEYCLOAK_IMAGE_TAG=26.4
-KC_HEAP_MAX=1024m
+KC_HEAP_MIN=512M
-KC_COMMAND=start-dev --import-realm
+KC_HEAP_MAX=1024M
 # LOKAL:  start-dev --import-realm
 # SERVER: start --optimized --import-realm  ← pre-built Registry-Image, kein start-dev!
 KC_COMMAND=start --optimized --import-realm
 KC_ADMIN_USERNAME=kc-admin
-KC_ADMIN_PASSWORD=kc-password
+KC_ADMIN_PASSWORD=<SICHERES_PASSWORT>
 KC_DB=postgres
 KC_DB_SCHEMA=keycloak
-KC_DB_PASSWORD=meldestelle
+KC_DB_PASSWORD=<SICHERES_PASSWORT>
-KC_HOSTNAME=localhost
+# SERVER: Echte IP oder Domain eintragen (z.B. 192.168.1.100 oder auth.meldestelle.at)
 # LOKAL:  localhost
 KC_HOSTNAME=<SERVER_IP_ODER_DOMAIN>
 # false = Zugriff über beliebige Hostnamen erlaubt (nötig ohne TLS / für HTTP-Betrieb)
 KC_HOSTNAME_STRICT=false
 KC_HOSTNAME_STRICT_HTTPS=false
 KC_PORT=8180:8080
-KC_DEBUG_PORT=9000:9000
+KC_MANAGEMENT_PORT=9000:9000
 # --- KEYCLOAK TOKEN VALIDATION ---
-# Public Issuer URI (must match the token issuer from browser/postman)
+# Public Issuer URI: muss mit dem Hostname übereinstimmen, den Browser/App sieht
-KC_ISSUER_URI=http://localhost:8180/realms/meldestelle
+# LOKAL:  http://localhost:8180/realms/meldestelle
-# Internal JWK Set URI (for service-to-service communication within Docker)
+# SERVER: http://<SERVER_IP_ODER_DOMAIN>:8180/realms/meldestelle
-KC_JWK_SET_URI=http://keycloak:8080/realms/meldestelle/protocol/openid-connect/certs
+SPRING_SECURITY_OAUTH2_RESOURCESERVER_JWT_ISSUER_URI=http://<SERVER_IP_ODER_DOMAIN>:8180/realms/meldestelle
 # Internal JWK Set URI: Service-zu-Service innerhalb Docker (immer keycloak:8080)
 SPRING_SECURITY_OAUTH2_RESOURCESERVER_JWT_JWK_SET_URI=http://keycloak:8080/realms/meldestelle/protocol/openid-connect/certs
 # --- CONSUL ---
 CONSUL_IMAGE=hashicorp/consul:1.22.1
--- a/config/scripts/backup.sh
+++ b/config/scripts/backup.sh
@ -4,15 +4,25 @@
 #  Sichert Datenbanken und Konfigurationen
 # ==========================================
-# Konfiguration
+# .env laden (SSoT für alle Variablen)
-BACKUP_DIR="/home/grandmo/backups/meldestelle"
+SCRIPT_DIR="$(cd "$(dirname "${BASH_SOURCE[0]}")" && pwd)"
 PROJECT_ROOT="$(cd "$SCRIPT_DIR/../.." && pwd)"
 if [ -f "$PROJECT_ROOT/.env" ]; then
    set -a
    # shellcheck disable=SC1091
    source "$PROJECT_ROOT/.env"
    set +a
 fi
 # Konfiguration (Defaults falls .env nicht vorhanden)
 BACKUP_DIR="${BACKUP_DIR:-$HOME/backups/meldestelle}"
 DATE=$(date +%Y-%m-%d_%H-%M-%S)
-RETENTION_DAYS=7
+RETENTION_DAYS="${BACKUP_RETENTION_DAYS:-7}"
-PROJECT_NAME="meldestelle"
+PROJECT_NAME="${PROJECT_NAME:-meldestelle}"
 # Container Namen (müssen mit docker-compose übereinstimmen)
 DB_CONTAINER="${PROJECT_NAME}-postgres"
-DB_USER="meldestelle" # Oder aus .env lesen
+DB_USER="${POSTGRES_USER:-pg-user}"
 # Verzeichnisse erstellen
 mkdir -p "$BACKUP_DIR"
--- a/dc-backend.yaml
+++ b/dc-backend.yaml
@ -118,11 +118,11 @@ services:
      SPRING_DATASOURCE_USERNAME: "${POSTGRES_USER:-pg-user}"
      SPRING_DATASOURCE_PASSWORD: "${POSTGRES_PASSWORD:-pg-password}"
-      # --- REDIS ---
+      # --- VALKEY (formerly Redis) ---
-      SPRING_DATA_REDIS_HOST: "${REDIS_SERVER_HOSTNAME:-redis}"
+      SPRING_DATA_VALKEY_HOST: "${VALKEY_SERVER_HOSTNAME:-valkey}"
-      SPRING_DATA_REDIS_PORT: "${REDIS_SERVICE_PORT:-6379}"
+      SPRING_DATA_VALKEY_PORT: "${VALKEY_SERVER_PORT:-6379}"
-      SPRING_DATA_REDIS_PASSWORD: "${REDIS_PASSWORD:-redis-password}"
+      SPRING_DATA_VALKEY_PASSWORD: "${VALKEY_PASSWORD:-}"
-      SPRING_DATA_REDIS_CONNECT_TIMEOUT: "${REDIS_SERVER_CONNECT_TIMEOUT:-5s}"
+      SPRING_DATA_VALKEY_CONNECT_TIMEOUT: "${VALKEY_SERVER_CONNECT_TIMEOUT:-5s}"
      # --- ZIPKIN ---
      MANAGEMENT_ZIPKIN_TRACING_ENDPOINT: "${ZIPKIN_ENDPOINT:-http://zipkin:9411/api/v2/spans}"
--- a/dc-infra.yaml
+++ b/dc-infra.yaml
@ -77,7 +77,7 @@ services:
      dockerfile: config/docker/keycloak/Dockerfile
      args:
        KEYCLOAK_IMAGE_TAG: "${KEYCLOAK_IMAGE_TAG:-26.4}"
-    image: "${DOCKER_REGISTRY:-git.mo-code.at/grandmo}/keycloak:${KEYCLOAK_IMAGE_TAG:-26.4}"
+    image: "${DOCKER_REGISTRY:-git.mo-code.at/mocode-software}/keycloak:${KEYCLOAK_IMAGE_TAG:-26.4}"
    container_name: "${PROJECT_NAME:-meldestelle}-keycloak"
    restart: unless-stopped
    profiles: [ "infra", "all" ]
@ -89,21 +89,36 @@ services:
      KC_DB_URL: "jdbc:postgresql://postgres:5432/${POSTGRES_DB:-pg-meldestelle-db}"
      KC_DB_USERNAME: "${POSTGRES_USER:-pg-user}"
      KC_DB_PASSWORD: "${POSTGRES_PASSWORD:-pg-password}"
      # Hostname-Konfiguration: Für lokale Entwicklung "localhost", auf dem Server die echte IP/Domain setzen
      KC_HOSTNAME: "${KC_HOSTNAME:-localhost}"
      # WICHTIG: false erlaubt Zugriff über beliebige Hostnamen (nötig für Server-Betrieb ohne TLS)
      KC_HOSTNAME_STRICT: "${KC_HOSTNAME_STRICT:-false}"
      # WICHTIG: false erlaubt HTTP (kein HTTPS-Zwang) – für Entwicklung und HTTP-only Server
      KC_HOSTNAME_STRICT_HTTPS: "${KC_HOSTNAME_STRICT_HTTPS:-false}"
      KC_HTTP_ENABLED: "true"
      # Admin-Interface explizit auf allen Interfaces binden (0.0.0.0)
      KC_HTTP_MANAGEMENT_PORT: "9000"
      KC_HEALTH_ENABLED: "true"
      KC_METRICS_ENABLED: "true"
      # Integration der Power-Flags
      JAVA_OPTS_APPEND: "-Xms${KC_HEAP_MIN:-512M} -Xmx${KC_HEAP_MAX:-1024M} ${JVM_OPTS_ARM64}"
    ports:
      - "${KC_PORT:-8180:8080}"
-      - "${KC_DEBUG_PORT:-9000:9000}"
+      - "${KC_MANAGEMENT_PORT:-9000:9000}"
    depends_on:
      postgres:
        condition: "service_healthy"
    healthcheck:
      test: [ "CMD-SHELL", "curl -sf http://localhost:9000/health/ready || exit 1" ]
      interval: "15s"
      timeout: "5s"
      retries: "10"
      start_period: "60s"
    volumes:
      - "./config/docker/keycloak:/opt/keycloak/data/import:Z"
-    command: "${KC_COMMAND:-start-dev --import-realm}"
+    # start --optimized nutzt das pre-built Image (kc.sh build im Dockerfile)
    # start-dev würde den Pre-Build ignorieren und im Dev-Modus starten (Konflikt mit Registry-Images!)
    command: "${KC_COMMAND:-start --optimized --import-realm}"
    networks:
      meldestelle-network:
        aliases:
--- a/docs/01_Architecture/02_Frontend_Architecture.md
+++ b/docs/01_Architecture/02_Frontend_Architecture.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Frontend Architecture & Modularization Strategy
 **Status:** DRAFT
--- a/docs/01_Architecture/03_Build_System_Platform_Module.md
+++ b/docs/01_Architecture/03_Build_System_Platform_Module.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Architektur: Das Platform-Modul
 ## Überblick
--- a/docs/01_Architecture/ARCHITECTURE.md
+++ b/docs/01_Architecture/ARCHITECTURE.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Repository-Architektur (MP-22)
 **WARNUNG (Januar 2026): Dieses Dokument ist veraltet.** Die hier beschriebene "Soll"-Struktur wurde teilweise umgesetzt, aber wichtige strategische Änderungen sind in den Statusberichten vom Januar 2026 dokumentiert. Dieses Dokument dient nur noch als historischer Referenzpunkt.
--- a/docs/01_Architecture/Architecture_OpenSource_Checkliste.md
+++ b/docs/01_Architecture/Architecture_OpenSource_Checkliste.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Open-Source-Konformität & Lizenz-Checkliste
 Dieses Dokument dient der Überwachung und Sicherstellung der Open-Source-Konformität des Projekts **Meldestelle**. Es wird vom Lead Architect gepflegt.
--- a/docs/01_Architecture/Gitea/Enable_Gitea_Actions_Cache_to_Accelerate_CI_CD.md
+++ b/docs/01_Architecture/Gitea/Enable_Gitea_Actions_Cache_to_Accelerate_CI_CD.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Enable Gitea Actions Cache to Accelerate CI/CD
 [![](/gitea-text.svg)Gitea](/)
--- a/docs/01_Architecture/Minisforum-MS-R1/Gitea-SSH-Setup.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Gitea-SSH-Setup.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # 💻 Client-Setup: Arbeitsplatz an "Das Biest" anbinden
 Diese Anleitung beschreibt die Einrichtung eines lokalen Rechners, um via SSH und Cloudflare-Tunnel auf die
--- a/docs/01_Architecture/Minisforum-MS-R1/MS-R1_Konfiguration&Bedienung.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/MS-R1_Konfiguration&Bedienung.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Technisches Referenzhandbuch: MS-R1 "Das Biest"
 ## 1. System-Übersicht & Architektur
--- a/docs/01_Architecture/Minisforum-MS-R1/P1WSB-Nutzerhandbuch-Deutsch-V2-0-2025-11-3.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/P1WSB-Nutzerhandbuch-Deutsch-V2-0-2025-11-3.md
@ -1,5 +1,7 @@
 ---
-Betriebsanleitung Minisforum MS-R1
+type: Reference
 status: ARCHIVED
 owner: DevOps Engineer
 ---
 # MINISFORUM MS-R1
--- a/docs/01_Architecture/Minisforum-MS-R1/SSoT_Konfigurations-Masterplan_Zora.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/SSoT_Konfigurations-Masterplan_Zora.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # SSoT Konfigurations-Masterplan für Zora (ARM64)
 ## 1. System-Umgebung (Infrastruktur)
--- a/docs/01_Architecture/Minisforum-MS-R1/Setup_Guide_Host_OS.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Setup_Guide_Host_OS.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Setup Guide: Host OS (Minisforum MS-R1)
 **Status:** DEPRECATED / HISTORIC
--- a/docs/01_Architecture/Minisforum-MS-R1/Setup_Guide_Services.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Setup_Guide_Services.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Setup Guide: Infrastructure Services (Minisforum MS-R1)
 **Status:** DEPRECATED / HISTORIC
--- a/docs/01_Architecture/Minisforum-MS-R1/Spezifikation.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Spezifikation.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Spezifikation
 | CPU                  | CP8180, 12 Cores/12 Threads, 2.6Ghz                                                                                                                                                                                                                                                                                                                                                                                        |
--- a/docs/01_Architecture/Minisforum-MS-R1/Zentrales_Mail-Relay-SSoT_Zora.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Zentrales_Mail-Relay-SSoT_Zora.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Dokumentation: Zentrales Mail-Relay (SSoT) auf Zora
 ## 1. Identität & Rollenverteilung
--- a/docs/01_Architecture/Minisforum-MS-R1/Zora_Roadmap.md
+++ b/docs/01_Architecture/Minisforum-MS-R1/Zora_Roadmap.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Roadmap: Finalisierung Gitea-Infrastruktur (MS-R1)
 ## Phase 1: Konnektivität & Erreichbarkeit 🌐
--- a/docs/01_Architecture/Reference/Tech_Stack/Implementierung_Offline-First_KMP.md
+++ b/docs/01_Architecture/Reference/Tech_Stack/Implementierung_Offline-First_KMP.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 Hier ist der Quellcode des Berichts im Markdown-Format:
 # Architektonische Resilienz in verteilten Systemen: Ein umfassender Leitfaden zur Implementierung von Offline-First Kotlin Multiplatform Architekturen mit SQLDelight
--- a/docs/01_Architecture/USV-Akku/USV-technische-Daten.md
+++ b/docs/01_Architecture/USV-Akku/USV-technische-Daten.md
@ -1,5 +1,7 @@
 ---
-Datenblatt USV
+type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Eaton 3S
--- a/docs/01_Architecture/adr/000-PENDING-backend-infrastructure-decisions.md
+++ b/docs/01_Architecture/adr/000-PENDING-backend-infrastructure-decisions.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: DRAFT
 owner: Lead Architect
 ---
 # PENDING DECISIONS: Backend Infrastructure & Architecture
 **Status:** RESOLVED
--- a/docs/01_Architecture/adr/0000-adr-template-de.md
+++ b/docs/01_Architecture/adr/0000-adr-template-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0000: Vorlage für Architekturentscheidungsaufzeichnungen
 ## Status
--- a/docs/01_Architecture/adr/0001-modular-architecture-de.md
+++ b/docs/01_Architecture/adr/0001-modular-architecture-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0001: Modulare Architektur
 ## Status
--- a/docs/01_Architecture/adr/0002-domain-driven-design-de.md
+++ b/docs/01_Architecture/adr/0002-domain-driven-design-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0002: Domain-Driven Design
 ## Status
--- a/docs/01_Architecture/adr/0003-microservices-architecture-de.md
+++ b/docs/01_Architecture/adr/0003-microservices-architecture-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0003: Microservices-Architektur
 ## Status
--- a/docs/01_Architecture/adr/0004-event-driven-communication-de.md
+++ b/docs/01_Architecture/adr/0004-event-driven-communication-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0004: Ereignisgesteuerte Kommunikation
 ## Status
--- a/docs/01_Architecture/adr/0005-polyglot-persistence-de.md
+++ b/docs/01_Architecture/adr/0005-polyglot-persistence-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0005: Polyglotte Persistenz
 ## Status
--- a/docs/01_Architecture/adr/0006-authentication-authorization-keycloak-de.md
+++ b/docs/01_Architecture/adr/0006-authentication-authorization-keycloak-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0006: Authentifizierung und Autorisierung mit Keycloak
 ## Status
--- a/docs/01_Architecture/adr/0007-api-gateway-pattern-de.md
+++ b/docs/01_Architecture/adr/0007-api-gateway-pattern-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0007: API-Gateway-Muster
 ## Status
--- a/docs/01_Architecture/adr/0008-multiplatform-client-applications-de.md
+++ b/docs/01_Architecture/adr/0008-multiplatform-client-applications-de.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0008: Multiplatform-Client-Anwendungen
 ## Status
--- a/docs/01_Architecture/adr/0009-final-kmp-architecture.md
+++ b/docs/01_Architecture/adr/0009-final-kmp-architecture.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0009: Final KMP Architecture
 Status: Accepted
--- a/docs/01_Architecture/adr/001-backend-infrastructure-decisions.md
+++ b/docs/01_Architecture/adr/001-backend-infrastructure-decisions.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR 001: Backend Infrastructure & Architecture Decisions
 **Status:** ACCEPTED
--- a/docs/01_Architecture/adr/0010-sqldelight-for-cross-platform-persistence.md
+++ b/docs/01_Architecture/adr/0010-sqldelight-for-cross-platform-persistence.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0010: SQLDelight für Cross-Platform-Persistenz
 ## Status
--- a/docs/01_Architecture/adr/0011-koin-for-dependency-injection.md
+++ b/docs/01_Architecture/adr/0011-koin-for-dependency-injection.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0011: Koin für Dependency Injection
 ## Status
--- a/docs/01_Architecture/adr/0012-domain-documentation-structure.md
+++ b/docs/01_Architecture/adr/0012-domain-documentation-structure.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: ACTIVE
 owner: Lead Architect
 ---
 # ADR-0012: Strukturierung der Domänen-Dokumentation
 * **Status:** Accepted
--- a/docs/01_Architecture/adr/README.md
+++ b/docs/01_Architecture/adr/README.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 Architecture Decision Records (ADRs)
 Dieses Verzeichnis enthält Architekturentscheidungen in kurzer, überprüfbarer Form.
--- a/docs/02_Guides/SQLDelight_Integration_Compose_Multiplatform.md
+++ b/docs/02_Guides/SQLDelight_Integration_Compose_Multiplatform.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: Frontend Expert
 ---
 # SQLDelight Integration in Compose Multiplatform
 This guide shows how to integrate SQLDelight in a Compose Multiplatform project with Koin dependency injection.
--- a/docs/02_Guides/SQLDelight_Web_Asynchron.md
+++ b/docs/02_Guides/SQLDelight_Web_Asynchron.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: Frontend Expert
 ---
 # Architekturstrategien für Asynchrone Persistenz in Kotlin Multiplatform: Eine umfassende Analyse zur Integration von SQLDelight in Web-Umgebungen
 ## 1. Einleitung und Problemstellung
--- a/docs/03_Domain/00_Glossary.md
+++ b/docs/03_Domain/00_Glossary.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Glossar der Domäne "Meldestelle"
 Dieses Dokument definiert die **Ubiquitous Language** (allgegenwärtige Sprache) des Projekts. Alle Begriffe sind so zu verwenden, wie sie hier definiert sind – sowohl im Code als auch in der Kommunikation.
--- a/docs/03_Domain/01_Core_Model/Entities/Overview.md
+++ b/docs/03_Domain/01_Core_Model/Entities/Overview.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # 01 - Core Domain Entities
 Dieses Dokument definiert die zentralen fachlichen Entitäten (Kern-Entitäten) des "Meldestelle"-Projekts. Diese Entitäten bilden das Fundament des Datenmodells und der gesamten Anwendungslogik.
--- a/docs/03_Domain/01_Core_Model/Entities/README.md
+++ b/docs/03_Domain/01_Core_Model/Entities/README.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Entitäten des Kern-Modells
 Dieses Verzeichnis enthält detaillierte Beschreibungen der zentralen fachlichen Entitäten des "Meldestelle"-Projekts.
--- a/docs/03_Domain/01_Core_Model/README.md
+++ b/docs/03_Domain/01_Core_Model/README.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Das Kern-Modell (Core Model)
 Dieses Verzeichnis ist die "Single Source of Truth" für das destillierte, fachliche Wissen des Projekts. Nur was hier beschrieben ist, gilt als vereinbarte Wahrheit für die Implementierung.
--- a/docs/03_Domain/03_Analysis/Legacy_Spec_Analysis_2026-01.md
+++ b/docs/03_Domain/03_Analysis/Legacy_Spec_Analysis_2026-01.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Analyse der Legacy-Spezifikation (OEPS Pflichtenheft 2021 V2.4)
 *   **Datum:** 2026-01-14
--- a/docs/03_Domain/03_Analysis/Non_Functional_Requirements_Draft.md
+++ b/docs/03_Domain/03_Analysis/Non_Functional_Requirements_Draft.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: DRAFT
 owner: Lead Architect
 ---
 # Non-Functional Requirements (NFRs) - Phase 1
 *   **Status:** Draft
--- a/docs/03_Domain/03_Analysis/Scenarios/Anekdote_Meldestelle.md
+++ b/docs/03_Domain/03_Analysis/Scenarios/Anekdote_Meldestelle.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Anekdote Meldestelle
 Ich bin diesmal die Meldestelle für ein kleines Turnier, z.B. ein "CDN-C Neu" bzw. "CSN-C Neu" am "Musterhof".
--- a/docs/03_Domain/03_Analysis/Use_Cases_Draft.md
+++ b/docs/03_Domain/03_Analysis/Use_Cases_Draft.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: DRAFT
 owner: Lead Architect
 ---
 # Use Cases Draft - Phase 1 (Core Domain)
 *   **Status:** Draft
--- a/docs/03_Domain/03_Analysis/User_Stories_Draft.md
+++ b/docs/03_Domain/03_Analysis/User_Stories_Draft.md
@ -1,3 +1,8 @@
 ---
 type: ADR
 status: DRAFT
 owner: Lead Architect
 ---
 # User Stories Draft - Phase 1 (Core Domain)
 *   **Status:** Draft
--- a/docs/04_Agents/Playbooks/Architect.md
+++ b/docs/04_Agents/Playbooks/Architect.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Lead Architect (System & Build)
 ## Beschreibung
--- a/docs/04_Agents/Playbooks/BackendDeveloper.md
+++ b/docs/04_Agents/Playbooks/BackendDeveloper.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Senior Backend Developer (Spring Boot & DDD)
 ## Beschreibung
--- a/docs/04_Agents/Playbooks/DevOpsEngineer.md
+++ b/docs/04_Agents/Playbooks/DevOpsEngineer.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Infrastructure & DevOps Engineer
 ## Beschreibung
--- a/docs/04_Agents/Playbooks/DomainExpert.md
+++ b/docs/04_Agents/Playbooks/DomainExpert.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Domain/Product Expert (optional, Diskussion/Sparring)
 ## Beschreibung
--- a/docs/04_Agents/Playbooks/FrontendExpert.md
+++ b/docs/04_Agents/Playbooks/FrontendExpert.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: KMP Frontend Expert
 ## Beschreibung
--- a/docs/04_Agents/Playbooks/Gemini.md
+++ b/docs/04_Agents/Playbooks/Gemini.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Gemini (parallel/extern)
 ## Zweck
--- a/docs/04_Agents/Playbooks/Junie.md
+++ b/docs/04_Agents/Playbooks/Junie.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: Junie (IDE)
 ## Zweck
--- a/docs/04_Agents/Playbooks/QASpecialist.md
+++ b/docs/04_Agents/Playbooks/QASpecialist.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Playbook: QA & Testing Specialist
 ## Beschreibung
--- a/docs/04_Agents/README.md
+++ b/docs/04_Agents/README.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Lead Architect
 ---
 # Agent Operating Model (AOM)
 Dieses Verzeichnis definiert, **wie** KI-Unterstützung im Projekt eingesetzt wird:
--- a/docs/05_Backend/README.md
+++ b/docs/05_Backend/README.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Backend Developer
 ---
 # Backend Dokumentation
 Dieses Verzeichnis enthält die spezifische Dokumentation für alle Backend-Komponenten, einschließlich der Microservices und der Infrastruktur-Module wie dem API-Gateway.
--- a/docs/06_Frontend/Logs/2026-02-02_Docker_Build_Troubleshooting.md
+++ b/docs/06_Frontend/Logs/2026-02-02_Docker_Build_Troubleshooting.md
@ -1,3 +1,8 @@
 ---
 type: Report
 status: ARCHIVED
 owner: Frontend Expert
 ---
 # 🧹 Troubleshooting Log: Frontend Docker Build & Runtime Config
 **Datum:** 02.02.2026
--- a/docs/06_Frontend/Logs/2026-02-02_Docker_Build_Troubleshooting_Part2.md
+++ b/docs/06_Frontend/Logs/2026-02-02_Docker_Build_Troubleshooting_Part2.md
@ -1,3 +1,8 @@
 ---
 type: Report
 status: ARCHIVED
 owner: Frontend Expert
 ---
 # 🧹 Troubleshooting Log: Gradle 9.x & KMP Docker Build (Part 2)
 **Datum:** 02.02.2026
--- a/docs/06_Frontend/offline-first-architecture.md
+++ b/docs/06_Frontend/offline-first-architecture.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: Frontend Expert
 ---
 # Offline-First-Architektur
 Dieses Dokument beschreibt die **Zielarchitektur** für die Offline-First-Strategie im KMP-Frontend.
--- a/docs/06_Frontend/web-setup.md
+++ b/docs/06_Frontend/web-setup.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: Frontend Expert
 ---
 # Web-Setup (Webpack & Worker)
 Dieses Dokument beschreibt die spezifische Konfiguration für das Web-Target (JS/Wasm) des KMP-Frontends.
--- a/docs/07_Infrastructure/Heim-Netzwerk-Plan_02-2026.md
+++ b/docs/07_Infrastructure/Heim-Netzwerk-Plan_02-2026.md
@ -1,4 +1,8 @@
-
+---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 #  Heimnetzwerk
 ```mermaid
--- a/docs/07_Infrastructure/Konfig-Matrix_Dev-ProZora.md
+++ b/docs/07_Infrastructure/Konfig-Matrix_Dev-ProZora.md
@ -1,5 +1,7 @@
 ---
-Konfigurations-Matrix
+type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Konfigurations-Matrix
@ -15,15 +17,17 @@ Konfigurations-Matrix
 | **POSTGRES_DB**                   | `meldestelle`                                       | `meldestelle`                                 | Name der primären Datenbank-Instanz.                                              |
 | **POSTGRES_PORT**                 | `5432:5432`                                         | `5432:5432`                                   | Mapping vom Host zum Container.                                                   |
 | **PROJECT_NAME**                  | `meldestelle`                                       | `meldestelle`                                 | Präfix für Container-Namen auf dem Host.                                          |
-| **KC_HOSTNAME**                   | `localhost`                                         | `auth.mo-code.at`                             | Erreichbarkeit von Keycloak (wichtig für Tokens).                                 |
+| **KC_HOSTNAME**                   | `localhost`                                         | `<SERVER_IP_ODER_DOMAIN>`                     | Erreichbarkeit von Keycloak (wichtig für Tokens). Auf dem Server nie `localhost`! |
 | **KC_DB_URL**                     | `jdbc:postgresql://postgres:5432/pg-meldestelle-db` | `jdbc:postgresql://postgres:5432/meldestelle` | JDBC-String (muss zur POSTGRES_DB passen).                                        |
 | **VALKEY_MAXMEMORY** 	            | `256mb`                                             | 	`4gb` bis `8gb`	                             | Zora hat 64 GB RAM; hier können wir großzügig cachen.                             |
 | **VALKEY_POLICY** 	               | `allkeys-lru`                                       | 	`allkeys-lru`	                               | Wirft die am längsten nicht genutzten Schlüssel raus, wenn der Speicher voll ist. |
 | **VALKEY_PASSWORD**               | `leer` oder `dev`	                                  | `[STARKES_SECRET]`                            | 	SSoT-Geheimnis aus Gitea-Secrets.                                                |
 | **VALKEY_PORT**                   | `6379:6379`                                         | 	`6379:6379`                                  | 	Standard-Port-Mapping.                                                           |
 | **KC_HEAP_MAX**                   | `1024m`                                             | `4096m`                                       | Mehr Power für Zoras 64 GB RAM.                                                   |
-| **KC_COMMAND**                    | `start-dev --import-realm`                          | `start --optimized`                           | Nutzt das im Dockerfile vor-gebaute Image.                                        |
+| **KC_COMMAND**                    | `start-dev --import-realm`                          | `start --optimized --import-realm`            | `start-dev` + pre-built Image = Konflikt! Server immer mit `--optimized`.         |
-| **KC_HOSTNAME**                   | `localhost`                                         | `auth.mo-code.at`                             | Wichtig für gültige Tokens im Web-Frontend.                                       |
+| **KC_HOSTNAME_STRICT**            | `false`                                             | `false`                                       | `false` = beliebige Hostnamen erlaubt (Pflicht für HTTP-only Betrieb).            |
 | **KC_HOSTNAME_STRICT_HTTPS**      | `false`                                             | `false`                                       | `false` = kein HTTPS-Zwang. Bei TLS-Einrichtung auf `true` setzen.               |
 | **KC_MANAGEMENT_PORT**            | `9000:9000`                                         | `9000:9000`                                   | Health/Metrics-Port (immer auf 0.0.0.0 gebunden, unabhängig von KC_HOSTNAME).     |
 | **KC_DB_PASSWORD**                | `meldestelle`                                       | `[GEHEIM]`                                    | SSoT-Passwort aus den Gitea-Secrets.                                              |
 | **KEYCLOAK_IMAGE_TAG**            | `26.4`                                              | `26.4`                                        | Versionierung.                                                                    |
 | **ZIPKIN_HEAP**                   | `256m`                                              | `1024m`                                       | Mehr Puffer für Tracing-Daten auf Zora.                                           |
--- a/docs/07_Infrastructure/Pangolin-vs-Cloudflare-Tunnel.md
+++ b/docs/07_Infrastructure/Pangolin-vs-Cloudflare-Tunnel.md
@ -1,5 +1,7 @@
 ---
-Pangolin vs. Cloudflare Tunnel
+type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 ## 🛡️ Pangolin vs. Cloudflare Tunnel
--- a/docs/07_Infrastructure/Reference/ports-and-urls.md
+++ b/docs/07_Infrastructure/Reference/ports-and-urls.md
@ -1,6 +1,7 @@
 ---
-owner: project-maintainers
+type: Reference
-status: active
+owner: DevOps Engineer
 status: ACTIVE
 review_cycle: 180d
 last_reviewed: 2025-10-31
 summary: "Übersicht der wichtigsten lokalen URLs und Ports. Quelle: docker-compose.yaml + config/env"
--- a/docs/07_Infrastructure/Reference/zipkin.md
+++ b/docs/07_Infrastructure/Reference/zipkin.md
@ -1,3 +1,8 @@
 ---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Zipkin Tracing
 ## Übersicht
--- a/docs/07_Infrastructure/Zora_Infrastructure_Deployment_02-2026.md
+++ b/docs/07_Infrastructure/Zora_Infrastructure_Deployment_02-2026.md
@ -1,8 +1,7 @@
 ---
-
+type: Reference
-Hier ist eine strategische Roadmap für den Ausbau des „Empires“ auf **Zora**. Da du aktuell im „Mo’s Territory“ bist, dient dieser Plan als Vorbereitung für deine nächste Session am Gerät.
+status: ACTIVE
-
+owner: DevOps Engineer
 :white_check_mark:
 ---
 # Roadmap: Zora Infrastructure & Deployment (Februar 2026)
--- a/docs/07_Infrastructure/Zora_System_Architektur.md
+++ b/docs/07_Infrastructure/Zora_System_Architektur.md
@ -1,4 +1,8 @@
-
+---
 type: Reference
 status: ACTIVE
 owner: DevOps Engineer
 ---
 ## 🏗️ System-Architektur "Zora" (ARM64)
 **Stand: 05. März 2026**
--- a/docs/07_Infrastructure/runbooks/local-development.md
+++ b/docs/07_Infrastructure/runbooks/local-development.md
@ -1,3 +1,8 @@
 ---
 type: Guide
 status: ACTIVE
 owner: DevOps Engineer
 ---
 # Runbook: Lokale Entwicklungsumgebung
 Dieses Dokument beschreibt, wie die Docker-basierte lokale Entwicklungsumgebung für das Projekt "Meldestelle" verwendet wird.
--- a/docs/90_Reports/2026-02-01_Frontend_Cleanup_Status.md
+++ b/docs/90_Reports/2026-02-01_Frontend_Cleanup_Status.md
@ -1,8 +1,10 @@
 ---
 type: Report
 status: ACTIVE
 owner: Frontend Expert
 title: Frontend Cleanup & Architecture Status Report
 date: 2026-02-01
 author: Frontend Expert & Curator
 status: Final
 tags: [frontend, architecture, cleanup, kmp, compose]
 ---
--- a/docs/90_Reports/2026-02-01_Sync_Fix_Report.md
+++ b/docs/90_Reports/2026-02-01_Sync_Fix_Report.md
@ -1,8 +1,9 @@
 ---
 type: Report
 status: ACTIVE
 owner: Curator
 date: 2026-02-01
 author: Curator
 status: FINAL
 ---
 # Report: Fix Sync Type Mismatch (String vs Long)
--- a/docs/99_Journal/2026-03-06_Session_Log_Keycloak_Fix.md
+++ b/docs/99_Journal/2026-03-06_Session_Log_Keycloak_Fix.md
@ -0,0 +1,37 @@
 # Journal - 2026-03-06
 ## 📝 Zusammenfassung
 Keycloak funktionierte lokal einwandfrei, aber auf dem Meldestellen-Host war das Admin-Dashboard (`:8180`) nicht erreichbar und der Login schlug fehl — obwohl der Health-Port (`:9000`) grün war. Root Cause: Das pre-built Registry-Image wurde mit `start-dev` gestartet (Konflikt) und `KC_HOSTNAME=localhost` war auf dem Server falsch.
 ## 🛠️ Änderungen
 ### 1. `dc-infra.yaml` — Keycloak-Service bereinigt
 *   **Command:** `start-dev --import-realm` → `start --optimized --import-realm` (nutzt das pre-built Image korrekt).
 *   **Neu:** `KC_HOSTNAME_STRICT=false` und `KC_HOSTNAME_STRICT_HTTPS=false` — erlaubt HTTP-Betrieb ohne TLS-Zwang.
 *   **Neu:** `KC_HTTP_MANAGEMENT_PORT=9000` — Management-Interface explizit konfiguriert.
 *   **Fix:** `KC_DEBUG_PORT` → `KC_MANAGEMENT_PORT` umbenannt (war falsch benannt).
 *   **Fix:** Image-Pfad von `grandmo` → `mocode-software` korrigiert.
 *   **Neu:** Healthcheck auf `http://localhost:9000/health/ready` ergänzt.
 ### 2. `.env` — Keycloak-Block erweitert
 *   `KC_HOSTNAME_STRICT=false`, `KC_HOSTNAME_STRICT_HTTPS=false`, `KC_MANAGEMENT_PORT=9000:9000` hinzugefügt.
 *   Erklärende Kommentare: LOKAL vs. SERVER für `KC_COMMAND` und `KC_HOSTNAME`.
 ### 3. `.env.example` — Als Server-Vorlage optimiert
 *   Default `KC_COMMAND=start --optimized --import-realm` (Server-Default).
 *   `<PLACEHOLDER>`-Werte für alle Secrets (`KC_ADMIN_PASSWORD`, `KC_DB_PASSWORD`) und `KC_HOSTNAME`.
 *   `SPRING_SECURITY_OAUTH2_RESOURCESERVER_JWT_ISSUER_URI` mit `<SERVER_IP_ODER_DOMAIN>`-Platzhalter.
 *   Klare LOKAL/SERVER-Kommentare bei allen kritischen Variablen.
 ## 📚 Gelerntes
 *   **`kc.sh build` + `start-dev` = Konflikt:** Ein mit `kc.sh build` optimiertes Image muss mit `start --optimized` gestartet werden. `start-dev` ignoriert den Pre-Build und startet im Dev-Modus — das bricht das Registry-Image auf dem Server.
 *   **`KC_HOSTNAME` steuert den HTTP-Port, nicht den Management-Port:** Port `9000` (Health) ist immer auf `0.0.0.0` gebunden. Port `8080/8180` (HTTP) wird durch `KC_HOSTNAME` gesteuert — daher war Health grün, aber Admin-Dashboard nicht erreichbar.
 *   **`KC_HOSTNAME_STRICT=false` ist Pflicht für HTTP-only Server:** Ohne dieses Flag lehnt Keycloak alle Requests ab, deren Host-Header nicht exakt mit `KC_HOSTNAME` übereinstimmt.
 ## 🔜 Nächste Schritte
 *   Auf dem Meldestellen-Host die `.env` anpassen:
    *   `KC_HOSTNAME=<SERVER_IP>`
    *   `KC_COMMAND=start --optimized --import-realm`
    *   `SPRING_SECURITY_OAUTH2_RESOURCESERVER_JWT_ISSUER_URI=http://<SERVER_IP>:8180/realms/meldestelle`
 *   Container neu starten und Admin-Dashboard + Login verifizieren.
 *   Langfristig: TLS/HTTPS einrichten, dann `KC_HOSTNAME_STRICT_HTTPS=true` setzen.
--- a/docs/ScreenShots/event-log_2026-01-28
+++ b/docs/ScreenShots/event-log_2026-01-28
--- a/gradle.properties
+++ b/gradle.properties
@ -33,7 +33,7 @@ org.gradle.parallel=true
 org.gradle.caching=true
 # Security and Reproducibility
-org.gradle.dependency.verification=lenient
+org.gradle.dependency.verification=strict
 org.gradle.dependency.locking.enabled=true
 # Development