cms: Rollen + Kollaboration (Admin sieht alles, Autoren nur eigene/geteilte)

- ADMIN_EMAILS (.env) = Admins, sehen/bearbeiten alles
- Autor:innen sehen nur Einträge mit ihrer Mail unter `authors:`; Ersteller wird
  beim Anlegen automatisch Autor
- Kollaboration: Feld „Autor:innen" im Editor → mehrere Mails = gemeinsamer Zugriff
- API erzwingt Zugriff bei list/read/save (403 ohne Recht)
- ADMIN_EMAILS in compose + LXC-Script (fragt Admin-Mail ab)

Co-Authored-By: Claude Opus 4.8 <noreply@anthropic.com>

cms/proxmox/create-openbureau-lxc.sh

@@ -42,6 +42,9 @@ GIT_TOKEN="${GIT_TOKEN:-}"
 REPO_HOST="git.kgva.ch/karim/OPENBUREAU.git"
 APP_DIR="/opt/openbureau"
 
+# Admin (sieht/bearbeitet ALLE Beiträge). Wird auch als erster Login-User vorgeschlagen.
+ADMIN_EMAIL="${ADMIN_EMAIL:-karim@gabrielevarano.ch}"
+
 # Stack nach dem Setup direkt bauen + starten?
 COMPOSE_UP="true"
 ##################################################################
@@ -57,6 +60,7 @@ if [ -t 0 ]; then
   read -rp "  Netzwerk-Bridge              [${BRIDGE}]: " _x; BRIDGE="${_x:-$BRIDGE}"
   read -rp "  IP (dhcp | x.x.x.x/24)       [${IP}]: " _x; IP="${_x:-$IP}"
   [ "$IP" != "dhcp" ] && { read -rp "  Gateway: " GATEWAY; }
+  read -rp "  Admin-E-Mail                 [${ADMIN_EMAIL}]: " _x; ADMIN_EMAIL="${_x:-$ADMIN_EMAIL}"
 fi
 
 # --- 1. Template sicherstellen -------------------------------------------
@@ -142,6 +146,7 @@ pct exec "$CTID" -- bash -euo pipefail -c "
     HOSTIP=\$(hostname -I | awk '{print \$1}')
     sed -i \"s|^SITE_URL=.*|SITE_URL=http://\${HOSTIP}:8080|\" .env
     sed -i \"s|^API_EXTERNAL_URL=.*|API_EXTERNAL_URL=http://\${HOSTIP}:8000|\" .env
+    sed -i \"s|^ADMIN_EMAILS=.*|ADMIN_EMAILS=${ADMIN_EMAIL}|\" .env
     echo 'OK: .env generiert.'
   fi
 
@@ -169,7 +174,7 @@ Login-User anlegen (im Container, nach dem Start):
     -H "apikey: \$SERVICE_ROLE_KEY" \\
     -H "Authorization: Bearer \$SERVICE_ROLE_KEY" \\
     -H "Content-Type: application/json" \\
-    -d '{"email":"karim@gabrielevarano.ch","password":"DEIN-PASSWORT","email_confirm":true}'
+    -d '{"email":"${ADMIN_EMAIL}","password":"DEIN-PASSWORT","email_confirm":true}'
 
 Hinweise:
   • :8000 ist das Supabase-API-Gateway (Kong), keine Web-Oberfläche.