Add Nextcloud and Stirling PDF with repo-aligned networking and docs

Add Nextcloud and Stirling PDF with repo-aligned networking and docs

docs/DISASTER_RECOVERY.md

@@ -133,6 +133,9 @@ Erwartete Basis unter `/mnt/user/appdata/secrets/`:
 - `immich_postgres_password.txt`
 - `komodo_mongo_password.txt`
 - `mealie_postgres_password.txt`
+- `nextcloud_admin_password.txt`
+- `nextcloud_admin_user.txt`
+- `nextcloud_postgres_password.txt`
 - `postgres_password.txt`
 - `redis_password.txt`
 - `vaultwarden_admin_token.txt`
@@ -247,20 +250,22 @@ Ziel:
 11. `apps/immich/`
 12. `apps/mealie/`
 13. `apps/mail-archiver/`
+14. `apps/nextcloud/`
 
 ### Stufe 5 - Restliche Apps und Ops
 
-14. `apps/homepage/`
-15. `apps/ntfy/`
-16. `apps/paperless-gpt/`
-17. `ops/uptime-kuma/`
-18. `ops/borg-ui/`
-19. `ops/backrest/`
-20. `ops/filebrowser/`
-21. `ops/glances/`
-22. `ops/scrutiny/`
-23. `ops/speedtest/`
-24. `infra/ddns-updater/`
+15. `apps/homepage/`
+16. `apps/ntfy/`
+17. `apps/paperless-gpt/`
+18. `apps/stirling-pdf/`
+19. `ops/uptime-kuma/`
+20. `ops/borg-ui/`
+21. `ops/backrest/`
+22. `ops/filebrowser/`
+23. `ops/glances/`
+24. `ops/scrutiny/`
+25. `ops/speedtest/`
+26. `infra/ddns-updater/`
 
 **Regel:** Nach jeder Stufe kurz pruefen, bevor die naechste beginnt.
 
@@ -289,6 +294,7 @@ Ziel:
 - Immich startet und sieht Medien
 - Mealie startet
 - Mail-Archiver startet
+- Nextcloud startet und sieht Dateien
 
 ### 9.4 Backup-/Beobachtungsebene
 
@@ -319,6 +325,18 @@ Das bedeutet:
 
 Nach einem Komodo-Neuaufbau muessen diese Werte vor dem Start des Stacks wieder gesetzt sein.
 
+### `nextcloud`
+
+`nextcloud` ist bewusst kein AIO-Stack, sondern ein klassischer App-/PostgreSQL-/Redis-Stack.
+
+Vor dem Start muessen vorhanden sein:
+
+- `/mnt/user/appdata/secrets/nextcloud_admin_user.txt`
+- `/mnt/user/appdata/secrets/nextcloud_admin_password.txt`
+- `/mnt/user/appdata/secrets/nextcloud_postgres_password.txt`
+
+Zusaetzlich muss der Nutzdatenpfad `/mnt/user/documents/nextcloud-data` erreichbar sein.
+
 ### Borg-Dumps
 
 Die Dump-Erzeugung ist host-seitig gedacht, nicht als Borg-UI-Inline-Hook.

docs/MIGRATION_LOG.md

@@ -60,6 +60,13 @@ Dieses Dokument ist nur noch ein historischer Verlauf. Der aktuelle operative Ab
 - Diese Ruecknahme ist bewusst eng auf einen einzelnen defekten Pin begrenzt und aendert keine anderen Digest-Festschreibungen.
 - Die zwischenzeitlichen OCR-/Versions-Experimente fuer `paperless-gpt` wurden wieder auf den einfachen vorherigen Stand zurueckgenommen (`icereed/paperless-gpt:latest`, `VISION_LLM_MODEL=cnshenyang/qwen3-nothink:14b`), um den letzten bekannten Alltagszustand wiederherzustellen.
 
+### 2026-04-19 - Nextcloud und Stirling-PDF vorbereitet
+
+- `apps/nextcloud/docker-compose.yml` als offizieller Docker-Microservice-Stack mit `nextcloud:apache`, eigener PostgreSQL-Datenbank und eigenem Redis vorbereitet.
+- Nextcloud folgt dem Repo-Standard `frontend_net` + app-internes Netz, nutzt `_FILE`-Secrets fuer Admin- und DB-Passwort und ist bewusst **nicht** hinter zentraler ForwardAuth, damit WebDAV/CardDAV und native Clients sauber funktionieren.
+- `apps/stirling-pdf/docker-compose.yml` als geschuetzter Tool-Stack hinter `authelia@file,secure-headers@file` vorbereitet.
+- Stirling-PDF nutzt persistente Pfade fuer `/configs`, `/logs`, `/pipeline`, `/customFiles` und `/usr/share/tessdata`; interne Stirling-Login-Funktion bleibt zugunsten des zentralen Traefik-/Authelia-Zugangs deaktiviert.
+
 ---
 
 ## Dauerhafte Learnings

docs/RESTORE_MATRIX.md

@@ -46,6 +46,7 @@ Sie ist die fachliche Ergaenzung zu `docs/DISASTER_RECOVERY.md`.
 | Mealie | Borg + Dump | `/mnt/user/appdata/mealie/data`, optional `/mnt/user/appdata/mealie/postgres` bei lokalem Share-Weiterbetrieb | `mealie.dump` | `mealie_postgres_password.txt` | `mealie-postgres`, Traefik | UI startet, Rezepte vorhanden |
 | Immich | Borg + Dump | `/mnt/user/photos/immich`, `/mnt/user/photos/family_archive` | `immich.dump` | `IMMICH_DB_PASSWORD`, `immich_postgres_password.txt` | `immich_postgres`, `immich_redis`, Traefik | UI startet, Medienbibliothek sichtbar |
 | Mail-Archiver | Borg + Shared Dump | `/mnt/user/appdata/mailarchiver/data-protection-keys` | `postgresql17-mailarchiver.dump` | `MAILARCHIVER_DB_CONNECTION`, `MAILARCHIVER_AUTH_PASSWORD` | PostgreSQL 17, Traefik | Web-UI startet, Archiv laesst sich oeffnen |
+| Nextcloud | Borg + Share | `/mnt/user/appdata/nextcloud/html`, `/mnt/user/appdata/nextcloud/postgres`, `/mnt/user/appdata/nextcloud/redis`, `/mnt/user/documents/nextcloud-data` | app-eigene PostgreSQL unter `/mnt/user/appdata/nextcloud/postgres` | `nextcloud_admin_user.txt`, `nextcloud_admin_password.txt`, `nextcloud_postgres_password.txt` | `nextcloud-postgres`, `nextcloud-redis`, Traefik | Web-UI startet, Login funktioniert, Dateien sichtbar |
 | Homepage | Borg / Share | `/mnt/user/appdata/homepage` | keine | `HOMEPAGE_VAR_*` | Traefik, Authelia | Dashboard startet, Widgets laden |
 | ntfy | Borg / Share | `/mnt/user/appdata/ntfy` | keine | keine besonderen Secret-Dateien dokumentiert | Traefik | UI und Push-Endpunkt erreichbar |
 | Paperless-GPT | Borg / Share | `/mnt/user/appdata/paperless-gpt` | keine eigene DB | `PAPERLESS_API_TOKEN` | Traefik, Paperless | UI startet, Konfiguration vorhanden |
@@ -63,6 +64,7 @@ Sie ist die fachliche Ergaenzung zu `docs/DISASTER_RECOVERY.md`.
 | Glances | Rebuildbar | kein kritischer Zustand | keine | keine | Traefik, Authelia | UI startet |
 | Scrutiny | Teilweise rebuildbar | `/mnt/user/appdata/scrutiny` falls gewuenscht | InfluxDB bewusst nicht Teil des Critical-Scope | keine | Traefik, Authelia | UI startet, Laufwerke sichtbar |
 | Speedtest Tracker | Share | `/mnt/user/appdata/speedtest-tracker/config` | SQLite im App-Pfad | `APP_KEY`, `ADMIN_PASSWORD` | Traefik, Authelia | UI startet |
+| Stirling-PDF | Share | `/mnt/user/appdata/stirling-pdf/configs`, `/mnt/user/appdata/stirling-pdf/logs`, `/mnt/user/appdata/stirling-pdf/customFiles`, `/mnt/user/appdata/stirling-pdf/pipeline`, `/mnt/user/appdata/stirling-pdf/tessdata` | keine | keine separaten Secret-Dateien dokumentiert | Traefik, Authelia | UI startet, PDF-Tools verfuegbar |
 | ddns-updater | Rebuildbar | geringe Persistenzrelevanz | keine | Provider-Zugang ueber Stack ENV | Internetzugang | Update-Job laeuft |
 
 ---

docs/SECRETS_MAP.md

@@ -37,6 +37,9 @@ Dieses Dokument listet sensible Daten, deren Ablageorte und die vorgesehene Einb
 | Komodo Core | App Secrets | Stack ENV `${KOMODO_SECRET_KEY}`, `${KOMODO_JWT_SECRET}`, `${KOMODO_MONGO_PASSWORD}`, `${KOMODO_PERIPHERY_PASSKEY}` | aktiv |
 | Homepage | API Tokens / Zugangsdaten | Stack ENV `HOMEPAGE_VAR_*` | aktiv |
 | speedtest-tracker | App Key / Admin-Zugang | Stack ENV `${APP_KEY}`, `${ADMIN_PASSWORD}` | aktiv |
+| Nextcloud | Admin User | `/mnt/user/appdata/secrets/nextcloud_admin_user.txt` -> `NEXTCLOUD_ADMIN_USER_FILE` | neu |
+| Nextcloud | Admin Password | `/mnt/user/appdata/secrets/nextcloud_admin_password.txt` -> `NEXTCLOUD_ADMIN_PASSWORD_FILE` | neu |
+| nextcloud-postgres | DB Password | `/mnt/user/appdata/secrets/nextcloud_postgres_password.txt` -> `POSTGRES_PASSWORD_FILE` | neu |
 | Borg UI / Borg | Admin-Login, `SECRET_KEY`, SSH-Keys, Repo-Credentials | persistent unter `/mnt/user/appdata/borg-ui/data/` | aktiv |
 
 ---
@@ -61,6 +64,9 @@ Dieses Dokument listet sensible Daten, deren Ablageorte und die vorgesehene Einb
 |-- immich_postgres_password.txt
 |-- komodo_mongo_password.txt
 |-- mealie_postgres_password.txt
+|-- nextcloud_admin_password.txt
+|-- nextcloud_admin_user.txt
+|-- nextcloud_postgres_password.txt
 |-- postgres_password.txt
 |-- redis_password.txt
 `-- vaultwarden_admin_token.txt