feat: NTP-Server (Chrony) — vollständig

Stub raus, vollständige Implementierung analog Unbound/Squid:

* Migration 0015: ntp_settings (single-row mit listen_addresses,
  allow_acl, serve_clients, makestep, rtcsync) + ntp_pools (kind
  pool|server, address, iburst/prefer, minpoll/maxpoll). Default
  4 deutsche pool.ntp.org-Server seeded.
* Models DNSSettings/NTPPool, services/ntp Repo, handlers/ntp.go
  REST /api/v1/ntp/{settings,pools} mit Auto-Restart nach Mutation.
* internal/chrony/chrony.cfg.tpl + chrony.go: Renderer schreibt
  /etc/chrony/conf.d/edgeguard.conf direkt (analog unbound — distro
  chrony.conf included conf.d automatisch). Listen-bind nur wenn
  serve_clients=true; sonst port 0 (= Client-only).
* main.go: ntpRepo + chronyReloader injiziert.
* render.go: chrony als sechste generator.
* postinst:
  - chrony als hard Depends im control file.
  - Conf-Datei /etc/chrony/conf.d/edgeguard.conf wird als
    edgeguard:edgeguard 0644 angelegt.
  - Sudoers für systemctl reload + restart chrony.
* Auto-FW-Rule-Generator: udp/123 wenn serve_clients=true und
  listen_addresses non-loopback enthält.
* Frontend /ntp: PageHeader + Quellen-Tab + Settings-Tab. Listen-
  Addresses als Multi-Select aus Kernel-IPs (analog DNS).
* Sidebar-Eintrag unter Network.
* i18n DE/EN für ntp.* Block.

chrony.service hat kein 'reload' — Renderer ruft RestartService auf.

Verified: 4 default-pool-server connected (chronyc sources zeigt
sie nach erstem render).

Version 1.0.40.

Co-Authored-By: Claude Opus 4.7 (1M context) <noreply@anthropic.com>

packaging/debian/edgeguard-api/DEBIAN/control

@@ -12,7 +12,7 @@ Description: EdgeGuard — native Reverse-Proxy / LB / Forward-Proxy / VPN / Fir
  PG Streaming Replication + provider Floating-IP for HTTP ingress).
  .
  This package ships the management API, scheduler and CLI.
-Depends: postgresql-16 | postgresql-17, haproxy (>= 2.8), squid, wireguard-tools, unbound, nftables, certbot, openssl, sudo, adduser, systemd, ca-certificates
+Depends: postgresql-16 | postgresql-17, haproxy (>= 2.8), squid, wireguard-tools, unbound, chrony, nftables, certbot, openssl, sudo, adduser, systemd, ca-certificates
 Recommends: edgeguard-keydb (>= 6.3.4-edgeguard1), apparmor, fail2ban
 Section: admin
 Priority: optional

packaging/debian/edgeguard-api/DEBIAN/postinst

@@ -60,6 +60,10 @@ edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl reload unbound.service
 edgeguard ALL=(root) NOPASSWD: /bin/systemctl reload unbound.service
 edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl restart unbound.service
 edgeguard ALL=(root) NOPASSWD: /bin/systemctl restart unbound.service
+edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl reload chrony.service
+edgeguard ALL=(root) NOPASSWD: /bin/systemctl reload chrony.service
+edgeguard ALL=(root) NOPASSWD: /usr/bin/systemctl restart chrony.service
+edgeguard ALL=(root) NOPASSWD: /bin/systemctl restart chrony.service
 SUDOERS
 
         # ── Distro-Conf-Includes für die per-Service Renderer ─────────
@@ -90,6 +94,19 @@ SUDOERS
         fi
         chown "$EG_USER":"$EG_USER" /etc/unbound/unbound.conf.d/edgeguard.conf
         chmod 0644 /etc/unbound/unbound.conf.d/edgeguard.conf
+
+        # Chrony: gleicher Pattern wie Unbound — Drop-in im conf.d, der
+        # vom distro-default chrony.conf included wird. Datei gehört
+        # edgeguard damit der Renderer sie überschreiben kann.
+        install -d /etc/chrony/conf.d
+        if [ -L /etc/chrony/conf.d/edgeguard.conf ]; then
+            rm /etc/chrony/conf.d/edgeguard.conf
+        fi
+        if [ ! -f /etc/chrony/conf.d/edgeguard.conf ]; then
+            : > /etc/chrony/conf.d/edgeguard.conf
+        fi
+        chown "$EG_USER":"$EG_USER" /etc/chrony/conf.d/edgeguard.conf
+        chmod 0644 /etc/chrony/conf.d/edgeguard.conf
         chmod 0440 /etc/sudoers.d/edgeguard
 
         # ── Sysctl-Profil für Edge-Gateway (NAT + HAProxy + Forwarding) ──