AiHummer
Беларуская
Увайсці
v1.0.x
{ }Swagger

Першы ўваход

v1.0.x · абноўлена 2026-07-07

Калі AiHummer запускаецца самы першы раз супраць пустой базы даных, ён ствараe адзіны ўліковы запіс admin і друкуе аднаразовы пароль у лог gateway. Вы выкарыстоўваеце яго, каб увайсці адзін раз, потым неадкладна мяняеце. Гэтая старонка праводзіць праз гэты першы ўваход і тое, як умацаваць яго для прадакшэну.

Знайдзіце аднаразовы пароль

На пустой базе даных gateway пры запуску запісвае згенераваны пароль admin у свой лог. Прачытайце яго з лога сэрвісу:

# Released install (systemd)
journalctl -u aihummer-gateway | grep -i "admin password"

Пароль генеруецца адзін раз для bootstrap-карыстальніка admin. Ён нідзе не захоўваецца ў адкрытым выглядзе, акрамя той радка ў логу, таму захапіце яго перад ачысткай логаў.

[!WARNING] Стаўцеся да надрукаванага пароля як да сакрэту. На прадакшэн-хасце пераканайцеся, што лог запуску не адпраўляецца ў месца, дзе ён затрымаецца — ратуйце або сцірайце яго, як толькі ўвайшлі.

Увайдзіце як admin

Адкрыйце адмінскі UI і ўвайдзіце з admin і паролем з лога:

http://localhost:8781/

Калі вы за зваротным проксі, выкарыстоўвайце замест гэтага свой знешні адмінскі URL. Адмінскі UI абслугоўваецца па шляху /admin/ gateway.

Неадкладна змяніце пароль

Змяніце bootstrap-пароль адразу пасля першага ўваходу, з адмінскага UI. Вы таксама можаце ратаваць яго з убудаванага CLI:

aihummer set-password
# or
aihummer admin-password

[!DANGER] Не пакідайце bootstrap-пароль на месцы і не пакідайце яго ў логах на прадакшэн-хасце. Bootstrap-уліковы запіс admin — гэта поўны адміністратар: кожны, хто прачытае той радок у логу і дасягне /admin/, мае поўны кантроль.

Агледзьцеся ў інтэрфейсе

Некалькі арыенціраў у адмінцы пасля ўваходу:

  • Навігацыя — раздзелы адкрываюцца па hash-адрасах (/#канал, /#налады…), так што любую старонку можна адкрыць па прамой спасылцы і вярнуцца да яе кнопкай «Назад».
  • Цёмная і светлая тэма — пераключальнік (сонца/месяц) у шапцы; выбар запамінаецца ў браўзеры.
  • Брэнд і маскот — літары «Ai» у лагатыпе нясуць фірмовы акцэнт, а ў пустых станах, майстры наладкі і на экране ўваходу вас сустракае маскот — фенек па імені Хам.
  • Старонка «Акаўнт» — змена ўласнага пароля, выхад і наладка двухфактарнай аўтэнтыфікацыі: TOTP-праграма, passkey (WebAuthn) і рэзервовыя коды.

Абараніце адмінскую паверхню

Сама па сабе паверхня /admin/* давярае распрацоўчым загалоўкам, калі не сканфігураваны карпаратыўны эмітэнт аўтэнтыфікацыі — што нармальна на ноўтбуку, але небяспечна на адкрытым хасце. Для любога прадакшэн-разгортвання абараняйце /admin/* эмітэнтам аўтэнтыфікацыі і не выстаўляйце яго без яго.

[!IMPORTANT] Задайце AIHUMMER_OIDC_ISSUER (або сканфігуруйце LDAP/SAML) перад выстаўленнем адмінскага UI. Без яго адмінскія канчатковыя пункты давяраюць dev-загалоўкам і ніколі не павінны быць дасягальныя з недавераной сеткі.

Уключыце карпаратыўны SSO (прадакшэн)

Для прадакшэну перанясіце аўтэнтыфікацыю на ваш правайдар ідэнтычнасці. AiHummer падтрымлівае карпаратыўны SSO, так што bootstrap-лакальны ўліковы запіс становіцца аварыйным запасным варыянтам, а не штодзённым шляхам:

  • OIDC — абараняе /v1/admin/* (забарона па змаўчанні).
  • SAML — федэрацыя праз /saml/metadata, /saml/acs, /saml/login.
  • LDAP / Active Directory — уваход на аснове каталога.
  • SCIM — аўтаматызаванае забеспячэнне карыстальнікаў на /scim/v2/Users.

Як толькі SSO ўсталяваны, абмяжуйце або выведзіце з ужытку штодзённае выкарыстанне лакальнага ўліковага запісу admin і спадзявайцеся на групы і ролі вашага IdP.

Куды далей