Першы ўваход
Калі AiHummer запускаецца самы першы раз супраць пустой базы даных, ён ствараe
адзіны ўліковы запіс admin і друкуе аднаразовы пароль у лог gateway. Вы
выкарыстоўваеце яго, каб увайсці адзін раз, потым неадкладна мяняеце. Гэтая
старонка праводзіць праз гэты першы ўваход і тое, як умацаваць яго для прадакшэну.
Знайдзіце аднаразовы пароль
На пустой базе даных gateway пры запуску запісвае згенераваны пароль admin у
свой лог. Прачытайце яго з лога сэрвісу:
# Released install (systemd)
journalctl -u aihummer-gateway | grep -i "admin password"
Пароль генеруецца адзін раз для bootstrap-карыстальніка admin. Ён нідзе не
захоўваецца ў адкрытым выглядзе, акрамя той радка ў логу, таму захапіце яго перад
ачысткай логаў.
[!WARNING] Стаўцеся да надрукаванага пароля як да сакрэту. На прадакшэн-хасце пераканайцеся, што лог запуску не адпраўляецца ў месца, дзе ён затрымаецца — ратуйце або сцірайце яго, як толькі ўвайшлі.
Увайдзіце як admin
Адкрыйце адмінскі UI і ўвайдзіце з admin і паролем з лога:
http://localhost:8781/
Калі вы за зваротным проксі, выкарыстоўвайце замест гэтага свой знешні адмінскі
URL. Адмінскі UI абслугоўваецца па шляху /admin/ gateway.
Неадкладна змяніце пароль
Змяніце bootstrap-пароль адразу пасля першага ўваходу, з адмінскага UI. Вы таксама можаце ратаваць яго з убудаванага CLI:
aihummer set-password
# or
aihummer admin-password
[!DANGER] Не пакідайце bootstrap-пароль на месцы і не пакідайце яго ў логах на прадакшэн-хасце. Bootstrap-уліковы запіс
admin— гэта поўны адміністратар: кожны, хто прачытае той радок у логу і дасягне/admin/, мае поўны кантроль.
Агледзьцеся ў інтэрфейсе
Некалькі арыенціраў у адмінцы пасля ўваходу:
- Навігацыя — раздзелы адкрываюцца па hash-адрасах (
/#канал,/#налады…), так што любую старонку можна адкрыць па прамой спасылцы і вярнуцца да яе кнопкай «Назад». - Цёмная і светлая тэма — пераключальнік (сонца/месяц) у шапцы; выбар запамінаецца ў браўзеры.
- Брэнд і маскот — літары «Ai» у лагатыпе нясуць фірмовы акцэнт, а ў пустых станах, майстры наладкі і на экране ўваходу вас сустракае маскот — фенек па імені Хам.
- Старонка «Акаўнт» — змена ўласнага пароля, выхад і наладка двухфактарнай аўтэнтыфікацыі: TOTP-праграма, passkey (WebAuthn) і рэзервовыя коды.
Абараніце адмінскую паверхню
Сама па сабе паверхня /admin/* давярае распрацоўчым загалоўкам, калі не
сканфігураваны карпаратыўны эмітэнт аўтэнтыфікацыі — што нармальна на ноўтбуку,
але небяспечна на адкрытым хасце. Для любога прадакшэн-разгортвання абараняйце
/admin/* эмітэнтам аўтэнтыфікацыі і не выстаўляйце яго без яго.
[!IMPORTANT] Задайце
AIHUMMER_OIDC_ISSUER(або сканфігуруйце LDAP/SAML) перад выстаўленнем адмінскага UI. Без яго адмінскія канчатковыя пункты давяраюць dev-загалоўкам і ніколі не павінны быць дасягальныя з недавераной сеткі.
Уключыце карпаратыўны SSO (прадакшэн)
Для прадакшэну перанясіце аўтэнтыфікацыю на ваш правайдар ідэнтычнасці. AiHummer падтрымлівае карпаратыўны SSO, так што bootstrap-лакальны ўліковы запіс становіцца аварыйным запасным варыянтам, а не штодзённым шляхам:
- OIDC — абараняе
/v1/admin/*(забарона па змаўчанні). - SAML — федэрацыя праз
/saml/metadata,/saml/acs,/saml/login. - LDAP / Active Directory — уваход на аснове каталога.
- SCIM — аўтаматызаванае забеспячэнне карыстальнікаў на
/scim/v2/Users.
Як толькі SSO ўсталяваны, абмяжуйце або выведзіце з ужытку штодзённае
выкарыстанне лакальнага ўліковага запісу admin і спадзявайцеся на групы і ролі
вашага IdP.
Куды далей
- Наладзьце разгортванне з UI: Канфігурацыя.
- Дадайце канал і агента: Хуткі старт.
- Прагледзьце, што вы разгарнулі: Усталёўка.