Առաջին մուտք
Հենց առաջին անգամ, երբ AiHummer-ը գործարկվում է դատարկ տվյալների բազայի դեմ, այն
bootstrap-ում է մեկ admin հաշիվ և gateway-ի գրանցամատյանում տպում մեկանգամյա
գաղտնաբառ։ Դուք այն օգտագործում եք մեկ անգամ մուտք գործելու համար, ապա անմիջապես
փոխում եք այն։ Այս էջը անցնում է այդ առաջին մուտքի և արտադրության համար այն ամրապնդելու
միջով։
Գտեք մեկանգամյա գաղտնաբառը
Դատարկ տվյալների բազայի վրա gateway-ը գործարկման ժամանակ իր գրանցամատյանում գրում է
գեներացված admin գաղտնաբառ։ Կարդացեք այն ծառայության գրանցամատյանից.
# Released install (systemd)
journalctl -u aihummer-gateway | grep -i "admin password"
Գաղտնաբառը գեներացվում է մեկ անգամ՝ bootstrap admin օգտատիրոջ համար։ Այն ոչ մի տեղ
չի պահվում բաց տեքստով, բացի այդ գրանցամատյանի տողից, ուստի գրավեք այն, նախքան
գրանցամատյանները մաքրելը։
[!WARNING] Տպված գաղտնաբառին վերաբերվեք որպես գաղտնիքի։ Արտադրական հոսթի վրա համոզվեք, որ գործարկման գրանցամատյանը չի առաքվում մի վայր, որտեղ այն կմնա — պտտեք կամ ջնջեք այն մուտք գործելուց հետո։
Մուտք գործեք որպես admin
Բացեք ադմին UI-ը և մուտք գործեք admin-ով և գրանցամատյանից վերցված գաղտնաբառով.
http://localhost:8781/
Եթե դուք reverse proxy-ի հետևում եք, փոխարենը օգտագործեք ձեր արտաքին ադմին URL-ը։
Ադմին UI-ը սպասարկվում է gateway-ի /admin/ ուղով։
Անմիջապես փոխեք գաղտնաբառը
Փոխեք bootstrap գաղտնաբառը ձեր առաջին մուտքից անմիջապես հետո՝ ադմին UI-ից։ Դուք կարող եք նաև պտտել այն փաթեթավորված CLI-ից.
aihummer set-password
# or
aihummer admin-password
[!DANGER] Մի թողեք bootstrap գաղտնաբառն իր տեղում, և մի թողեք այն արտադրական հոսթի գրանցամատյաններում։ Bootstrap
adminհաշիվը լիարժեք ադմինիստրատոր է — ով կկարդա այդ գրանցամատյանի տողը և կհասնի/admin/-ին, ունի լիարժեք վերահսկողություն։
Կողմնորոշվեք ինտերֆեյսում
Մի քանի ուղենիշ ադմին UI-ում մուտքից հետո.
- Նավիգացիա — բաժինները բացվում են hash-հասցեներով (
/#ալիք,/#կարգավորումներ…), այնպես որ ցանկացած էջ կարելի է բացել ուղիղ հղումով և վերադառնալ դրան «Հետ» կոճակով։ - Մուգ և բաց թեմա — փոխարկիչը (արև/լուսին) վերնագոտում է; ընտրությունը հիշվում է բրաուզերում։
- Բրենդ և թալիսման — լոգոյի «Ai» տառերը կրում են բրենդային շեշտը, իսկ դատարկ վիճակներում, կարգավորման մոգում և մուտքի էկրանին ձեզ դիմավորում է թալիսմանը — ֆենեկ Համ անունով։
- «Հաշիվ» էջը — սեփական գաղտնաբառի փոփոխություն, ելք և երկգործոն նույնականացման կարգավորում. TOTP հավելված, passkey (WebAuthn) և պահուստային կոդեր։
Ապահովեք ադմին մակերեսը
Ինքնին /admin/* մակերեսը վստահում է մշակման header-ներին, երբ ձեռնարկության
նույնականացման issuer կարգավորված չէ — ինչը նորմալ է լափթոփի վրա, բայց անապահով է
բացված հոսթի վրա։ Ցանկացած արտադրական տեղակայման համար պաշտպանեք /admin/*-ը
նույնականացման issuer-ով և մի բացեք այն առանց դրա։
[!IMPORTANT] Սահմանեք
AIHUMMER_OIDC_ISSUER(կամ կարգավորեք LDAP/SAML), նախքան ադմին UI-ը բացելը։ Առանց դրա՝ ադմին վերջնակետերը վստահում են dev header-ներին և երբեք չպետք է հասանելի լինեն անվստահելի ցանցից։
Միացրեք ձեռնարկության SSO-ն (արտադրություն)
Արտադրության համար տեղափոխեք նույնականացումը ձեր ինքնության մատակարարի վրա։ AiHummer-ն աջակցում է ձեռնարկության SSO-ին, որպեսզի bootstrap լոկալ հաշիվը դառնա break-glass պահեստավորում, այլ ոչ թե ամենօրյա ուղի.
- OIDC — պաշտպանում է
/v1/admin/*-ը (deny-by-default)։ - SAML — ֆեդերացիա
/saml/metadata,/saml/acs,/saml/login-ի միջոցով։ - LDAP / Active Directory — տեղեկատու-ապահովված մուտք։
- SCIM — ավտոմատացված օգտատերերի ապահովում
/scim/v2/Users-ում։
Հենց SSO-ն տեղում լինի, սահմանափակեք կամ դադարեցրեք լոկալ admin հաշվի ամենօրյա
օգտագործումը և հենվեք ձեր IdP-ի խմբերի և դերերի վրա։
Ուր հետո
- Կարգաբերեք տեղակայումը UI-ից. Կարգավորում։
- Ավելացրեք ալիք և գործակալ. Արագ մեկնարկ։
- Վերանայեք, թե ինչ եք տեղակայել. Տեղադրում։