Primul login
Chiar prima dată când AiHummer pornește față de o bază de date goală, el inițializează un
singur cont admin și tipărește o parolă de unică folosință în log-ul gateway-ului. O
folosești pentru a te conecta o dată, apoi o schimbi imediat. Această pagină parcurge acel
prim login și cum să-l întărești pentru producție.
Găsește parola de unică folosință
Pe o bază de date goală, gateway-ul scrie o parolă admin generată în log-ul său la
pornire. Citește-o din log-ul serviciului:
# Released install (systemd)
journalctl -u aihummer-gateway | grep -i "admin password"
Parola este generată o dată, pentru utilizatorul admin de bootstrap. Nu este stocată
în text simplu nicăieri în afară de acea linie de log, așa că captureaz-o înainte de a curăța log-urile.
[!WARNING] Tratează parola tipărită ca un secret. Pe o gazdă de producție, asigură-te că log-ul de pornire nu este trimis într-un loc unde zăbovește — rotește-l sau șterge-l odată ce te-ai conectat.
Conectează-te ca admin
Deschide interfața de administrare și conectează-te cu admin și parola din log:
http://localhost:8781/
Dacă ești în spatele unui reverse proxy, folosește în schimb URL-ul tău extern de administrare. Interfața
de administrare este servită la calea /admin/ a gateway-ului.
Schimbă parola imediat
Schimbă parola de bootstrap imediat după prima ta conectare, din interfața de administrare. O poți de asemenea roti din CLI-ul împachetat:
aihummer set-password
# or
aihummer admin-password
[!DANGER] Nu lăsa parola de bootstrap pe loc și nu o lăsa stând în log-uri pe o gazdă de producție. Contul
adminde bootstrap este un administrator complet — oricine citește acea linie de log și ajunge la/admin/are control complet.
Orientează-te în interfață
Câteva repere în interfața de administrare după login:
- Navigație — secțiunile se deschid prin adrese hash (
/#channels,/#settings…), astfel încât orice pagină poate fi deschisă printr-un link direct și poți reveni la ea cu butonul „Înapoi”. - Temă întunecată și luminoasă — comutatorul (soare/lună) din antet; alegerea este memorată în browser.
- Brand și mascotă — literele „Ai” din logo poartă accentul de brand, iar în stările goale, în asistentul de configurare și pe ecranul de login te întâmpină mascota — un fenec pe nume Ham.
- Pagina „Cont” — schimbarea propriei parole, delogare și configurarea autentificării cu doi factori: aplicație TOTP, passkey (WebAuthn) și coduri de rezervă.
Securizează suprafața de administrare
Prin ea însăși, suprafața /admin/* are încredere în header-ele de dezvoltare când niciun emitent de
auth enterprise nu este configurat — ceea ce este în regulă pe un laptop, dar nesigur pe o gazdă
expusă. Pentru orice deployment de producție, protejează /admin/* cu un emitent de auth și nu
o expune fără unul.
[!IMPORTANT] Setează
AIHUMMER_OIDC_ISSUER(sau configurează LDAP/SAML) înainte de a expune interfața de administrare. Fără el, endpoint-urile de administrare au încredere în header-ele de dev și nu trebuie să fie niciodată accesibile dintr-o rețea de neîncredere.
Activează SSO enterprise (producție)
Pentru producție, mută autentificarea pe furnizorul tău de identitate. AiHummer suportă SSO enterprise, astfel încât contul local de bootstrap să devină un fallback de tip break-glass mai degrabă decât calea zilnică:
- OIDC — protejează
/v1/admin/*(deny-by-default). - SAML — federație prin
/saml/metadata,/saml/acs,/saml/login. - LDAP / Active Directory — login bazat pe director.
- SCIM — provizionare automată de utilizatori la
/scim/v2/Users.
Odată ce SSO este în vigoare, restrânge sau retrage utilizarea zilnică a contului local admin
și bazează-te pe grupurile și rolurile IdP-ului tău.
Unde mergi mai departe
- Reglează deployment-ul din interfață: Configurare.
- Adaugă un canal și un agent: Quickstart.
- Examinează ce ai deployat: Instalare.