Первый вход

# Релизная установка (systemd)
journalctl -u aihummer-gateway | grep -i "admin password"

http://localhost:8765/admin/

aihummer set-password
# или
aihummer admin-password

При самом первом запуске AiHummer на **пустой базе данных** он создаёт единственную учётную запись `admin` и печатает **одноразовый пароль** в лог gateway. Вы используете его, чтобы войти один раз, а затем сразу меняете. На этой странице разобран первый вход и его усиление для продакшена. ## Найдите одноразовый пароль На пустой базе gateway при старте записывает сгенерированный пароль `admin` в свой лог. Прочитайте его из лога сервиса: ```bash # Релизная установка (systemd) journalctl -u aihummer-gateway | grep -i "admin password" ``` Пароль генерируется один раз, для bootstrap-пользователя `admin`. Он не хранится в открытом виде нигде, кроме этой строки лога, поэтому зафиксируйте его до очистки логов. > [!WARNING] > Относитесь к напечатанному паролю как к секрету. На продакшен-хосте убедитесь, > что стартовый лог не уходит туда, где он задержится — ротируйте или вычистите > его после того, как войдёте. ## Войдите как admin Откройте админку и войдите с `admin` и паролем из лога: ```text http://localhost:8765/admin/ ``` Если вы за обратным прокси, используйте свой внешний URL админки. Админка раздаётся по пути `/admin/` у gateway. ## Сразу смените пароль Смените bootstrap-пароль сразу после первого входа, из админки. Также его можно ротировать встроенным CLI: ```bash aihummer set-password # или aihummer admin-password ``` > [!DANGER] > Не оставляйте bootstrap-пароль как есть и не оставляйте его лежать в логах на > продакшен-хосте. Bootstrap-аккаунт `admin` — это полный администратор: любой, > кто прочитает эту строку лога и доберётся до `/admin/`, получит полный контроль. ## Защитите поверхность админки Сама по себе поверхность `/admin/*` доверяет dev-заголовкам, когда не настроен issuer корпоративной аутентификации — это нормально на ноутбуке, но небезопасно на открытом хосте. Для любого продакшен-развёртывания защитите `/admin/*` issuer'ом аутентификации и не выставляйте её наружу без него. > [!IMPORTANT] > Задайте `AIHUMMER_OIDC_ISSUER` (или настройте LDAP/SAML) до того, как выставить > админку наружу. Без него админ-эндпоинты доверяют dev-заголовкам и не должны > быть доступны из недоверенной сети. ## Включите корпоративный SSO (продакшен) Для продакшена перенесите аутентификацию на ваш провайдер идентичности. AiHummer поддерживает корпоративный SSO, чтобы bootstrap-аккаунт стал аварийным запасным входом, а не повседневным путём: - **OIDC** — защищает `/v1/admin/*` (deny-by-default). - **SAML** — федерация через `/saml/metadata`, `/saml/acs`, `/saml/login`. - **LDAP / Active Directory** — вход на основе каталога. - **SCIM** — автоматическое провижининг пользователей на `/scim/v2/Users`. Когда SSO настроен, ограничьте или прекратите повседневное использование локального аккаунта `admin` и полагайтесь на группы и роли вашего IdP. ## Куда дальше - Настройте развёртывание из UI: [Конфигурация](/v1.0/getting-started/configuration). - Добавьте канал и агента: [Квикстарт](/v1.0/getting-started/quickstart). - Просмотрите, что вы развернули: [Установка](/v1.0/getting-started/installation).