Первый вход
При самом первом запуске AiHummer на пустой базе данных он создаёт единственную
учётную запись admin и записывает стартовый пароль в файл
~/.aihummer/etc/initial-admin-password.txt (права 0600). Вы используете его,
чтобы войти один раз, а затем сразу меняете. На этой странице разобран первый вход
и его усиление для продакшена.
Найдите стартовый пароль
Пароль не печатается в лог. На пустой базе gateway при старте записывает
сгенерированный пароль admin в файл внутри корня установки — прочитайте его:
cat ~/.aihummer/etc/initial-admin-password.txt
В журнале сервиса при этом появляется только баннер
INITIAL ADMIN CREATED — sign in at /admin/ and change the password с путём к
файлу (password_file=…), без самого пароля. Пароль попадает в лог только как
запасной вариант, если файл не удалось записать.
[!WARNING] Относитесь к файлу с паролем как к секрету: он нужен только для первого входа. Войдя и сменив пароль, удалите файл:
rm ~/.aihummer/etc/initial-admin-password.txt
Войдите как admin
Откройте админ-Web UI и войдите с admin и паролем из файла:
http://localhost:8781/
Админ-Web UI — это отдельный приватный слушатель (по умолчанию :8781,
AIHUMMER_WEBUI_ADDR), раздаётся по корневому пути / и в идеале привязан к
внутреннему интерфейсу. Он не на публичном порту gateway: :8780 несёт API,
пейринг, WS/SSE и входящий трафик и никогда не отдаёт админку (на /admin и
/v1/admin он возвращает 404). Gateway владеет внешней маршрутизацией через
собственный встроенный edge-router — внешний nginx настраивать не нужно.
Сразу смените пароль
Смените bootstrap-пароль сразу после первого входа, из админки, а затем удалите
файл initial-admin-password.txt. Также пароль можно сбросить встроенным CLI:
aihummer set-password
# или
aihummer admin-password
Команде set-password нужен AIHUMMER_DATABASE_URL — запускайте её от имени
пользователя, под которым выполнена установка, либо с окружением из
~/.aihummer/etc/gateway.env.
[!DANGER] Не оставляйте bootstrap-пароль как есть и не оставляйте файл с паролем лежать на продакшен-хосте. Bootstrap-аккаунт
admin— это полный администратор: любой, кто прочитает этот файл и доберётся до/admin/, получит полный контроль.
Осмотритесь в интерфейсе
Несколько ориентиров в админке после входа:
- Навигация — разделы открываются по hash-адресам (
/#канал,/#настройки…), так что любую страницу можно открыть по прямой ссылке и вернуться к ней кнопкой «Назад». - Тёмная и светлая тема — переключатель (солнце/луна) в шапке; выбор запоминается в браузере.
- Бренд и маскот — буквы «Ai» в логотипе несут фирменный акцент, а в пустых состояниях, мастере настройки и на экране входа вас встречает маскот — фенёк по имени Хам.
- Страница «Аккаунт» — смена собственного пароля, выход и настройка двухфакторной аутентификации: TOTP-приложение, passkey (WebAuthn) и резервные коды.
Защитите поверхность админки
Сама по себе поверхность /admin/* доверяет dev-заголовкам, когда не настроен
issuer корпоративной аутентификации — это нормально на ноутбуке, но небезопасно на
открытом хосте. Для любого продакшен-развёртывания защитите /admin/* issuer’ом
аутентификации и не выставляйте её наружу без него.
[!IMPORTANT] Задайте
AIHUMMER_OIDC_ISSUER(или настройте LDAP/SAML) до того, как выставить админку наружу. Без него админ-эндпоинты доверяют dev-заголовкам и не должны быть доступны из недоверенной сети.
Включите корпоративный SSO (продакшен)
Для продакшена перенесите аутентификацию на ваш провайдер идентичности. AiHummer поддерживает корпоративный SSO, чтобы bootstrap-аккаунт стал аварийным запасным входом, а не повседневным путём:
- OIDC — защищает
/v1/admin/*(deny-by-default). - SAML — федерация через
/saml/metadata,/saml/acs,/saml/login. - LDAP / Active Directory — вход на основе каталога.
- SCIM — автоматическое провижининг пользователей на
/scim/v2/Users.
Когда SSO настроен, ограничьте или прекратите повседневное использование локального
аккаунта admin и полагайтесь на группы и роли вашего IdP.
Куда дальше
- Настройте развёртывание из UI: Конфигурация.
- Добавьте канал и агента: Квикстарт.
- Просмотрите, что вы развернули: Установка.