AiHummer
Русский
Войти
v1.0.x
{ }Swagger

Первый вход

v1.0.x · обновлено 2026-07-07

При самом первом запуске AiHummer на пустой базе данных он создаёт единственную учётную запись admin и записывает стартовый пароль в файл ~/.aihummer/etc/initial-admin-password.txt (права 0600). Вы используете его, чтобы войти один раз, а затем сразу меняете. На этой странице разобран первый вход и его усиление для продакшена.

Найдите стартовый пароль

Пароль не печатается в лог. На пустой базе gateway при старте записывает сгенерированный пароль admin в файл внутри корня установки — прочитайте его:

cat ~/.aihummer/etc/initial-admin-password.txt

В журнале сервиса при этом появляется только баннер INITIAL ADMIN CREATED — sign in at /admin/ and change the password с путём к файлу (password_file=…), без самого пароля. Пароль попадает в лог только как запасной вариант, если файл не удалось записать.

[!WARNING] Относитесь к файлу с паролем как к секрету: он нужен только для первого входа. Войдя и сменив пароль, удалите файл:

rm ~/.aihummer/etc/initial-admin-password.txt

Войдите как admin

Откройте админ-Web UI и войдите с admin и паролем из файла:

http://localhost:8781/

Админ-Web UI — это отдельный приватный слушатель (по умолчанию :8781, AIHUMMER_WEBUI_ADDR), раздаётся по корневому пути / и в идеале привязан к внутреннему интерфейсу. Он не на публичном порту gateway: :8780 несёт API, пейринг, WS/SSE и входящий трафик и никогда не отдаёт админку (на /admin и /v1/admin он возвращает 404). Gateway владеет внешней маршрутизацией через собственный встроенный edge-router — внешний nginx настраивать не нужно.

Сразу смените пароль

Смените bootstrap-пароль сразу после первого входа, из админки, а затем удалите файл initial-admin-password.txt. Также пароль можно сбросить встроенным CLI:

aihummer set-password
# или
aihummer admin-password

Команде set-password нужен AIHUMMER_DATABASE_URL — запускайте её от имени пользователя, под которым выполнена установка, либо с окружением из ~/.aihummer/etc/gateway.env.

[!DANGER] Не оставляйте bootstrap-пароль как есть и не оставляйте файл с паролем лежать на продакшен-хосте. Bootstrap-аккаунт admin — это полный администратор: любой, кто прочитает этот файл и доберётся до /admin/, получит полный контроль.

Осмотритесь в интерфейсе

Несколько ориентиров в админке после входа:

  • Навигация — разделы открываются по hash-адресам (/#канал, /#настройки…), так что любую страницу можно открыть по прямой ссылке и вернуться к ней кнопкой «Назад».
  • Тёмная и светлая тема — переключатель (солнце/луна) в шапке; выбор запоминается в браузере.
  • Бренд и маскот — буквы «Ai» в логотипе несут фирменный акцент, а в пустых состояниях, мастере настройки и на экране входа вас встречает маскот — фенёк по имени Хам.
  • Страница «Аккаунт» — смена собственного пароля, выход и настройка двухфакторной аутентификации: TOTP-приложение, passkey (WebAuthn) и резервные коды.

Защитите поверхность админки

Сама по себе поверхность /admin/* доверяет dev-заголовкам, когда не настроен issuer корпоративной аутентификации — это нормально на ноутбуке, но небезопасно на открытом хосте. Для любого продакшен-развёртывания защитите /admin/* issuer’ом аутентификации и не выставляйте её наружу без него.

[!IMPORTANT] Задайте AIHUMMER_OIDC_ISSUER (или настройте LDAP/SAML) до того, как выставить админку наружу. Без него админ-эндпоинты доверяют dev-заголовкам и не должны быть доступны из недоверенной сети.

Включите корпоративный SSO (продакшен)

Для продакшена перенесите аутентификацию на ваш провайдер идентичности. AiHummer поддерживает корпоративный SSO, чтобы bootstrap-аккаунт стал аварийным запасным входом, а не повседневным путём:

  • OIDC — защищает /v1/admin/* (deny-by-default).
  • SAML — федерация через /saml/metadata, /saml/acs, /saml/login.
  • LDAP / Active Directory — вход на основе каталога.
  • SCIM — автоматическое провижининг пользователей на /scim/v2/Users.

Когда SSO настроен, ограничьте или прекратите повседневное использование локального аккаунта admin и полагайтесь на группы и роли вашего IdP.

Куда дальше