ONLYOFFICE Docs - Como configurar e usar o Admin Panel

Visão geral

A partir da versão 9.1, o ONLYOFFICE Admin Panel fornece uma interface web segura para gerenciar a configuração, licenciamento e o monitoramento do servidor de documentos. Este guia explica como realizar a configuração inicial e utilizar o sistema de autenticação.

Configuração inicial

Por padrão, o Painel de Controle vem desativado. Siga as instruções contidas na página http://exemplo.com/welcome para iniciá-lo.

O termo exemplo.com representa o endereço ou IP do servidor onde o ONLYOFFICE Docs está instalado.

Instalação pela primeira vez

Quando você acessa o Admin Panel pela primeira vez, o sistema exige uma rotina de inicialização de segurança:

Inicie o servidor do Admin Panel:
- O servidor detecta automaticamente que nenhuma senha de administrador foi definida ainda.
- Um código de inicialização (bootstrap) exclusivo será gerado e exibido nos logs do servidor.
Localize seu código de bootstrap:

Verifique os logs do servidor para localizar uma mensagem de alerta semelhante a esta:
```
AdminPanel SETUP REQUIRED | Bootstrap code: ELAA8ZOCRUTX | Expires: 2026-10-01T20:50:00.000Z | Open: http://exemplo.com/admin
```
O código de bootstrap é uma credencial curta de 12 caracteres (composta por letras e números).

Nota: Este código de segurança expira e torna-se inválido após 1 hora da sua geração.

Os arquivos de log do Admin Panel podem ser encontrados nos seguintes diretórios padrões:
- Linux: /var/log/onlyoffice/documentserver/adminpanel/out.log
- Docker: /var/log/onlyoffice/documentserver/adminpanel/out.log (acesse primeiro o contêiner do ONLYOFFICE Docs executando o comando docker exec -it <containerid> bash)
- Windows: %ProgramFiles%\ONLYOFFICE\DocumentServer\Log\adminpanel\AdminPanel_<data>.out.log
Você também pode utilizar comandos diretos no terminal para filtrar e extrair o código sem a necessidade de abrir o arquivo completo. No Linux/Docker, execute:
```
sudo grep -R "Bootstrap code" /var/log/onlyoffice/documentserver -n
```
No Windows PowerShell, utilize o seguinte comando:
```
Get-ChildItem -Path "C:\Program Files\ONLYOFFICE\DocumentServer\Log\adminpanel" -Recurse | Select-String -Pattern "Bootstrap code"
```
Abra a interface web do Admin Panel:

Navegue até o endereço http://exemplo.com/admin em seu navegador para exibir a tela de configuração.
Conclua a parametrização:
- Insira o código de bootstrap obtido nos logs do seu servidor;
- Crie e confirme uma senha forte para a conta de administrador;
- Clique em Configurar.
Você será autenticado e redirecionado automaticamente para o painel principal.

Após a conclusão, o arquivo estruturado runtime.json será criado automaticamente no servidor. Este arquivo armazena as modificações realizadas via interface web e possui prioridade de leitura (precedência) sobre as outras diretivas de arquivos como local.json, default.json ou production.json.

O arquivo runtime.json fica localizado em:
- Linux / Docker: /var/www/onlyoffice/Data/runtime.json
- Windows: %ProgramData%/ONLYOFFICE/Data/runtime.json (por padrão, a pasta ProgramData é oculta no Windows Server; ative a exibição de itens ocultos no Explorador de Arquivos para acessá-la).

Notas de segurança

O código de bootstrap é armazenado temporariamente apenas na memória volátil e impresso uma única vez nos logs;
Os tokens de inicialização perdem a validade no instante em que uma senha administrativa é salva (validado via parâmetro passwordHash no arquivo runtime.json);
Após a conclusão da configuração, todos os códigos de bootstrap antigos expiram imediatamente em todos os nós da infraestrutura;
Em ambientes de alta disponibilidade (clusters), os códigos funcionam de maneira unificada em todos os nós que compartilham a mesma chave secreta ADMINPANEL_BOOTSTRAP_SECRET;
Nenhuma senha em texto limpo é transmitida ou registrada em disco — apenas hashes criptográficos seguros são guardados.

Login regular

Após realizar a rotina de configuração inicial do servidor:

Acesse a URL de gerência http://exemplo.com/admin.
Insira as credenciais da senha de administrador configurada.
Clique em Login.

Detalhes da sessão

As autenticações utilizam cookies de sessão seguros com a diretiva obrigatória HttpOnly;
As conexões expiram de forma automática após 1 hora de inatividade completa do usuário;
A proteção robusta de contexto SameSite=Strict é aplicada por padrão para mitigar tentativas de ataques do tipo CSRF.

Alterando sua senha

Para atualizar as credenciais de segurança do administrador:

Realize a autenticação no Admin Panel.
Navegue até a página de gerenciamento de conta em Alterar senha.
Insira a credencial de acesso atual para validação.
Forneça a nova senha desejada e confirme a operação.

Detalhes do hash criptográfico

Algoritmo utilizado: PBKDF2-SHA256 configurado com 600.000 iterações (em total conformidade com as recomendações OWASP).
Portabilidade: O hash criptográfico pode ser gerado de forma externa utilizando interpretadores de scripts como Python ou Node.js.

Gerar hash de senha externamente

Via OpenSSL 3.0+ (Formato padrão MCF recomendado):

PASSWORD="SuaSenha"; I=600000; S=$(openssl rand -base64 16 | tr -d '\n'); H=$(openssl kdf -binary -keylen 32 -kdfopt digest:SHA256 -kdfopt pass:UTF8:"$PASSWORD" -kdfopt salt:base64:"$S" -kdfopt iter:$I PBKDF2 | base64 | tr -d '\n'); echo "\$pbkdf2-sha256\$$I\$$S\$$H"

Via Node.js runtime:

node -e "const crypto=require('crypto');const p=process.argv[1];const s=crypto.randomBytes(16);const sb=s.toString('base64').replace(/\+/g,'.').replace(/=/g,'');crypto.pbkdf2(p,s,600000,32,'sha256',(e,k)=>{const h=k.toString('base64').replace(/\+/g,'.').replace(/=/g,'');console.log('\$pbkdf2-sha256\$600000\$'+sb+'\$'+h)})" "SuaSenha"

Insira a string de hash resultante diretamente no bloco correspondente do seu arquivo runtime.json:

{
  "adminPanel": {
    "passwordHash": "$pbkdf2-sha256$600000$..."
  }
}

Redefinição e recuperação de senha

Caso perca ou esqueça o acesso administrativo do painel, apague manualmente a chave e o valor do parâmetro passwordHash de dentro do arquivo de dados do seu servidor runtime.json:

{
  "adminPanel": {
  }
}

Nota: Na próxima inicialização do serviço, um novo código de bootstrap temporário será impresso nos logs do sistema. Refaça o processo de configuração inicial.

Abas de Configurações do Painel

A página principal de Configurações reúne as ferramentas vitais de gerência do ONLYOFFICE Docs. Abaixo estão detalhadas as capacidades operacionais de cada seção:

Admin Panel - Página de Configurações de Servidor

Aba Configuração

Exibe o mapeamento final consolidado de todas as chaves e variáveis do servidor de documentos compiladas através dos múltiplos arquivos do sistema. Strings sensíveis (chaves JWT, chaves privadas e senhas de banco) recebem ocultação visual automática (exibidas como REDACTED);
Permite copiar a estrutura integral do arquivo de configurações ou restaurar os parâmetros do servidor para os padrões originais de fábrica (esta ação é destrutiva e definitiva).

Aba Licença

Permite carregar e verificar dados contratuais do produto: compilação ativa (Enterprise Edition ou Developer Edition), modo de operação (produção ou período de testes/trial) e datas limites de suporte;
Exibe o teto máximo de conexões simultâneas de edição e de visualização em tempo real contratados. Para aplicar uma nova licença obtida, clique em Procurar, selecione o arquivo correspondente e confirme em Aplicar Licença.

Aba Assinatura de PDF

Permite subir chaves criptográficas em formato de contêiner PKCS#12 (extensões .p12 ou .pfx) para assinar digitalmente e de forma automática formulários em formato PDF que os usuários submetem ao concluir o preenchimento de documentos através do comando Concluir e Enviar.

Para empacotar uma chave privada existente (.key) e um arquivo de certificado público (.crt) em um único arquivo PKCS#12 via terminal utilizando OpenSSL, execute o comando:

openssl pkcs12 -export -out certificado.pfx -inkey chaveprivada.key -in certificado.crt

Aba HTTPS / SSL

Permite automatizar a emissão e a renovação de certificados criptográficos públicos e gratuitos assinados pela autoridade de certificação global Let's Encrypt para ativar a comunicação segura via protocolo HTTPS em seu servidor corporativo.

Requisitos do sistema: As portas de comunicação de rede 80 e 443 devem estar obrigatoriamente abertas e direcionadas para este servidor. Além disso, o apontamento do tipo Registro A nas configurações de zonas DNS do seu domínio web já deve estar propagado e resolvendo para o IP público correto da máquina.

Insira a URL do seu domínio configurado no campo Domínio;
Forneça um endereço eletrônico válido no campo E-mail para notificações e alertas;
Confirme a operação clicando no botão Instalar Certificado.

Aba Fontes

Gerencie o catálogo de tipografias e fontes de texto adicionais disponíveis para os editores de sua equipe. Clique em Procurar (ou utilize arrastar e soltar) para fazer o upload de arquivos de fontes vetoriais e clique em Gerar para atualizar a lista do sistema. É possível filtrar as fontes adicionadas marcando a opção "Mostrar apenas personalizadas" ou agendar a remoção de tipografias antigas.

Aba Desligamento

Utilize esta seção para realizar rotinas de manutenção preventivas de infraestrutura ou atualizações programadas de software sem causar corrupção de arquivos ou interrupções abruptas nas tarefas ativas da equipe.

Desligar: Bloqueia a abertura de novos arquivos ou novas conexões de edição e encerra de forma coordenada as sessões ativas atuais dos usuários, forçando o salvamento íntegro e seguro de todas as alterações pendentes no banco de dados e servidores de armazenamento;
Retomar: Restaura instantaneamente o comportamento operacional padrão do servidor, liberando a criação e edição normal de novos documentos no ecossistema.

Painel de Controle do ONLYOFFICE Docs