NỘI DUNG
Khi sử dụng Zimbra Mail đôi khi bạn cần thực hiện phân quyền cho mỗi tài khoản quản trị khác nhau, để các tài khoản đó có quyền quản trị độc lập.
Ví dụ như trong Zimbra mail bạn có đến 10 tên miền. Và bạn cần phân cấp cho mỗi tài khoản chỉ được phép quản lý các tài khoản thuộc tên miền đó, thì bạn cần phải làm sao để phân quyền?
Trong bài viết này mình sẽ hướng dẫn bạn thực hiện chia quyền với 2 cách như sau.
Cách 1: Tạo script phần quyền
Đâu tiên bạn hãy SSH vào máy chủ server mail. Sau đó tạo một script để phân quyền
touch /usr/local/sbin/delegate-admin
chmod +x /usr/local/sbin/delegate-admin
vi /usr/local/sbin/delegate-admin
Sau đó bạn dán nội dung bên dưới vào file vừa tạo.
Lưu ý: Thay đổi DOMAIN=’example.com’ bằng tên domain của bạn
#!/bin/bash # Domain of concern to be changed DOMAIN='example.com' WHO=`whoami` if [ $WHO != "zimbra" ] then echo echo "Execute this scipt as user zimbra (\"su - zimbra\")" echo exit 1 fi echo echo echo "Zimbra Delegate Admin control" echo "*************************************************" echo "Utility to grant/revoke delegated administrators" echo echo "Please choose R for revoke or G for grant (RG) or any other key to abort." read -p "RG: " rg if [ "$rg" == 'R' ] then echo "Please enter the user name (example: user@example.com) you wish to revoke delegated domain admin rights from." read -p "username: " username zmprov ma $username zimbraIsDelegatedAdminAccount FALSE elif [ "$rg" == 'G' ] then echo "Please enter the user name (example: user@example.com) you wish to grant delegated domain admin rights." read -p "username: " username zmprov ma $username zimbraIsDelegatedAdminAccount TRUE zmprov ma $username +zimbraAdminConsoleUIComponents accountListView zmprov ma $username +zimbraAdminConsoleUIComponents DLListView zmprov grr domain $DOMAIN usr $username +listAccount zmprov grr domain $DOMAIN usr $username listDomain zmprov grr domain $DOMAIN usr $username set.account.zimbraAccountStatus zmprov grr domain $DOMAIN usr $username set.account.sn zmprov grr domain $DOMAIN usr $username set.account.displayName zmprov grr domain $DOMAIN usr $username +addDistributionListMember zmprov grr domain $DOMAIN usr $username +getDistributionListMembership zmprov grr domain $DOMAIN usr $username +getDistributionList zmprov grr domain $DOMAIN usr $username +listDistributionList zmprov grr domain $DOMAIN usr $username +removeDistributionListMember zmprov grr domain $DOMAIN usr $username domainAdminRights zmprov grr domain $DOMAIN usr $username domainAdminConsoleRights zmprov grr domain $DOMAIN usr $username adminConsoleAliasRights zmprov grr domain $DOMAIN usr $username modifyAccount zmprov grr domain $DOMAIN usr $username countAlias zmprov grr domain $DOMAIN usr $username -configureAdminUI zmprov grr domain $DOMAIN usr $username -get.account.zimbraAdminConsoleUIComponents zmprov grr domain $DOMAIN usr $username -get.dl.zimbraAdminConsoleUIComponents zmprov grr domain $DOMAIN usr $username -set.account.zimbraIsDelegatedAdminAccount zmprov grr domain $DOMAIN usr $username -set.dl.zimbraIsAdminGroup else echo "Invalid option, abort" exit 0 fi exit 0
Chạy script này với quyền zimbra, ví dụ:
sudo su zimbra -
/usr/local/sbin/delegate-admin
Chọn G để bắt đầu gán quyền truy cập và nhập tên của account mà bạn muốn trao các quyền quản trị.
Sau khi thực hiện xong, đăng nhập vào trang quản trị (cổng 9071 hoặc 7071) với account được phân quyền. Bạn sẽ thấy rằng account này được phép thực hiện các tác vụ quản lý cho account, distribution list. Ngoài ra account này không được phép thực hiện các tác vụ khác.
Cách 2: Sử dụng extension mở rộng
Với cách này thì mọi thao tác sẽ làm trên giao diện Zimbra. Đây tiên bạn hãy tải extension về. Link tải mình sẽ để bên dưới.
Bước 1: Cài đặt Extension
Sau khi tải extension về xong. Bạn truy cập vào Cấu hình => Phần mở rộng Quản trị viên => Triển khai
Sau đó bạn chọn file zip extension đã tải về và chọn Triển khai
Một thông báo triển khai tệp thành công. Bạn chọn hoàn tất để kết thúc
Sau khi triển khai xong. Bạn sẽ thấy thêm một tính năng là Delegated Administrator. Thì đây chính là tính năng tạo và chia quyền.
Bước 2: Tạo tài khoản quản trị
Bạn hãy truy cập vào quản lý tài khoản. Sau đó tạo mới tài khoản quản trị
Ở Administrator type bạn chọn là Admin Account => Kế tiếp
Đặt tên tài khoản quản trị và mật khẩu => Kế tiếp
Ở bước này là bước gán quyền. Bạn hãy tick chọn quyền muốn gán cho tài khoản. Bỏ tick để loại bỏ quyền => Kế tiếp
Chọn kế tiếp để gán quyền
Quyền được gán thành công => OK
Chọn Hoàn tất để kết thúc.
thấy rằng account này được phép thực hiện các tác vụ quản lý cho account, distribution list. Ngoài ra account này không được phép thực hiện các tác vụ khác.
Bạn có thể tham khảo các tài liệu sau về các quyền của admin và một số tình huống phân quyền đặc thù:
- https://blog.zimbra.com/2021/11/zimbra-skillz-create-zimbra-delegated-administrators/
- https://wiki.zimbra.com/index.php?title=Steps_to_create_a_delegated_admin_to_manage_only_Out_Of_Office_on_accounts
- https://wiki.zimbra.com/wiki/Create_a_delegated_admin_to_manage_distribution_lists_only
- https://wiki.zimbra.com/wiki/UmaT-Implementing-Delegated-Administration
- https://github.com/Zimbra/zm-mailbox/blob/develop/store/src/java/com/zimbra/cs/account/accesscontrol/generated/RightConsts.java