Hướng dẫn phân quyền trong Zimbra Mail

Khi sử dụng Zimbra Mail đôi khi bạn cần thực hiện phân quyền cho mỗi tài khoản quản trị khác nhau, để các tài khoản đó có quyền quản trị độc lập.

Ví dụ như trong Zimbra mail bạn có đến 10 tên miền. Và bạn cần phân cấp cho mỗi tài khoản chỉ được phép quản lý các tài khoản thuộc tên miền đó, thì bạn cần phải làm sao để phân quyền?

Trong bài viết này mình sẽ hướng dẫn bạn thực hiện chia quyền với 2 cách như sau.

Cách 1: Tạo script phần quyền

Đâu tiên bạn hãy SSH vào máy chủ server mail. Sau đó tạo một script để phân quyền

touch /usr/local/sbin/delegate-admin
chmod +x /usr/local/sbin/delegate-admin
vi /usr/local/sbin/delegate-admin

Sau đó bạn dán nội dung bên dưới vào file vừa tạo.

Lưu ý: Thay đổi DOMAIN=’example.com’ bằng tên domain của bạn

#!/bin/bash

# Domain of concern to be changed
DOMAIN='example.com'

WHO=`whoami`
if [ $WHO != "zimbra" ]
then
  echo
  echo "Execute this scipt as user zimbra (\"su - zimbra\")"
  echo
  exit 1
fi

echo
echo
echo "Zimbra Delegate Admin control"
echo "*************************************************"
echo "Utility to grant/revoke delegated administrators"
echo
echo "Please choose R for revoke or G for grant (RG) or any other key to abort."
read -p "RG: " rg

if [ "$rg" == 'R' ]
then
   echo "Please enter the user name (example: user@example.com) you wish to revoke delegated domain admin rights from."
   read -p "username: " username

zmprov ma $username zimbraIsDelegatedAdminAccount FALSE


elif [ "$rg" == 'G' ]
then
   echo "Please enter the user name (example: user@example.com) you wish to grant delegated domain admin rights."
   read -p "username: " username

zmprov ma $username zimbraIsDelegatedAdminAccount TRUE
zmprov ma $username +zimbraAdminConsoleUIComponents accountListView
zmprov ma $username +zimbraAdminConsoleUIComponents DLListView
zmprov grr domain $DOMAIN usr $username +listAccount
zmprov grr domain $DOMAIN usr $username listDomain
zmprov grr domain $DOMAIN usr $username set.account.zimbraAccountStatus
zmprov grr domain $DOMAIN usr $username set.account.sn
zmprov grr domain $DOMAIN usr $username set.account.displayName
zmprov grr domain $DOMAIN usr $username +addDistributionListMember
zmprov grr domain $DOMAIN usr $username +getDistributionListMembership
zmprov grr domain $DOMAIN usr $username +getDistributionList
zmprov grr domain $DOMAIN usr $username +listDistributionList
zmprov grr domain $DOMAIN usr $username +removeDistributionListMember
zmprov grr domain $DOMAIN usr $username domainAdminRights
zmprov grr domain $DOMAIN usr $username domainAdminConsoleRights
zmprov grr domain $DOMAIN usr $username adminConsoleAliasRights
zmprov grr domain $DOMAIN usr $username modifyAccount
zmprov grr domain $DOMAIN usr $username countAlias
zmprov grr domain $DOMAIN usr $username -configureAdminUI
zmprov grr domain $DOMAIN usr $username -get.account.zimbraAdminConsoleUIComponents
zmprov grr domain $DOMAIN usr $username -get.dl.zimbraAdminConsoleUIComponents
zmprov grr domain $DOMAIN usr $username -set.account.zimbraIsDelegatedAdminAccount
zmprov grr domain $DOMAIN usr $username -set.dl.zimbraIsAdminGroup



else
   echo "Invalid option, abort"
   exit 0
fi

exit 0

Chạy script này với quyền zimbra, ví dụ:

sudo su zimbra -
/usr/local/sbin/delegate-admin

Chọn G để bắt đầu gán quyền truy cập và nhập tên của account mà bạn muốn trao các quyền quản trị.

Sau khi thực hiện xong, đăng nhập vào trang quản trị (cổng 9071 hoặc 7071) với account được phân quyền. Bạn sẽ thấy rằng account này được phép thực hiện các tác vụ quản lý cho account, distribution list. Ngoài ra account này không được phép thực hiện các tác vụ khác.

Cách 2: Sử dụng extension mở rộng

Với cách này thì mọi thao tác sẽ làm trên giao diện Zimbra. Đây tiên bạn hãy tải extension về. Link tải mình sẽ để bên dưới.

Bước 1: Cài đặt Extension

• Tải extension tại đây

Sau khi tải extension về xong. Bạn truy cập vào Cấu hình => Phần mở rộng Quản trị viên => Triển khai

Sau đó bạn chọn file zip extension đã tải về và chọn Triển khai

Một thông báo triển khai tệp thành công. Bạn chọn hoàn tất để kết thúc

Sau khi triển khai xong. Bạn sẽ thấy thêm một tính năng là Delegated Administrator. Thì đây chính là tính năng tạo và chia quyền.

Bước 2: Tạo tài khoản quản trị

Bạn hãy truy cập vào quản lý tài khoản. Sau đó tạo mới tài khoản quản trị

Ở Administrator type bạn chọn là Admin Account => Kế tiếp

Đặt tên tài khoản quản trị và mật khẩu => Kế tiếp

Ở bước này là bước gán quyền. Bạn hãy tick chọn quyền muốn gán cho tài khoản. Bỏ tick để loại bỏ quyền => Kế tiếp

Chọn kế tiếp để gán quyền

Quyền được gán thành công => OK

Chọn Hoàn tất để kết thúc.

thấy rằng account này được phép thực hiện các tác vụ quản lý cho account, distribution list. Ngoài ra account này không được phép thực hiện các tác vụ khác.

Bạn có thể tham khảo các tài liệu sau về các quyền của admin và một số tình huống phân quyền đặc thù:

• https://blog.zimbra.com/2021/11/zimbra-skillz-create-zimbra-delegated-administrators/
• https://wiki.zimbra.com/index.php?title=Steps_to_create_a_delegated_admin_to_manage_only_Out_Of_Office_on_accounts
• https://wiki.zimbra.com/wiki/Create_a_delegated_admin_to_manage_distribution_lists_only
• https://wiki.zimbra.com/wiki/UmaT-Implementing-Delegated-Administration
• https://github.com/Zimbra/zm-mailbox/blob/develop/store/src/java/com/zimbra/cs/account/accesscontrol/generated/RightConsts.java