oracle操作系统OS认证和密码文件认证

1 说明

1.1 常见认证方式

Oracle登录认证方式主要涉及到如何验证用户身份以访问数据库。Oracle数据库提供了多种认证机制来确保数据的安全性和访问控制，每种方式都有其特定的使用场景和安全性考虑。以下是Oracle中常见的登录认证方式：

1、基于操作系统的认证（OS认证）

在基于操作系统的认证中，Oracle依赖底层操作系统的用户身份验证机制。当使用OS认证时，Oracle进程以操作系统用户的身份运行，并继承该用户的权限。这种认证方式通常用于本地连接，特别是在Unix/Linux系统上。

2、密码文件认证（Password File）

密码文件（通常称为“口令文件”）是Oracle提供的一种认证机制，用于在数据库未完全启动或无法访问数据字典时，允许具有SYSDBA或SYSOPER权限的用户进行连接。密码文件通常存放在数据库服务器的特定目录下，并包含加密的用户名和密码信息。

3、数据库认证

数据库认证是最常用的认证方式，它依赖于Oracle数据字典中存储的用户名和密码信息。当用户尝试连接到数据库时，Oracle会查询数据字典以验证提供的用户名和密码是否匹配。普通用户就是使用这种认证方式。与前两种不同的地方在于，在数据库关闭的时候用户不能登录。

4、外部认证

如果配置了os_authent_prefix参数，如默认值为 ops$，当数据库中存在用户 ops$lu9up，且对该用户启用了外部验证。那么在操作系统上以lu9up用户登录成功后，就可以直接键入 sqlplus / ，登录用户是 ops$lu9up，密码由操作系统外部提供，不是数据字典认证。

1.2 数据库管理员身份验证

DBA经常执行一些特殊操作，如关闭数据库、启动数据库、修改参数等。由于只有DBA才能执行这些操作，所以DBA的数据库账号需要一种安全的身份验证方案。

DBA身份验证一般使用上面四种常见的登录认证的前两种：

os认证；
口令文件认证。

下面就来着重讲讲这两种认证。

2 基于操作系统的认证（OS认证）

2.1 OSDBA & OSOPER

OSDBA和OSOPER是两个特殊操作系统组，如果操作系统用户属于OSDBA组或者OSOPER组，就能够通过操作系统而不是数据库用户名和密码来认证到数据库，这就是操作系统认证。这两个操作系统组通常被称为OSDBA和OSOPER。熟悉数据库安装的同学都应该有印象，OSDBA和OSOPER这两个组就是在进行操作系统（Linux）配置的时候创建的：

groupadd -g 1001 dba  
groupadd -g 1002 oper

如果操作系统用户属于dba组或者oper组，那么在登录操作系统后，登录数据库的方式为：

如果用户是dba组的成员，并在连接到数据库时指定了as sysdba，那么将以sysdba系统特权连接到数据库。如：sqlplua / as sysdba
如果用户是oper组的成员，并在连接到数据库时指定了as sysoper，那么您将以sysoper系统特权连接到数据库。如：sqlplua / as sysoper
如果用户不是这两个操作系统组的成员，却尝试以SYSDBA或SYSOPER身份连接，那么CONNECT命令将失败。ORA-01017: invalid username/password; logon denied。

下面来试验一下：

创建一个新的操作系统用户lu9up，暂时不添加任何组: