Oracle通过操作系统验证时os_autent_prefix值为空时，不安全因素处在了哪里？

蓦然princes

实验环境： oracle11gR2

问题： 通过操作系统验证进行登陆数据库。

情况一： os_authent_prefix=ops$

        第一步：>create user ops$hr identified externally;
                        >grant create session to hr;
        第二步：#useradd hr
                        ----设置hr的环境便量---
                        $sqlplus /

这是情况一，很明显，当用户通过sqlplus / 方式进行登陆是，先是在数据库中找ops$hr，如果存在，且验证方式为externally，则通过。

问题是如果：os_authent_prefix='' //空


        第一步：>create user hr identified externally;
                        >grant create session to hr;
        第二步：#useradd hr
                        ----设置hr的环境便量---
                        $sqlplus /
第二种情况验证过程是：先在数据库中找hr用户，如果存在此用户，而且验证方式是externally，那么通过。如果用户存在，但是验证方式
不是externally，而是密码验证。那么也不会通过啊。

就算碰巧，操作系统中存在和数据库中同名的用户，但是如果此用户的验证方式不是externally，那么也不能验证通过啊？

不知道我的理解有没有问题？ 有人说如果os_authent_prefix=''时，操作系统中存在和数据库中同名的用户，就存在安全隐患？
不太明白。这种不安全出在哪里？ 请高手举例说说明一下。

www_xylove

如果os_authent_prefix的值为空，那么操作系统用户与数据库用户相同的话，而且又支持外表验证的话，那么此操作系统有用户就可以登录数据库，如果此数据库用户具有DBA权限，是不是具有安全隐患？

蓦然princes

我想明白了， os_authent_prefix=ops$目的是数据库中创建的没有ops$前缀的用户具有外部认证时，恰好操作系统有同名用户，那么此时就可登陆数据库了。

那又有一个问题了。例如： create user hr identified externally;

                                    hr可以通过操作系统认证登陆数据库系统，但是你创建的时候没有加ops$但是os_authent_prefix="ops$"，那么岂不是没法认证通过了？？回复 2# www_xylove


   

www_xylove

是的

蓦然princes

那这就是说，os_authent_prefix限制了别人的同时，也限制了自己啊。例如，限制了操作系统和数据库系统同名的用户通过操作系统认证，但这种限制，也同时限制了用户自己通过操作系统认证啊！！！
因为限制的这种情况是：创建一个hr用户externally（这是前提条件），os_authent_prefix='ops$'，我们创建hr用户是没有加ops$. 这样如果操作系统有一个hr用户， 就不能通过externally认证登陆系统，这是我们os_autent_prefix=‘ops$’的目的。
但是同时，如果我们自己hr， 想通过externally认证登陆系统的话，也被限制了，因为创建时没有加ops$。 而认证时会加上ops$,我的理解对不对????  
如果我理解的对，那这样的用户岂不是没有存在的意义啊！ 我们创建一个externally认证的用户， 却没有加ops$， 这样极限值了别人，也限制了自己，别人登不了，自己也登不了。那为什么要创建这种用户，externally认真模式，自己却无法验证登陆！！回复 4#= www_xylove


   

www_xylove

oracle并不建议使用外表验证的方式登陆数据库，所以，我建议楼主不要太纠结于此了，我从事oracle这么多年，还没有看见用户有使用外部验证方式登陆数据库。

蓦然princes

谢谢， 我就是看书的时候有点想不明白就问问你们！回复 6# www_xylove


   

www_xylove

没事，学习oracle就是需要这样的专研精神，才能学到透彻。