"sqlplus / as sysdba " ORA -01017问题

ORA - 01017（“invalid username/password; logon denied”）看似非常简单的密码问题，最近处理了几次相关问题，排除密码本身问题，大多是权限相关：
1、SQLNET.AUTHENTICATION_SERVICES 参数

• 故障现象：

start crs失败,检查aler日志报错如下：
--crs_alert.log check faild
[/u01/12.1.0/grid/bin/oraagent.bin(1556)]CRS-5011:Check of resource "+ASM" failed: details at "(:CLSN00006:)" in "/u01/12.1.0/grid/log/rac1/agent/ohasd/oraagent_grid/oraagent_grid.log"

--跟踪oraagent_grid.log发下如下报错
[    AGFW][2413815552]{0:0:2} sending status msg [ORA-01017: invalid username/password; logon denied
] for clean for resource: ora.asm 1 1

--sqlplus验证登录
[grid@rac1 rac1]$ sqlplus / as sysasm
SQL*Plus: Release 11.2.0.4.0 Production on Tue Oct 12 11:05:04 2021
Copyright (c) 1982, 2013, Oracle.  All rights reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
复制

这是由于安全加固将SQLNET.AUTHENTICATION_SERVICES参数设置为(NONE)导致的。这个参数设为NONE代表操作系统方式与密码认证方式均不能通过。神操作，安全认证已经到了如此严格的地步。

• 处理方式：
  注释后重新启动crs成功，或者设置为默认值ALL都可以。代表通过操作系统认证，限制密码认证方式。

2、操作系统用户权限不够

• 故障现象：

--oracle 无法使用sqlplus本地登录
[oracle@rac1 ~]$ sqlplus / as sysdba
SQL*Plus: Release 11.2.0.4.0 Production on Tue Oct 12 13:48:01 2021
Copyright (c) 1982, 2013, Oracle.  All rights reserved.
ERROR:
ORA-01017: invalid username/password; logon denied
在参数设置正确的情况下，还有一种方向，用户本身属组权限。
[oracle@rac1 ~]$ id grid
uid=1100(grid) gid=1000(oinstall) groups=1000(oinstall),1020(asmadmin),1021(asmdba),1022(asmoper),1031(dba),1032(oper)
[oracle@rac1 ~]$ id oracle
uid=1101(oracle) gid=1000(oinstall) groups=1000(oinstall),1021(asmdba),1032(oper)
oracle没有在dba属组。另外还有一种可能，id看到已经在dba组，但是/etc/group下dba组没有oracle记录：
[oracle@rac1 ~]$ cat /etc/group |grep dba
asmdba:x:1021:grid,oracle
dba:x:1031:grid
复制

• 处理方法：

[root@rac1 bin]# usermod -aG dba oracle
[root@rac1 bin]# id oracle
uid=1101(oracle) gid=1000(oinstall) groups=1000(oinstall),1021(asmdba),1031(dba),1032(oper)
复制