Quais riscos de segurança podem ocorrer com os usuários do domínio?
create user "OPS$KA\USERNAME" identified externally.
grant create session to "OPS$KA\MARIK";
Então MARIK que está no domínio KA, pode fazer logon no banco de dados sem senha.
Pergunto se o oracle verifica se o usuário é realmente um usuário do domínio?
Por exemplo, existe o risco de que alguém com o nome de computador LB e o nome de usuário MARIK possa se conectar ao banco de dados, mesmo que não seja um usuário de domínio?
Cuidado, a autenticação do sistema operacional é feita pela máquina cliente, não pelo servidor de banco de dados.
Acho que, dentro de um pessimismo razoável em relação às ferramentas Oracle, você pode esperar que tudo se resuma a isso: o servidor de banco de dados recebe uma conexão TCP de qualquer endereço IP que possa passar pelo caminho da rede e essa conexão apenas afirma "Prometo que fiz a autenticação do sistema operacional e, acredite, esta conexão é feita em nome de OPS$JohnSmithCEO." Nem o cliente de banco de dados nem o servidor de banco de dados recebem a senha do sistema operacional para autenticação adicional do sistema operacional! E você nem pode confiar que essa conexão veio de um software Oracle válido. Pode ser man-in-the-middle na realidade. É pior do que telnet.
Quaisquer que sejam as verificações "específicas do Windows" feitas pela Oracle, elas parecem artificiais e você não pode realmente confiar que sejam completas e seguras.
Sem uma configuração específica, o Oracle Database não saberá nada sobre os usuários do tipo de domínio que você configurar. Na verdade, esse é o objetivo de ter a Autenticação do SO em primeiro lugar; o sistema operacional faz a autenticação e o banco de dados assume que essa autenticação é legítima.
Se estiver usando a autenticação do sistema operacional para usuários, você (ou outra pessoa em seu departamento de TI) precisará configurar as precauções necessárias para proteger essa autenticação no nível do sistema operacional.
A Autenticação do SO pode ser útil em certos casos (backups automatizados, tarefas cron, etc. Não é muito pedir que um usuário tenha que digitar uma senha. A segurança é melhor em camadas.