即将变更:Git (libcurl) 中的 NTLM 移除 – 对 Azure DevOps Server 用户的影响

💡 原文英文,约900词,阅读约需4分钟。
📝

内容提要

2026年9月,libcurl将停止支持NTLM认证,这将影响依赖该认证的Azure DevOps Server用户。用户需转向Kerberos认证,以避免安全风险和服务中断。建议检查当前认证方式,确保Kerberos配置正确,并在2026年前消除对NTLM的依赖。

🎯

关键要点

  • 2026年9月,libcurl将停止支持NTLM认证,影响依赖该认证的Azure DevOps Server用户。

  • 用户需转向Kerberos认证,以避免安全风险和服务中断。

  • Negotiate认证可能在Kerberos未正确配置时默默回退到NTLM,导致对NTLM的无意依赖。

  • 建议用户检查当前认证方式,确保Kerberos配置正确,并在2026年前消除对NTLM的依赖。

  • 客户应验证是否真正使用Kerberos,并在2026年前解决任何回退到NTLM的情况。

  • 确保Kerberos认证在2026年前正确配置,包括服务主体名称(SPNs)和域控制器连接。

  • 计划在NTLM支持移除后,消除对NTLM的依赖,避免长期依赖NTLM回退作为解决方案。

🔎

延伸解读

NTLM移除的背景

libcurl停止支持NTLM认证是行业向更安全认证机制转型的一部分。NTLM作为一种较旧的认证协议,存在安全隐患,因此转向Kerberos不仅是为了遵循行业标准,也是为了提升组织的安全性。

潜在风险与影响

如果未能及时转向Kerberos,Azure DevOps Server用户可能会面临服务中断。特别是在IIS配置中同时启用Negotiate和NTLM的环境,可能会无意中依赖NTLM,导致在2026年后无法正常工作。

配置Kerberos的重要性

确保Kerberos认证的正确配置至关重要,包括服务主体名称(SPNs)和域控制器的连接。用户应在2026年前验证Kerberos的有效性,以避免在NTLM移除后出现认证失败的问题。

延伸问答

libcurl停止支持NTLM认证的时间是什么时候?

libcurl将于2026年9月停止支持NTLM认证。

Azure DevOps Server用户应该如何应对NTLM的移除?

用户应转向Kerberos认证,以避免安全风险和服务中断。

为什么Negotiate认证可能会回退到NTLM?

Negotiate认证在Kerberos未正确配置时可能会默默回退到NTLM,导致无意依赖NTLM。

如何检查当前的认证方式是否使用NTLM?

可以通过查看Git操作中的NTLM警告信息或检查Kerberos票据缓存来确认是否使用NTLM。

在2026年前,用户需要确保哪些Kerberos配置?

用户需确保服务主体名称(SPNs)和域控制器连接正确配置。

如果Kerberos无法使用,Azure DevOps Server用户可以选择什么替代方案?

用户可以评估SSH认证作为Git操作的替代方案。

🏷️

标签

➡️

继续阅读