即将变更:Git (libcurl) 中的 NTLM 移除 – 对 Azure DevOps Server 用户的影响
内容提要
2026年9月,libcurl将停止支持NTLM认证,这将影响依赖该认证的Azure DevOps Server用户。用户需转向Kerberos认证,以避免安全风险和服务中断。建议检查当前认证方式,确保Kerberos配置正确,并在2026年前消除对NTLM的依赖。
关键要点
-
2026年9月,libcurl将停止支持NTLM认证,影响依赖该认证的Azure DevOps Server用户。
-
用户需转向Kerberos认证,以避免安全风险和服务中断。
-
Negotiate认证可能在Kerberos未正确配置时默默回退到NTLM,导致对NTLM的无意依赖。
-
建议用户检查当前认证方式,确保Kerberos配置正确,并在2026年前消除对NTLM的依赖。
-
客户应验证是否真正使用Kerberos,并在2026年前解决任何回退到NTLM的情况。
-
确保Kerberos认证在2026年前正确配置,包括服务主体名称(SPNs)和域控制器连接。
-
计划在NTLM支持移除后,消除对NTLM的依赖,避免长期依赖NTLM回退作为解决方案。
延伸解读
NTLM移除的背景
libcurl停止支持NTLM认证是行业向更安全认证机制转型的一部分。NTLM作为一种较旧的认证协议,存在安全隐患,因此转向Kerberos不仅是为了遵循行业标准,也是为了提升组织的安全性。
潜在风险与影响
如果未能及时转向Kerberos,Azure DevOps Server用户可能会面临服务中断。特别是在IIS配置中同时启用Negotiate和NTLM的环境,可能会无意中依赖NTLM,导致在2026年后无法正常工作。
配置Kerberos的重要性
确保Kerberos认证的正确配置至关重要,包括服务主体名称(SPNs)和域控制器的连接。用户应在2026年前验证Kerberos的有效性,以避免在NTLM移除后出现认证失败的问题。
延伸问答
libcurl停止支持NTLM认证的时间是什么时候?
libcurl将于2026年9月停止支持NTLM认证。
Azure DevOps Server用户应该如何应对NTLM的移除?
用户应转向Kerberos认证,以避免安全风险和服务中断。
为什么Negotiate认证可能会回退到NTLM?
Negotiate认证在Kerberos未正确配置时可能会默默回退到NTLM,导致无意依赖NTLM。
如何检查当前的认证方式是否使用NTLM?
可以通过查看Git操作中的NTLM警告信息或检查Kerberos票据缓存来确认是否使用NTLM。
在2026年前,用户需要确保哪些Kerberos配置?
用户需确保服务主体名称(SPNs)和域控制器连接正确配置。
如果Kerberos无法使用,Azure DevOps Server用户可以选择什么替代方案?
用户可以评估SSH认证作为Git操作的替代方案。