不可行。php-pdo-sqlsrv或sqlsrv扩展不支持PHP主动发起NTLM认证,仅能在Windows服务器上通过Web服务以域用户身份运行,依赖系统级Windows集成认证(SSPI)间接实现类似效果。
PHP 连接 SQL Server 使用 NTLM 认证是否可行
直接说结论:php-pdo-sqlsrv 或 sqlsrv 扩展本身不支持纯客户端 NTLM 认证(即模拟 Windows 域用户凭据、无需明文密码的 Kerberos/NTLM 身份验证)。它只支持 SQL Server 的 SQL Server Authentication(用户名/密码)和 Windows Authentication(仅限 PHP 运行在 Windows IIS/Apache 下,且 Web 服务以域用户身份运行时,由系统自动传递凭证)。
所谓“NTLM 认证”在 PHP 场景中常被误解——实际能走通的只有后一种:依赖操作系统层的 Windows 集成认证(SSPI),而非 PHP 主动发起 NTLM 握手。
Windows 系统下 Apache/IIS + sqlsrv 扩展启用 Windows 集成认证
这是唯一接近“NTLM 效果”的可行路径,本质是让 Web 服务进程以某个域账户运行,SQL Server 收到连接请求时识别为该域用户。
- 确保 PHP 使用
sqlsrv或pdo_sqlsrv扩展(非mysqli或pdo_mysql) - Web 服务器(如 Apache)必须以域用户身份启动(不能是 Local System 或 Network Service);IIS 则需配置应用池标识为域账户
- SQL Server 必须启用
Windows Authentication模式,且该域用户已在 SQL Server 中被添加为登录名(CREATE LOGIN [DOMAIN\user] FROM WINDOWS) - PHP 连接时不传用户名密码,只指定
Database和Server,例如:$conn = sqlsrv_connect('DB-SERVER', ['Database' => 'mydb']); - 若连接失败,检查 SQL Server 错误日志中的登录失败原因,常见为 SPN 未注册或 Kerberos 降级到 NTLM 后权限不足
Linux/macOS 下无法使用 Windows 集成认证
即使安装了 unixODBC + msodbcsql17 + pdo_sqlsrv,Linux 上的 PHP 进程无法向 SQL Server 提供有效的 Windows 凭据。此时:
-
UID/PWD参数必须显式提供,且只能用 SQL Server 账户(非域账户) - 尝试传入
'Authentication' => 'ActiveDirectoryIntegrated'会报错:SQLSTATE[HYT00]: [Microsoft][ODBC Driver 17 for SQL Server]Login timeout expired或Unable to connect: Adaptive Server is unavailable - 若 SQL Server 开启了 Azure AD 集成,可改用
ActiveDirectoryPassword或ActiveDirectoryServicePrincipal认证方式,但这已不属于 NTLM 范畴
替代方案:用代理或中间服务绕过客户端 NTLM 限制
如果业务强依赖域账号粒度控制(比如按 AD 组授权),又无法将 PHP 部署在 Windows 域内,常见折中做法:
- 在 Windows 服务器上部署轻量代理 API(如 ASP.NET Core Web API),该服务以域用户运行并代为连接 SQL Server;PHP 通过 HTTP 调用该代理
- SQL Server 配置“可信连接”+ 应用程序网关做客户端证书映射,再结合 AD FS 实现间接身份传递(复杂度高,运维成本大)
- 放弃 NTLM 思路,改用 SQL Server 的 Contained Database User + 加密 token 验证,在 PHP 层实现 RBAC,把权限判断逻辑从连接层移到业务层
真正容易被忽略的是:NTLM 不是 SQL Server 的认证协议,而是 Windows 网络层的协商机制;PHP 扩展根本不参与这个协商过程——它只负责把连接参数交给 ODBC 驱动,而驱动是否能透传 Windows 凭据,完全取决于操作系统和驱动自身的支持能力。
立即学习“PHP免费学习笔记(深入)”;
