Kanidm支持

• 安全密码学身份验证的WebAuthn密钥
• 适用于高安全环境的高信誉密钥
• OAuth2/OIDC身份验证提供者，用于Web单点登录
• 应用程序门户，允许轻松访问链接的应用程序
• 与TPM安全离线身份验证的Linux/Unix集成
• 将SSH密钥分发到Linux/Unix系统
• RADIUS用于网络和VPN身份验证
• 为 Legacy 系统提供只读LDAPs网关
• 完整的CLI工具，用于管理
• 使用数据库复制实现的双节点高可用性
• 用户自助服务的WebUI

LLDAP是一个类似的项目，旨在实现一个小型且易于管理的LDAP服务器，带有一个Web管理门户。这两个项目都使用了Kanidm LDAP绑定，并且有许多相似的想法。

与LLDAP相比，Kanidm的主要优势在于它提供了一组更广泛的“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些功能，你需要一个外部门户，如Keycloak。然而，这也是LLDAP的优势之一，它提供的“功能较少”，可能更容易管理和部署。

虽然LLDAP提供了简单的WebUI作为主要的用户管理前端，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI针对用户交互进行了定制。

如果你的需求过于复杂，那么你可以考虑LLDAP作为较小的替代方案。如果你需要一个具有更广泛功能的即插即用项目，那么Kanidm将更适合。

如果你需要从LDAP部署中获得可能的最大程度的自定义，那么这些可能是更好的替代方案。如果你需要一个易于设置且专注于IDM的服务，那么Kanidm是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP的许多元素的启发。在性能和作为目录服务的扩展方面，Kanidm已经与389-ds一样快（或更快），同时拥有更丰富的功能集。

FreeIPA是另一个针对Linux/Unix的身份管理服务，提供了来自LDAP、Kerberos、DNS、证书权威机构等的大量功能。

然而，FreeIPA是一个复杂的系统，具有大量的组件和配置。这增加了大量的资源开销，使得管理和升级变得困难。

Kanidm旨在拥有FreeIPA的功能丰富性，但没有资源和管理的开销。如果你需要一个完整的IDM包，但希望占用更小的空间且易于管理，那么Kanidm可能适合你。在测试中，与3000个用户+1500个组相比，Kanidm在搜索操作中快了3倍，在条目的修改和添加中快了5倍（但是你的结果可能有所不同，但通常Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供者。它允许你将WebAuthn层叠到现有的IDM系统中。Keycloak可以作为独立的IDM运行，但通常作为连接到现有LDAP服务器或类似系统的组件。

Keycloak需要大量的配置和经验才能部署。它允许对认证工作流程的每个细节进行高度自定义，这在许多情况下使得它更难入门。

Kanidm不需要Keycloak来提供服务，如OAuth2，并且与Kanidm相比，它以更简单、更正确的方式在开箱即用中集成了许多元素。

RAuthy 是一个最小的 OIDC 提供者。它支持 WebAuthn，就像 Kanidm 一样——它们实际上使用了我们的库来实现这一点！

RAuthy 只提供 OIDC 的支持，因此无法支持其他用例，如 RADIUS 和 Unix 认证。

如果您需要一个仅支持 OIDC 的最小化提供者，RAuthy 是一个极佳的选择。如果您需要更多功能，Kanidm 将支持这些功能。

Authentik 是一个用 Python 编写的 IDM 提供者，Authelia 和 Zitadel 是用 Go 编写的。它们在提供的功能上与 Kanidm 类似，但明显在 Unix 认证支持方面较弱，并且不支持与 Kanidm 相同级别的认证策略。值得注意的是，所有这些都没有 WebAuthn Attestation。

这三个都使用外部 SQL 服务器，如 PostgreSQL。这可能会与 Kanidm 相比，Kanidm 选择了基于我们在企业 LDAP 服务器上的经验的、自己编写的高性能数据库和复制系统，从而造成潜在的单一故障点和性能限制。