Kanidm支持

• 安全加密身份验证的WebAuthn密钥
• 适用于高安全环境的可验证密钥
• OAuth2/OIDC身份验证提供者，用于Web SSO
• 应用程序门户，可轻松访问链接的应用程序
• 与TPM安全离线身份验证的Linux/Unix集成
• 将SSH密钥分发到Linux/Unix系统
• 用于网络和VPN身份验证的RADIUS
• 为 Legacy 系统 的只读LDAP网关
• 完整的CLI管理工具
• 使用数据库复制实现的两个节点高可用性
• 用于用户自助服务的WebUI

LLDAP是一个类似的项目，旨在提供一个小巧、易于管理的LDAP服务器，带有Web管理门户。这两个项目都使用Kanidm LDAP绑定，并且有许多类似的想法。

Kanidm相对于LLDAP的主要优势在于，Kanidm提供了一组更广泛的“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些，您需要一个外部门户，如Keycloak。然而，这也是LLDAP的优势，它提供了“更少”的功能，可能使您更容易管理和部署。

虽然LLDAP提供了一个简单的WebUI作为主要的用户管理前端，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI针对用户交互进行了定制。

如果您觉得Kanidm对您来说太复杂，您应该考虑LLDAP作为较小的替代品。如果您希望有一个具有更广泛功能集的项目，那么Kanidm将是一个更好的选择。

如果您需要从LDAP部署中获得最高程度的定制，那么这些可能是更好的替代品。如果您希望一个易于设置且专注于IDM的服务，那么Kanidm是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP的许多元素的影响。在性能和作为目录服务进行扩展方面，Kanidm已经与389-ds一样快（或更快），同时具有更丰富的功能集。

FreeIPA是Linux/Unix的另一款身份管理服务，提供了来自LDAP、Kerberos、DNS、证书权威机构等的大量功能。

然而，FreeIPA是一个复杂的系统，有大量组成部分和配置。这增加了大量的资源开销，给管理和升级带来了很多困难。

Kanidm旨在拥有FreeIPA的功能丰富性，但无需资源和管理开销。如果您需要一个完整的IDM包，但希望占用更少的资源且易于管理，那么Kanidm可能是您所需要的。在测试中，与3000个用户+1500个组相比，Kanidm在搜索操作中快3倍，在条目修改和添加中快5倍（但您的结果可能不同，但一般来说，Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供者。它允许您将WebAuthn添加到现有的IDM系统中。Keycloak可以作为独立IDM运行，但通常作为现有LDAP服务器或类似服务的组件。

Keycloak 部署需要大量的配置和经验。它允许对身份验证工作流程的每个细节进行高度自定义，这使得在很多情况下都难以开始使用。

Kanidm 不需要 Keycloak 来提供 OAuth2 等服务，与 Keycloak 相比，Kanidm 以更简单、更正确的方式直接整合了许多元素。

Rauthy 是一个最小的 OIDC 提供商。它支持 WebAuthn，就像 Kanidm 一样——它们实际上使用了我们为此创建的库！

Rauthy 只提供对 OIDC 的支持，因此无法支持 RADIUS 和 Unix 认证等其他用例。

如果您只需要最小的 OIDC 提供商，Rauthy 是一个极佳的选择。如果您需要更多功能，Kanidm 将支持这些功能。

Authentik 是一个用 Python 编写的 IDM 提供商，Authelia 和 Zitadel 是用 Go 编写的。它们在提供的功能上与 Kanidm 类似，但值得注意的是，它们对 Unix 认证的支持较弱，并且不像 Kanidm 那样支持相同的认证策略。值得注意的是，所有这些都缺少 WebAuthn Attestation。

所有这三个都使用外部 SQL 服务器，例如 PostgreSQL。与 Kanidm 相比，Kanidm 选择根据自己的企业 LDAP 服务器经验编写自己的高性能数据库和复制系统，这可能会创建一个潜在的单一故障点，并且性能受限。