Kanidm 支持

• 用于安全加密身份验证的密钥（WebAuthn）
• 用于高安全环境的声明性密钥
• OAuth2/OIDC 身份验证提供者用于 Web SSO
• 应用门户，允许轻松访问链接的应用程序
• 与 TPM 加密的离线身份验证的 Linux/Unix 集成
• 将 SSH 密钥分发到 Linux/Unix 系统
• RADIUS 用于网络和 VPN 身份验证
• 为旧系统提供只读 LDAPs 网关
• 完整的 CLI 工具集用于管理
• 使用数据库复制实现的双节点高可用性
• 用户自助的 WebUI

LLDAP是一个类似的项目，旨在构建一个小巧且易于管理的LDAP服务器，并带有Web管理门户。这两个项目都使用Kanidm LDAP绑定，并有许多相似的想法。

Kanidm相对于LLDAP的主要优势是它提供了一套更广泛的“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些功能，您需要一个外部门户如Keycloak。然而，这也是LLDAP的优势之一，它提供“更少”的功能，这可能使您更容易管理和部署。

虽然LLDAP提供了一个简单的WebUI作为主要用户管理前端，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI针对用户交互进行了定制。

如果Kanidm对您来说过于复杂，您应该考虑LLDAP作为较小的替代方案。如果您需要一个功能更全面的项目，那么Kanidm将是一个更好的选择。

如果您需要从LDAP部署中获得可能的最大程度的定制，那么这些可能是更好的替代方案。如果您需要一个易于设置且专注于IDM的服务，那么Kanidm是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP许多元素的启发。已经Kanidm在性能和作为目录服务的扩展性方面与389-ds一样快（或更快），同时具有更丰富的功能集。

FreeIPA是另一个针对Linux/Unix的身份管理服务，提供从LDAP、Kerberos、DNS、证书授权等众多功能。

然而，FreeIPA是一个复杂的系统，包含大量组件和配置。这增加了大量资源开销，使得管理和升级更加困难。

Kanidm旨在拥有FreeIPA的丰富功能，但没有资源和管理开销。如果您需要一个完整的IDM包，但需要更轻量级和易于管理的，那么Kanidm可能适合您。在测试中，Kanidm在3000个用户+1500个组的情况下，搜索操作速度比FreeIPA快3倍，修改和添加条目速度快5倍（但您的结果可能会有所不同，但通常Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供者。它允许您在现有的IDM系统中添加WebAuthn。Keycloak可以作为独立IDM运行，但通常作为附加到现有LDAP服务器或类似服务的组件。

Keycloak需要大量的配置和经验才能部署。它允许对认证工作流的所有细节进行高度定制，这使得在很多情况下难以开始。

Kanidm不需要Keycloak即可提供OAuth2等服务，并将许多元素以更简单和正确的方式集成。

Rauthy是一个最小的OIDC提供者。它支持WebAuthn，就像Kanidm一样——它们实际上使用了我们的库来实现这一点！

RAuthy 只支持 OIDC，因此无法支持其他用例，如 RADIUS 和 Unix 认证。

如果您需要一个仅支持 OIDC 的最小提供商，RAuthy 是一个优秀的选择。如果您需要更多功能，Kanidm 将支持这些功能。

Authentik 是用 Python 编写的 IDM 提供商，Authelia 和 Zitadel 是用 Go 编写的。它们在提供的功能上与 Kanidm 类似，但明显在 Unix 认证支持较弱，并且不支持与 Kanidm 相同级别的认证策略。值得注意的是，所有这些都缺少 WebAuthn Attestation。

所有三个都使用外部 SQL 服务器，如 PostgreSQL。与 Kanidm 相比，Kanidm 选择了基于我们对企业 LDAP 服务器的经验，编写自己的高性能数据库和复制系统，这可能会创建一个潜在的单一故障点，并且与 Kanidm 相比，性能有限。