Kanidm 支持

• 安全加密认证的密钥 (WebAuthn)
• 受验证的密钥，适用于高安全环境
• OAuth2/OIDC 认证提供商，用于Web SSO
• 应用程序门户，可轻松访问相关应用程序
• 与TPM加密的离线认证集成的Linux/Unix集成
• 将SSH密钥分发到Linux/Unix系统
• RADIUS，用于网络和VPN认证
• 仅读LDAP网关，用于旧系统
• 完整的CLI管理工具
• 使用数据库复制实现的两个节点高可用性
• 用户自助服务的WebUI

LLDAP是一个旨在实现小型且易于管理的LDAP服务器以及Web管理门户的类似项目。这两个项目都使用了Kanidm LDAP绑定，并且有很多类似的想法。

Kanidm相对于LLDAP的主要优势是它提供了一组更广泛的“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些功能，你需要一个外部门户，如Keycloak。然而，这也是LLDAP的优势，它提供“更少”的功能，这可能使您更容易管理和部署。

虽然LLDAP提供了简单的WebUI作为主要的用户管理前端，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI是针对用户交互定制的。

如果Kanidm对于您的需求来说过于复杂，您应该考虑LLDAP作为较小的替代方案。如果您想要一个功能更全面的即插即用项目，那么Kanidm将是一个更好的选择。

如果您需要从LDAP部署中获得尽可能高的定制化水平，那么这些可能是更好的替代方案。如果您需要一个易于设置且专注于IDM的服务，那么Kanidm将是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP的许多元素的启发。在性能和可扩展性方面，Kanidm已经与389-ds（或更快）相当，同时具有更丰富的功能集。

FreeIPA是另一个针对Linux/Unix的身份管理服务，它提供了从LDAP、Kerberos、DNS、证书颁发机构等大量功能。

然而，FreeIPA是一个复杂的系统，拥有大量的部件和配置。这增加了大量的资源开销，使得管理和升级变得更加困难。

Kanidm旨在拥有FreeIPA的功能丰富性，但无需承担资源和管理的开销。如果您需要一个功能全面但占用资源较少、易于管理的IDM包，那么Kanidm可能适合您。在测试中，对于3000个用户+1500个组，Kanidm在搜索操作上比FreeIPA快3倍，在条目的修改和添加上快5倍（但是您的结果可能会有所不同，但通常Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供者。它允许您将WebAuthn添加到现有的IDM系统中。Keycloak可以作为独立IDM运行，但通常作为连接到现有LDAP服务器或类似服务的组件。

Keycloak需要大量的配置和经验才能部署。它允许对认证工作流程的每个细节进行高度定制，这在许多情况下使得入门更加困难。

kanidm 不需要 Keycloak 来提供 OAuth2 等服务，并且在与其他工具相比时，它以更简单、更正确的方式集成了许多元素。

Rauthy 是一个最小化的 OIDC 提供商。它支持 WebAuthn，就像 Kanidm 一样——它们实际上用它来使用我们的库！

Rauthy 仅提供 OIDC 支持，因此无法支持 RADIUS 和 unix 认证等其他用例。

如果您需要仅 OIDC 的最小化提供商，Rauthy 是一个极佳的选择。如果您需要更多功能，Kanidm 将支持这些功能。

Authentik 是用 Python 编写的 IDM 提供商，Authelia 和 Zitadel 是用 Go 编写的。它们在提供的功能上与 Kanidm 类似，但明显在 unix 认证支持方面较弱，并且不支持与 Kanidm 相同级别的认证策略。值得注意的是，它们都缺少 WebAuthn Attestation。

所有三个都使用外部 SQL 服务器，如 PostgreSQL。与 Kanidm 相比，Kanidm 选择了基于我们对企业 LDAP 服务器经验的基础上编写我们自己的高性能数据库和复制系统，这可能会产生潜在的单一故障点和性能限制。