Kanidm支持

• 安全加密认证的Passkeys（WebAuthn）
• 用于高安全环境的可验证Passkeys
• OAuth2/OIDC身份验证提供者，用于Web SSO
• 应用程序门户，便于访问链接的应用程序
• 与TPM安全离线认证的Linux/Unix集成
• 将SSH密钥分发到Linux/Unix系统
• RADIUS用于网络和VPN认证
• 为遗留系统提供只读LDAPs网关
• 完整的CLI工具用于管理
• 使用数据库复制实现的双节点高可用性
• WebUI供用户自助服务使用

LLDAP是一个类似的项目，旨在实现一个小巧且易于管理的 LDAP 服务器，并带有网页管理界面。这两个项目都使用了Kanidm LDAP 绑定，并且有众多相似的想法。

与LLDAP相比，Kanidm的主要优势在于它提供了一系列“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些功能，您需要像Keycloak这样的外部门户。然而，这也是LLDAP的优势，它提供了“更少”的功能，这可能使您更容易管理和部署。

虽然LLDAP提供了作为主要用户管理前端的简单WebUI，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI专为用户交互定制。

如果您认为Kanidm对您的需求来说过于复杂，那么您应该考虑LLDAP作为较小的替代方案。如果您想要一个功能更全面的即插即用项目，那么Kanidm将是一个更好的选择。

如果您需要从LDAP部署中获得最高级别的定制，那么这些可能是更好的替代方案。如果您想要一个易于设置且专注于IDM的服务，那么Kanidm是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP许多元素的影响。Kanidm在性能和可扩展性方面已经与389-ds相当，甚至更快，同时具有更丰富的功能集。

FreeIPA是另一个面向Linux/Unix的身份管理服务，它提供了来自LDAP、Kerberos、DNS、证书授权等方面的众多功能。

然而，FreeIPA是一个复杂的系统，具有大量部件和配置。这增加了大量的资源开销，给管理和升级带来了很多困难。

Kanidm旨在拥有FreeIPA的功能丰富性，但无需承担资源和管理的开销。如果您想要一个功能全面但更轻量级且易于管理的IDM包，那么Kanidm可能是您所需要的。在测试中，与3000个用户+1500个组相比，Kanidm的搜索操作速度提高了3倍，修改和添加条目的速度提高了5倍（但您的结果可能会有所不同，但一般来说，Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供者。它允许您在现有的IDM系统中叠加WebAuthn。Keycloak可以作为独立的IDM运行，但通常作为连接到现有LDAP服务器或其他类似服务的组件。

Keycloak需要大量的配置和经验才能部署。它允许对认证工作流程的每个细节进行高度定制，这在许多情况下使其难以开始。

Kanidm不需要Keycloak来提供OAuth2等服务，并且与Keycloak相比，它以更简单和正确的方式集成了许多元素。

Rauthy 是一个最小的 OIDC 提供商。它支持 WebAuthn，就像 Kanidm 一样——它们实际上使用了我们的库来实现这一点！

Rauthy 只提供对 OIDC 的支持，因此无法支持其他用例，如 RADIUS 和 Unix 认证。

如果您需要仅提供 OIDC 的最小提供商，Rauthy 是一个绝佳的选择。如果您需要更多功能，Kanidm 将支持这些功能。

Authentik 是一个用 Python 编写的 IDM 提供商，Authelia 和 Zitadel 是用 Go 编写的。它们在提供的功能上与 Kanidm 类似，但值得注意的是，它们对 Unix 认证的支持较弱，并且不支持与 Kanidm 相同级别的认证策略。值得注意的是，它们都缺少 WebAuthn Attestation。

所有三个都使用外部 SQL 服务器，如 PostgreSQL。与 Kanidm 相比，Kanidm 选择根据自己的企业 LDAP 服务器经验编写高性能数据库和复制系统，这可能会创建一个潜在的单点故障和性能限制。