Kanidm 支持

• 用于安全加密身份验证的 Passkeys（WebAuthn）
• 用于高安全环境的认证 passkeys
• OAuth2/OIDC 身份验证提供者，用于网页 SSO
• 应用门户，允许轻松访问链接的应用程序
• 与 TPM 加密的离线身份验证集成的 Linux/Unix 集成
• 将 SSH 密钥分发到 Linux/Unix 系统
• RADIUS 用于网络和 VPN 身份验证
• 仅读 LDAPs 网关用于旧系统
• 完整的 CLI 工具用于管理
• 使用数据库复制实现的双节点高可用性
• 用户自助服务的 WebUI

LLDAP是一个类似的项目，旨在创建一个小型且易于管理的LDAP服务器，具有网络管理门户。这两个项目都使用了Kanidm LDAP绑定，并有许多相似的想法。

与LLDAP相比，Kanidm的主要优势是它提供了一套更广泛的“内置”功能，如OAuth2和OIDC。要从LLDAP使用这些功能，您需要一个外部门户，如Keycloak。然而，这也是LLDAP的优势之一，它提供了“更少”的功能，这可能使管理和发展对您来说更容易。

虽然LLDAP提供了简单的WebUI作为主要用户管理前端，但Kanidm目前仅通过其CLI提供管理功能。Kanidm的WebUI专为用户交互而定制。

如果Kanidm对于您的需求来说过于复杂，那么您应该考虑LLDAP作为较小的替代方案。如果您需要一个具有更广泛功能的开箱即用的项目，那么Kanidm将是一个更好的选择。

如果您需要从LDAP部署中获得最高级别的定制，那么这些可能是更好的替代方案。如果您需要一个易于设置且专注于IDM的服务，那么Kanidm将是一个更好的选择。

Kanidm最初受到了389-ds和OpenLDAP许多元素的影响。已经Kanidm在性能和作为目录服务时的扩展方面与389-ds一样快（或者更快），同时具有更丰富的功能集。

FreeIPA是另一个Linux/Unix的身份管理服务，并包含大量来自LDAP、Kerberos、DNS、证书颁发机构等功能。

然而，FreeIPA是一个复杂的系统，具有大量组件和配置。这增加了大量资源开销，给管理和升级带来了困难。

Kanidm旨在拥有FreeIPA的功能丰富性，但没有资源和管理开销。如果您需要一个完整的IDM软件包，但占用资源更少且易于管理，那么Kanidm可能是您的选择。在测试中，与3000个用户+1500个组相比，Kanidm在搜索操作中快3倍，在条目修改和添加中快5倍（然而，您的结果可能会有所不同，但通常Kanidm比FreeIPA快得多）。

Keycloak是一个OIDC/OAuth2/SAML提供商。它允许您将WebAuthn层叠到现有的IDM系统中。Keycloak可以作为独立的IDM运行，但通常作为连接到现有LDAP服务器或其他类似系统的组件。

Keycloak需要大量的配置和经验才能部署。它允许对认证工作流程的每个细节进行高度定制，这使得在许多情况下很难开始。

Kanidm不需要Keycloak来提供如OAuth2等服务，并且与Keycloak相比，它以更简单和更正确的方式集成了许多元素。

Rauthy是一个最小的OIDC提供商。它支持WebAuthn，就像Kanidm一样 - 他们实际上使用我们的库来实现这一点！

Rauthy仅提供对OIDC的支持，因此无法支持其他用例，如RADIUS和Unix认证。

如果您只需要一个最简单的OIDC提供者，Rauthy是一个非常好的选择。如果您需要更多功能，Kanidm将支持这些功能。

Authentik是一个用Python编写的IDM提供者，Authelia和Zitadel是用Go编写的。它们在提供的功能上都与Kanidm相似，但明显在Unix认证支持方面较弱，并且不支持与Kanidm相同级别的认证策略。值得注意的是，它们都缺少WebAuthn Attestation。

所有三个都使用外部SQL服务器，例如PostgreSQL。与Kanidm相比，Kanidm选择了基于我们在企业LDAP服务器经验的基础上，编写我们自己的高性能数据库和复制系统，这可能会创建一个潜在的单点故障和性能限制。