EasyLAPS è uno strumento progettato per ruotare regolarmente la password dell'account amministratore locale su un Mac e conservarla in modo sicuro in una soluzione di Mobile Device Management (MDM) o in una soluzione di gestione delle password. Il suo scopo principale è garantire che ogni Mac nella flotta abbia una password unica, aggiornata regolarmente, accessibile centralmente tramite il servizio di deposito scelto.
EasyLAPS offre due logiche di funzionamento ed è progettato per gestire in modo trasparente un cambiamento tra le due.
Logica #1 — La password è memorizzata in forma criptata nel servizio di deposito e nel Portachiavi EasyLAPS. EasyLAPS utilizza la password memorizzata localmente come password corrente per gestire la rotazione verso quella nuova generata che viene poi scritta nel servizio di deposito. La chiave pubblica utilizzata per la crittografia fa parte del file di configurazione di EasyLAPS. La chiave privata non è presente sul dispositivo e deve essere mantenuta con accesso ristretto. Questa logica è più adatta quando un gran numero di tecnici ha accesso alla console del servizio di deposito e solo coloro che possiedono una copia dell'EasyLAPS-Toolkit con la chiave privata possono rivelare una password ruotata.
Logica #2 — La password è memorizzata in chiaro nel servizio di deposito e non è memorizzata localmente a meno che un'inversione della password fallisca. EasyLAPS legge la password memorizzata nel servizio di deposito e la utilizza come password corrente per gestire la rotazione verso quella nuova generata che viene poi scritta nel servizio di deposito. La logica è più adatta quando un numero ristretto di tecnici ha accesso alla console del servizio di deposito e quindi è in grado di rivelare una password ruotata.
Dopo la prima rotazione riuscita, la nuova password è visibile nel record dell'inventario del dispositivo.
EasyLAPS opera una vera rotazione della password dell'amministratore locale, quindi l'account mantiene il suo stato crittografico. Ciò significa che una volta cambiata la password, l'account è ancora un utente Crypto e proprietario del Volume, in grado di sbloccare il dispositivo, installare aggiornamenti macOS, apportare modifiche alla politica di sicurezza di avvio, avviare un Cancella Tutti i Contenuti e Impostazioni, e altro ancora.
