{# 
  FIXME: Le sel est choisi aléatoirement à chaque exécution
  d'Ansible, donc on perd l'idempotence. C'est pas agréable.

  On pourrait vérifier que le hash du mot de passe est le bon,
  mais je pense pas que ça soit trivialement possible avec
  Ansible. Sinon on peut stocker le sel dans notre configuration.

  Remarque: Il existe une commande ansible, assert, qui pourrait
  peut-être permettre de faire ce qu'on souhaite.

  FIXME: Normalement bcrypt "2a" et "2b" sont plus ou moins
  identiques. Ça serait quand même plus simple de pouvoir
  spécifier l'argument "ident" dans password_hash()
  (voir https://github.com/ansible/ansible/pull/21215/files).
#}
{% for name, user in elasticsearch_users.items() %}
{{ name }}:{{
  user.password
    | password_hash("bcrypt")
    | regex_replace("^\$2b\$(.+)$", "$2a$\\1")
}}
{% endfor %}