jenkins をデプロイするための ansible プレイブックがあります。jenkins config.xmljinja2 テンプレート ファイルには、AD 認証用の次のスニペットが含まれています。
<securityRealm class="hudson.plugins.active_directory.ActiveDirectorySecurityRealm" plugin="active-directory@1.39">
<domain>{{ ldap_hostname }}/domain>
<bindName>{{ ldap_bind_user }}</bindName>
<bindPassword>{{ ldap_password }}</bindPassword>
<server>{{ ldap_hostname }}:{{ ldap_port }}</server>
<groupLookupStrategy>RECURSIVE</groupLookupStrategy>
<removeIrrelevantGroups>false</removeIrrelevantGroups>
</securityRealm>
{{ ldap_password }}ボールトからの平文パスワードです。
問題は、config.xml がデプロイされた後に jenkins が起動すると、クリア テキストのパスワードがパスワード ハッシュに置き換えられて書き換えられることです。(異なる仮想マシンでは異なるハッシュを取得するため、ハッシュはターゲット ホストに依存しているようです)。これは一般的には良いことですが、プレイブックを実行するたびに、テンプレート操作が変更されたとマークされます。
この再生スクリプトを冪等にするにはどうすればよいですか?