<div dir="ltr">Hi,<div><br></div><div>I have been trying to change the Kerberos Master Key of my FreeIPA installation, without success.</div><div><br></div><div>On test installations, I have tried following the instructions on <a href="http://web.mit.edu/kerberos/krb5-latest/doc/admin/database.html#updating-the-master-key">http://web.mit.edu/kerberos/krb5-latest/doc/admin/database.html#updating-the-master-key</a>, but from the "kdb5_util update_princ_encryption" step onwards all kdb5_util commands fail with "kdb5_util: No matching key in entry while looking up active master key", and even "kdb5_util list_mkeys" fails to run after that point.</div><div><br></div><div>I found <a href="https://fedorahosted.org/freeipa/ticket/4976">https://fedorahosted.org/freeipa/ticket/4976</a> to document the mechanism to change the Kerberos Master Key. It mentions that "Currently the procedure is very hard and manual", but does not explain what the very hard and manual way to change the key is.</div><div><br></div><div>Is it currently possible to change the Kerberos Master Key? If not, is it okay to have a weak password set as the Kerberos Master Key if I secure access to my FreeIPA server?</div><div><br></div><div><br></div><div>Thanks,</div><div>Nicholas.</div></div>