FreeIPA에서 더 이상 사용되지 않는 비밀번호를 제거하는 방법은 무엇입니까?

FreeIPA 4.8은 많은 이전 비밀번호를 더 이상 사용하지 않습니다(https://freeipa.org/page/Releases/4.8.0). 그러나 그들은 여전히 ​​​​존재합니다. 예:

# klist -ke /etc/krb5.keytab 
Keytab name: FILE:/etc/krb5.keytab
KVNO Principal
---- --------------------------------------------------------------------------
   1 host/[email protected] (aes256-cts-hmac-sha1-96) 
   1 host/[email protected] (aes128-cts-hmac-sha1-96) 
   1 host/[email protected] (DEPRECATED:des3-cbc-sha1) 
   1 host/[email protected] (DEPRECATED:arcfour-hmac) 
   1 host/[email protected] (camellia128-cts-cmac) 
   1 host/[email protected] (camellia256-cts-cmac) 
   1 nfs/[email protected] (aes256-cts-hmac-sha1-96) 
   1 nfs/[email protected] (aes128-cts-hmac-sha1-96) 
   1 nfs/[email protected] (DEPRECATED:des3-cbc-sha1) 
   1 nfs/[email protected] (DEPRECATED:arcfour-hmac) 

일주일 전에 설정한 호스트(버전 4.9.11 사용)에서도 여전히 더 이상 사용되지 않는 비밀번호를 수신하고 있습니다. 양측이 취약한 비밀번호를 사용하는 데 동의하면 AFAICS가 해당 비밀번호를 사용합니다.

https://bugzilla.redhat.com/show_bug.cgi?id=1499119RHEL8은 일부 시스템 전반의 정책으로 이 문제를 처리할 것을 약속하며, 다른 배포판이나 운영 체제 사용자는 어려움에 처해 있습니다. 및 FreeIPA의 RFE#7256("약하거나 더 이상 사용되지 않는 암호를 비활성화하는 사용자 친화적인 방법",https://pagure.io/freeipa/issue/7256) 오픈한 지 5년이 지났지만 별다른 진전은 없었다.

취약한 비밀번호를 지원하는 새로운 비밀을 생성하지 않도록 FreeIPA에 지시하는 방법이 있습니까?

모든 536개 호스트에서 취약한 비밀번호를 최종적으로 제거하기 위해 권장되는 절차는 무엇입니까? 뭔가 자동이 좋을 것 같아요.