kpasswd no escucha en el puerto 464

Recientemente realicé una nueva instalación de FreeIPA (VERSIÓN: 4.6.90.pre1+git20180411, API_VERSION: 2.229) en Ubuntu 18.04 LTS. Las credenciales de administrador funcionan bien, puedo iniciar sesión en la aplicación web sin problemas, crear usuarios y la autenticación desde las aplicaciones web del cliente funciona. La autenticación desde máquinas cliente funciona principalmente, pero falla al actualizar su contraseña (incluso después del inicio de sesión inicial cuando se solicita la actualización de la contraseña). El nombre de dominio del servidor está codificado correctamente en /etc/hosts para cada máquina (aún no he configurado DNS) y el firewall está deshabilitado.

Probé kinit en el servidor con un comportamiento similar. La autenticación funciona pero el cambio de contraseña falla:

kinit: No se puede contactar con ningún KDC para el dominio solicitado mientras se obtienen las credenciales iniciales

kpasswd tiene el mismo problema. Seguí el comando y obtuve esto inmediatamente antes del error:

[4730] 1563905746.373700: Sending initial UDP request to dgram 10.66.28.219:464
[4730] 1563905746.373701: Initiating TCP connection to stream 10.66.28.219:464
[4730] 1563905746.373702: Terminating TCP connection to stream 10.66.28.219:464

El puerto 464 no parece responder a nada y nmap no lo detecta. 88 es el único puerto Kerberos que encuentra nmap.

Soy principalmente un novato en kerberos. ¿Tiene sentido que el servicio de cambio de contraseña no se esté ejecutando mientras el servicio de autenticación sí lo está? Tenía entendido que kadmind maneja ambos y parece estar ejecutándose. Intenté jugar con la configuración. Intenté dejar la configuración de kpasswd predeterminada o configurar kpasswd_port en 464 explícitamente en kdc.conf.

[kdcdefaults]
 kdc_ports = 88
 kdc_tcp_ports = 88
 restrict_anonymous_to_tgt = true

[realms]
...
 kpasswd_port = 464
...

¿Alguna idea sobre cuál podría ser la causa o qué debería intentar a continuación? Me he quedado sin ideas.