<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=Windows-1252">
<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>
</head>
<body dir="ltr">
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
Good morning Heikki,</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
awesome support from you as always, thank you!!!</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
<br>
</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
I saw that the connection to Duo is TLS 1.3 in the packet captures I've taken.</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
Will try your suggestion and report back.<br>
</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
<br>
</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);">
Best regards, Alex<br>
</div>
<div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">
<br>
</div>
<div id="Signature">
<div>
<div></div>
<div name="divtagdefaultwrapper" style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:; margin:0">
<div class="BodyFragment"><font size="2" face="Arial">
<div class="PlainText"><span style="color: rgb(0, 0, 0); font-family: arial; font-size: 8pt;"><span lang="EN-US"><strong>T-SYSTEMS AUSTRIA GESMBH<br>
</strong></span></span><b><span style="font-size: 8pt; font-family: "Arial", sans-serif; color: black;" lang="EN-US"></span></b><span style="font-size: 8pt; font-family: "Arial", sans-serif; color: black;" lang="EN-US">PU Cyber Security<br>
Network Architecture</span><span style="color: rgb(0, 0, 0); font-family: arial; font-size: 8pt;"><span lang="EN-US"><br>
Operation Manager Authentication<br>
Rennweg 97-99, A-1030 Vienna<br>
+43 57057 4320 (phone)<br>
+43 676 8642 4320 (mobile)<br>
</span></span><span style="font-family:arial; font-size:8pt"><span style="color: black;"><font style="color: rgb(0, 0, 0); font-family: arial;">E-mail: alexander.hartmaier@t-systems.com</font></span></span><span style="font-family:arial; font-size:8pt"><span class="ms-rteThemeForeColor-5-0"><br>
</span></span><span style="font-family:arial; font-size:8pt"><span style="color: black;" lang="EN-US"><a tabindex="0"><font style="" color="000000">Internet: www.t-systems.at
<br>
Blog: blog.t-systems.at<br>
Social Media: Facebook, Linkedin, Twitter</font><br>
</a><br>
</span></span><span style="font-family:arial; font-size:8pt"><span style="color: black;" lang="EN-US"><strong style="color: rgb(0, 0, 0);">BIG CHANGES START SMALL  CONSERVE RESOURCES BY NOT PRINTING EVERY E-MAIL.</strong><br style="color: rgb(0, 0, 0);">
<span lang="EN-US"><span style="font-family:arial"><span style="color: black;" lang="EN-US"><br style="color: rgb(0, 0, 0);">
<span style="color: rgb(0, 0, 0); font-family: arial;" lang="EN-US"><span></span><span></span></span></span></span></span></span></span><span style="font-family:arial; font-size:8pt"><span style="color: black;" lang="EN-US"><span lang="EN-US"><span style="font-family:arial"><span style="color: black;" lang="EN-US"><span style="color: rgb(0, 0, 0); font-family: arial;" lang="EN-US"><font class="ms-rteThemeForeColor-1-4" size="2"><font size="2" face="Arial"><span style="font-family:arial; font-size:8pt"><span style="color: black;" lang="EN-US"><span lang="EN-US"><span style="font-family:arial"><span style="color: black;" lang="EN-US"><font class="ms-rteThemeForeColor-1-4" face="Arial">****************************************************************************************************************</font></span></span></span></span></span></font></font></span><br class="ms-rteThemeForeColor-1-4">
<span class="ms-rteThemeForeColor-1-4">T-Systems Austria GesmbH, Rennweg 97-99, A-1030 Vienna</span><br class="ms-rteThemeForeColor-1-4">
<span class="ms-rteThemeForeColor-1-4">Commercial Court Vienna, FN 79340b</span><font class="ms-rteThemeForeColor-1-4" face="Arial"><br>
****************************************************************************************************************<br>
Notice: This transmittal and/or attachments may be privileged or confidential. It is
<br>
intended solely for the addressee named above. If you received this transmittal in error,
<br>
please notify us immediately by reply and delete this message and all its attachments.
<br>
Thank you. <br>
****************************************************************************************************************</font><font class="ms-rteThemeForeColor-1-4" face="Arial"><br>
</font></span></span></span></span></span></div>
</font></div>
</div>
</div>
</div>
</div>
<div id="appendonsend"></div>
<hr style="display:inline-block;width:98%" tabindex="-1">
<div id="divRplyFwdMsg" dir="ltr"><font face="Calibri, sans-serif" style="font-size:11pt" color="#000000"><b>Von:</b> radiator <radiator-bounces@lists.open.com.au> im Auftrag von Heikki Vatiainen <hvn@open.com.au><br>
<b>Gesendet:</b> Donnerstag, 27. Mai 2021 18:57<br>
<b>An:</b> radiator@lists.open.com.au <radiator@lists.open.com.au><br>
<b>Betreff:</b> Re: [RADIATOR] AuthBy DUO issue</font>
<div> </div>
</div>
<div class="BodyFragment"><font size="2"><span style="font-size:11pt;">
<div class="PlainText">On 27.5.2021 19.36, Heikki Vatiainen wrote:<br>
> On 27.5.2021 14.58, Alexander.Hartmaier@t-systems.com wrote:<br>
<br>
>> Is this a known issue?<br>
<br>
> As mentioned above, it's not. From what I know it's been used <br>
> successfully on RHEL/CentOS systems and it works for me on Mac.<br>
<br>
The problem might be TLS version related. The above don't do TLSv1.3.<br>
<br>
> I'd say this is something specific for Debian 10 because the problem is <br>
> not that hard to reproduce. This needs further investigation.<br>
<br>
If possible, can you update AuthDUO.pm sub get_ssl_opts() with the <br>
following:<br>
<br>
   $ssl_opts{SSL_version} = 'TLSv1_2';<br>
<br>
This kind of behaviour where TLS socket indicates read but there's no <br>
user data available reminded me about TLS 1.3 and how it can send keys <br>
for session resumption after TLS handshake has been done.<br>
<br>
A look at HTTPS traffic shows that there's both TLS 1.2 and 1.3 by <br>
default. Restricting TLS to 1.2 seems to make the problem go away.<br>
<br>
If you could also check this, please let me know if it changes anything.<br>
<br>
Thanks,<br>
Heikki<br>
<br>
<br>
-- <br>
Heikki Vatiainen <hvn@open.com.au><br>
<br>
Radiator: the most portable, flexible and configurable RADIUS server<br>
anywhere. SQL, proxy, DBM, files, LDAP, TACACS+, PAM, Active Directory,<br>
EAP, TLS, TTLS, PEAP, WiMAX, RSA, Vasco, Yubikey, HOTP, TOTP,<br>
DIAMETER etc. Full source on Unix, Windows, MacOSX, Solaris, VMS, etc.<br>
_______________________________________________<br>
radiator mailing list<br>
radiator@lists.open.com.au<br>
<a href="https://lists.open.com.au/mailman/listinfo/radiator">https://lists.open.com.au/mailman/listinfo/radiator</a><br>
</div>
</span></font></div>
</body>
</html>