<div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div dir="ltr" >hello</div>
<div dir="ltr" > </div>
<div dir="ltr" >that really depends on your topology and the high-availability setup of the DUO api</div>
<div dir="ltr" > </div>
<div dir="ltr" >in my case i ip hardcoded all upstream servers and a dynamic dns based upstream into nginx</div>
<div dir="ltr" > </div>
<div dir="ltr" >and as you already mentioned that would ensure always an answer unless the whole upstream infrastructure went offline.</div>
<div dir="ltr" > </div>
<div dir="ltr" >since nginx can do raw tcp, the ldap and tacacs upstreams enjoy a similar config.</div>
<div dir="ltr" > </div>
<div dir="ltr" >you can get similar results with ha-proxy instead of nginx if that is more to your liking</div>
<div dir="ltr" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10.5pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10.5pt" ><div class="socmaildefaultfont" dir="ltr" style="font-family:Arial, Helvetica, sans-serif;font-size:10.5pt" ><div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif;" >Yours sincerely<br><br>Alfred Reibenschuh</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif;" >Network Engineer </span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif;" >(Management & Monitoring Architect)</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif;" ><i><font style="outline: none;" >Unified Communication Services</font></i></span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif;" >Network & Telecommunication AT</span></div>
<div dir="ltr" > </div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif;" >Value Transformation Services GmbH<br>An IBM Company<br>Obere Donaustrasse 95<br>1020 Wien</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif;" >Phone: +43-1-2056320-143<br>Mobile: +43-664-3523820</span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif;" ><u><a href="mailto:Alfred.Reibenschuh_v-tservices@at.ibm.com" >mail: Alfred.Reibenschuh_v-tservices@at.ibm.com</a></u><br>webex: https://ibm.webex.com/meet/alfred.reibenschuh_v-tservices<br><br>Please consider the environment before printing this e-mail.<br><br>This e-mail is confidential and may also contain privileged information. If you are not the intended recipient you are not authorized to read, print, save, process or disclose this message. If you have received this message by mistake, please inform the sender immediately and delete this e-mail, its attachments and any copies.<br>Any use, distribution, reproduction or disclosure by any person other than the intended recipient is strictly prohibited and the person responsible may incur penalties.</span><br> </div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif;" >Thank you!</span></div></div></div></div></div></div></div></div></div></div></div></div></div>
<div dir="ltr" > </div>
<div dir="ltr" > </div>
<blockquote data-history-content-modified="1" dir="ltr" style="border-left:solid #aaaaaa 2px; margin-left:5px; padding-left:5px; direction:ltr; margin-right:0px" >----- Original message -----<br>From: <Alexander.Hartmaier@t-systems.com><br>To: <alfred.reibenschuh_v-tservices@at.ibm.com>, <radiator@lists.open.com.au><br>Cc:<br>Subject: [EXTERNAL] AW: [RADIATOR] AuthBy DUO issue<br>Date: Thu, Aug 19, 2021 12:27<br> <br> <!--Notes ACF
<meta http-equiv="Content-Type" content="text/html; charset=utf8" >--> 
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);" >Hello Alfred,</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);" >how would the reverse proxy help? Just by ensuring that there is always (as long as the reverse proxy works 😉) a response to the https request?</div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);" > </div>
<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0); background-color: rgb(255, 255, 255);" >Thanks, Alex</div>
<div><div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" > </div>
<div id="Signature" ><div><div> </div>
<div name="divtagdefaultwrapper" style="font-family:Calibri,Arial,Helvetica,sans-serif; font-size:; margin:0" ><div><div><font size="2" face="Arial" ><span style="color: rgb(0, 0, 0); font-family: arial; font-size: 8pt;" ><span lang="EN-US" ><strong>T-SYSTEMS AUSTRIA GESMBH</strong></span></span><br><span style="font-size: 8pt; font-family: "Arial", sans-serif; color: black;" lang="EN-US" >PU Cyber Security<br>Network Architecture</span><br><span style="color: rgb(0, 0, 0); font-family: arial; font-size: 8pt;" ><span lang="EN-US" >Operation Manager Authentication<br>Rennweg 97-99, A-1030 Vienna<br>+43 57057 4320 (phone)<br>+43 676 8642 4320 (mobile)</span></span><br><span style="font-family:arial; font-size:8pt" ><span style="color: black;" ><font style="color: rgb(0, 0, 0); font-family: arial;" >E-mail: alexander.hartmaier@t-systems.com</font></span></span><br><span style="font-family:arial; font-size:8pt" ><span style="color: black;" lang="EN-US" ><a tabindex="0" target="_blank" ><font style="" color="000000" >Internet: www.t-systems.at<br>Blog: blog.t-systems.at<br>Social Media: Facebook, Linkedin, Twitter</font></a></span></span><br><br><span style="font-family:arial; font-size:8pt" ><span style="color: black;" lang="EN-US" ><strong style="color: rgb(0, 0, 0);" >BIG CHANGES START SMALL – CONSERVE RESOURCES BY NOT PRINTING EVERY E-MAIL.</strong></span></span><br style="color: rgb(0, 0, 0);" ><br style="color: rgb(0, 0, 0);" ><span style="font-family:arial; font-size:8pt" ><span style="color: black;" lang="EN-US" ><span lang="EN-US" ><span style="font-family:arial" ><span style="color: black;" lang="EN-US" ><span style="color: rgb(0, 0, 0); font-family: arial;" lang="EN-US" ><font size="2" ><font size="2" face="Arial" ><span style="font-family:arial; font-size:8pt" ><span style="color: black;" lang="EN-US" ><span lang="EN-US" ><span style="font-family:arial" ><span style="color: black;" lang="EN-US" ><font face="Arial" >****************************************************************************************************************</font></span></span></span></span></span></font></font></span><br><span>T-Systems Austria GesmbH, Rennweg 97-99, A-1030 Vienna</span><br><span>Commercial Court Vienna, FN 79340b</span><br><font face="Arial" >****************************************************************************************************************<br>Notice: This transmittal and/or attachments may be privileged or confidential. It is<br>intended solely for the addressee named above. If you received this transmittal in error,<br>please notify us immediately by reply and delete this message and all its attachments.<br>Thank you.<br>****************************************************************************************************************</font></span></span></span></span></span></font></div></div></div></div></div></div>
<div id="appendonsend" > </div>
<hr style="display:inline-block;width:98%" tabindex="-1" ><div dir="ltr" id="divRplyFwdMsg" ><font style="font-size:11pt" face="Calibri, sans-serif" color="#000000" ><b>Von:</b> radiator <radiator-bounces@lists.open.com.au> im Auftrag von Alfred Reibenschuh <alfred.reibenschuh_v-tservices@at.ibm.com><br><b>Gesendet:</b> Dienstag, 17. August 2021 11:26<br><b>An:</b> radiator@lists.open.com.au <radiator@lists.open.com.au><br><b>Betreff:</b> Re: [RADIATOR] AuthBy DUO issue</font>
<div> </div></div>
<div><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" >hello</div>
<div dir="ltr" > </div>
<div dir="ltr" >seams like you are facing the same "uncooperative" upstream system issue i have had in the past.</div>
<div dir="ltr" > </div>
<div dir="ltr" >i have had similar problems with radius and other protocols, that radiator</div>
<div dir="ltr" >would mark all upstream servers offline and never recovering.</div>
<div dir="ltr" > </div>
<div dir="ltr" >i did not follow your complete conversation, but iirc DUO is http-based,</div>
<div dir="ltr" >so if your issue is ha-related you could get away with setting <font size="2" face="Default Monospace,Courier New,Courier,monospace" > CheckTimerInterval to 0</font></div>
<div dir="ltr" >and putting a reverse-proxy between radiator and DUO like NGINX</div>
<div dir="ltr" >(the community edition of nginx would be sufficient)</div>
<div dir="ltr" > </div>
<div dir="ltr" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10.5pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10.5pt" ><div dir="ltr" style="font-family:Arial,Helvetica,sans-serif; font-size:10.5pt" ><div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif" >Yours sincerely<br><br>Alfred Reibenschuh</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif" >Network Engineer </span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif" >(Management & Monitoring Architect)</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif" ><i><font style="outline:none" >Unified Communication Services</font></i></span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif" >Network & Telecommunication AT</span></div>
<div dir="ltr" > </div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif" >Value Transformation Services GmbH<br>An IBM Company<br>Obere Donaustrasse 95<br>1020 Wien</span></div>
<div dir="ltr" ><br><span style="font-family:Arial,Helvetica,sans-serif" >Phone: +43-1-2056320-143<br>Mobile: +43-664-3523820</span></div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif" ><u><a href="mailto:Alfred.Reibenschuh_v-tservices@at.ibm.com" target="_blank" >mail: Alfred.Reibenschuh_v-tservices@at.ibm.com</a></u><br>webex: https://ibm.webex.com/meet/alfred.reibenschuh_v-tservices<br><br>Please consider the environment before printing this e-mail.<br><br>This e-mail is confidential and may also contain privileged information. If you are not the intended recipient you are not authorized to read, print, save, process or disclose this message. If you have received this message by mistake, please inform the sender immediately and delete this e-mail, its attachments and any copies.<br>Any use, distribution, reproduction or disclosure by any person other than the intended recipient is strictly prohibited and the person responsible may incur penalties.</span><br> </div>
<div dir="ltr" ><span style="font-family:Arial,Helvetica,sans-serif" >Thank you!</span></div></div></div></div></div></div></div></div></div></div></div></div></div>
<div dir="ltr" > </div>
<div dir="ltr" > </div>
<blockquote dir="ltr" style="border-left:solid #aaaaaa 2px; margin-left:5px; padding-left:5px; direction:ltr; margin-right:0px" ><font size="2" face="Default Monospace,Courier New,Courier,monospace" >Message: 1</font>
<div><font size="2" face="Default Monospace,Courier New,Courier,monospace" >Date: Mon, 16 Aug 2021 16:23:45 +0000<br>From: <Alexander.Hartmaier@t-systems.com><br>To: <hvn@open.com.au>, <radiator@lists.open.com.au><br>Subject: Re: [RADIATOR] AuthBy DUO issue<br>Message-ID:<br><FR2P281MB05961DB02C47793A3557FCE8A5FD9@FR2P281MB0596.DEUP281.PROD.OUTLOOK.COM><br><br>Content-Type: text/plain; charset="windows-1252"<br><br>Hi,<br>that sounds like a sane solution.<br><br>A simpler might be to mark Duo dead for a configurable number of seconds after which it's marked as alive again without a check. The next authentication would then either work or again trigger marking it as dead.<br><br>Thanks, Alex<br><br>T-SYSTEMS AUSTRIA GESMBH<br>PU Cyber Security<br>Network Architecture<br>Operation Manager Authentication<br>Rennweg 97-99, A-1030 Vienna<br>+43 57057 4320 (phone)<br>+43 676 8642 4320 (mobile)<br>E-mail: alexander.hartmaier@t-systems.com<br>Internet: www.t-systems.at<br>Blog: blog.t-systems.at<br>Social Media: Facebook, Linkedin, Twitter<br><br>BIG CHANGES START SMALL ? CONSERVE RESOURCES BY NOT PRINTING EVERY E-MAIL.<br><br>****************************************************************************************************************<br>T-Systems Austria GesmbH, Rennweg 97-99, A-1030 Vienna<br>Commercial Court Vienna, FN 79340b<br>****************************************************************************************************************<br>Notice: This transmittal and/or attachments may be privileged or confidential. It is<br>intended solely for the addressee named above. If you received this transmittal in error,<br>please notify us immediately by reply and delete this message and all its attachments.<br>Thank you.<br>****************************************************************************************************************<br>________________________________<br>Von: radiator <radiator-bounces@lists.open.com.au> im Auftrag von Heikki Vatiainen <hvn@open.com.au><br>Gesendet: Mittwoch, 14. Juli 2021 20:26<br>An: radiator@lists.open.com.au <radiator@lists.open.com.au><br>Betreff: Re: [RADIATOR] AuthBy DUO issue<br><br>On 13.7.2021 18.05, Alexander.Hartmaier@t-systems.com wrote:<br><br>> We've encountered another issue today: when CheckTimerInterval is<br>> configured to 0, to disable the periodic DUO API check which fills our<br>> log and generated unnecessary traffic and load, the API never recovers<br>> when marked as dead.<br><br>That seems to be correct, but likely not expected.<br><br>> Do you have a suggestion how to solve this besides configuring<br>> CheckTimerInterval for something else?<br><br>Currently there is nothing to solve this. A strategy, such as starting<br>the poll timer when the API is down and letting it poll until it's up,<br>would be needed.<br><br>If you have a preferred idea, please let us know.<br><br>Thanks,<br>Heikki<br><br>--<br>Heikki Vatiainen <hvn@open.com.au><br><br>Radiator: the most portable, flexible and configurable RADIUS server<br>anywhere. SQL, proxy, DBM, files, LDAP, TACACS+, PAM, Active Directory,<br>EAP, TLS, TTLS, PEAP, WiMAX, RSA, Vasco, Yubikey, HOTP, TOTP,<br>DIAMETER etc. Full source on Unix, Windows, MacOSX, Solaris, VMS, etc.<br>_______________________________________________</font></div></blockquote></div></div><br> </div></blockquote>
<div dir="ltr" > </div></div><BR>
<BR>