Thank you Tomas,<br><br>It works perfect.<br><br>My configuration file now looks like this:<br><br>auth        required      pam_env.so<br>auth        required      pam_tally.so onerr=fail per_user deny=3 unlock_time=60<br>
auth        sufficient    pam_unix.so try_first_pass<br>auth        required      pam_deny.so<br><br>account     required      pam_tally.so<br>account     required      pam_unix.so<br>account     sufficient    pam_succeed_if.so uid < 500 quiet<br>
account     required      pam_permit.so<br><br>password    requisite     pam_cracklib.so minlen=7 ucredit=0 lcredit=-1 dcredit=-1 ocredit=0 retry=3<br>password    sufficient    pam_unix.so  use_authtok md5 shadow remember=4<br>
password    required      pam_deny.so<br><br>session     optional      pam_keyinit.so revoke<br>session     required      pam_limits.so<br>session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid<br>
session     required      pam_unix.so<br><br>Thank you again.<br><br>Appreciate your timely reply with proper solution.<br><br>Regards,<br>Vasu<br><br><div class="gmail_quote">On Mon, Jul 14, 2008 at 3:27 PM, Vasudeva R <<a href="mailto:rachamad@gmail.com">rachamad@gmail.com</a>> wrote:<br>
<blockquote class="gmail_quote" style="border-left: 1px solid rgb(204, 204, 204); margin: 0pt 0pt 0pt 0.8ex; padding-left: 1ex;"><b>Bug in pam_tally on Red Hat Enterprise Linux Server release 5.1 (Tikanga).</b><br><br><b>PAM version is: pam-0.99.6.2-3.26.el5</b><br>
<br><b>case 1: </b><br><br>following lines works for RHEL-3 & RHEL-4 version with pam-0.77-66.23 version without any problems but not working for RHEL-5<br>
<br>auth        required      /lib/security/$ISA/pam_tally.so onerr=fail no_magic_root<br>account     required      /lib/security/$ISA/pam_tally.so per_user deny=3 no_magic_root reset<br><br>- faillog counter just updates number of failed password attempts <br>

- never locks the user account, <br>- never clears the faillog counter after successful login attempt<br><br>error messages found on /var/log/secure on RHEL-5<br><br>pam_tally(sshd:account): option per_user allowed in auth phase only<br>

pam_tally(sshd:account): option deny=3 allowed in auth phase only<br>pam_tally(sshd:account): unknown option: no_magic_root<br>pam_tally(sshd:account): unknown option: reset<br><br>sshd[13368]: PAM service(sshd) ignoring max retries; 6 > 3<br>

<br>faillog -a user4<br><br>user4           6        0   07/14/08 15:09:30 -0400<br><br><b>Case 2: </b><br><br>After modifying system-auth file with respect to the above error messages<br><br>auth        required      pam_tally.so onerr=fail per_user deny=3 <br>

account     required      pam_tally.so <br><br>- faillog counter not updating counter for wrong password attempts<br>- nerver locks the user account for wrong passwords<br><br><b>Case 3:</b> <br><br>auth        required      pam_tally.so onerr=fail per_user deny=3 no_magic_root <br>

account     required      pam_tally.so no_magic_root<br><br>error messages found on /var/log/secure on RHEL-5<br><br>pam_tally(sshd:auth): unknown option: no_magic_root<br><br>- faillog counter updates for wrong password attempts<br>

- nerver locks the user account for wrong passwords<br>- never clears the faillog counter after successful login attempt<br><br><b>I do not want to update PAM version on RHEL-5</b><br><br><b>Appreciate if i get reply with bug fix solution.</b><br clear="all">

<br>-- <br>Regards, <br><font color="#888888">Vasudeva R<br><br>
</font></blockquote></div><br><br clear="all"><br><br>