限制用户尝试登录

各位大侠好：

我在/etc/pam.d/system-auth中做了一个限制用户尝试登录次数的配置：
在auth字段的首位加上一句：
auth required pam_tally.so deny=3 unlock_time=300 even_deny_root_accounct no_reset
在 account字段的首位加上
account required pam_tally.so
这几句配置的目的就是登录失败连续三次就拒绝这个账号登录300秒，而且成功登录后计数器不归零只减少（no_reset）,但是我试了好几次
成功登录后都归零了，想请教一下该怎么弄！