diff --git a/doc/manual/user-management-de.xml b/doc/manual/user-management-de.xml
index 117d2acccf..e2a1eaec44 100644
--- a/doc/manual/user-management-de.xml
+++ b/doc/manual/user-management-de.xml
@@ -908,24 +908,27 @@
- samba-tool domain passwordsettings set --account-lockout-duration=3
- legt die Anzahl der Minuten fest, die ein Konto gesperrt wird, nachdem zu viele falsche
- Passwörter eingegeben wurden.
+ samba-tool domain passwordsettings set --account-lockout-threshold=5
+ legt fest, wie oft ein Benutzer versuchen kann, sich mit einem falschen Passwort
+ anzumelden, bevor das Konto gesperrt wird.
- samba-tool domain passwordsettings set --account-lockout-threshold=5
- legt fest, wie oft ein Benutzer versuchen kann, sich mit einem falschen Passwort
- anzumelden, bevor das Konto gesperrt wird.
+ samba-tool domain passwordsettings set --account-lockout-duration=3
+ legt die Anzahl der Minuten fest, die ein Konto gesperrt wird, nachdem zu viele falsche
+ Passwörter eingegeben wurden.
samba-tool domain passwordsettings set --reset-account-lockout-after=5
legt die Anzahl der Minuten fest, nach der der Zähler zurückgesetzt wird. Wenn ein Konto automatisch
- entsperrt wird, aber der Zähler nicht zurückgesetzt wird, dann wird das Konto durch ein
- einziges falsches Passwort wieder gesperrt.
+ nach der konfigurierten Aussperrungsdauer entsperrt wird, dann wird der Zähler nicht direkt mit
+ zurückgesetzt, um das Konto noch eine gewisse Zeit unter strikter Beobachtung zu halten.
+ In dem Zeitfenster nach dem Ende der Aussperrung und vor der endgültigen Rücksetzung des Zählers
+ führt ein einziger erneuter Login-Versuch mit einem falschen Passwort direkt wieder zu einer
+ Sperrung des Kontos.
@@ -950,8 +953,10 @@
einem anderen System weiterhin anmelden. Durch Setzen der &ucsUCRV; auth/faillog/lock_global
kann die Sperre auch global erfolgen und wird im LDAP registriert. Die globale Sperrung kann nur auf
&ucsMaster;/Backup-Systemen eingesetzt werden, da andere Systemrollen nicht über die nötigen
- Berechtigungen im LDAP-Verzeichnis verfügen. Auf diesen Systemrollen wird der Benutzer aber lokal gesperrt,
- bzw. über das verwendete Listener-Modul auch wieder entsperrt.
+ Berechtigungen im LDAP-Verzeichnis verfügen.
+ Auf allen Servern der genannten Systemrollen wird die Aussperrung aber automatisch auch lokal umgesetzt
+ bzw. über das verwendete Listener-Modul auch wieder zurückgenommen, abhängig vom aktuellen Aussperrungs-Zustands
+ des Kontos im LDAP-Verzeichnis.
Standardmäßig ist die Sperre über den PAM-Stack unbegrenzt gültig,
diff --git a/doc/manual/user-management-en.xml b/doc/manual/user-management-en.xml
index c5661f7e80..950892e1ba 100644
--- a/doc/manual/user-management-en.xml
+++ b/doc/manual/user-management-en.xml
@@ -852,7 +852,7 @@
Automatic lockout of users after failed login attempts
- As standard, a user can enter her password incorrectly any number of times. To
+ By default, a user can enter her password incorrectly any number of times. To
hinder brute force attacks on passwords, an automatic lockout for user accounts
can be activated after a configured number of failed log-in attempts.
@@ -868,7 +868,7 @@
Samba Active Directory Service
In Samba Active Directory environments, various services are provided by Samba, such as Kerberos.
- To lock users after failed logins, the tool samba-tool can be used.
+ To lockout users after too many failed log-in attempts, the tool samba-tool can be used.
@@ -880,24 +880,26 @@
- samba-tool domain passwordsettings set --account-lockout-duration=3
- specifies the number of minutes an account will be locked after too many incorrect passwords
- have been entered.
+ samba-tool domain passwordsettings set --account-lockout-threshold=5
+ specifies how often a user can attempt to log in with an incorrect password before the account
+ is locked.
- samba-tool domain passwordsettings set --account-lockout-threshold=5
- specifies how often a user can attempt to log in with an incorrect password before the account
- is locked.
+ samba-tool domain passwordsettings set --account-lockout-duration=3
+ specifies the number of minutes an account will be locked after too many incorrect passwords
+ have been entered.
samba-tool domain passwordsettings set --reset-account-lockout-after=5
- defines the number of minutes after which the counter is reset. If an account is automatically
- unlocked, the counter is not reset, the account will be locked again with a single incorrect
- password.
+ defines the number of minutes after which the counter is reset. If an account gets automatically
+ unlocked after the lockout duration, the counter is not reset immediately, to keep the account
+ under strict monitoring for some time. During the time window between the end of the lockout
+ duration and the point when the the counter gets reset, a single attempt to log in with an
+ incorrect password will lock the account immediately again.
@@ -916,29 +918,29 @@
The counter is reset each time the password is entered correctly.
- The lockout is activated locally per system as standard. In other words, if a
+ The lockout is activated locally per system by default. In other words, if a
user enters her password incorrectly too many times on one system, she can
still login on another system. Setting the &ucsUCRV; auth/faillog/lock_global
- will make the lock effective globally and register it in the LDAP. The global
+ will make the lock effective globally and register it in the LDAP directory. The global
lock can only be set on &ucsMaster;/Backup systems as other
system roles do not have the necessary permissions in the LDAP
- directory. On these system roles, the user is, however, locally locked or
- unlocked again via the listener module.
+ directory. On all systems with any of these system roles, the lockout gets automatically activated locally or
+ deactivated again via the listener module, depending on the current lock state in the LDAP directory.
As standard, the lockout is not subject to time limitations and must be reset by
the administrator. However, it can also be reset automatically after a certain
- interval has elapsed. This is done by specifying a time period in seconds
+ time interval has elapsed. This is done by specifying a time period in seconds
in the &ucsUCRV; auth/faillog/unlock_time. If the value is set to 0, the lock is
reset immediately.
- As standard, the root user is excluded from the password lock, but can also be
+ By default, the root user is excluded from the password lock, but can also be
subjected to it by setting the &ucsUCRV; auth/faillog/root to yes.
If accounts are only locked locally, the administrator can unlock a user account by entering the command
- faillog -r -u USERNAME. If the lock occurs globally in the LDAP, the user can be reset
+ faillog -r -u USERNAME. If the lock occurs globally in the LDAP directory, the user can be reset
in Univention Management Console on the tab Account in the user options
Unlock account.