loncom/lonnet/perl/lonnet.pm - diff

Return to lonnet.pm CVS log

Up to [LON-CAPA] / loncom / lonnet / perl

Diff for /loncom/lonnet/perl/lonnet.pm between versions 1.1172.2.140.2.3 and 1.1172.2.146.2.8

-version 1.1172.2.140.2.3, 2021/11/09 21:04:30
+version 1.1172.2.146.2.8, 2023/01/16 19:10:08
  Line 95  use Cache::Memcached;
  use Digest::MD5;
  use Math::Random;
  use File::MMagic;
+ use Net::CIDR;
+ use Sys::Hostname::FQDN();
  use LONCAPA qw(:DEFAULT :match);
  use LONCAPA::Configuration;
  use LONCAPA::lonmetadata;
- Line 125  our @EXPORT = qw(%env);
+ Line 127  our @EXPORT = qw(%env);
  	$logid ++;
          my $now = time();
  	my $id=$now.'00000'.$$.'00000'.$logid;
          my $ip = &get_requestor_ip();
          my $logentry = {
                           $id => {
                                    'exe_uname' => $env{'user.name'},
- Line 689  sub check_for_valid_session {
+ Line 691  sub check_for_valid_session {
      if (ref($userhashref) eq 'HASH') {
          $userhashref->{'name'} = $disk_env{'user.name'};
          $userhashref->{'domain'} = $disk_env{'user.domain'};
+         if ($disk_env{'request.role'}) {
+             $userhashref->{'role'} = $disk_env{'request.role'};
+         }
      }
      untie(%disk_env);
- Line 917  sub userload {
+ Line 922  sub userload {
  # ------------------------------ Find server with least workload from spare.tab
  sub spareserver {
-     my ($loadpercent,$userloadpercent,$want_server_name,$udom) = @_;
+     my ($r,$loadpercent,$userloadpercent,$want_server_name,$udom) = @_;
      my $spare_server;
      if ($userloadpercent !~ /\d/) { $userloadpercent=0; }
      my $lowest_load=($loadpercent > $userloadpercent) ? $loadpercent
- Line 962  sub spareserver {
+ Line 967  sub spareserver {
                  if ($protocol{$spare_server} eq 'https') {
                      $protocol = $protocol{$spare_server};
                  }
+                 my $alias = &Apache::lonnet::use_proxy_alias($r,$spare_server);
+                 $hostname = $alias if ($alias ne '');
  	        $spare_server = $protocol.'://'.$hostname;
              }
          }
- Line 1247  sub changepass {
+ Line 1254  sub changepass {
  sub queryauthenticate {
      my ($uname,$udom)=@_;
      my $uhome=&homeserver($uname,$udom);
-     if (!$uhome) {
+     if ((!$uhome) || ($uhome eq 'no_host')) {
  	&logthis("User $uname at $udom is unknown when looking for authentication mechanism");
  	return 'no_host';
      }
- Line 1296  sub authenticate {
+ Line 1303  sub authenticate {
      }
      if ($answer eq 'non_authorized') {
  	&logthis("User $uname at $udom rejected by $uhome");
  	return 'no_host';
      }
      &logthis("User $uname at $udom threw error $answer when checking authentication mechanism");
      return 'no_host';
  }
+ sub can_switchserver {
+     my ($udom,$home) = @_;
+     my ($canswitch,@intdoms);
+     my $internet_names = &get_internet_names($home);
+     if (ref($internet_names) eq 'ARRAY') {
+         @intdoms = @{$internet_names};
+     }
+     my $uint_dom = &internet_dom(&domain($udom,'primary'));
+     if ($uint_dom ne '' && grep(/^\Q$uint_dom\E$/,@intdoms)) {
+         $canswitch = 1;
+     } else {
+          my $serverhomeID = &get_server_homeID(&hostname($home));
+          my $serverhomedom = &host_domain($serverhomeID);
+          my %defdomdefaults = &get_domain_defaults($serverhomedom);
+          my %udomdefaults = &get_domain_defaults($udom);
+          my $remoterev = &get_server_loncaparev('',$home);
+          $canswitch = &can_host_session($udom,$home,$remoterev,
+                                         $udomdefaults{'remotesessions'},
+                                         $defdomdefaults{'hostedsessions'});
+     }
+     return $canswitch;
+ }
  sub can_host_session {
      my ($udom,$lonhost,$remoterev,$remotesessions,$hostedsessions) = @_;
      my $canhost = 1;
- Line 1875  sub dump_dom {
+ Line 1905  sub dump_dom {
  # ------------------------------------------ get items from domain db files
  sub get_dom {
-     my ($namespace,$storearr,$udom,$uhome)=@_;
+     my ($namespace,$storearr,$udom,$uhome,$encrypt)=@_;
      return if ($udom eq 'public');
      my $items='';
      foreach my $item (@$storearr) {
- Line 1902  sub get_dom {
+ Line 1932  sub get_dom {
          if (grep { $_ eq $uhome } &current_machine_ids()) {
              # domain information is hosted on this machine
              $rep = &LONCAPA::Lond::get_dom("getdom:$udom:$namespace:$items");
          } else {
-             $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+             if ($encrypt) {
+                 $rep=&reply("encrypt:egetdom:$udom:$namespace:$items",$uhome);
+             } else {
+                 $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+             }
          }
          my %returnhash;
          if ($rep eq '' || $rep =~ /^error: 2 /) {
- Line 1927  sub get_dom {
+ Line 1961  sub get_dom {
  # -------------------------------------------- put items in domain db files
  sub put_dom {
-     my ($namespace,$storehash,$udom,$uhome)=@_;
+     my ($namespace,$storehash,$udom,$uhome,$encrypt)=@_;
      if (!$udom) {
          $udom=$env{'user.domain'};
          if (defined(&domain($udom,'primary'))) {
- Line 1948  sub put_dom {
+ Line 1982  sub put_dom {
              $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
          }
          $items=~s/\&$//;
-         return &reply("putdom:$udom:$namespace:$items",$uhome);
+         if ($encrypt) {
+             return &reply("encrypt:putdom:$udom:$namespace:$items",$uhome);
+         } else {
+             return &reply("putdom:$udom:$namespace:$items",$uhome);
+         }
      } else {
          &logthis("put_dom failed - no homeserver and/or domain");
      }
- Line 1982  sub del_dom {
+ Line 2020  sub del_dom {
      }
  }
+ sub store_dom {
+     my ($storehash,$id,$namespace,$dom,$home,$encrypt) = @_;
+     $$storehash{'ip'}=&get_requestor_ip();
+     $$storehash{'host'}=$perlvar{'lonHostID'};
+     my $namevalue='';
+     foreach my $key (keys(%{$storehash})) {
+         $namevalue.=&escape($key).'='.&freeze_escape($$storehash{$key}).'&';
+     }
+     $namevalue=~s/\&$//;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         return LONCAPA::Lond::store_dom("storedom:$dom:$namespace:$id:$namevalue");
+     } else {
+         if ($namespace eq 'private') {
+             return 'refused';
+         } elsif ($encrypt) {
+             return reply("encrypt:storedom:$dom:$namespace:$id:$namevalue",$home);
+         } else {
+             return reply("storedom:$dom:$namespace:$id:$namevalue",$home);
+         }
+     }
+ }
+ sub restore_dom {
+     my ($id,$namespace,$dom,$home,$encrypt) = @_;
+     my $answer;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         $answer = LONCAPA::Lond::restore_dom("restoredom:$dom:$namespace:$id");
+     } elsif ($namespace ne 'private') {
+         if ($encrypt) {
+             $answer=&reply("encrypt:restoredom:$dom:$namespace:$id",$home);
+         } else {
+             $answer=&reply("restoredom:$dom:$namespace:$id",$home);
+         }
+     }
+     my %returnhash=();
+     unless (($answer eq '') || ($answer eq 'con_lost') || ($answer eq 'refused') ||
+             ($answer eq 'unknown_cmd') || ($answer eq 'rejected')) {
+         foreach my $line (split(/\&/,$answer)) {
+             my ($name,$value)=split(/\=/,$line);
+             $returnhash{&unescape($name)}=&thaw_unescape($value);
+         }
+         my $version;
+         for ($version=1;$version<=$returnhash{'version'};$version++) {
+             foreach my $item (split(/\:/,$returnhash{$version.':keys'})) {
+                 $returnhash{$item}=$returnhash{$version.':'.$item};
+             }
+         }
+     }
+     return %returnhash;
+ }
  # ----------------------------------construct domainconfig user for a domain
  sub get_domainconfiguser {
      my ($udom) = @_;
- Line 2024  sub retrieve_inst_usertypes {
+ Line 2113  sub retrieve_inst_usertypes {
  sub is_domainimage {
      my ($url) = @_;
-     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo)/+[^/]-) {
+     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo|login)/+[^/]-) {
          if (&domain($1) ne '') {
              return '1';
          }
- Line 2260  sub inst_rulecheck {
+ Line 2349  sub inst_rulecheck {
                      $response=&unescape(&reply('instidrulecheck:'.&escape($udom).
                                                ':'.&escape($id).':'.$rulestr,
                                                $homeserver));
+                 } elsif ($item eq 'unamemap') {
+                     $response=&unescape(&reply('instunamemapcheck:'.
+                                                &escape($udom).':'.&escape($uname).
+                                               ':'.$rulestr,$homeserver));
                  } elsif ($item eq 'selfcreate') {
                      $response=&unescape(&reply('instselfcreatecheck:'.
                                                 &escape($udom).':'.&escape($uname).
- Line 2293  sub inst_userrules {
+ Line 2386  sub inst_userrules {
              } elsif ($check eq 'email') {
                  $response=&reply('instemailrules:'.&escape($udom),
                                   $homeserver);
+             } elsif ($check eq 'unamemap') {
+                 $response=&reply('unamemaprules:'.&escape($udom),
+                                  $homeserver);
              } else {
                  $response=&reply('instuserrules:'.&escape($udom),
                                   $homeserver);
- Line 2339  sub get_domain_defaults {
+ Line 2435  sub get_domain_defaults {
                                    'coursedefaults','usersessions',
                                    'requestauthor','selfenrollment',
                                    'coursecategories','autoenroll',
-                                   'helpsettings'],$domain);
+                                   'helpsettings','wafproxy','ltisec'],$domain);
      my @coursetypes = ('official','unofficial','community','textbook');
      if (ref($domconfig{'defaults'}) eq 'HASH') {
          $domdefaults{'lang_def'} = $domconfig{'defaults'}{'lang_def'};
- Line 2351  sub get_domain_defaults {
+ Line 2447  sub get_domain_defaults {
          $domdefaults{'intauth_cost'} = $domconfig{'defaults'}{'intauth_cost'};
          $domdefaults{'intauth_switch'} = $domconfig{'defaults'}{'intauth_switch'};
          $domdefaults{'intauth_check'} = $domconfig{'defaults'}{'intauth_check'};
+         $domdefaults{'unamemap_rule'} = $domconfig{'defaults'}{'unamemap_rule'};
      } else {
          $domdefaults{'lang_def'} = &domain($domain,'lang_def');
          $domdefaults{'auth_def'} = &domain($domain,'auth_def');
- Line 2387  sub get_domain_defaults {
+ Line 2484  sub get_domain_defaults {
      }
      if (ref($domconfig{'coursedefaults'}) eq 'HASH') {
          $domdefaults{'usejsme'} = $domconfig{'coursedefaults'}{'usejsme'};
+         $domdefaults{'inline_chem'} = $domconfig{'coursedefaults'}{'inline_chem'};
          $domdefaults{'uselcmath'} = $domconfig{'coursedefaults'}{'uselcmath'};
          if (ref($domconfig{'coursedefaults'}{'postsubmit'}) eq 'HASH') {
              $domdefaults{'postsubmit'} = $domconfig{'coursedefaults'}{'postsubmit'}{'client'};
- Line 2420  sub get_domain_defaults {
+ Line 2518  sub get_domain_defaults {
          if ($domconfig{'coursedefaults'}{'texengine'}) {
              $domdefaults{'texengine'} = $domconfig{'coursedefaults'}{'texengine'};
          }
+         if (exists($domconfig{'coursedefaults'}{'ltiauth'})) {
+             $domdefaults{'crsltiauth'} = $domconfig{'coursedefaults'}{'ltiauth'};
+         }
      }
      if (ref($domconfig{'usersessions'}) eq 'HASH') {
          if (ref($domconfig{'usersessions'}{'remote'}) eq 'HASH') {
- Line 2475  sub get_domain_defaults {
+ Line 2576  sub get_domain_defaults {
      }
      if (ref($domconfig{'autoenroll'}) eq 'HASH') {
          $domdefaults{'autofailsafe'} = $domconfig{'autoenroll'}{'autofailsafe'};
+         $domdefaults{'failsafe'} = $domconfig{'autoenroll'}{'failsafe'};
      }
      if (ref($domconfig{'helpsettings'}) eq 'HASH') {
          $domdefaults{'submitbugs'} = $domconfig{'helpsettings'}{'submitbugs'};
- Line 2482  sub get_domain_defaults {
+ Line 2584  sub get_domain_defaults {
              $domdefaults{'adhocroles'} = $domconfig{'helpsettings'}{'adhoc'};
          }
      }
+     if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+         foreach my $item ('ipheader','trusted','vpnint','vpnext','sslopt') {
+             if ($domconfig{'wafproxy'}{$item}) {
+                 $domdefaults{'waf_'.$item} = $domconfig{'wafproxy'}{$item};
+             }
+         }
+     }
+     if (ref($domconfig{'ltisec'}) eq 'HASH') {
+         if (ref($domconfig{'ltisec'}{'encrypt'}) eq 'HASH') {
+             $domdefaults{'linkprotenc_crs'} = $domconfig{'ltisec'}{'encrypt'}{'crs'};
+             $domdefaults{'linkprotenc_dom'} = $domconfig{'ltisec'}{'encrypt'}{'dom'};
+             $domdefaults{'ltienc_consumers'} = $domconfig{'ltisec'}{'encrypt'}{'consumers'};
+         }
+         if (ref($domconfig{'ltisec'}{'private'}) eq 'HASH') {
+             if (ref($domconfig{'ltisec'}{'private'}{'keys'}) eq 'ARRAY') {
+                 $domdefaults{'privhosts'} = $domconfig{'ltisec'}{'private'}{'keys'};
+             }
+         }
+     }
      &do_cache_new('domdefaults',$domain,\%domdefaults,$cachetime);
      return %domdefaults;
  }
- Line 2568  sub get_passwdconf {
+ Line 2689  sub get_passwdconf {
      return %passwdconf;
  }
+ sub course_portal_url {
+     my ($cnum,$cdom,$r) = @_;
+     my $chome = &homeserver($cnum,$cdom);
+     my $hostname = &hostname($chome);
+     my $protocol = $protocol{$chome};
+     $protocol = 'http' if ($protocol ne 'https');
+     my %domdefaults = &get_domain_defaults($cdom);
+     my $firsturl;
+     if ($domdefaults{'portal_def'}) {
+         $firsturl = $domdefaults{'portal_def'};
+     } else {
+         my $alias = &Apache::lonnet::use_proxy_alias($r,$chome);
+         $hostname = $alias if ($alias ne '');
+         $firsturl = $protocol.'://'.$hostname;
+     }
+     return $firsturl;
+ }
  # --------------------------------------------------- Assign a key to a student
  sub assign_access_key {
- Line 3152  sub ssi_body {
+ Line 3291  sub ssi_body {
  # --------------------------------------------------------- Server Side Include
  sub absolute_url {
-     my ($host_name) = @_;
+     my ($host_name,$unalias,$keep_proto) = @_;
      my $protocol = ($ENV{'SERVER_PORT'} == 443?'https://':'http://');
      if ($host_name eq '') {
  	$host_name = $ENV{'SERVER_NAME'};
      }
+     if ($unalias) {
+         my $alias = &get_proxy_alias();
+         if ($alias eq $host_name) {
+             my $lonhost = $perlvar{'lonHostID'};
+             my $hostname = &hostname($lonhost);
+             my $lcproto;
+             if (($keep_proto) || ($hostname eq '')) {
+                 $lcproto = $protocol;
+             } else {
+                 $lcproto = $protocol{$lonhost};
+                 $lcproto = 'http' if ($lcproto ne 'https');
+                 $lcproto .= '://';
+             }
+             unless ($hostname eq '') {
+                 return $lcproto.$hostname;
+             }
+         }
+     }
      return $protocol.$host_name;
  }
- Line 3173  sub absolute_url {
+ Line 3330  sub absolute_url {
  sub ssi {
      my ($fn,%form)=@_;
-     my ($request,$response);
+     my ($host,$request,$response);
+     $host = &absolute_url('',1);
      $form{'no_update_last_known'}=1;
      &Apache::lonenc::check_encrypt(\$fn);
      if (%form) {
-       $request=new HTTP::Request('POST',&absolute_url().$fn);
+       $request=new HTTP::Request('POST',$host.$fn);
        $request->content(join('&',map {
              my $name = escape($_);
              "$name=" . ( ref($form{$_}) eq 'ARRAY'
- Line 3186  sub ssi {
+ Line 3344  sub ssi {
              : &escape($form{$_}) );
          } keys(%form)));
      } else {
-       $request=new HTTP::Request('GET',&absolute_url().$fn);
+       $request=new HTTP::Request('GET',$host.$fn);
      }
      $request->header(Cookie => $ENV{'HTTP_COOKIE'});
- Line 3455  sub can_edit_resource {
+ Line 3613  sub can_edit_resource {
                              $cfile =  '/adm/wrapper'.$resurl;
                          }
                      }
+                 } elsif ($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                     $incourse = 1;
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                     $cfile = $resurl;
                  } elsif ($resurl =~ m{^/?adm/viewclasslist$}) {
                      $incourse = 1;
                      if ($env{'form.forceedit'}) {
- Line 3479  sub can_edit_resource {
+ Line 3645  sub can_edit_resource {
                      $forceedit = 1;
                  }
                  $cfile = $resurl;
+             } elsif (($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) && ($env{'form.folderpath'} =~ /^supplemental/)) {
+                 $incourse = 1;
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = $resurl;
              } elsif (($resurl eq '/adm/extresedit') && ($symb || $env{'form.folderpath'})) {
                  $incourse = 1;
                  $forceview = 1;
- Line 3488  sub can_edit_resource {
+ Line 3662  sub can_edit_resource {
                      $cfile = &clutter($res);
                  } else {
                      $cfile = $env{'form.suppurl'};
-                     $cfile =~ s{^http://}{};
+                     my $escfile = &unescape($cfile);
-                     $cfile = '/adm/wrapper/ext/'.$cfile;
+                     if ($escfile =~ m{^/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                         $cfile = '/adm/wrapper'.$escfile;
+                     } else {
+                         $escfile =~ s{^http://}{};
+                         $cfile = &escape("/adm/wrapper/ext/$escfile");
+                     }
                  }
              } elsif ($resurl =~ m{^/?adm/viewclasslist$}) {
                  if ($env{'form.forceedit'}) {
- Line 4297  sub bubblesheet_converter {
+ Line 4476  sub bubblesheet_converter {
                      next if (($num == 1) && ($csvoptions{'hdr'} == 1));
                      $line =~ s{[\r\n]+$}{};
                      my %found;
-                     my @values = split(/,/,$line);
+                     my @values = split(/,/,$line,-1);
                      my ($qstart,$record);
                      for (my $i=0; $i<@values; $i++) {
                          if ((($qstart ne '') && ($i > $qstart)) ||
- Line 4480  sub get_scantronformat_file {
+ Line 4659  sub get_scantronformat_file {
                  close($fh);
              }
          }
+         chomp(@lines);
      }
      return @lines;
  }
- Line 4601  sub flushcourselogs {
+ Line 4781  sub flushcourselogs {
              if (! defined($dom) || $dom eq '' ||
                  ! defined($name) || $name eq '') {
                  my $cid = $env{'request.course.id'};
+ #
+ # FIXME 11/29/2021
+ # Typo in rev. 1.458 (2003/12/09)??
+ # These should likely by $env{'course.'.$cid.'.domain'} and $env{'course.'.$cid.'.num'}
+ #
+ # While these ramain as  $env{'request.'.$cid.'.domain'} and $env{'request.'.$cid.'.num'}
+ # $dom and $name will always be null, so the &inc() call will default to storing this data
+ # in a nohist_accesscount.db file for the user rather than the course.
+ #
+ # That said there is a lot of noise in the data being stored.
+ # So counts for prtspool/  and adm/ etc. are recorded.
+ #
+ # A review of which items ending '___count' are written to %accesshash should likely be
+ # made before deciding whether to set these to 'course.' instead of 'request.'
+ #
+ # Under the current scheme each user receives a nohist_accesscount.db file listing
+ # accesses for things which are not published resources, regardless of course, and
+ # there is not a nohist_accesscount.db file in a course, which might log accesses from
+ # anyone in the course for things which are not published resources.
+ #
+ # For an author, nohist_accesscount.db ends up having records for other items
+ # mixed up with the legitimate access counts for the author's published resources.
+ #
                  $dom  = $env{'request.'.$cid.'.domain'};
                  $name = $env{'request.'.$cid.'.num'};
              }
- Line 6474  sub course_adhocrole_privs {
+ Line 6677  sub course_adhocrole_privs {
              $full{$priv} = $restrict;
          }
          foreach my $item (split(/,/,$overrides{"internal.adhocpriv.$rolename"})) {
-              next if ($item eq '');
+             next if ($item eq '');
-              my ($rule,$rest) = split(/=/,$item);
+             my ($rule,$rest) = split(/=/,$item);
-              next unless (($rule eq 'off') || ($rule eq 'on'));
+             next unless (($rule eq 'off') || ($rule eq 'on'));
-              foreach my $priv (split(/:/,$rest)) {
+             foreach my $priv (split(/:/,$rest)) {
-                  if ($priv ne '') {
+                 if ($priv ne '') {
-                      if ($rule eq 'off') {
+                     if ($rule eq 'off') {
-                          $possremove{$priv} = 1;
+                         $possremove{$priv} = 1;
-                      } else {
+                     } else {
-                          $possadd{$priv} = 1;
+                         $possadd{$priv} = 1;
-                      }
+                     }
-                  }
+                 }
-              }
+             }
-          }
+         }
-          foreach my $priv (sort(keys(%full))) {
+         foreach my $priv (sort(keys(%full))) {
-              if (exists($currprivs{$priv})) {
+             if (exists($currprivs{$priv})) {
-                  unless (exists($possremove{$priv})) {
+                 unless (exists($possremove{$priv})) {
-                      $storeprivs{$priv} = $currprivs{$priv};
+                     $storeprivs{$priv} = $currprivs{$priv};
-                  }
+                 }
-              } elsif (exists($possadd{$priv})) {
+             } elsif (exists($possadd{$priv})) {
-                  $storeprivs{$priv} = $full{$priv};
+                 $storeprivs{$priv} = $full{$priv};
-              }
+             }
-          }
+         }
-          $coursepriv = ':'.join(':',map { $_.'&'.$storeprivs{$_}; } sort(keys(%storeprivs)));
+         $coursepriv = ':'.join(':',map { $_.'&'.$storeprivs{$_}; } sort(keys(%storeprivs)));
-      }
+     }
-      return $coursepriv;
+     return $coursepriv;
  }
  sub group_roleprivs {
- Line 6762  sub set_adhoc_privileges {
+ Line 6965  sub set_adhoc_privileges {
      my ($author,$adv,$rar)= &set_userprivs(\%userroles,\%rolehash);
      &appenv(\%userroles,[$role,'cm']);
      &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},"Role ".$spec);
-     unless ($caller eq 'constructaccess' && $env{'request.course.id'}) {
+     unless (($caller eq 'constructaccess' && $env{'request.course.id'}) ||
+             ($caller eq 'tiny')) {
          &appenv( {'request.role'        => $spec,
                    'request.role.domain' => $dcdom,
                    'request.course.sec'  => $sec,
- Line 6837  sub unserialize {
+ Line 7041  sub unserialize {
  # see Lond::dump_with_regexp
  # if $escapedkeys hash keys won't get unescaped.
  sub dump {
-     my ($namespace,$udomain,$uname,$regexp,$range,$escapedkeys)=@_;
+     my ($namespace,$udomain,$uname,$regexp,$range,$escapedkeys,$encrypt)=@_;
      if (!$udomain) { $udomain=$env{'user.domain'}; }
      if (!$uname) { $uname=$env{'user.name'}; }
      my $uhome=&homeserver($uname,$udomain);
- Line 6853  sub dump {
+ Line 7057  sub dump {
                      $uname, $namespace, $regexp, $range)), $perlvar{'lonVersion'});
          return %{&unserialize($reply, $escapedkeys)};
      }
-     my $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     my $rep;
+     if ($encrypt) {
+         $rep=&reply("encrypt:edump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     } else {
+         $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     }
      my @pairs=split(/\&/,$rep);
      my %returnhash=();
      if (!($rep =~ /^error/ )) {
- Line 6999  sub inc {
+ Line 7208  sub inc {
  # --------------------------------------------------------------- put interface
  sub put {
-    my ($namespace,$storehash,$udomain,$uname)=@_;
+    my ($namespace,$storehash,$udomain,$uname,$encrypt)=@_;
     if (!$udomain) { $udomain=$env{'user.domain'}; }
     if (!$uname) { $uname=$env{'user.name'}; }
     my $uhome=&homeserver($uname,$udomain);
- Line 7008  sub put {
+ Line 7217  sub put {
         $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
     }
     $items=~s/\&$//;
-    return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    if ($encrypt) {
+        return &reply("encrypt:put:$udomain:$uname:$namespace:$items",$uhome);
+    } else {
+        return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    }
  }
  # ------------------------------------------------------------ newput interface
- Line 7273  sub portfolio_access {
+ Line 7486  sub portfolio_access {
      if ($result) {
          my %setters;
          if ($env{'user.name'} eq 'public' && $env{'user.domain'} eq 'public') {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-                 &Apache::loncommon::blockcheck(\%setters,'port',$unum,$udom);
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip,$unum,$udom);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip))  {
                  return 'B';
              }
          } else {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdo) =
-                 &Apache::loncommon::blockcheck(\%setters,'port');
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip)) {
                  return 'B';
              }
          }
- Line 7545  sub usertools_access {
+ Line 7758  sub usertools_access {
                        blog      => 1,
                        webdav    => 1,
                        portfolio => 1,
+                       timezone  => 1,
                   );
      }
      return if (!defined($tools{$tool}));
- Line 7830  sub customaccess {
+ Line 8044  sub customaccess {
  # ------------------------------------------------- Check for a user privilege
  sub allowed {
-     my ($priv,$uri,$symb,$role,$clientip,$noblockcheck,$ignorecache)=@_;
+     my ($priv,$uri,$symb,$role,$clientip,$noblockcheck,$ignorecache,$nodeeplinkcheck,$nodeeplinkout)=@_;
      my $ver_orguri=$uri;
      $uri=&deversion($uri);
      my $orguri=$uri;
      $uri=&declutter($uri);
      if ($priv eq 'evb') {
- # Evade communication block restrictions for specified role in a course
+ # Evade communication block restrictions for specified role in a course or domain
          if ($env{'user.priv.'.$role} =~/evb\&([^\:]*)/) {
              return $1;
          } else {
- Line 7847  sub allowed {
+ Line 8061  sub allowed {
      if (defined($env{'allowed.'.$priv})) { return $env{'allowed.'.$priv}; }
  # Free bre access to adm and meta resources
-     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard|viewclasslist|aboutme)$}))
+     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard|viewclasslist|aboutme|ext\.tool)$}))
  	 || (($uri=~/\.meta$/) && ($uri!~m|^uploaded/|) ))
  	&& ($priv eq 'bre')) {
  	return 'F';
- Line 7858  sub allowed {
+ Line 8072  sub allowed {
      if (($space=~/^(uploaded|editupload)$/) && ($env{'user.name'} eq $name) &&
  	($env{'user.domain'} eq $domain) && ('portfolio' eq $dir[0])) {
          my %setters;
-         my ($startblock,$endblock) =
+         my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-             &Apache::loncommon::blockcheck(\%setters,'port');
+             &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-         if ($startblock && $endblock) {
+         if (($startblock && $endblock) || ($by_ip)) {
              return 'B';
          } else {
              return 'F';
- Line 7895  sub allowed {
+ Line 8109  sub allowed {
  # Free bre to public access
      if ($priv eq 'bre') {
-         my $copyright=&metadata($uri,'copyright');
+         my $copyright;
+         unless ($uri =~ /ext\.tool/) {
+             $copyright=&metadata($uri,'copyright');
+         }
  	if (($copyright eq 'public') && (!$env{'request.course.id'})) {
             return 'F';
          }
- Line 7953  sub allowed {
+ Line 8170  sub allowed {
                          my $adom = $1;
                          foreach my $key (keys(%env)) {
                              if ($key =~ m{^user\.role\.(ca|aa)/\Q$adom\E}) {
-                                 my ($start,$end) = split('.',$env{$key});
+                                 my ($start,$end) = split(/\./,$env{$key});
-                                 if (($now >= $start) && (!$end || $end < $now)) {
+                                 if (($now >= $start) && (!$end || $end > $now)) {
                                      $ownaccess = 1;
                                      last;
                                  }
- Line 7966  sub allowed {
+ Line 8183  sub allowed {
                          foreach my $role ('ca','aa') {
                              if ($env{"user.role.$role./$adom/$aname"}) {
                                  my ($start,$end) =
-                                     split('.',$env{"user.role.$role./$adom/$aname"});
+                                     split(/\./,$env{"user.role.$role./$adom/$aname"});
-                                 if (($now >= $start) && (!$end || $end < $now)) {
+                                 if (($now >= $start) && (!$end || $end > $now)) {
                                      $ownaccess = 1;
                                      last;
                                  }
- Line 8052  sub allowed {
+ Line 8269  sub allowed {
              if ($env{'user.priv.'.$env{'request.role'}.'./'}
                    =~/\Q$priv\E\&([^\:]*)/) {
                  my $value = $1;
-                 if ($noblockcheck) {
+                 my $deeplinkblock;
+                 unless ($nodeeplinkcheck) {
+                     $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                 }
+                 if ($deeplinkblock) {
+                     $thisallowed='D';
+                 } elsif ($noblockcheck) {
                      $thisallowed.=$value;
                  } else {
                      my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
- Line 8072  sub allowed {
+ Line 8295  sub allowed {
                      $refuri=&declutter($refuri);
                      my ($match) = &is_on_map($refuri);
                      if ($match) {
-                         if ($noblockcheck) {
+                         my $deeplinkblock;
+                         unless ($nodeeplinkcheck) {
+                             $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                         }
+                         if ($deeplinkblock) {
+                             $thisallowed='D';
+                         } elsif ($noblockcheck) {
                              $thisallowed='F';
                          } else {
                              my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
- Line 8145  sub allowed {
+ Line 8374  sub allowed {
                 =~/\Q$priv\E\&([^\:]*)/) {
                 my $value = $1;
                 if ($priv eq 'bre') {
-                    if ($noblockcheck) {
+                    my $deeplinkblock;
+                    unless ($nodeeplinkcheck) {
+                        $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                    }
+                    if ($deeplinkblock) {
+                        $thisallowed = 'D';
+                    } elsif ($noblockcheck) {
                         $thisallowed.=$value;
                     } else {
                         my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
- Line 8187  sub allowed {
+ Line 8422  sub allowed {
                    =~/\Q$priv\E\&([^\:]*)/) {
                    my $value = $1;
                    if ($priv eq 'bre') {
-                       if ($noblockcheck) {
+                       my $deeplinkblock;
+                       unless ($nodeeplinkcheck) {
+                           $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                       }
+                       if ($deeplinkblock) {
+                           $thisallowed = 'D';
+                       } elsif ($noblockcheck) {
                            $thisallowed.=$value;
                        } else {
                            my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
- Line 8232  sub allowed {
+ Line 8473  sub allowed {
  #
  # Possibly locked functionality, check all courses
+ # In roles.tab, L (unless locked) available for bre, pch, plc, pac and sma.
  # Locks might take effect only after 10 minutes cache expiration for other
- # courses, and 2 minutes for current course
+ # courses, and 2 minutes for current course, in which user has st or ta role
+ # which is neither expired nor a future role (unless current course).
-     my $envkey;
+     my ($needlockcheck,$now,$crsonly);
      if ($thisallowed=~/L/) {
-         foreach $envkey (keys(%env)) {
+         $now = time;
+         if ($priv eq 'bre') {
+             if ($uri ne '') {
+                 if ($orguri =~ m{^/+res/}) {
+                     if ($uri =~ m{^lib/templates/}) {
+                         if ($env{'request.course.id'}) {
+                             $crsonly = 1;
+                             $needlockcheck = 1;
+                         }
+                     } else {
+                         $needlockcheck = 1;
+                     }
+                 } elsif ($env{'request.course.id'}) {
+                     my ($crsdom,$crsnum) = split('_',$env{'request.course.id'});
+                     if (($uri =~ m{^(adm|uploaded|public)/$crsdom/$crsnum/}) ||
+                         ($uri =~ m{^adm/$match_domain/$match_username/\d+/(smppg|bulletinboard)$})) {
+                         $crsonly = 1;
+                     }
+                     $needlockcheck = 1;
+                 }
+             }
+         } elsif (($priv eq 'pch') || ($priv eq 'plc') || ($priv eq 'pac') || ($priv eq 'sma')) {
+             $needlockcheck = 1;
+         }
+     }
+     if ($needlockcheck) {
+         foreach my $envkey (keys(%env)) {
             if ($envkey=~/^user\.role\.(st|ta)\.([^\.]*)/) {
                 my $courseid=$2;
                 my $roleid=$1.'.'.$2;
                 $courseid=~s/^\///;
+                unless ($env{'request.role'} eq $roleid) {
+                    my ($start,$end) = split(/\./,$env{$envkey});
+                    next unless (($now >= $start) && (!$end || $end > $now));
+                }
                 my $expiretime=600;
                 if ($env{'request.role'} eq $roleid) {
  		  $expiretime=120;
- Line 8264  sub allowed {
+ Line 8537  sub allowed {
                 }
                 if (($env{$prefix.'priv.'.$priv.'.lock.sections'}=~/\,\Q$csec\E\,/)
                  || ($env{$prefix.'priv.'.$priv.'.lock.sections'} eq 'all')) {
- 		   if ($env{'priv.'.$priv.'.lock.expire'}>time) {
+ 		   if ($env{$prefix.'priv.'.$priv.'.lock.expire'}>time) {
                         &log($env{'user.domain'},$env{'user.name'},
                              $env{'user.home'},
                              'Locked by priv: '.$priv.' for '.$uri.' due to '.
- Line 8335  sub allowed {
+ Line 8608  sub allowed {
         }
     }
+ # Restricted for deeplinked session?
+     if ($env{'request.deeplink.login'}) {
+         if ($env{'acc.deeplinkout'} && !$nodeeplinkout) {
+             if (!$symb) { $symb=&symbread($uri,1); }
+             if (($symb) && ($env{'acc.deeplinkout'}=~/\&\Q$symb\E\&/)) {
+                 return '';
+             }
+         }
+     }
  # Restricted by state or randomout?
     if ($thisallowed=~/X/) {
- Line 8355  sub allowed {
+ Line 8639  sub allowed {
  	return 'A';
      } elsif ($thisallowed eq 'B') {
          return 'B';
+     } elsif ($thisallowed eq 'D') {
+         return 'D';
      }
     return 'F';
  }
- Line 8672  sub has_comm_blocking {
+ Line 8958  sub has_comm_blocking {
  }
  }
+ sub deeplink_check {
+     my ($priv,$symb,$uri) = @_;
+     return unless ($env{'request.course.id'});
+     return unless ($priv eq 'bre');
+     return if ($env{'request.state'} eq 'construct');
+     return if ($env{'request.role.adv'});
+     my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+     my (%possibles,@symbs);
+     if (!$symb) {
+         $symb = &symbread($uri,1,1,1,\%possibles);
+     }
+     if ($symb) {
+         @symbs = ($symb);
+     } elsif (keys(%possibles)) {
+         @symbs = keys(%possibles);
+     }
+     my ($deeplink_symb,$allow);
+     if ($env{'request.deeplink.login'}) {
+         $deeplink_symb = &Apache::loncommon::deeplink_login_symb($cnum,$cdom);
+     }
+     foreach my $symb (@symbs) {
+         last if ($allow);
+         my $deeplink = &EXT("resource.0.deeplink",$symb);
+         if ($deeplink eq '') {
+             $allow = 1;
+         } else {
+             my ($state,$others,$listed,$scope,$protect) = split(/,/,$deeplink);
+             if ($state ne 'only') {
+                 $allow = 1;
+             } else {
+                 my $check_deeplink_entry;
+                 if ($protect ne 'none') {
+                     my ($acctype,$item) = split(/:/,$protect);
+                     if (($acctype eq 'ltic') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ec$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1
+                         }
+                     } elsif (($acctype eq 'ltid') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ed$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     } elsif (($acctype eq 'key') && ($env{'user.deeplinkkey'})) {
+                         if (grep(/^\Q$item\E$/,split(/,/,$env{'user.deeplinkkey'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     }
+                 }
+                 if (($protect eq 'none') || ($check_deeplink_entry)) {
+                     if ($scope eq 'res') {
+                         if ($symb eq $deeplink_symb) {
+                             $allow = 1;
+                         }
+                     } elsif (($scope eq 'map') || ($scope eq 'rec')) {
+                         my ($map_from_symb,$map_from_login);
+                         $map_from_symb = &deversion((&decode_symb($symb))[0]);
+                         if ($deeplink_symb =~ /\.(page|sequence)$/) {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[2]);
+                         } else {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[0]);
+                         }
+                         if (($map_from_symb) && ($map_from_login)) {
+                             if ($map_from_symb eq $map_from_login) {
+                                 $allow = 1;
+                             } elsif ($scope eq 'rec') {
+                                 my @recurseup = &get_map_hierarchy($map_from_symb,$env{'request.course.id'});
+                                 if (grep(/^\Q$map_from_login\E$/,@recurseup)) {
+                                     $allow = 1;
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return if ($allow);
+     return 1;
+ }
  # -------------------------------- Deversion and split uri into path an filename
  #
- Line 9066  sub auto_validate_instcode {
+ Line 9433  sub auto_validate_instcode {
      return ($outcome,$description,$defaultcredits);
  }
+ sub auto_validate_inst_crosslist {
+     my ($cnum,$cdom,$instcode,$inst_xlist,$coowner) = @_;
+     my ($homeserver,$response);
+     if (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/)) {
+         $homeserver = &homeserver($cnum,$cdom);
+     }
+     if (!defined($homeserver)) {
+         if ($cdom =~ /^$match_domain$/) {
+             $homeserver = &domain($cdom,'primary');
+         }
+     }
+     unless (($homeserver eq '') || ($homeserver eq 'no_host')) {
+         $response=&reply('autovalidateinstcrosslist:'.$cdom.':'.
+                          &escape($instcode).':'.&escape($inst_xlist).':'.
+                          &escape($coowner),$homeserver);
+     }
+     return $response;
+ }
  sub auto_create_password {
      my ($cnum,$cdom,$authparam,$udom) = @_;
      my ($homeserver,$response);
- Line 9337  sub auto_validate_class_sec {
+ Line 9723  sub auto_validate_class_sec {
      return $response;
  }
+ sub auto_instsec_reformat {
+     my ($cdom,$action,$instsecref) = @_;
+     return unless(($action eq 'clutter') || ($action eq 'declutter'));
+     my @homeservers;
+     if (defined(&domain($cdom,'primary'))) {
+         push(@homeservers,&domain($cdom,'primary'));
+     } else {
+         my %servers = &get_servers($cdom,'library');
+         foreach my $tryserver (keys(%servers)) {
+             if (!grep(/^\Q$tryserver\E$/,@homeservers)) {
+                 push(@homeservers,$tryserver);
+             }
+         }
+     }
+     my $response;
+     my %reformatted = %{$instsecref};
+     foreach my $server (@homeservers) {
+         if (ref($instsecref) eq 'HASH') {
+             my $info = &freeze_escape($instsecref);
+             my $response=&reply('autoinstsecreformat:'.$cdom.':'.
+                                 $action.':'.$info,$server);
+             next if ($response =~ /(con_lost|error|no_such_host|refused|unknown_command)/);
+             my @items = split(/&/,$response);
+             foreach my $item (@items) {
+                 my ($key,$value) = split(/=/,$item);
+                 $reformatted{&unescape($key)} = &thaw_unescape($value);
+             }
+         }
+     }
+     return %reformatted;
+ }
  sub auto_validate_instclasses {
      my ($cdom,$cnum,$owners,$classesref) = @_;
      my ($homeserver,%validations);
- Line 9881  sub autoupdate_coowners {
+ Line 10299  sub autoupdate_coowners {
          if ($domdesign{$cdom.'.autoassign.co-owners'}) {
              my %coursehash = &coursedescription($cdom.'_'.$cnum);
              my $instcode = $coursehash{'internal.coursecode'};
+             my $xlists = $coursehash{'internal.crosslistings'};
              if ($instcode ne '') {
                  if (($start && $start <= $now) && ($end == 0) || ($end > $now)) {
                      unless ($coursehash{'internal.courseowner'} eq $uname.':'.$udom) {
                          my ($delcoowners,@newcoowners,$putresult,$delresult,$coowners);
                          my ($result,$desc) = &auto_validate_instcode($cnum,$cdom,$instcode,$uname.':'.$udom);
+                         unless ($result eq 'valid') {
+                             if ($xlists ne '') {
+                                 foreach my $xlist (split(',',$xlists)) {
+                                     my ($inst_crosslist,$lcsec) = split(':',$xlist);
+                                     $result =
+                                         &auto_validate_inst_crosslist($cnum,$cdom,$instcode,
+                                                                       $inst_crosslist,$uname.':'.$udom);
+                                     last if ($result eq 'valid');
+                                 }
+                             }
+                         }
                          if ($result eq 'valid') {
                              if ($coursehash{'internal.co-owners'}) {
                                  foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
- Line 9898  sub autoupdate_coowners {
+ Line 10328  sub autoupdate_coowners {
                              } else {
                                  push(@newcoowners,$uname.':'.$udom);
                              }
-                         } else {
+                         } elsif ($coursehash{'internal.co-owners'}) {
-                             if ($coursehash{'internal.co-owners'}) {
+                             foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
-                                 foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
+                                 unless ($coowner eq $uname.':'.$udom) {
-                                     unless ($coowner eq $uname.':'.$udom) {
+                                     push(@newcoowners,$coowner);
-                                         push(@newcoowners,$coowner);
-                                     }
-                                 }
-                                 unless (@newcoowners > 0) {
-                                     $delcoowners = 1;
-                                     $coowners = '';
                                  }
                              }
+                             unless (@newcoowners > 0) {
+                                 $delcoowners = 1;
+                                 $coowners = '';
+                             }
                          }
                          if (@newcoowners || $delcoowners) {
                              &store_coowners($cdom,$cnum,$coursehash{'home'},
- Line 10315  sub writecoursepref {
+ Line 10743  sub writecoursepref {
  sub createcourse {
      my ($udom,$description,$url,$course_server,$nonstandard,$inst_code,
-         $course_owner,$crstype,$cnum,$context,$category)=@_;
+         $course_owner,$crstype,$cnum,$context,$category,$callercontext)=@_;
      $url=&declutter($url);
      my $cid='';
      if ($context eq 'requestcourses') {
          my $can_create = 0;
          my ($ownername,$ownerdom) = split(':',$course_owner);
          if ($udom eq $ownerdom) {
-             if (&usertools_access($ownername,$ownerdom,$category,undef,
+             my $reload;
+             if (($callercontext eq 'auto') &&
+                ($ownerdom eq $env{'user.domain'}) && ($ownername eq $env{'user.name'})) {
+                 $reload = 'reload';
+             }
+             if (&usertools_access($ownername,$ownerdom,$category,$reload,
                                    $context)) {
                  $can_create = 1;
              }
- Line 11357  sub resdata {
+ Line 11790  sub resdata {
      return undef;
  }
+ sub get_domain_lti {
+     my ($cdom,$context) = @_;
+     my ($name,$cachename,%lti);
+     if ($context eq 'consumer') {
+         $name = 'ltitools';
+     } elsif ($context eq 'provider') {
+         $name = 'lti';
+     } elsif ($context eq 'linkprot') {
+         $name = 'ltisec';
+     } else {
+         return %lti;
+     }
+     if ($context eq 'linkprot') {
+         $cachename = $context;
+     } else {
+         $cachename = $name;
+     }
+     my ($result,$cached)=&is_cached_new($cachename,$cdom);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %lti = %{$result};
+         }
+     } else {
+         my %domconfig = &get_dom('configuration',[$name],$cdom);
+         if (ref($domconfig{$name}) eq 'HASH') {
+             if ($context eq 'linkprot') {
+                 if (ref($domconfig{$name}{'linkprot'}) eq 'HASH') {
+                     %lti = %{$domconfig{$name}{'linkprot'}};
+                 }
+             } else {
+                 %lti = %{$domconfig{$name}};
+             }
+             if (($context eq 'consumer') && (keys(%lti))) {
+                 my %encdomconfig = &get_dom('encconfig',[$name],$cdom,undef,1);
+                 if (ref($encdomconfig{$name}) eq 'HASH') {
+                     foreach my $id (keys(%lti)) {
+                         if (ref($encdomconfig{$name}{$id}) eq 'HASH') {
+                             foreach my $item ('key','secret') {
+                                 $lti{$id}{$item} = $encdomconfig{$name}{$id}{$item};
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+         my $cachetime = 24*60*60;
+         &do_cache_new($cachename,$cdom,\%lti,$cachetime);
+     }
+     return %lti;
+ }
+ sub get_course_lti {
+     my ($cnum,$cdom) = @_;
+     my $hashid=$cdom.'_'.$cnum;
+     my %courselti;
+     my ($result,$cached)=&is_cached_new('courselti',$hashid);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %courselti = %{$result};
+         }
+     } else {
+         %courselti = &dump('lti',$cdom,$cnum,undef,undef,undef,1);
+         my $cachetime = 24*60*60;
+         &do_cache_new('courselti',$hashid,\%courselti,$cachetime);
+     }
+     return %courselti;
+ }
+ sub courselti_itemid {
+     my ($cnum,$cdom,$url,$method,$params,$context) = @_;
+     my ($chome,$itemid);
+     $chome = &homeserver($cnum,$cdom);
+     return if ($chome eq 'no_host');
+     if (ref($params) eq 'HASH') {
+         my $items = &freeze_escape($params);
+         my $rep;
+         if (grep { $_ eq $chome } current_machine_ids()) {
+             $rep = LONCAPA::Lond::crslti_itemid($cdom,$cnum,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$chome);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
+ sub domainlti_itemid {
+     my ($cdom,$url,$method,$params,$context) = @_;
+     my ($primary_id,$itemid);
+     $primary_id = &domain($cdom,'primary');
+     return if ($primary_id eq '');
+     if (ref($params) eq 'HASH') {
+         my $items = &freeze_escape($params);
+         my $rep;
+         if (grep { $_ eq $primary_id } current_machine_ids()) {
+             $rep = LONCAPA::Lond::domlti_itemid($cdom,$context,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $cnum = '';
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$primary_id);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
  sub get_numsuppfiles {
      my ($cnum,$cdom,$ignorecache)=@_;
      my $hashid=$cnum.':'.$cdom;
- Line 11381  sub get_numsuppfiles {
+ Line 11933  sub get_numsuppfiles {
  # EXT resource caching routines
  #
+ {
+ # Cache (5 seconds) of map hierarchy for speedup of navmaps display
+ #
+ # The course for which we cache
+ my $cachedmapkey='';
+ # The cached recursive maps for this course
+ my %cachedmaps=();
+ # When this was last done
+ my $cachedmaptime='';
  sub clear_EXT_cache_status {
      &delenv('cache.EXT.');
  }
- Line 11437  sub EXT {
+ Line 11999  sub EXT {
  	    if ( (defined($Apache::lonhomework::parsing_a_problem)
  		  || defined($Apache::lonhomework::parsing_a_task))
  		 &&
  		 ($symbparm eq &symbread()) ) {
  		# if we are in the middle of processing the resource the
  		# get the value we are planning on committing
                  if (defined($Apache::lonhomework::results{$qualifierrest})) {
- Line 11694  sub EXT {
+ Line 12256  sub EXT {
  	if ($space eq 'name') {
  	    return $ENV{'SERVER_NAME'};
          }
+     } elsif ($realm eq 'client') {
+         if ($space eq 'remote_addr') {
+             return &get_requestor_ip();
+         }
      }
      return '';
  }
- Line 11727  sub check_group_parms {
+ Line 12293  sub check_group_parms {
      return $coursereply;
  }
+ sub get_map_hierarchy {
+     my ($mapname,$courseid) = @_;
+     my @recurseup = ();
+     if ($mapname) {
+         if (($cachedmapkey eq $courseid) &&
+             (abs($cachedmaptime-time)<5)) {
+             if (ref($cachedmaps{$mapname}) eq 'ARRAY') {
+                 return @{$cachedmaps{$mapname}};
+             }
+         }
+         my $navmap = Apache::lonnavmaps::navmap->new();
+         if (ref($navmap)) {
+             @recurseup = $navmap->recurseup_maps($mapname);
+             undef($navmap);
+             $cachedmaps{$mapname} = \@recurseup;
+             $cachedmaptime=time;
+             $cachedmapkey=$courseid;
+         }
+     }
+     return @recurseup;
+ }
+ }
  sub sort_course_groups { # Sort groups based on defined rankings. Default is sort().
      my ($courseid,@groups) = @_;
      @groups = sort(@groups);
- Line 11812  sub metadata {
+ Line 12402  sub metadata {
      # if it is a non metadata possible uri return quickly
      if (($uri eq '') ||
  	(($uri =~ m|^/*adm/|) &&
- 	     ($uri !~ m|^adm/includes|) && ($uri !~ m{/(smppg|bulletinboard)$})) ||
+ 	     ($uri !~ m|^adm/includes|) && ($uri !~ m{/(smppg|bulletinboard|ext\.tool)$})) ||
          ($uri =~ m|/$|) || ($uri =~ m|/.meta$|) || ($uri =~ m{^/*uploaded/.+\.sequence$})) {
  	return undef;
      }
- Line 12539  sub symbread {
+ Line 13129  sub symbread {
      my %bighash;
      my $syval='';
      if (($env{'request.course.fn'}) && ($thisfn)) {
-         my $targetfn = $thisfn;
-         if ( ($thisfn =~ m/^(uploaded|editupload)\//) && ($thisfn !~ m/\.(page|sequence)$/) ) {
-             $targetfn = 'adm/wrapper/'.$thisfn;
-         }
- 	if ($targetfn =~ m|^adm/wrapper/(ext/.*)|) {
- 	    $targetfn=$1;
- 	}
          unless ($ignoresymbdb) {
              if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
                            &GDBM_READER(),0640)) {
- 	        $syval=$hash{$targetfn};
+ 	        $syval=$hash{$thisfn};
                  untie(%hash);
              }
              if ($syval && $checkforblock) {
- Line 13358  sub machine_ids {
+ Line 13941  sub machine_ids {
  sub additional_machine_domains {
      my @domains;
-     open(my $fh,"<","$perlvar{'lonTabDir'}/expected_domains.tab");
+     if (-e "$perlvar{'lonTabDir'}/expected_domains.tab") {
-     while( my $line = <$fh>) {
+         if (open(my $fh,"<","$perlvar{'lonTabDir'}/expected_domains.tab")) {
-         $line =~ s/\s//g;
+             while( my $line = <$fh>) {
-         push(@domains,$line);
+                 chomp($line);
+                 $line =~ s/\s//g;
+                 push(@domains,$line);
+             }
+             close($fh);
+         }
      }
      return @domains;
  }
- Line 13442  sub uses_sts {
+ Line 14030  sub uses_sts {
      return;
  }
+ sub waf_allssl {
+     my ($host_name) = @_;
+     my $alias = &get_proxy_alias();
+     if ($host_name eq '') {
+         $host_name = $ENV{'SERVER_NAME'};
+     }
+     if (($host_name ne '') && ($alias eq $host_name)) {
+         my $serverhomedom = &host_domain($perlvar{'lonHostID'});
+         my %defdomdefaults = &get_domain_defaults($serverhomedom);
+         if ($defdomdefaults{'waf_sslopt'}) {
+             return $defdomdefaults{'waf_sslopt'};
+         }
+     }
+     return;
+ }
  sub get_requestor_ip {
      my ($r,$nolookup,$noproxy) = @_;
      my $from_ip;
      if (ref($r)) {
-         $from_ip = $r->get_remote_host($nolookup);
+         if ($r->can('useragent_ip')) {
+             if ($noproxy && $r->can('client_ip')) {
+                 $from_ip = $r->client_ip();
+             } else {
+                 $from_ip = $r->useragent_ip();
+             }
+         } elsif ($r->connection->can('remote_ip')) {
+             $from_ip = $r->connection->remote_ip();
+         } else {
+             $from_ip = $r->get_remote_host($nolookup);
+         }
      } else {
          $from_ip = $ENV{'REMOTE_ADDR'};
      }
+     return $from_ip if ($noproxy);
+    # Who controls proxy settings for server
+     my $dom_in_use = $Apache::lonnet::perlvar{'lonDefDomain'};
+     my $proxyinfo = &get_proxy_settings($dom_in_use);
+     if ((ref($proxyinfo) eq 'HASH') && ($from_ip)) {
+         if ($proxyinfo->{'vpnint'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'vpnint'})) {
+                 return $from_ip;
+             }
+         }
+         if ($proxyinfo->{'trusted'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'trusted'})) {
+                 my $ipheader = $proxyinfo->{'ipheader'};
+                 my ($ip,$xfor);
+                 if (ref($r)) {
+                     if ($ipheader) {
+                         $ip = $r->headers_in->{$ipheader};
+                     }
+                     $xfor = $r->headers_in->{'X-Forwarded-For'};
+                 } else {
+                     if ($ipheader) {
+                         $ip = $ENV{'HTTP_'.uc($ipheader)};
+                     }
+                     $xfor = $ENV{'HTTP_X_FORWARDED_FOR'};
+                 }
+                 if (($ip eq '') && ($xfor ne '')) {
+                     foreach my $poss_ip (reverse(split(/\s*,\s*/,$xfor))) {
+                         unless (&ip_match($poss_ip,$proxyinfo->{'trusted'})) {
+                             $ip = $poss_ip;
+                             last;
+                         }
+                     }
+                 }
+                 if ($ip ne '') {
+                     return $ip;
+                 }
+             }
+         }
+     }
      return $from_ip;
  }
+ sub get_proxy_settings {
+     my ($dom_in_use) = @_;
+     my %domdefaults = &Apache::lonnet::get_domain_defaults($dom_in_use);
+     my $proxyinfo = {
+                        ipheader => $domdefaults{'waf_ipheader'},
+                        trusted  => $domdefaults{'waf_trusted'},
+                        vpnint   => $domdefaults{'waf_vpnint'},
+                        vpnext   => $domdefaults{'waf_vpnext'},
+                        sslopt   => $domdefaults{'waf_sslopt'},
+                     };
+     return $proxyinfo;
+ }
+ sub ip_match {
+     my ($ip,$pattern_str) = @_;
+     $ip=Net::CIDR::cidrvalidate($ip);
+     if ($ip) {
+         return Net::CIDR::cidrlookup($ip,split(/\s*,\s*/,$pattern_str));
+     }
+     return;
+ }
+ sub get_proxy_alias {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($alias,$cached) = &is_cached_new('proxyalias',$lonid);
+         if ($cached) {
+             return $alias;
+         }
+         my $dom = &Apache::lonnet::host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &Apache::lonnet::get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'alias'}) eq 'HASH') {
+                     $alias = $domconfig{'wafproxy'}{'alias'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxyalias',$lonid,$alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub use_proxy_alias {
+     my ($r,$lonid) = @_;
+     my $alias = &get_proxy_alias($lonid);
+     if ($alias) {
+         my $dom = &host_domain($lonid);
+         if ($dom ne '') {
+             my $proxyinfo = &get_proxy_settings($dom);
+             my ($vpnint,$remote_ip);
+             if (ref($proxyinfo) eq 'HASH') {
+                 $vpnint = $proxyinfo->{'vpnint'};
+                 if ($vpnint) {
+                     $remote_ip = &get_requestor_ip($r,1,1);
+                 }
+             }
+             unless ($vpnint && &ip_match($remote_ip,$vpnint)) {
+                 return $alias;
+             }
+         }
+     }
+     return;
+ }
+ sub alias_sso {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($use_alias,$cached) = &is_cached_new('proxysaml',$lonid);
+         if ($cached) {
+             return $use_alias;
+         }
+         my $dom = &Apache::lonnet::host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &Apache::lonnet::get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'saml'}) eq 'HASH') {
+                     $use_alias = $domconfig{'wafproxy'}{'saml'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxysaml',$lonid,$use_alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub get_saml_landing {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         my $defdom = &default_login_domain();
+         my @hosts = &current_machine_ids();
+         if (@hosts > 1) {
+             foreach my $hostid (@hosts) {
+                 if (&host_domain($hostid) eq $defdom) {
+                     $lonid = $hostid;
+                     last;
+                 }
+             }
+         } else {
+             $lonid = $perlvar{'lonHostID'};
+         }
+         if ($lonid) {
+             unless (&Apache::lonnet::host_domain($lonid) eq $defdom) {
+                 return;
+             }
+         } else {
+             return;
+         }
+     } elsif (!defined(&hostname($lonid))) {
+         return;
+     }
+     my ($landing,$cached) = &is_cached_new('samllanding',$lonid);
+     if ($cached) {
+         return $landing;
+     }
+     my $dom = &Apache::lonnet::host_domain($lonid);
+     if ($dom ne '') {
+         my $cachetime = 60*60*24;
+         my %domconfig =
+             &Apache::lonnet::get_dom('configuration',['login'],$dom);
+         if (ref($domconfig{'login'}) eq 'HASH') {
+             if (ref($domconfig{'login'}{'saml'}) eq 'HASH') {
+                 if (ref($domconfig{'login'}{'saml'}{$lonid}) eq 'HASH') {
+                     $landing = 1;
+                 }
+             }
+         }
+         return &do_cache_new('samllanding',$lonid,$landing,$cachetime);
+     }
+     return;
+ }
  # ------------------------------------------------------------- Declutters URLs
  sub declutter {
- Line 13503  sub clutter {
+ Line 14304  sub clutter {
  #		&logthis("Got a blank emb style");
  	    }
  	}
+     } elsif ($thisfn =~ m{^/adm/$match_domain/$match_courseid/\d+/ext\.tool$}) {
+         $thisfn='/adm/wrapper'.$thisfn;
      }
      return $thisfn;
  }
- Line 13590  sub get_dns {
+ Line 14393  sub get_dns {
      }
      while (%alldns) {
  	my ($dns) = sort { $b cmp $a } keys(%alldns);
- 	my $ua=new LWP::UserAgent;
+         my @content;
-         $ua->timeout(30);
+         if ($dns eq Sys::Hostname::FQDN::fqdn()) {
- 	my $request=new HTTP::Request('GET',"$alldns{$dns}://$dns$url");
+             my $command = (split('/',$url))[3];
- 	my $response=$ua->request($request);
+             my ($dir,$file) = &parse_getdns_url($command,$url);
-         delete($alldns{$dns});
+             delete($alldns{$dns});
- 	next if ($response->is_error());
+             next if (($dir eq '') || ($file eq ''));
- 	my @content = split("\n",$response->content);
+             if (open(my $config,'<',"$dir/$file")) {
+                 @content = <$config>;
+                 close($config);
+             }
+         } else {
+ 	    my $ua=new LWP::UserAgent;
+             $ua->timeout(30);
+ 	    my $request=new HTTP::Request('GET',"$alldns{$dns}://$dns$url");
+ 	    my $response=$ua->request($request);
+             delete($alldns{$dns});
+ 	    next if ($response->is_error());
+ 	    @content = split("\n",$response->content);
+         }
          unless ($nocache) {
  	    &do_cache_new('dns',$url,\@content,30*24*60*60);
          }
- Line 13668  sub fetch_dns_checksums {
+ Line 14483  sub fetch_dns_checksums {
      return \%checksums;
  }
+ sub parse_getdns_url {
+     my ($command,$url) = @_;
+     my $dir = $perlvar{'lonTabDir'};
+     my $file;
+     if ($command eq 'hosts') {
+         $file = 'dns_hosts.tab';
+     } elsif ($command eq 'domain') {
+         $file = 'dns_domain.tab';
+     } elsif ($command eq 'checksums') {
+         my $version = (split('/',$url))[4];
+         $file = "dns_checksums/$version.tab",
+     }
+     return ($dir,$file);
+ }
  # ------------------------------------------------------------ Read domain file
  {
      my $loaded;
- Line 14547  prevents recursive calls to &allowed.
+ Line 15377  prevents recursive calls to &allowed.
 : browse allowed
   A: passphrase authentication needed
   B: access temporarily blocked because of a blocking event in a course.
+  D: access blocked because access is required via session initiated via deep-link
  =item *

FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>

Removed from v.1.1172.2.140.2.3
changed lines
	Added in v.1.1172.2.146.2.8