loncom/lonnet/perl/lonnet.pm - diff

Return to lonnet.pm CVS log

Up to [LON-CAPA] / loncom / lonnet / perl

Diff for /loncom/lonnet/perl/lonnet.pm between versions 1.1172.2.93.4.13 and 1.1172.2.146.2.28

-version 1.1172.2.93.4.13, 2020/07/17 23:36:00
+version 1.1172.2.146.2.28, 2025/02/07 22:54:30
  Line 74  use strict;
  use LWP::UserAgent();
  use HTTP::Date;
  use Image::Magick;
+ use CGI::Cookie;
- use vars qw(%perlvar %spareid %pr %prp $memcache %packagetab $tmpdir
+ use vars qw(%perlvar %spareid %pr %prp $memcache %packagetab $tmpdir $deftex
              $_64bit %env %protocol %loncaparevs %serverhomeIDs %needsrelease
-             %managerstab);
+             %managerstab $passwdmin);
  my (%badServerCache, $memcache, %courselogs, %accesshash, %domainrolehash,
      %userrolehash, $processmarker, $dumpcount, %coursedombuf,
- Line 94  use Cache::Memcached;
+ Line 95  use Cache::Memcached;
  use Digest::MD5;
  use Math::Random;
  use File::MMagic;
+ use Net::CIDR;
+ use Sys::Hostname::FQDN();
  use LONCAPA qw(:DEFAULT :match);
  use LONCAPA::Configuration;
  use LONCAPA::lonmetadata;
  use LONCAPA::Lond;
+ use LONCAPA::transliterate;
  use File::Copy;
- Line 123  our @EXPORT = qw(%env);
+ Line 127  our @EXPORT = qw(%env);
  	$logid ++;
          my $now = time();
  	my $id=$now.'00000'.$$.'00000'.$logid;
+         my $ip = &get_requestor_ip();
          my $logentry = {
                           $id => {
                                    'exe_uname' => $env{'user.name'},
                                    'exe_udom'  => $env{'user.domain'},
                                    'exe_time'  => $now,
-                                   'exe_ip'    => $ENV{'REMOTE_ADDR'},
+                                   'exe_ip'    => $ip,
                                    'delflag'   => $delflag,
                                    'logentry'  => $storehash,
                                    'uname'     => $uname,
- Line 216  sub get_server_distarch {
+ Line 221  sub get_server_distarch {
              }
          }
          my $rep = &reply('serverdistarch',$lonhost);
-         unless ($rep eq 'unknown_command' || $rep eq 'no_such_host' ||
+         unless ($rep eq 'unknown_cmd' || $rep eq 'no_such_host' ||
                  $rep eq 'con_lost' || $rep eq 'rejected' || $rep eq 'refused' ||
                  $rep eq '') {
              return &do_cache_new('serverdistarch',$lonhost,$rep,$cachetime);
- Line 261  sub get_server_loncaparev {
+ Line 266  sub get_server_loncaparev {
                  if ($caller eq 'loncron') {
                      my $ua=new LWP::UserAgent;
                      $ua->timeout(4);
+                     my $hostname = &hostname($lonhost);
                      my $protocol = $protocol{$lonhost};
                      $protocol = 'http' if ($protocol ne 'https');
-                     my $url = $protocol.'://'.&hostname($lonhost).'/adm/about.html';
+                     my $url = $protocol.'://'.$hostname.'/adm/about.html';
                      my $request=new HTTP::Request('GET',$url);
                      my $response=$ua->request($request);
                      unless ($response->is_error()) {
- Line 359  sub remote_devalidate_cache {
+ Line 365  sub remote_devalidate_cache {
      return &reply('devalidatecache:'.&escape($cachestr),$lonhost);
  }
+ sub sign_lti {
+     my ($cdom,$cnum,$crsdef,$type,$context,$url,$ltinum,$keynum,$paramsref,$inforef) = @_;
+     my $chome;
+     if (&domain($cdom) ne '') {
+         if ($crsdef) {
+             $chome = &homeserver($cnum,$cdom);
+         } else {
+             $chome = &domain($cdom,'primary');
+         }
+     }
+     if ($cdom && $chome && ($chome ne 'no_host')) {
+         if ((ref($paramsref) eq 'HASH') &&
+             (ref($inforef) eq 'HASH')) {
+             my $rep;
+             if (grep { $_ eq $chome } &current_machine_ids()) {
+                 # domain information is hosted on this machine
+                 $rep =
+                     &LONCAPA::Lond::sign_lti_payload($cdom,$cnum,$crsdef,$type,
+                                                      $context,$url,$ltinum,$keynum,
+                                                      $perlvar{'lonVersion'},
+                                                      $paramsref,$inforef);
+                 if (ref($rep) eq 'HASH') {
+                     return ('ok',$rep);
+                 }
+             } else {
+                 my ($escurl,$params,$info);
+                 $escurl = &escape($url);
+                 if (ref($paramsref) eq 'HASH') {
+                     $params = &freeze_escape($paramsref);
+                 }
+                 if (ref($inforef) eq 'HASH') {
+                     $info = &freeze_escape($inforef);
+                 }
+                 $rep=&reply("encrypt:signlti:$cdom:$cnum:$crsdef:$type:$context:$escurl:$ltinum:$keynum:$params:$info",$chome);
+             }
+             if (($rep eq '') || ($rep =~ /^con_lost|error|no_such_host|unknown_cmd/i)) {
+                 return ();
+             } elsif (($inforef->{'respfmt'} eq 'to_post_body') ||
+                      ($inforef->{'respfmt'} eq 'to_authorization_header')) {
+                 return ('ok',$rep);
+             } else {
+                 my %returnhash;
+                 foreach my $item (split(/\&/,$rep)) {
+                     my ($name,$value)=split(/\=/,$item);
+                     $returnhash{&unescape($name)}=&thaw_unescape($value);
+                 }
+                 return('ok',\%returnhash);
+             }
+         } else {
+             return ();
+         }
+     } else {
+         return ();
+         &logthis("sign_lti failed - no homeserver and/or domain ($cdom) ($chome)");
+     }
+ }
  # -------------------------------------------------- Non-critical communication
  sub subreply {
      my ($cmd,$server)=@_;
- Line 407  sub reply {
+ Line 470  sub reply {
      unless (defined(&hostname($server))) { return 'no_such_host'; }
      my $answer=subreply($cmd,$server);
      if (($answer=~/^refused/) || ($answer=~/^rejected/)) {
-        &logthis("<font color=\"blue\">WARNING:".
+         my $logged = $cmd;
-                 " $cmd to $server returned $answer</font>");
+         if ($cmd =~ /^encrypt:([^:]+):/) {
+             my $subcmd = $1;
+             if (($subcmd eq 'auth') || ($subcmd eq 'passwd') ||
+                 ($subcmd eq 'changeuserauth') || ($subcmd eq 'makeuser') ||
+                 ($subcmd eq 'putdom') || ($subcmd eq 'autoexportgrades') ||
+                 ($subcmd eq 'put')) {
+                 (undef,undef,my @rest) = split(/:/,$cmd);
+                 if (($subcmd eq 'auth') || ($subcmd eq 'putdom')) {
+                     splice(@rest,2,1,'Hidden');
+                 } elsif ($subcmd eq 'passwd') {
+                     splice(@rest,2,2,('Hidden','Hidden'));
+                 } elsif (($subcmd eq 'changeuserauth') || ($subcmd eq 'makeuser') ||
+                          ($subcmd eq 'autoexportgrades') || ($subcmd eq 'put')) {
+                     splice(@rest,3,1,'Hidden');
+                 }
+                 $logged = join(':',('encrypt:'.$subcmd,@rest));
+             }
+         }
+         &logthis("<font color=\"blue\">WARNING:".
+                  " $logged to $server returned $answer</font>");
      }
      return $answer;
  }
- Line 603  sub transfer_profile_to_env {
+ Line 685  sub transfer_profile_to_env {
  sub check_for_valid_session {
      my ($r,$name,$userhashref,$domref) = @_;
      my %cookies=CGI::Cookie->parse($r->header_in('Cookie'));
-     if ($name eq '') {
+     my ($lonidsdir,$linkname,$pubname,$secure,$lonid);
-         $name = 'lonID';
-     }
-     my $lonid=$cookies{$name};
-     return undef if (!$lonid);
-     my $handle=&LONCAPA::clean_handle($lonid->value);
-     my $lonidsdir;
      if ($name eq 'lonDAV') {
          $lonidsdir=$r->dir_config('lonDAVsessDir');
      } else {
          $lonidsdir=$r->dir_config('lonIDsDir');
+         if ($name eq '') {
+             $name = 'lonID';
+         }
+     }
+     if ($name eq 'lonID') {
+         $secure = 'lonSID';
+         $linkname = 'lonLinkID';
+         $pubname = 'lonPubID';
+         if (exists($cookies{$secure})) {
+             $lonid=$cookies{$secure};
+         } elsif (exists($cookies{$name})) {
+             $lonid=$cookies{$name};
+         } elsif ((exists($cookies{$linkname})) && ($ENV{'SERVER_PORT'} != 443)) {
+             $lonid=$cookies{$linkname};
+         } elsif (exists($cookies{$pubname})) {
+             $lonid=$cookies{$pubname};
+         }
+     } else {
+         $lonid=$cookies{$name};
+     }
+     return undef if (!$lonid);
+     my $handle=&LONCAPA::clean_handle($lonid->value);
+     if (-l "$lonidsdir/$handle.id") {
+         my $link = readlink("$lonidsdir/$handle.id");
+         if ((-e $link) && ($link =~ m{^\Q$lonidsdir\E/(.+)\.id$})) {
+             $handle = $1;
+         }
      }
      if (!-e "$lonidsdir/$handle.id") {
          if ((ref($domref)) && ($name eq 'lonID') &&
- Line 639  sub check_for_valid_session {
+ Line 742  sub check_for_valid_session {
      if (!defined($disk_env{'user.name'})
  	|| !defined($disk_env{'user.domain'})) {
+         untie(%disk_env);
  	return undef;
      }
      if (ref($userhashref) eq 'HASH') {
          $userhashref->{'name'} = $disk_env{'user.name'};
          $userhashref->{'domain'} = $disk_env{'user.domain'};
+         if ($disk_env{'request.role'}) {
+             $userhashref->{'role'} = $disk_env{'request.role'};
+         }
+         $userhashref->{'lti'} = $disk_env{'request.lti.login'};
+         if ($userhashref->{'lti'}) {
+             $userhashref->{'ltitarget'} = $disk_env{'request.lti.target'};
+             $userhashref->{'ltiuri'} = $disk_env{'request.lti.uri'};
+         }
      }
+     untie(%disk_env);
      return $handle;
  }
- Line 670  sub timed_flock {
+ Line 783  sub timed_flock {
      }
  }
+ sub get_sessionfile_vars {
+     my ($handle,$lonidsdir,$storearr) = @_;
+     my %returnhash;
+     unless (ref($storearr) eq 'ARRAY') {
+         return %returnhash;
+     }
+     if (-l "$lonidsdir/$handle.id") {
+         my $link = readlink("$lonidsdir/$handle.id");
+         if ((-e $link) && ($link =~ m{^\Q$lonidsdir\E/(.+)\.id$})) {
+             $handle = $1;
+         }
+     }
+     if ((-e "$lonidsdir/$handle.id") &&
+         ($handle =~ /^($match_username)\_\d+\_($match_domain)\_(.+)$/)) {
+         my ($possuname,$possudom,$possuhome) = ($1,$2,$3);
+         if ((&domain($possudom) ne '') && (&homeserver($possuname,$possudom) eq $possuhome)) {
+             if (open(my $idf,'+<',"$lonidsdir/$handle.id")) {
+                 flock($idf,LOCK_SH);
+                 if (tie(my %disk_env,'GDBM_File',"$lonidsdir/$handle.id",
+                         &GDBM_READER(),0640)) {
+                     foreach my $item (@{$storearr}) {
+                         $returnhash{$item} = $disk_env{$item};
+                     }
+                     untie(%disk_env);
+                 }
+             }
+         }
+     }
+     return %returnhash;
+ }
  # ---------------------------------------------------------- Append Environment
  sub appenv {
- Line 823  sub userload {
+ Line 967  sub userload {
  	while ($filename=readdir(LONIDS)) {
  	    next if ($filename eq '.' || $filename eq '..');
  	    next if ($filename =~ /publicuser_\d+\.id/);
+             next if ($filename =~ /^[a-f0-9]+_linked\.id$/);
  	    my ($mtime)=(stat($perlvar{'lonIDsDir'}.'/'.$filename))[9];
  	    if ($curtime-$mtime < 1800) { $numusers++; }
  	}
- Line 840  sub userload {
+ Line 985  sub userload {
  # ------------------------------ Find server with least workload from spare.tab
  sub spareserver {
-     my ($loadpercent,$userloadpercent,$want_server_name,$udom) = @_;
+     my ($r,$loadpercent,$userloadpercent,$want_server_name,$udom) = @_;
      my $spare_server;
      if ($userloadpercent !~ /\d/) { $userloadpercent=0; }
      my $lowest_load=($loadpercent > $userloadpercent) ? $loadpercent
- Line 878  sub spareserver {
+ Line 1023  sub spareserver {
      }
      if (!$want_server_name) {
-         my $protocol = 'http';
-         if ($protocol{$spare_server} eq 'https') {
-             $protocol = $protocol{$spare_server};
-         }
          if (defined($spare_server)) {
              my $hostname = &hostname($spare_server);
              if (defined($hostname)) {
+                 my $protocol = 'http';
+                 if ($protocol{$spare_server} eq 'https') {
+                     $protocol = $protocol{$spare_server};
+                 }
+                 my $alias = &Apache::lonnet::use_proxy_alias($r,$spare_server);
+                 $hostname = $alias if ($alias ne '');
  	        $spare_server = $protocol.'://'.$hostname;
              }
          }
- Line 951  sub find_existing_session {
+ Line 1098  sub find_existing_session {
      return;
  }
+ sub delusersession {
+     my ($lonid,$udom,$uname) = @_;
+     my $uprimary_id = &domain($udom,'primary');
+     my $uintdom = &internet_dom($uprimary_id);
+     my $intdom = &internet_dom($lonid);
+     my $serverhomedom = &host_domain($lonid);
+     if (($uintdom ne '') && ($uintdom eq $intdom)) {
+         return &reply(join(':','delusersession',
+                             map {&escape($_)} ($udom,$uname)),$lonid);
+     }
+     return;
+ }
+ # check if user's browser sent load balancer cookie and server still has session
+ # and is not overloaded.
+ sub check_for_balancer_cookie {
+     my ($r,$update_mtime) = @_;
+     my ($otherserver,$cookie);
+     my %cookies=CGI::Cookie->parse($r->header_in('Cookie'));
+     if (exists($cookies{'balanceID'})) {
+         my $balid = $cookies{'balanceID'};
+         $cookie=&LONCAPA::clean_handle($balid->value);
+         my $balancedir=$r->dir_config('lonBalanceDir');
+         if ((-d $balancedir) && (-e "$balancedir/$cookie.id")) {
+             if ($cookie =~ /^($match_domain)_($match_username)_[a-f0-9]+$/) {
+                 my ($possudom,$possuname) = ($1,$2);
+                 my $has_session = 0;
+                 if ((&domain($possudom) ne '') &&
+                     (&homeserver($possuname,$possudom) ne 'no_host')) {
+                     my $try_server;
+                     my $opened = open(my $idf,'+<',"$balancedir/$cookie.id");
+                     if ($opened) {
+                         flock($idf,LOCK_SH);
+                         while (my $line = <$idf>) {
+                             chomp($line);
+                             if (&hostname($line) ne '') {
+                                 $try_server = $line;
+                                 last;
+                             }
+                         }
+                         close($idf);
+                         if (($try_server) &&
+                             (&has_user_session($try_server,$possudom,$possuname))) {
+                             my $lowest_load = 30000;
+                             ($otherserver,$lowest_load) =
+                                 &compare_server_load($try_server,undef,$lowest_load);
+                             if ($otherserver ne '' && $lowest_load < 100) {
+                                 $has_session = 1;
+                             } else {
+                                 undef($otherserver);
+                             }
+                         }
+                     }
+                 }
+                 if ($has_session) {
+                     if ($update_mtime) {
+                         my $atime = my $mtime = time;
+                         utime($atime,$mtime,"$balancedir/$cookie.id");
+                     }
+                 } else {
+                     unlink("$balancedir/$cookie.id");
+                 }
+             }
+         }
+     }
+     return ($otherserver,$cookie);
+ }
+ sub updatebalcookie {
+     my ($cookie,$balancer,$lastentry)=@_;
+     if ($cookie =~ /^($match_domain)\_($match_username)\_[a-f0-9]{32}$/) {
+         my ($udom,$uname) = ($1,$2);
+         my $uprimary_id = &domain($udom,'primary');
+         my $uintdom = &internet_dom($uprimary_id);
+         my $intdom = &internet_dom($balancer);
+         my $serverhomedom = &host_domain($balancer);
+         if (($uintdom ne '') && ($uintdom eq $intdom)) {
+             return &reply('updatebalcookie:'.&escape($cookie).':'.&escape($lastentry),$balancer);
+         }
+     }
+     return;
+ }
+ sub delbalcookie {
+     my ($cookie,$balancer) =@_;
+     if ($cookie =~ /^($match_domain)\_($match_username)\_[a-f0-9]{32}$/) {
+         my ($udom,$uname) = ($1,$2);
+         my $uprimary_id = &domain($udom,'primary');
+         my $uintdom = &internet_dom($uprimary_id);
+         my $intdom = &internet_dom($balancer);
+         my $serverhomedom = &host_domain($balancer);
+         if (($uintdom ne '') && ($uintdom eq $intdom)) {
+             return &reply('delbalcookie:'.&escape($cookie),$balancer);
+         }
+     }
+ }
  # -------------------------------- ask if server already has a session for user
  sub has_user_session {
      my ($lonid,$udom,$uname) = @_;
- Line 1017  sub choose_server {
+ Line 1262  sub choose_server {
      return ($login_host,$hostname,$portal_path,$isredirect,$lowest_load);
  }
+ sub get_course_sessions {
+     my ($cnum,$cdom,$lastactivity) = @_;
+     my %servers = &internet_dom_servers($cdom);
+     my %returnhash;
+     foreach my $server (sort(keys(%servers))) {
+         my $rep = &reply("coursesessions:$cdom:$cnum:$lastactivity",$server);
+         my @pairs=split(/\&/,$rep);
+         unless (($rep eq 'unknown_cmd') || ($rep =~ /^error/)) {
+             foreach my $item (@pairs) {
+                 my ($key,$value)=split(/=/,$item,2);
+                 $key = &unescape($key);
+                 next if ($key =~ /^error: 2 /);
+                 if (exists($returnhash{$key})) {
+                     next if ($value < $returnhash{$key});
+                 }
+                 $returnhash{$key}=$value;
+             }
+         }
+     }
+     return %returnhash;
+ }
  # --------------------------------------------- Try to change a user's password
  sub changepass {
- Line 1052  sub changepass {
+ Line 1319  sub changepass {
      } elsif ($answer =~ "invalid_client") {
          &logthis("$server refused to change $uname in $udom password because ".
                   "it was a reset by e-mail originating from an invalid server.");
+     } elsif ($answer =~ "^prioruse") {
+        &logthis("$server refused to change $uname in $udom password because ".
+                 "the password had been used before");
      }
      return $answer;
  }
- Line 1061  sub changepass {
+ Line 1331  sub changepass {
  sub queryauthenticate {
      my ($uname,$udom)=@_;
      my $uhome=&homeserver($uname,$udom);
-     if (!$uhome) {
+     if ((!$uhome) || ($uhome eq 'no_host')) {
  	&logthis("User $uname at $udom is unknown when looking for authentication mechanism");
  	return 'no_host';
      }
- Line 1110  sub authenticate {
+ Line 1380  sub authenticate {
      }
      if ($answer eq 'non_authorized') {
  	&logthis("User $uname at $udom rejected by $uhome");
  	return 'no_host';
      }
      &logthis("User $uname at $udom threw error $answer when checking authentication mechanism");
      return 'no_host';
  }
+ sub can_switchserver {
+     my ($udom,$home) = @_;
+     my ($canswitch,@intdoms);
+     my $internet_names = &get_internet_names($home);
+     if (ref($internet_names) eq 'ARRAY') {
+         @intdoms = @{$internet_names};
+     }
+     my $uint_dom = &internet_dom(&domain($udom,'primary'));
+     if ($uint_dom ne '' && grep(/^\Q$uint_dom\E$/,@intdoms)) {
+         $canswitch = 1;
+     } else {
+          my $serverhomeID = &get_server_homeID(&hostname($home));
+          my $serverhomedom = &host_domain($serverhomeID);
+          my %defdomdefaults = &get_domain_defaults($serverhomedom);
+          my %udomdefaults = &get_domain_defaults($udom);
+          my $remoterev = &get_server_loncaparev('',$home);
+          $canswitch = &can_host_session($udom,$home,$remoterev,
+                                         $udomdefaults{'remotesessions'},
+                                         $defdomdefaults{'hostedsessions'});
+     }
+     return $canswitch;
+ }
  sub can_host_session {
      my ($udom,$lonhost,$remoterev,$remotesessions,$hostedsessions) = @_;
      my $canhost = 1;
- Line 1190  sub spare_can_host {
+ Line 1483  sub spare_can_host {
              $canhost = 0;
          }
      }
+     if ($canhost) {
+         if (ref($defdomdefaults{'offloadoth'}) eq 'HASH') {
+             if ($defdomdefaults{'offloadoth'}{$try_server}) {
+                 unless (&shared_institution($udom,$try_server)) {
+                     $canhost = 0;
+                 }
+             }
+         }
+     }
      if (($canhost) && ($uint_dom)) {
          my @intdoms;
          my $internet_names = &get_internet_names($try_server);
- Line 1288  sub get_lonbalancer_config {
+ Line 1590  sub get_lonbalancer_config {
  sub check_loadbalancing {
      my ($uname,$udom,$caller) = @_;
      my ($is_balancer,$currtargets,$currrules,$dom_in_use,$homeintdom,
-         $rule_in_effect,$offloadto,$otherserver);
+         $rule_in_effect,$offloadto,$otherserver,$setcookie);
      my $lonhost = $perlvar{'lonHostID'};
      my @hosts = &current_machine_ids();
      my $uprimary_id = &Apache::lonnet::domain($udom,'primary');
- Line 1315  sub check_loadbalancing {
+ Line 1617  sub check_loadbalancing {
          }
      }
      if (ref($result) eq 'HASH') {
-         ($is_balancer,$currtargets,$currrules) =
+         ($is_balancer,$currtargets,$currrules,$setcookie) =
              &check_balancer_result($result,@hosts);
          if ($is_balancer) {
              if (ref($currrules) eq 'HASH') {
- Line 1376  sub check_loadbalancing {
+ Line 1678  sub check_loadbalancing {
              }
          }
          if (ref($result) eq 'HASH') {
-             ($is_balancer,$currtargets,$currrules) =
+             ($is_balancer,$currtargets,$currrules,$setcookie) =
                  &check_balancer_result($result,@hosts);
              if ($is_balancer) {
                  if (ref($currrules) eq 'HASH') {
- Line 1408  sub check_loadbalancing {
+ Line 1710  sub check_loadbalancing {
      if ($domneedscache) {
          &do_cache_new('loadbalancing',$domneedscache,$is_balancer,$cachetime);
      }
-     if ($is_balancer) {
+     if (($is_balancer) && ($caller ne 'switchserver')) {
          my $lowest_load = 30000;
          if (ref($offloadto) eq 'HASH') {
              if (ref($offloadto->{'primary'}) eq 'ARRAY') {
- Line 1442  sub check_loadbalancing {
+ Line 1744  sub check_loadbalancing {
                  $is_balancer = 0;
                  if ($uname ne '' && $udom ne '') {
                      if (($env{'user.name'} eq $uname) && ($env{'user.domain'} eq $udom)) {
                          &appenv({'user.loadbalexempt'     => $lonhost,
                                   'user.loadbalcheck.time' => time});
                      }
- Line 1450  sub check_loadbalancing {
+ Line 1751  sub check_loadbalancing {
              }
          }
      }
-     return ($is_balancer,$otherserver);
+     if (($is_balancer) && (!$homeintdom)) {
+         undef($setcookie);
+     }
+     return ($is_balancer,$otherserver,$setcookie);
  }
  sub check_balancer_result {
      my ($result,@hosts) = @_;
-     my ($is_balancer,$currtargets,$currrules);
+     my ($is_balancer,$currtargets,$currrules,$setcookie);
      if (ref($result) eq 'HASH') {
          if ($result->{'lonhost'} ne '') {
              my $currbalancer = $result->{'lonhost'};
- Line 1471  sub check_balancer_result {
+ Line 1775  sub check_balancer_result {
                      $is_balancer = 1;
                      $currrules = $result->{$key}{'rules'};
                      $currtargets = $result->{$key}{'targets'};
+                     $setcookie = $result->{$key}{'cookie'};
                      last;
                  }
              }
          }
      }
-     return ($is_balancer,$currtargets,$currrules);
+     return ($is_balancer,$currtargets,$currrules,$setcookie);
  }
  sub get_loadbalancer_targets {
- Line 1677  sub dump_dom {
+ Line 1982  sub dump_dom {
  # ------------------------------------------ get items from domain db files
  sub get_dom {
-     my ($namespace,$storearr,$udom,$uhome)=@_;
+     my ($namespace,$storearr,$udom,$uhome,$encrypt)=@_;
      return if ($udom eq 'public');
      my $items='';
      foreach my $item (@$storearr) {
- Line 1701  sub get_dom {
+ Line 2006  sub get_dom {
      }
      if ($udom && $uhome && ($uhome ne 'no_host')) {
          my $rep;
-         if ($namespace =~ /^enc/) {
+         if (grep { $_ eq $uhome } &current_machine_ids()) {
-             $rep=&reply("encrypt:egetdom:$udom:$namespace:$items",$uhome);
+             # domain information is hosted on this machine
+             $rep = &LONCAPA::Lond::get_dom("getdom:$udom:$namespace:$items");
          } else {
-             $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+             if ($encrypt) {
+                 $rep=&reply("encrypt:egetdom:$udom:$namespace:$items",$uhome);
+             } else {
+                 $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+             }
          }
          my %returnhash;
          if ($rep eq '' || $rep =~ /^error: 2 /) {
- Line 1728  sub get_dom {
+ Line 2038  sub get_dom {
  # -------------------------------------------- put items in domain db files
  sub put_dom {
-     my ($namespace,$storehash,$udom,$uhome)=@_;
+     my ($namespace,$storehash,$udom,$uhome,$encrypt)=@_;
      if (!$udom) {
          $udom=$env{'user.domain'};
          if (defined(&domain($udom,'primary'))) {
- Line 1749  sub put_dom {
+ Line 2059  sub put_dom {
              $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
          }
          $items=~s/\&$//;
-         if ($namespace =~ /^enc/) {
+         if ($encrypt) {
              return &reply("encrypt:putdom:$udom:$namespace:$items",$uhome);
          } else {
              return &reply("putdom:$udom:$namespace:$items",$uhome);
- Line 1787  sub del_dom {
+ Line 2097  sub del_dom {
      }
  }
+ sub store_dom {
+     my ($storehash,$id,$namespace,$dom,$home,$encrypt) = @_;
+     $$storehash{'ip'}=&get_requestor_ip();
+     $$storehash{'host'}=$perlvar{'lonHostID'};
+     my $namevalue='';
+     foreach my $key (keys(%{$storehash})) {
+         $namevalue.=&escape($key).'='.&freeze_escape($$storehash{$key}).'&';
+     }
+     $namevalue=~s/\&$//;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         return LONCAPA::Lond::store_dom("storedom:$dom:$namespace:$id:$namevalue");
+     } else {
+         if ($namespace eq 'private') {
+             return 'refused';
+         } elsif ($encrypt) {
+             return reply("encrypt:storedom:$dom:$namespace:$id:$namevalue",$home);
+         } else {
+             return reply("storedom:$dom:$namespace:$id:$namevalue",$home);
+         }
+     }
+ }
+ sub restore_dom {
+     my ($id,$namespace,$dom,$home,$encrypt) = @_;
+     my $answer;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         $answer = LONCAPA::Lond::restore_dom("restoredom:$dom:$namespace:$id");
+     } elsif ($namespace ne 'private') {
+         if ($encrypt) {
+             $answer=&reply("encrypt:restoredom:$dom:$namespace:$id",$home);
+         } else {
+             $answer=&reply("restoredom:$dom:$namespace:$id",$home);
+         }
+     }
+     my %returnhash=();
+     unless (($answer eq '') || ($answer eq 'con_lost') || ($answer eq 'refused') ||
+             ($answer eq 'unknown_cmd') || ($answer eq 'rejected')) {
+         foreach my $line (split(/\&/,$answer)) {
+             my ($name,$value)=split(/\=/,$line);
+             $returnhash{&unescape($name)}=&thaw_unescape($value);
+         }
+         my $version;
+         for ($version=1;$version<=$returnhash{'version'};$version++) {
+             foreach my $item (split(/\:/,$returnhash{$version.':keys'})) {
+                 $returnhash{$item}=$returnhash{$version.':'.$item};
+             }
+         }
+     }
+     return %returnhash;
+ }
  # ----------------------------------construct domainconfig user for a domain
  sub get_domainconfiguser {
      my ($udom) = @_;
- Line 1829  sub retrieve_inst_usertypes {
+ Line 2190  sub retrieve_inst_usertypes {
  sub is_domainimage {
      my ($url) = @_;
-     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo)/+[^/]-) {
+     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo|login)/+[^/]-) {
          if (&domain($1) ne '') {
              return '1';
          }
- Line 1846  sub inst_directory_query {
+ Line 2207  sub inst_directory_query {
      if ($homeserver ne '') {
          unless ($homeserver eq $perlvar{'lonHostID'}) {
              if ($srch->{'srchby'} eq 'email') {
-                 my $lcrev = &get_server_loncaparev(undef,$homeserver);
+                 my $lcrev = &get_server_loncaparev($udom,$homeserver);
-                 my ($major,$minor,$subver) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.([\w.\-]+)\'?$/);
+                 my ($major,$minor,$subver) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.(\d+)[\w.\-]+\'?$/);
                  if (($major eq '' && $minor eq '') || ($major < 2) ||
                      (($major == 2) && ($minor < 11)) ||
-                     (($major == 2) && ($minor == 11) && ($subver !~ /^2\.B/))) {
+                     (($major == 2) && ($minor == 11) && ($subver < 3))) {
                      return;
                  }
              }
- Line 1898  sub usersearch {
+ Line 2259  sub usersearch {
          if (&host_domain($tryserver) eq $dom) {
              unless ($tryserver eq $perlvar{'lonHostID'}) {
                  if ($srch->{'srchby'} eq 'email') {
-                     my $lcrev = &get_server_loncaparev(undef,$tryserver);
+                     my $lcrev = &get_server_loncaparev($dom,$tryserver);
-                     my ($major,$minor,$subver) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.([\w.\-]+)\'?$/);
+                     my ($major,$minor,$subver) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.(\d+)[\w.\-]+\'?$/);
                      next if (($major eq '' && $minor eq '') || ($major < 2) ||
                               (($major == 2) && ($minor < 11)) ||
-                              (($major == 2) && ($minor == 11) && ($subver !~ /^2\.B/)));
+                              (($major == 2) && ($minor == 11) && ($subver < 3)));
                  }
              }
              my $host=&hostname($tryserver);
- Line 2065  sub inst_rulecheck {
+ Line 2426  sub inst_rulecheck {
                      $response=&unescape(&reply('instidrulecheck:'.&escape($udom).
                                                ':'.&escape($id).':'.$rulestr,
                                                $homeserver));
+                 } elsif ($item eq 'unamemap') {
+                     $response=&unescape(&reply('instunamemapcheck:'.
+                                                &escape($udom).':'.&escape($uname).
+                                               ':'.$rulestr,$homeserver));
                  } elsif ($item eq 'selfcreate') {
                      $response=&unescape(&reply('instselfcreatecheck:'.
                                                 &escape($udom).':'.&escape($uname).
- Line 2098  sub inst_userrules {
+ Line 2463  sub inst_userrules {
              } elsif ($check eq 'email') {
                  $response=&reply('instemailrules:'.&escape($udom),
                                   $homeserver);
+             } elsif ($check eq 'unamemap') {
+                 $response=&reply('unamemaprules:'.&escape($udom),
+                                  $homeserver);
              } else {
                  $response=&reply('instuserrules:'.&escape($udom),
                                   $homeserver);
- Line 2142  sub get_domain_defaults {
+ Line 2510  sub get_domain_defaults {
           &Apache::lonnet::get_dom('configuration',['defaults','quotas',
                                    'requestcourses','inststatus',
                                    'coursedefaults','usersessions',
-                                   'requestauthor','selfenrollment',
+                                   'requestauthor','authordefaults',
-                                   'coursecategories','autoenroll',
+                                   'selfenrollment','coursecategories',
-                                   'helpsettings'],$domain);
+                                   'autoenroll','helpsettings',
+                                   'wafproxy','ltisec','toolsec',
+                                   'domexttool','exttool'],$domain);
      my @coursetypes = ('official','unofficial','community','textbook');
      if (ref($domconfig{'defaults'}) eq 'HASH') {
          $domdefaults{'lang_def'} = $domconfig{'defaults'}{'lang_def'};
- Line 2153  sub get_domain_defaults {
+ Line 2523  sub get_domain_defaults {
          $domdefaults{'timezone_def'} = $domconfig{'defaults'}{'timezone_def'};
          $domdefaults{'datelocale_def'} = $domconfig{'defaults'}{'datelocale_def'};
          $domdefaults{'portal_def'} = $domconfig{'defaults'}{'portal_def'};
+         $domdefaults{'portal_def_email'} = $domconfig{'defaults'}{'portal_def_email'};
+         $domdefaults{'portal_def_web'} = $domconfig{'defaults'}{'portal_def_web'};
          $domdefaults{'intauth_cost'} = $domconfig{'defaults'}{'intauth_cost'};
          $domdefaults{'intauth_switch'} = $domconfig{'defaults'}{'intauth_switch'};
          $domdefaults{'intauth_check'} = $domconfig{'defaults'}{'intauth_check'};
+         $domdefaults{'unamemap_rule'} = $domconfig{'defaults'}{'unamemap_rule'};
      } else {
          $domdefaults{'lang_def'} = &domain($domain,'lang_def');
          $domdefaults{'auth_def'} = &domain($domain,'auth_def');
- Line 2167  sub get_domain_defaults {
+ Line 2540  sub get_domain_defaults {
          } else {
              $domdefaults{'defaultquota'} = $domconfig{'quotas'};
          }
-         my @usertools = ('aboutme','blog','webdav','portfolio');
+         my @usertools = ('aboutme','blog','webdav','portfolio','portaccess');
          foreach my $item (@usertools) {
              if (ref($domconfig{'quotas'}{$item}) eq 'HASH') {
                  $domdefaults{$item} = $domconfig{'quotas'}{$item};
- Line 2182  sub get_domain_defaults {
+ Line 2555  sub get_domain_defaults {
              $domdefaults{$item} = $domconfig{'requestcourses'}{$item};
          }
      }
+     if (ref($domconfig{'authordefaults'}) eq 'HASH') {
+         foreach my $item ('nocodemirror','copyright','sourceavail','domcoordacc','editors','archive') {
+             if ($item eq 'editors') {
+                 if (ref($domconfig{'authordefaults'}{'editors'}) eq 'ARRAY') {
+                     $domdefaults{$item} = join(',',@{$domconfig{'authordefaults'}{'editors'}});
+                 }
+             } else {
+                 $domdefaults{$item} = $domconfig{'authordefaults'}{$item};
+             }
+         }
+     }
      if (ref($domconfig{'requestauthor'}) eq 'HASH') {
          $domdefaults{'requestauthor'} = $domconfig{'requestauthor'};
      }
- Line 2192  sub get_domain_defaults {
+ Line 2576  sub get_domain_defaults {
      }
      if (ref($domconfig{'coursedefaults'}) eq 'HASH') {
          $domdefaults{'usejsme'} = $domconfig{'coursedefaults'}{'usejsme'};
+         $domdefaults{'inline_chem'} = $domconfig{'coursedefaults'}{'inline_chem'};
          $domdefaults{'uselcmath'} = $domconfig{'coursedefaults'}{'uselcmath'};
          if (ref($domconfig{'coursedefaults'}{'postsubmit'}) eq 'HASH') {
              $domdefaults{'postsubmit'} = $domconfig{'coursedefaults'}{'postsubmit'}{'client'};
          }
+         if (ref($domconfig{'coursedefaults'}{'crseditors'}) eq 'ARRAY') {
+             $domdefaults{'crseditors'}=join(',',@{$domconfig{'coursedefaults'}{'crseditors'}});
+         }
          foreach my $type (@coursetypes) {
              if (ref($domconfig{'coursedefaults'}{'coursecredits'}) eq 'HASH') {
                  unless ($type eq 'community') {
- Line 2205  sub get_domain_defaults {
+ Line 2593  sub get_domain_defaults {
              if (ref($domconfig{'coursedefaults'}{'uploadquota'}) eq 'HASH') {
                  $domdefaults{$type.'quota'} = $domconfig{'coursedefaults'}{'uploadquota'}{$type};
              }
+             if (ref($domconfig{'coursedefaults'}{'coursequota'}) eq 'HASH') {
+                 $domdefaults{$type.'coursequota'} = $domconfig{'coursedefaults'}{'coursequota'}{$type};
+             }
              if ($domdefaults{'postsubmit'} eq 'on') {
                  if (ref($domconfig{'coursedefaults'}{'postsubmit'}{'timeout'}) eq 'HASH') {
                      $domdefaults{$type.'postsubtimeout'} =
                          $domconfig{'coursedefaults'}{'postsubmit'}{'timeout'}{$type};
                  }
              }
+             if (ref($domconfig{'coursedefaults'}{'domexttool'}) eq 'HASH') {
+                 $domdefaults{$type.'domexttool'} = $domconfig{'coursedefaults'}{'domexttool'}{$type};
+             } else {
+                 $domdefaults{$type.'domexttool'} = 1;
+             }
+             if (ref($domconfig{'coursedefaults'}{'exttool'}) eq 'HASH') {
+                 $domdefaults{$type.'exttool'} = $domconfig{'coursedefaults'}{'exttool'}{$type};
+             } else {
+                 $domdefaults{$type.'exttool'} = 0;
+             }
          }
          if (ref($domconfig{'coursedefaults'}{'canclone'}) eq 'HASH') {
              if (ref($domconfig{'coursedefaults'}{'canclone'}{'instcode'}) eq 'ARRAY') {
- Line 2222  sub get_domain_defaults {
+ Line 2623  sub get_domain_defaults {
          } elsif ($domconfig{'coursedefaults'}{'canclone'}) {
              $domdefaults{'canclone'}=$domconfig{'coursedefaults'}{'canclone'};
          }
+         if ($domconfig{'coursedefaults'}{'texengine'}) {
+             $domdefaults{'texengine'} = $domconfig{'coursedefaults'}{'texengine'};
+         }
+         if (exists($domconfig{'coursedefaults'}{'ltiauth'})) {
+             $domdefaults{'crsltiauth'} = $domconfig{'coursedefaults'}{'ltiauth'};
+         }
      }
      if (ref($domconfig{'usersessions'}) eq 'HASH') {
          if (ref($domconfig{'usersessions'}{'remote'}) eq 'HASH') {
- Line 2233  sub get_domain_defaults {
+ Line 2640  sub get_domain_defaults {
          if (ref($domconfig{'usersessions'}{'offloadnow'}) eq 'HASH') {
              $domdefaults{'offloadnow'} = $domconfig{'usersessions'}{'offloadnow'};
          }
+         if (ref($domconfig{'usersessions'}{'offloadoth'}) eq 'HASH') {
+             $domdefaults{'offloadoth'} = $domconfig{'usersessions'}{'offloadoth'};
+         }
      }
      if (ref($domconfig{'selfenrollment'}) eq 'HASH') {
          if (ref($domconfig{'selfenrollment'}{'admin'}) eq 'HASH') {
- Line 2274  sub get_domain_defaults {
+ Line 2684  sub get_domain_defaults {
      }
      if (ref($domconfig{'autoenroll'}) eq 'HASH') {
          $domdefaults{'autofailsafe'} = $domconfig{'autoenroll'}{'autofailsafe'};
+         $domdefaults{'failsafe'} = $domconfig{'autoenroll'}{'failsafe'};
      }
      if (ref($domconfig{'helpsettings'}) eq 'HASH') {
          $domdefaults{'submitbugs'} = $domconfig{'helpsettings'}{'submitbugs'};
- Line 2281  sub get_domain_defaults {
+ Line 2692  sub get_domain_defaults {
              $domdefaults{'adhocroles'} = $domconfig{'helpsettings'}{'adhoc'};
          }
      }
+     if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+         foreach my $item ('ipheader','trusted','vpnint','vpnext','sslopt') {
+             if ($domconfig{'wafproxy'}{$item}) {
+                 $domdefaults{'waf_'.$item} = $domconfig{'wafproxy'}{$item};
+             }
+         }
+     }
+     if (ref($domconfig{'ltisec'}) eq 'HASH') {
+         if (ref($domconfig{'ltisec'}{'encrypt'}) eq 'HASH') {
+             $domdefaults{'linkprotenc_crs'} = $domconfig{'ltisec'}{'encrypt'}{'crs'};
+             $domdefaults{'linkprotenc_dom'} = $domconfig{'ltisec'}{'encrypt'}{'dom'};
+             $domdefaults{'ltienc_consumers'} = $domconfig{'ltisec'}{'encrypt'}{'consumers'};
+         }
+         if (ref($domconfig{'ltisec'}{'private'}) eq 'HASH') {
+             if (ref($domconfig{'ltisec'}{'private'}{'keys'}) eq 'ARRAY') {
+                 $domdefaults{'ltiprivhosts'} = $domconfig{'ltisec'}{'private'}{'keys'};
+             }
+         }
+         if (ref($domconfig{'ltisec'}{'suggested'}) eq 'HASH') {
+             my %suggestions = %{$domconfig{'ltisec'}{'suggested'}};
+             foreach my $item (keys(%{$domconfig{'ltisec'}{'suggested'}})) {
+                 unless (ref($domconfig{'ltisec'}{'suggested'}{$item}) eq 'HASH') {
+                     delete($suggestions{$item});
+                 }
+             }
+             if (keys(%suggestions)) {
+                 $domdefaults{'linkprotsuggested'} = \%suggestions;
+             }
+         }
+     }
+     if (ref($domconfig{'toolsec'}) eq 'HASH') {
+         if (ref($domconfig{'toolsec'}{'encrypt'}) eq 'HASH') {
+             $domdefaults{'toolenc_crs'} = $domconfig{'toolsec'}{'encrypt'}{'crs'};
+             $domdefaults{'toolenc_dom'} = $domconfig{'toolsec'}{'encrypt'}{'dom'};
+         }
+         if (ref($domconfig{'toolsec'}{'private'}) eq 'HASH') {
+             if (ref($domconfig{'toolsec'}{'private'}{'keys'}) eq 'ARRAY') {
+                 $domdefaults{'toolprivhosts'} = $domconfig{'toolsec'}{'private'}{'keys'};
+             }
+         }
+     }
      &do_cache_new('domdefaults',$domain,\%domdefaults,$cachetime);
      return %domdefaults;
  }
+ sub get_dom_cats {
+     my ($dom) = @_;
+     return unless (&domain($dom));
+     my ($cats,$cached)=&is_cached_new('cats',$dom);
+     unless (defined($cached)) {
+         my %domconfig = &get_dom('configuration',['coursecategories'],$dom);
+         if (ref($domconfig{'coursecategories'}) eq 'HASH') {
+             if (ref($domconfig{'coursecategories'}{'cats'}) eq 'HASH') {
+                 %{$cats} = %{$domconfig{'coursecategories'}{'cats'}};
+             } else {
+                 $cats = {};
+             }
+         } else {
+             $cats = {};
+         }
+         &Apache::lonnet::do_cache_new('cats',$dom,$cats,3600);
+     }
+     return $cats;
+ }
+ sub get_dom_instcats {
+     my ($dom) = @_;
+     return unless (&domain($dom));
+     my ($instcats,$cached)=&is_cached_new('instcats',$dom);
+     unless (defined($cached)) {
+         my (%coursecodes,%codes,@codetitles,%cat_titles,%cat_order);
+         my $totcodes = &retrieve_instcodes(\%coursecodes,$dom);
+         if ($totcodes > 0) {
+             my $caller = 'global';
+             if (&auto_instcode_format($caller,$dom,\%coursecodes,\%codes,
+                                       \@codetitles,\%cat_titles,\%cat_order) eq 'ok') {
+                 $instcats = {
+                                 totcodes => $totcodes,
+                                 codes => \%codes,
+                                 codetitles => \@codetitles,
+                                 cat_titles => \%cat_titles,
+                                 cat_order => \%cat_order,
+                             };
+                 &do_cache_new('instcats',$dom,$instcats,3600);
+             }
+         }
+     }
+     return $instcats;
+ }
+ sub retrieve_instcodes {
+     my ($coursecodes,$dom) = @_;
+     my $totcodes;
+     my %courses = &courseiddump($dom,'.',1,'.','.','.',undef,undef,'Course');
+     foreach my $course (keys(%courses)) {
+         if (ref($courses{$course}) eq 'HASH') {
+             if ($courses{$course}{'inst_code'} ne '') {
+                 $$coursecodes{$course} = $courses{$course}{'inst_code'};
+                 $totcodes ++;
+             }
+         }
+     }
+     return $totcodes;
+ }
+ # --------------------------------------------- Get domain config for passwords
+ sub get_passwdconf {
+     my ($dom) = @_;
+     my (%passwdconf,$gotconf,$lookup);
+     my ($result,$cached)=&is_cached_new('passwdconf',$dom);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %passwdconf = %{$result};
+             $gotconf = 1;
+         }
+     }
+     unless ($gotconf) {
+         my %domconfig = &get_dom('configuration',['passwords'],$dom);
+         if (ref($domconfig{'passwords'}) eq 'HASH') {
+             %passwdconf = %{$domconfig{'passwords'}};
+         }
+         my $cachetime = 24*60*60;
+         &do_cache_new('passwdconf',$dom,\%passwdconf,$cachetime);
+     }
+     return %passwdconf;
+ }
  sub course_portal_url {
-     my ($cnum,$cdom) = @_;
+     my ($cnum,$cdom,$r) = @_;
      my $chome = &homeserver($cnum,$cdom);
      my $hostname = &hostname($chome);
      my $protocol = $protocol{$chome};
- Line 2296  sub course_portal_url {
+ Line 2831  sub course_portal_url {
      if ($domdefaults{'portal_def'}) {
          $firsturl = $domdefaults{'portal_def'};
      } else {
+         my $alias = &Apache::lonnet::use_proxy_alias($r,$chome);
+         $hostname = $alias if ($alias ne '');
          $firsturl = $protocol.'://'.$hostname;
      }
      return $firsturl;
  }
+ sub url_prefix {
+     my ($r,$dom,$home,$context) = @_;
+     my $prefix;
+     my %domdefs = &get_domain_defaults($dom);
+     if ($domdefs{'portal_def'} && $domdefs{'portal_def_'.$context}) {
+         if ($domdefs{'portal_def'} =~ m{^(https?://[^/]+)}) {
+             $prefix = $1;
+         }
+     }
+     if ($prefix eq '') {
+         my $hostname = &hostname($home);
+         my $protocol = $protocol{$home};
+         $protocol = 'http' if ($protocol{$home} ne 'https');
+         my $alias = &use_proxy_alias($r,$home);
+         $hostname = $alias if ($alias ne '');
+         $prefix = $protocol.'://'.$hostname;
+     }
+     return $prefix;
+ }
  # --------------------------------------------------- Assign a key to a student
  sub assign_access_key {
- Line 2836  sub repcopy {
+ Line 3393  sub repcopy {
      }
  }
+ # ------------------------------------------------- Unsubscribe from a resource
+ sub unsubscribe {
+     my ($fname) = @_;
+     my $answer;
+     if ($fname=~/\/(aboutme|syllabus|bulletinboard|smppg)$/) { return $answer; }
+     $fname=~s/[\n\r]//g;
+     my $author=$fname;
+     $author=~s/\/home\/httpd\/html\/res\/([^\/]*)\/([^\/]*).*/$1\/$2/;
+     my ($udom,$uname)=split(/\//,$author);
+     my $home=homeserver($uname,$udom);
+     if ($home eq 'no_host') {
+         $answer = 'no_host';
+     } elsif (grep { $_ eq $home } &current_machine_ids()) {
+         $answer = 'home';
+     } else {
+         $answer = reply("unsub:$fname",$home);
+     }
+     return $answer;
+ }
  # ------------------------------------------------ Get server side include body
  sub ssi_body {
      my ($filelink,%form)=@_;
- Line 2864  sub ssi_body {
+ Line 3442  sub ssi_body {
  # --------------------------------------------------------- Server Side Include
  sub absolute_url {
-     my ($host_name) = @_;
+     my ($host_name,$unalias,$keep_proto) = @_;
      my $protocol = ($ENV{'SERVER_PORT'} == 443?'https://':'http://');
      if ($host_name eq '') {
  	$host_name = $ENV{'SERVER_NAME'};
      }
+     if ($unalias) {
+         my $alias = &get_proxy_alias();
+         if ($alias eq $host_name) {
+             my $lonhost = $perlvar{'lonHostID'};
+             my $hostname = &hostname($lonhost);
+             my $lcproto;
+             if (($keep_proto) || ($hostname eq '')) {
+                 $lcproto = $protocol;
+             } else {
+                 $lcproto = $protocol{$lonhost};
+                 $lcproto = 'http' if ($lcproto ne 'https');
+                 $lcproto .= '://';
+             }
+             unless ($hostname eq '') {
+                 return $lcproto.$hostname;
+             }
+         }
+     }
      return $protocol.$host_name;
  }
- Line 2885  sub absolute_url {
+ Line 3481  sub absolute_url {
  sub ssi {
      my ($fn,%form)=@_;
-     my $ua=new LWP::UserAgent;
+     my ($host,$request,$response);
-     my $request;
+     $host = &absolute_url('',1);
      $form{'no_update_last_known'}=1;
      &Apache::lonenc::check_encrypt(\$fn);
      if (%form) {
-       $request=new HTTP::Request('POST',&absolute_url().$fn);
+       $request=new HTTP::Request('POST',$host.$fn);
        $request->content(join('&',map {
              my $name = escape($_);
              "$name=" . ( ref($form{$_}) eq 'ARRAY'
- Line 2899  sub ssi {
+ Line 3495  sub ssi {
              : &escape($form{$_}) );
          } keys(%form)));
      } else {
-       $request=new HTTP::Request('GET',&absolute_url().$fn);
+       $request=new HTTP::Request('GET',$host.$fn);
      }
      $request->header(Cookie => $ENV{'HTTP_COOKIE'});
-     my $response= $ua->request($request);
+     if (($env{'request.course.id'}) &&
+         ($form{'grade_courseid'} eq $env{'request.course.id'}) &&
+         ($form{'grade_username'} ne '') && ($form{'grade_domain'} ne '') &&
+         ($form{'grade_symb'} ne '') &&
+         (&Apache::lonnet::allowed('mgr',$env{'request.course.id'}.
+                                  ($env{'request.course.sec'}?'/'.$env{'request.course.sec'}:'')))) {
+         if (LWP::UserAgent->VERSION >= 5.834) {
+             my $ua=new LWP::UserAgent;
+             $ua->local_address('127.0.0.1');
+             $response = $ua->request($request);
+         } else {
+             {
+                 require LWP::Protocol::http;
+                 local @LWP::Protocol::http::EXTRA_SOCK_OPTS = (LocalAddr => '127.0.0.1');
+                 my $ua=new LWP::UserAgent;
+                 $response = $ua->request($request);
+                 @LWP::Protocol::http::EXTRA_SOCK_OPTS = ();
+             }
+         }
+     } else {
+         my $ua=new LWP::UserAgent;
+         $response = $ua->request($request);
+     }
      if (wantarray) {
  	return ($response->content, $response);
      } else {
- Line 2923  sub externalssi {
+ Line 3542  sub externalssi {
      }
  }
+ # If the local copy of a replicated resource is outdated, trigger a
+ # connection from the homeserver to flush the delayed queue. If no update
+ # happens, remove local copies of outdated resource (and corresponding
+ # metadata file).
+ sub remove_stale_resfile {
+     my ($url) = @_;
+     my $removed;
+     if ($url=~m{^/res/($match_domain)/($match_username)/}) {
+         my $audom = $1;
+         my $auname = $2;
+         unless (($url =~ /\.\d+\.\w+$/) || ($url =~ m{^/res/lib/templates/})) {
+             my $homeserver = &homeserver($auname,$audom);
+             unless (($homeserver eq 'no_host') ||
+                     (grep { $_ eq $homeserver } &current_machine_ids())) {
+                 my $fname = &filelocation('',$url);
+                 if (-e $fname) {
+                     my $hostname = &hostname($homeserver);
+                     if ($hostname) {
+                         my $protocol = $protocol{$homeserver};
+                         $protocol = 'http' if ($protocol ne 'https');
+                         my $uri = $protocol.'://'.$hostname.'/raw/'.&declutter($url);
+                         my $ua=new LWP::UserAgent;
+                         $ua->timeout(5);
+                         my $request=new HTTP::Request('HEAD',$uri);
+                         my $response=$ua->request($request);
+                         if ($response->is_success()) {
+                             my $remmodtime = &HTTP::Date::str2time( $response->header('Last-modified') );
+                             my $locmodtime = (stat($fname))[9];
+                             if ($locmodtime < $remmodtime) {
+                                 my $stale;
+                                 my $answer = &reply('pong',$homeserver);
+                                 if ($answer eq $homeserver.':'.$perlvar{'lonHostID'}) {
+                                     sleep(0.2);
+                                     $locmodtime = (stat($fname))[9];
+                                     if ($locmodtime < $remmodtime) {
+                                         my $posstransfer = $fname.'.in.transfer';
+                                         if ((-e $posstransfer) && ($remmodtime < (stat($posstransfer))[9])) {
+                                             $removed = 1;
+                                         } else {
+                                             $stale = 1;
+                                         }
+                                     } else {
+                                         $removed = 1;
+                                     }
+                                 } else {
+                                     $stale = 1;
+                                 }
+                                 if ($stale) {
+                                     if (unlink($fname)) {
+                                         if ($uri!~/\.meta$/) {
+                                             if (-e $fname.'.meta') {
+                                                 unlink($fname.'.meta');
+                                             }
+                                         }
+                                         my $unsubresult = &unsubscribe($fname);
+                                         unless ($unsubresult eq 'ok') {
+                                             &logthis("no unsub of $fname from $homeserver, reason: $unsubresult");
+                                         }
+                                         $removed = 1;
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return $removed;
+ }
  # -------------------------------- Allow a /uploaded/ URI to be vouched for
  sub allowuploaded {
- Line 2978  sub can_edit_resource {
+ Line 3669  sub can_edit_resource {
          }
      }
+ #
+ # For /adm/viewcoauthors can only edit if author or co-author who is manager.
+ #
+     if (($resurl eq '/adm/viewcoauthors') && ($cnum ne '') && ($cdom ne '')) {
+         if (((&allowed('cca',"$cdom/$cnum")) ||
+              (&allowed('caa',"$cdom/$cnum"))) ||
+              ((&allowed('vca',"$cdom/$cnum") ||
+                &allowed('vaa',"$cdom/$cnum")) &&
+               ($env{"environment.internal.manager./$cdom/$cnum"}))) {
+             $home = $env{'user.home'};
+             $cfile = $resurl;
+             if ($env{'form.forceedit'}) {
+                 $forceview = 1;
+             } else {
+                 $forceedit = 1;
+             }
+             return ($cfile,$home,$switchserver,$forceedit,$forceview);
+         } else {
+             return;
+         }
+     }
      if ($env{'request.course.id'}) {
          my $crsedit = &Apache::lonnet::allowed('mdc',$env{'request.course.id'});
          if ($group ne '') {
- Line 3012  sub can_edit_resource {
+ Line 3726  sub can_edit_resource {
                      return;
                  }
              } elsif (!$crsedit) {
+                 if ($env{'request.role'} =~ m{^st\./$cdom/$cnum}) {
  #
  # No edit allowed where CC has switched to student role.
  #
-                 return;
+                     return;
+                 } elsif (($resurl !~ m{^/res/$match_domain/$match_username/}) ||
+                          ($resurl =~ m{^/res/lib/templates/})) {
+                     return;
+                 }
              }
          }
      }
- Line 3061  sub can_edit_resource {
+ Line 3780  sub can_edit_resource {
                          $forceedit = 1;
                      }
                      $cfile = $resurl;
+                 } elsif (($resurl =~ m{^/ext/}) && ($symb ne '')) {
+                     my ($map,$id,$res) = &decode_symb($symb);
+                     if ($map =~ /\.page$/) {
+                         $incourse = 1;
+                         if ($env{'form.forceedit'}) {
+                             $forceview = 1;
+                             $cfile = $map;
+                         } else {
+                             $forceedit = 1;
+                             $cfile =  '/adm/wrapper'.$resurl;
+                         }
+                     }
                  } elsif ($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) {
                      $incourse = 1;
                      if ($env{'form.forceedit'}) {
- Line 3086  sub can_edit_resource {
+ Line 3817  sub can_edit_resource {
                      $cfile = $template;
                  }
              } elsif (($resurl =~ m{^/adm/wrapper/ext/}) && ($env{'form.folderpath'} =~ /^supplemental/)) {
-                     $incourse = 1;
+                 $incourse = 1;
-                     if ($env{'form.forceedit'}) {
+                 if ($env{'form.forceedit'}) {
-                         $forceview = 1;
+                     $forceview = 1;
-                     } else {
+                 } else {
-                         $forceedit = 1;
+                     $forceedit = 1;
-                     }
+                 }
-                     $cfile = $resurl;
+                 $cfile = $resurl;
              } elsif (($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) && ($env{'form.folderpath'} =~ /^supplemental/)) {
                  $incourse = 1;
                  if ($env{'form.forceedit'}) {
- Line 3355  sub clean_filename {
+ Line 4086  sub clean_filename {
      }
  # Replace spaces by underscores
      $fname=~s/\s+/\_/g;
+ # Transliterate non-ascii text to ascii
+     my $lang = &Apache::lonlocal::current_language();
+     $fname = &LONCAPA::transliterate::fname_to_ascii($fname,$lang);
  # Replace all other weird characters by nothing
      $fname=~s{[^/\w\.\-]}{}g;
  # Replace all .\d. sequences with _\d. so they no longer look like version
  # numbers
      $fname=~s/\.(\d+)(?=\.)/_$1/g;
+ # Replace three or more adjacent underscores with one for consistency
+ # with loncfile::filename_check() so complete url can be extracted by
+ # lonnet::decode_symb()
+     $fname=~s/_{3,}/_/g;
      return $fname;
  }
  # This Function checks if an Image's dimensions exceed either $resizewidth (width)
  # or $resizeheight (height) - both pixels. If so, the image is scaled to produce an
  # image with the same aspect ratio as the original, but with dimensions which do
- Line 3404  sub resizeImage {
+ Line 4143  sub resizeImage {
  # input: $formname - the contents of the file are in $env{"form.$formname"}
  #                    the desired filename is in $env{"form.$formname.filename"}
  #        $context - possible values: coursedoc, existingfile, overwrite,
- #                                    canceloverwrite, scantron or ''.
+ #                                    canceloverwrite, scantron, toollogo or ''.
  #                   if 'coursedoc': upload to the current course
  #                   if 'existingfile': write file to tmp/overwrites directory
  #                   if 'canceloverwrite': delete file written to tmp/overwrites directory
- Line 3412  sub resizeImage {
+ Line 4151  sub resizeImage {
  #        $subdir - directory in userfile to store the file into
  #        $parser - instruction to parse file for objects ($parser = parse) or
  #                  if context is 'scantron', $parser is hashref of csv column mapping
  #                  (e.g.,{ PaperID => 0, LastName => 1, FirstName => 2, ID => 3,
  #                          Section => 4, CODE => 5, FirstQuestion => 9 }).
  #        $allfiles - reference to hash for embedded objects
  #        $codebase - reference to hash for codebase of java objects
- #        $desuname - username for permanent storage of uploaded file
+ #        $destuname - username for permanent storage of uploaded file
- #        $dsetudom - domain for permanaent storage of uploaded file
+ #        $destudom - domain for permanaent storage of uploaded file
  #        $thumbwidth - width (pixels) of thumbnail to make for uploaded image
  #        $thumbheight - height (pixels) of thumbnail to make for uploaded image
  #        $resizewidth - width (pixels) to which to resize uploaded image
- Line 3436  sub userfileupload {
+ Line 4175  sub userfileupload {
      $fname=&clean_filename($fname);
      # See if there is anything left
      unless ($fname) { return 'error: no uploaded file'; }
+     # If filename now begins with a . prepend unix timestamp _ milliseconds
+     if ($fname =~ /^\./) {
+         my ($s,$usec) = &gettimeofday();
+         while (length($usec) < 6) {
+             $usec = '0'.$usec;
+         }
+         $fname = $s.'_'.substr($usec,0,3).$fname;
+     }
      # Files uploaded to help request form, or uploaded to "create course" page are handled differently
      if ((($formname eq 'screenshot') && ($subdir eq 'helprequests')) ||
          (($formname eq 'coursecreatorxml') && ($subdir eq 'batchupload')) ||
- Line 3454  sub userfileupload {
+ Line 4201  sub userfileupload {
              } else {
                  $docudom = $env{'user.domain'};
              }
              if ($destuname =~ /^$match_username$/) {
                  $docuname = $destuname;
              } else {
                  $docuname = $env{'user.name'};
- Line 3619  sub finishuserfileupload {
+ Line 4366  sub finishuserfileupload {
      if (($thumbwidth =~ /^\d+$/) && ($thumbheight =~ /^\d+$/)) {
          my $input = $filepath.'/'.$file;
          my $output = $filepath.'/'.'tn-'.$file;
+         my $makethumb;
          my $thumbsize = $thumbwidth.'x'.$thumbheight;
-         my @args = ('convert','-sample',$thumbsize,$input,$output);
+         if ($context eq 'toollogo') {
-         system({$args[0]} @args);
+             my ($fullwidth,$fullheight) = &check_dimensions($input);
-         if (-e $filepath.'/'.'tn-'.$file) {
+             if ($fullwidth ne '' && $fullheight ne '') {
-             $fetchthumb  = 1;
+                 if ($fullwidth > $thumbwidth && $fullheight > $thumbheight) {
+                     $makethumb = 1;
+                 }
+             }
+         } else {
+             $makethumb = 1;
+         }
+         if ($makethumb) {
+             my @args = ('convert','-sample',$thumbsize,$input,$output);
+             system({$args[0]} @args);
+             if (-e $filepath.'/'.'tn-'.$file) {
+                 $fetchthumb  = 1;
+             }
          }
      }
- Line 3855  sub embedded_dependency {
+ Line 4615  sub embedded_dependency {
      return;
  }
+ sub check_dimensions {
+     my ($inputfile) = @_;
+     my ($fullwidth,$fullheight);
+     if (($inputfile =~ m|^[/\w.\-]+$|) && (-e $inputfile)) {
+         my $mm = new File::MMagic;
+         my $mime_type = $mm->checktype_filename($inputfile);
+         if ($mime_type =~ m{^image/}) {
+             if (open(PIPE,"identify $inputfile 2>&1 |")) {
+                 my $imageinfo = <PIPE>;
+                 if (!close(PIPE)) {
+                     &Apache::lonnet::logthis("Failed to close PIPE opened to retrieve image information for $inputfile");
+                 }
+                 chomp($imageinfo);
+                 my ($fullsize) =
+                     ($imageinfo =~ /^\Q$inputfile\E\s+\w+\s+(\d+x\d+)/);
+                 if ($fullsize) {
+                     ($fullwidth,$fullheight) = split(/x/,$fullsize);
+                 }
+             }
+         }
+     }
+     return ($fullwidth,$fullheight);
+ }
  sub bubblesheet_converter {
      my ($cdom,$fullpath,$config,$format) = @_;
      if ((&domain($cdom) ne '') &&
- Line 3908  sub bubblesheet_converter {
+ Line 4692  sub bubblesheet_converter {
                      next if (($num == 1) && ($csvoptions{'hdr'} == 1));
                      $line =~ s{[\r\n]+$}{};
                      my %found;
-                     my @values = split(/,/,$line);
+                     my @values = split(/,/,$line,-1);
                      my ($qstart,$record);
                      for (my $i=0; $i<@values; $i++) {
                          if ((($qstart ne '') && ($i > $qstart)) ||
- Line 4091  sub get_scantronformat_file {
+ Line 4875  sub get_scantronformat_file {
                  close($fh);
              }
          }
+         chomp(@lines);
      }
      return @lines;
  }
- Line 4212  sub flushcourselogs {
+ Line 4997  sub flushcourselogs {
              if (! defined($dom) || $dom eq '' ||
                  ! defined($name) || $name eq '') {
                  my $cid = $env{'request.course.id'};
+ #
+ # FIXME 11/29/2021
+ # Typo in rev. 1.458 (2003/12/09)??
+ # These should likely by $env{'course.'.$cid.'.domain'} and $env{'course.'.$cid.'.num'}
+ #
+ # While these remain as $env{'request.'.$cid.'.domain'} and $env{'request.'.$cid.'.num'}
+ # $dom and $name will always be null, so the &inc() call will default to storing this data
+ # in a nohist_accesscount.db file for the user rather than the course.
+ #
+ # That said there is a lot of noise in the data being stored.
+ # So counts for prtspool/  and adm/ etc. are recorded.
+ #
+ # A review of which items ending '___count' are written to %accesshash should likely be
+ # made before deciding whether to set these to 'course.' instead of 'request.'
+ #
+ # Under the current scheme each user receives a nohist_accesscount.db file listing
+ # accesses for things which are not published resources, regardless of course, and
+ # there is not a nohist_accesscount.db file in a course, which might log accesses from
+ # anyone in the course for things which are not published resources.
+ #
+ # For an author, nohist_accesscount.db ends up having records for other items
+ # mixed up with the legitimate access counts for the author's published resources.
+ #
                  $dom  = $env{'request.'.$cid.'.domain'};
                  $name = $env{'request.'.$cid.'.num'};
              }
- Line 4321  sub courseacclog {
+ Line 5129  sub courseacclog {
                  if ($formitem =~ /^HWFILE(?:SIZE|TOOBIG)/) {
                      $what.=':'.$formitem.'='.$env{$key};
                  } elsif ($formitem !~ /^HWFILE(?:[^.]+)$/) {
-                     $what.=':'.$formitem.'='.$env{$key};
+                     if ($formitem eq 'proctorpassword') {
+                         $what.=':'.$formitem.'=' . '*' x length($env{$key});
+                     } else {
+                         $what.=':'.$formitem.'='.$env{$key};
+                     }
                  }
              }
          }
- Line 4419  sub courserolelog {
+ Line 5231  sub courserolelog {
              $storehash{'group'} = $sec;
          } else {
              $storehash{'section'} = $sec;
+             my ($curruserdomstr,$newuserdomstr);
+             if (exists($env{'course.'.$cdom.'_'.$cnum.'.internal.userdomains'})) {
+                 $curruserdomstr = $env{'course.'.$env{'request.course.id'}.'.internal.userdomains'};
+             } else {
+                 my %courseinfo = &coursedescription($cdom.'/'.$cnum);
+                 $curruserdomstr = $courseinfo{'internal.userdomains'};
+             }
+             if ($curruserdomstr ne '') {
+                 my @udoms = split(/,/,$curruserdomstr);
+                 unless (grep(/^\Q$domain\E/,@udoms)) {
+                     push(@udoms,$domain);
+                     $newuserdomstr = join(',',sort(@udoms));
+                 }
+             } else {
+                 $newuserdomstr = $domain;
+             }
+             if ($newuserdomstr ne '') {
+                 my $putresult = &put('environment',{ 'internal.userdomains' => $newuserdomstr },
+                                      $cdom,$cnum);
+                 if ($putresult eq 'ok') {
+                     unless (($selfenroll) || ($context eq 'selfenroll')) {
+                         if (($context eq 'createcourse') || ($context eq 'requestcourses') ||
+                             ($context eq 'automated') || ($context eq 'domain')) {
+                             $env{'course.'.$cdom.'_'.$cnum.'.internal.userdomains'} = $newuserdomstr;
+                         } elsif ($env{'request.course.id'} eq $cdom.'_'.$cnum) {
+                             &appenv({'course.'.$cdom.'_'.$cnum.'.internal.userdomains' => $newuserdomstr});
+                         }
+                     }
+                 }
+             }
          }
          &write_log('course',$namespace,\%storehash,$delflag,$username,
                     $domain,$cnum,$cdom);
- Line 4466  sub coauthorrolelog {
+ Line 5308  sub coauthorrolelog {
      return;
  }
+ sub authorarchivelog {
+     my ($hashref,$size,$filesdest,$action) = @_;
+     my $lonprtdir = $Apache::lonnet::perlvar{'lonPrtDir'};
+     my $londocroot = $Apache::lonnet::perlvar{'lonDocRoot'};
+     $filesdest =~ s{^\Q$lonprtdir/\E}{};
+     if ($filesdest =~ m{^($match_username)_($match_domain)_archive_(\d+_\d+_\d+(|[.\w]+))$}) {
+         my ($auname,$audom,$id) = ($1,$2,$3);
+         if (ref($hashref) eq 'HASH') {
+             my $namespace = 'archivelog';
+             my $dir;
+             if ($hashref->{dir} =~ m{^\Q$londocroot/priv/$audom/$auname\E(.*)$}) {
+                 $dir = $1;
+             }
+             my $delflag = 0;
+             my %storehash = (
+                               id      => $id,
+                               dir     => $dir,
+                               files   => $hashref->{numfiles},
+                               subdirs => $hashref->{numdirs},
+                               bytes   => $hashref->{bytes},
+                               size    => $size,
+                               action  => $action,
+                             );
+             if ($action eq 'delete') {
+                 $delflag = 1;
+             }
+             &write_log('author',$namespace,\%storehash,$delflag,$auname,
+                        $audom,$auname,$audom);
+         }
+     }
+     return;
+ }
  sub get_course_adv_roles {
      my ($cid,$codes) = @_;
      $cid=$env{'request.course.id'} unless (defined($cid));
- Line 4973  sub courselastaccess {
+ Line 5848  sub courselastaccess {
  sub extract_lastaccess {
      my ($returnhash,$rep) = @_;
      if (ref($returnhash) eq 'HASH') {
-         unless ($rep eq 'unknown_command' || $rep eq 'no_such_host' ||
+         unless ($rep eq 'unknown_cmd' || $rep eq 'no_such_host' ||
                  $rep eq 'con_lost' || $rep eq 'rejected' || $rep eq 'refused' ||
                   $rep eq '') {
              my @pairs=split(/\&/,$rep);
- Line 5118  sub set_first_access {
+ Line 5993  sub set_first_access {
      }
      $cachedkey='';
      my $firstaccess=&get_first_access($type,$symb,$map);
-     if (!$firstaccess) {
+     if ($firstaccess) {
+         &logthis("First access time already set ($firstaccess) when attempting ".
+                  "to set new value (type: $type, extent: $res) for $uname:$udom ".
+                  "in $courseid");
+         return 'already_set';
+     } else {
          my $start = time;
  	my $putres = &put('firstaccesstimes',{"$courseid\0$res"=>$start},
                            $udom,$uname);
- Line 5131  sub set_first_access {
+ Line 6011  sub set_first_access {
                          'course.'.$courseid.'.timerinterval.'.$res => $interval,
                       }
                    );
+             if (($cachedtime) && (abs($start-$cachedtime) < 5)) {
+                 $cachedtimes{"$courseid\0$res"} = $start;
+             }
+         } elsif ($putres ne 'refused') {
+             &logthis("Result: $putres when attempting to set first access time ".
+                      "(type: $type, extent: $res) for $uname:$udom in $courseid");
          }
          return $putres;
      }
- Line 5142  sub checkout {
+ Line 6028  sub checkout {
      my ($symb,$tuname,$tudom,$tcrsid)=@_;
      my $now=time;
      my $lonhost=$perlvar{'lonHostID'};
+     my $ip = &get_requestor_ip();
      my $infostr=&escape(
                   'CHECKOUTTOKEN&'.
                   $tuname.'&'.
                   $tudom.'&'.
                   $tcrsid.'&'.
                   $symb.'&'.
-                  $now.'&'.$ENV{'REMOTE_ADDR'});
+                  $now.'&'.$ip);
      my $token=&reply('tmpput:'.$infostr,$lonhost);
      if ($token=~/^error\:/) {
          &logthis("<font color=\"blue\">WARNING: ".
- Line 5162  sub checkout {
+ Line 6049  sub checkout {
      my %infohash=('resource.0.outtoken' => $token,
                    'resource.0.checkouttime' => $now,
-                   'resource.0.outremote' => $ENV{'REMOTE_ADDR'});
+                   'resource.0.outremote' => $ip);
      unless (&cstore(\%infohash,$symb,$tcrsid,$tudom,$tuname) eq 'ok') {
         return '';
- Line 5193  sub checkin {
+ Line 6080  sub checkin {
      $lonhost=~tr/A-Z/a-z/;
      my $dtoken=$ta.'_'.&hostname($lonhost).'_'.$tb;
      $dtoken=~s/\W/\_/g;
+     my $ip = &get_requestor_ip();
      my ($dummy,$tuname,$tudom,$tcrsid,$symb,$chtim,$rmaddr)=
                   split(/\&/,&unescape(&reply('tmpget:'.$dtoken,$lonhost)));
- Line 5209  sub checkin {
+ Line 6097  sub checkin {
      my %infohash=('resource.0.intoken' => $token,
                    'resource.0.checkintime' => $now,
-                   'resource.0.inremote' => $ENV{'REMOTE_ADDR'});
+                   'resource.0.inremote' => $ip);
      unless (&cstore(\%infohash,$symb,$tcrsid,$tudom,$tuname) eq 'ok') {
         return '';
- Line 5477  sub tmpreset {
+ Line 6365  sub tmpreset {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
    my $path=LONCAPA::tempdir();
    my %hash;
- Line 5514  sub tmpstore {
+ Line 6402  sub tmpstore {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
    my $now=time;
    my %hash;
- Line 5558  sub tmprestore {
+ Line 6446  sub tmprestore {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
    my %returnhash;
    $namespace=~s/\//\_/g;
- Line 5614  sub store {
+ Line 6502  sub store {
      }
      if (!$home) { $home=$env{'user.home'}; }
-     $$storehash{'ip'}=$ENV{'REMOTE_ADDR'};
+     $$storehash{'ip'}=&get_requestor_ip();
      $$storehash{'host'}=$perlvar{'lonHostID'};
      my $namevalue='';
- Line 5634  sub cstore {
+ Line 6522  sub cstore {
      if ($stuname) { $home=&homeserver($stuname,$domain); }
-     $symb=&symbclean($symb);
+     unless (($symb eq '_feedback') || ($symb eq '_discussion')) {
+         $symb=&symbclean($symb);
+     }
      if (!$symb) { unless ($symb=&symbread()) { return ''; } }
      if (!$domain) { $domain=$env{'user.domain'}; }
      if (!$stuname) { $stuname=$env{'user.name'}; }
-     &devalidate($symb,$stuname,$domain);
+     unless (($symb eq '_feedback') || ($symb eq '_discussion')) {
+         &devalidate($symb,$stuname,$domain);
+     }
      $symb=escape($symb);
      if (!$namespace) {
- Line 5650  sub cstore {
+ Line 6542  sub cstore {
      }
      if (!$home) { $home=$env{'user.home'}; }
-     $$storehash{'ip'}=$ENV{'REMOTE_ADDR'};
+     $$storehash{'ip'} = &get_requestor_ip();
      $$storehash{'host'}=$perlvar{'lonHostID'};
      my $namevalue='';
- Line 5914  sub rolesinit {
+ Line 6806  sub rolesinit {
      my %firstaccess = &dump('firstaccesstimes', $domain, $username);
      my %timerinterval = &dump('timerinterval', $domain, $username);
      my (%coursetimerstarts, %firstaccchk, %firstaccenv, %coursetimerintervals,
-         %timerintchk, %timerintenv);
+         %timerintchk, %timerintenv,%coauthorenv);
      foreach my $key (keys(%firstaccess)) {
          my ($cid, $rest) = split(/\0/, $key);
- Line 5928  sub rolesinit {
+ Line 6820  sub rolesinit {
      my %allroles=();
      my %allgroups=();
+     my %gotcoauconfig=();
+     my %domdefaults=();
      for my $area (grep { ! /^rolesdef_/ } keys(%rolesdump)) {
          my $role = $rolesdump{$area};
- Line 5979  sub rolesinit {
+ Line 6873  sub rolesinit {
          } else {
          # Normal role, defined in roles.tab
              &standard_roleprivs(\%allroles,$trole,$tdomain,$spec,$trest,$area);
+             if (($trole eq 'ca') || ($trole eq 'aa')) {
+                 (undef,my ($audom,$auname)) = split(/\//,$area);
+                 unless ($gotcoauconfig{$area}) {
+                     my @ca_settings = ('authoreditors','coauthorlist','coauthoroptin');
+                     my %info = &userenvironment($audom,$auname,@ca_settings);
+                     $gotcoauconfig{$area} = 1;
+                     foreach my $item (@ca_settings) {
+                         if (exists($info{$item})) {
+                             my $name = $item;
+                             if ($item eq 'authoreditors') {
+                                 $name = 'editors';
+                                 unless ($info{'authoreditors'}) {
+                                     my %domdefs;
+                                     if (ref($domdefaults{$audom}) eq 'HASH') {
+                                         %domdefs = %{$domdefaults{$audom}};
+                                     } else {
+                                         %domdefs = &get_domain_defaults($audom);
+                                         $domdefaults{$audom} = \%domdefs;
+                                     }
+                                     if ($domdefs{$name} ne '') {
+                                         $info{'authoreditors'} = $domdefs{$name};
+                                     } else {
+                                         $info{'authoreditors'} = 'edit,xml';
+                                     }
+                                 }
+                             }
+                             $coauthorenv{"environment.internal.$name.$area"} = $info{$item};
+                         }
+                     }
+                 }
+             }
          }
          my $cid = $tdomain.'_'.$trest;
- Line 6007  sub rolesinit {
+ Line 6932  sub rolesinit {
      $env{'user.adv'} = $userroles{'user.adv'};
      $env{'user.rar'} = $userroles{'user.rar'};
-     return (\%userroles,\%firstaccenv,\%timerintenv);
+     return (\%userroles,\%firstaccenv,\%timerintenv,\%coauthorenv);
  }
  sub set_arearole {
- Line 6068  sub course_adhocrole_privs {
+ Line 6993  sub course_adhocrole_privs {
              $full{$priv} = $restrict;
          }
          foreach my $item (split(/,/,$overrides{"internal.adhocpriv.$rolename"})) {
-              next if ($item eq '');
+             next if ($item eq '');
-              my ($rule,$rest) = split(/=/,$item);
+             my ($rule,$rest) = split(/=/,$item);
-              next unless (($rule eq 'off') || ($rule eq 'on'));
+             next unless (($rule eq 'off') || ($rule eq 'on'));
-              foreach my $priv (split(/:/,$rest)) {
+             foreach my $priv (split(/:/,$rest)) {
-                  if ($priv ne '') {
+                 if ($priv ne '') {
-                      if ($rule eq 'off') {
+                     if ($rule eq 'off') {
-                          $possremove{$priv} = 1;
+                         $possremove{$priv} = 1;
-                      } else {
+                     } else {
-                          $possadd{$priv} = 1;
+                         $possadd{$priv} = 1;
-                      }
+                     }
-                  }
+                 }
-              }
+             }
-          }
+         }
-          foreach my $priv (sort(keys(%full))) {
+         foreach my $priv (sort(keys(%full))) {
-              if (exists($currprivs{$priv})) {
+             if (exists($currprivs{$priv})) {
-                  unless (exists($possremove{$priv})) {
+                 unless (exists($possremove{$priv})) {
-                      $storeprivs{$priv} = $currprivs{$priv};
+                     $storeprivs{$priv} = $currprivs{$priv};
-                  }
+                 }
-              } elsif (exists($possadd{$priv})) {
+             } elsif (exists($possadd{$priv})) {
-                  $storeprivs{$priv} = $full{$priv};
+                 $storeprivs{$priv} = $full{$priv};
-              }
+             }
-          }
+         }
-          $coursepriv = ':'.join(':',map { $_.'&'.$storeprivs{$_}; } sort(keys(%storeprivs)));
+         $coursepriv = ':'.join(':',map { $_.'&'.$storeprivs{$_}; } sort(keys(%storeprivs)));
-      }
+     }
-      return $coursepriv;
+     return $coursepriv;
  }
  sub group_roleprivs {
- Line 6356  sub set_adhoc_privileges {
+ Line 7281  sub set_adhoc_privileges {
      my ($author,$adv,$rar)= &set_userprivs(\%userroles,\%rolehash);
      &appenv(\%userroles,[$role,'cm']);
      &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},"Role ".$spec);
-     unless ($caller eq 'constructaccess' && $env{'request.course.id'}) {
+     unless (($caller eq 'constructaccess' && $env{'request.course.id'}) ||
+             ($caller eq 'tiny')) {
          &appenv( {'request.role'        => $spec,
                    'request.role.domain' => $dcdom,
                    'request.course.sec'  => $sec,
- Line 6366  sub set_adhoc_privileges {
+ Line 7292  sub set_adhoc_privileges {
          if (&allowed('adv') eq 'F') { $tadv=1; }
          &appenv({'request.role.adv'    => $tadv});
      }
+     if ($role eq 'ca') {
+         my @ca_settings = ('authoreditors','coauthorlist');
+         my %info = &userenvironment($dcdom,$pickedcourse,@ca_settings);
+         foreach my $item (@ca_settings) {
+             if (exists($info{$item})) {
+                 my $name = $item;
+                 if ($item eq 'authoreditors') {
+                     $name = 'editors';
+                     unless ($info{'authoreditors'}) {
+                         my %domdefs = &get_domain_defaults($dcdom);
+                         if ($domdefs{$name} ne '') {
+                             $info{'authoreditors'} = $domdefs{$name};
+                         } else {
+                             $info{'authoreditors'} = 'edit,xml';
+                         }
+                     }
+                 }
+                 &appenv({"environment.internal.$name./$dcdom/$pickedcourse" => $info{$item}});
+             }
+         }
+     }
  }
  # --------------------------------------------------------------- get interface
- Line 6431  sub unserialize {
+ Line 7378  sub unserialize {
  # see Lond::dump_with_regexp
  # if $escapedkeys hash keys won't get unescaped.
  sub dump {
-     my ($namespace,$udomain,$uname,$regexp,$range,$escapedkeys)=@_;
+     my ($namespace,$udomain,$uname,$regexp,$range,$escapedkeys,$encrypt)=@_;
      if (!$udomain) { $udomain=$env{'user.domain'}; }
      if (!$uname) { $uname=$env{'user.name'}; }
      my $uhome=&homeserver($uname,$udomain);
- Line 6447  sub dump {
+ Line 7394  sub dump {
                      $uname, $namespace, $regexp, $range)), $perlvar{'lonVersion'});
          return %{&unserialize($reply, $escapedkeys)};
      }
-     my $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     my $rep;
+     if ($encrypt) {
+         $rep=&reply("encrypt:edump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     } else {
+         $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
+     }
      my @pairs=split(/\&/,$rep);
      my %returnhash=();
      if (!($rep =~ /^error/ )) {
- Line 6507  sub currentdump {
+ Line 7459  sub currentdump {
     #
     my %returnhash=();
     #
-    if ($rep eq 'unknown_cmd') {
+    if ($rep eq "unknown_cmd") {
         # an old lond will not know currentdump
         # Do a dump and make it look like a currentdump
         my @tmp = &dumpstore($courseid,$sdom,$sname,'.');
- Line 6593  sub inc {
+ Line 7545  sub inc {
  # --------------------------------------------------------------- put interface
  sub put {
-    my ($namespace,$storehash,$udomain,$uname)=@_;
+    my ($namespace,$storehash,$udomain,$uname,$encrypt)=@_;
     if (!$udomain) { $udomain=$env{'user.domain'}; }
     if (!$uname) { $uname=$env{'user.name'}; }
     my $uhome=&homeserver($uname,$udomain);
- Line 6602  sub put {
+ Line 7554  sub put {
         $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
     }
     $items=~s/\&$//;
-    return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    if ($encrypt) {
+        return &reply("encrypt:put:$udomain:$uname:$namespace:$items",$uhome);
+    } else {
+        return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    }
  }
  # ------------------------------------------------------------ newput interface
- Line 6642  sub putstore {
+ Line 7598  sub putstore {
         foreach my $key (keys(%{$storehash})) {
             $namevalue.=&escape($key).'='.&freeze_escape($storehash->{$key}).'&';
         }
-        $namevalue .= 'ip='.&escape($ENV{'REMOTE_ADDR'}).
+        my $ip = &get_requestor_ip();
+        $namevalue .= 'ip='.&escape($ip).
                       '&host='.&escape($perlvar{'lonHostID'}).
                       '&version='.$esc_v.
                       '&by='.&escape($env{'user.name'}.':'.$env{'user.domain'});
- Line 6866  sub portfolio_access {
+ Line 7823  sub portfolio_access {
      if ($result) {
          my %setters;
          if ($env{'user.name'} eq 'public' && $env{'user.domain'} eq 'public') {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-                 &Apache::loncommon::blockcheck(\%setters,'port',$unum,$udom);
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip,$unum,$udom);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip))  {
                  return 'B';
              }
          } else {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdo) =
-                 &Apache::loncommon::blockcheck(\%setters,'port');
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip)) {
                  return 'B';
              }
          }
- Line 6888  sub portfolio_access {
+ Line 7845  sub portfolio_access {
  }
  sub get_portfolio_access {
-     my ($udom,$unum,$file_name,$group,$clientip,$access_hash) = @_;
+     my ($udom,$unum,$file_name,$group,$clientip,$access_hash,$portaccessref) = @_;
      if (!ref($access_hash)) {
  	my $current_perms = &get_portfile_permissions($udom,$unum);
- Line 6897  sub get_portfolio_access {
+ Line 7854  sub get_portfolio_access {
  	$access_hash = $access_controls{$file_name};
      }
-     my ($public,$guest,@domains,@users,@courses,@groups,@ips);
+     my $portaccess;
+     if (ref($portaccess) eq 'SCALAR') {
+         $portaccess = $$portaccessref;
+     } else {
+         $portaccess = &usertools_access($unum,$udom,'portaccess',undef,'tools');
+     }
+     my ($public,$guest,@domains,@users,@courses,@groups,@ips,@userips);
      my $now = time;
      if (ref($access_hash) eq 'HASH') {
          foreach my $key (keys(%{$access_hash})) {
              my ($num,$scope,$end,$start) = ($key =~ /^([^:]+):([a-z]+)_(\d*)_?(\d*)$/);
+             next if (($scope ne 'ip') && ($portaccess == 0));
              if ($start > $now) {
                  next;
              }
- Line 6923  sub get_portfolio_access {
+ Line 7888  sub get_portfolio_access {
                  push(@groups,$key);
              } elsif ($scope eq 'ip') {
                  push(@ips,$key);
+             } elsif ($scope eq 'userip') {
+                 push(@userips,$key);
              }
          }
          if ($public) {
- Line 6940  sub get_portfolio_access {
+ Line 7907  sub get_portfolio_access {
              if ($allowed) {
                  return 'ok';
              }
+         } elsif (@userips > 0) {
+             my $allowed;
+             foreach my $useripkey (@userips) {
+                 if (ref($access_hash->{$useripkey}{'ip'}) eq 'ARRAY') {
+                     if (&Apache::loncommon::check_ip_acc(join(',',@{$access_hash->{$useripkey}{'ip'}}),$clientip)) {
+                         $allowed = 1;
+                         last;
+                     }
+                 }
+             }
+             if ($allowed) {
+                 return 'ok';
+             }
          }
          if ($env{'user.name'} eq 'public' && $env{'user.domain'} eq 'public') {
              if ($guest) {
- Line 7115  sub is_portfolio_file {
+ Line 8095  sub is_portfolio_file {
      return;
  }
+ sub is_coursetool_logo {
+     my ($uri) = @_;
+     if ($env{'request.course.id'}) {
+         my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
+         if ($uri =~ m{^/*uploaded\Q$courseurl\E/toollogo/\d+/[^/]+$}) {
+             return 1;
+         }
+     }
+     return;
+ }
  sub usertools_access {
      my ($uname,$udom,$tool,$action,$context,$userenvref,$domdefref,$is_advref)=@_;
      my ($access,%tools);
- Line 7127  sub usertools_access {
+ Line 8118  sub usertools_access {
                        unofficial => 1,
                        community  => 1,
                        textbook   => 1,
+                       lti        => 1,
                   );
      } elsif ($context eq 'requestauthor') {
          %tools = (
                        requestauthor => 1,
                   );
+     } elsif ($context eq 'authordefaults') {
+         %tools = (
+                       webdav    => 1,
+                  );
      } else {
          %tools = (
                        aboutme   => 1,
                        blog      => 1,
                        webdav    => 1,
                        portfolio => 1,
+                       portaccess => 1,
+                       timezone  => 1,
                   );
      }
      return if (!defined($tools{$tool}));
- Line 7153  sub usertools_access {
+ Line 8151  sub usertools_access {
                  return $env{'environment.canrequest.'.$tool};
              } elsif ($context eq 'requestauthor') {
                  return $env{'environment.canrequest.author'};
+             } elsif ($context eq 'authordefaults') {
+                 if ($tool eq 'webdav') {
+                     return $env{'environment.availabletools.'.$tool};
+                 }
              } else {
                  return $env{'environment.availabletools.'.$tool};
              }
- Line 7162  sub usertools_access {
+ Line 8164  sub usertools_access {
      my ($toolstatus,$inststatus,$envkey);
      if ($context eq 'requestauthor') {
          $envkey = $context;
+     } elsif ($context eq 'authordefaults') {
+         if ($tool eq 'webdav') {
+             $envkey = 'tools.'.$tool;
+         }
      } else {
          $envkey = $context.'.'.$tool;
      }
- Line 7323  sub is_advanced_user {
+ Line 8329  sub is_advanced_user {
  }
  sub check_can_request {
-     my ($dom,$can_request,$request_domains) = @_;
+     my ($dom,$can_request,$request_domains,$uname,$udom) = @_;
      my $canreq = 0;
+     if (($env{'user.name'} ne '') && ($env{'user.domain'} ne '')) {
+         $uname = $env{'user.name'};
+         $udom = $env{'user.domain'};
+     }
      my ($types,$typename) = &Apache::loncommon::course_types();
      my @options = ('approval','validate','autolimit');
      my $optregex = join('|',@options);
      if ((ref($can_request) eq 'HASH') && (ref($types) eq 'ARRAY')) {
          foreach my $type (@{$types}) {
-             if (&usertools_access($env{'user.name'},
+             if (&usertools_access($uname,$udom,$type,undef,
-                                   $env{'user.domain'},
+                                   'requestcourses')) {
-                                   $type,undef,'requestcourses')) {
                  $canreq ++;
                  if (ref($request_domains) eq 'HASH') {
-                     push(@{$request_domains->{$type}},$env{'user.domain'});
+                     push(@{$request_domains->{$type}},$udom);
                  }
-                 if ($dom eq $env{'user.domain'}) {
+                 if ($dom eq $udom) {
                      $can_request->{$type} = 1;
                  }
              }
-             if ($env{'environment.reqcrsotherdom.'.$type} ne '') {
+             if (($env{'user.name'} ne '') && ($env{'user.domain'} ne '') &&
+                 ($env{'environment.reqcrsotherdom.'.$type} ne '')) {
                  my @curr = split(',',$env{'environment.reqcrsotherdom.'.$type});
                  if (@curr > 0) {
                      foreach my $item (@curr) {
- Line 7358  sub check_can_request {
+ Line 8368  sub check_can_request {
                              }
                          }
                      }
-                     unless($dom eq $env{'user.domain'}) {
+                     unless ($dom eq $env{'user.domain'}) {
                          $canreq ++;
                          if (grep(/^\Q$dom\E:($optregex)(=?\d*)$/,@curr)) {
                              $can_request->{$type} = 1;
- Line 7423  sub customaccess {
+ Line 8433  sub customaccess {
  # ------------------------------------------------- Check for a user privilege
  sub allowed {
-     my ($priv,$uri,$symb,$role,$clientip,$noblockcheck)=@_;
+     my ($priv,$uri,$symb,$role,$clientip,$noblockcheck,$ignorecache,$nodeeplinkcheck,$nodeeplinkout)=@_;
      my $ver_orguri=$uri;
      $uri=&deversion($uri);
      my $orguri=$uri;
      $uri=&declutter($uri);
      if ($priv eq 'evb') {
- # Evade communication block restrictions for specified role in a course
+ # Evade communication block restrictions for specified role in a course or domain
          if ($env{'user.priv.'.$role} =~/evb\&([^\:]*)/) {
              return $1;
          } else {
- Line 7440  sub allowed {
+ Line 8450  sub allowed {
      if (defined($env{'allowed.'.$priv})) { return $env{'allowed.'.$priv}; }
  # Free bre access to adm and meta resources
-     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard|ext\.tool)$}))
+     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard|viewclasslist|aboutme|ext\.tool)$}))
  	 || (($uri=~/\.meta$/) && ($uri!~m|^uploaded/|) ))
  	&& ($priv eq 'bre')) {
  	return 'F';
- Line 7451  sub allowed {
+ Line 8461  sub allowed {
      if (($space=~/^(uploaded|editupload)$/) && ($env{'user.name'} eq $name) &&
  	($env{'user.domain'} eq $domain) && ('portfolio' eq $dir[0])) {
          my %setters;
-         my ($startblock,$endblock) =
+         my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-             &Apache::loncommon::blockcheck(\%setters,'port');
+             &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-         if ($startblock && $endblock) {
+         if (($startblock && $endblock) || ($by_ip)) {
              return 'B';
          } else {
              return 'F';
- Line 7488  sub allowed {
+ Line 8498  sub allowed {
  # Free bre to public access
      if ($priv eq 'bre') {
-         my $copyright=&metadata($uri,'copyright');
+         my $copyright;
+         unless ($uri =~ /ext\.tool/) {
+             $copyright=&metadata($uri,'copyright');
+         }
  	if (($copyright eq 'public') && (!$env{'request.course.id'})) {
             return 'F';
          }
- Line 7546  sub allowed {
+ Line 8559  sub allowed {
                          my $adom = $1;
                          foreach my $key (keys(%env)) {
                              if ($key =~ m{^user\.role\.(ca|aa)/\Q$adom\E}) {
-                                 my ($start,$end) = split('.',$env{$key});
+                                 my ($start,$end) = split(/\./,$env{$key});
-                                 if (($now >= $start) && (!$end || $end < $now)) {
+                                 if (($now >= $start) && (!$end || $end > $now)) {
                                      $ownaccess = 1;
                                      last;
                                  }
- Line 7559  sub allowed {
+ Line 8572  sub allowed {
                          foreach my $role ('ca','aa') {
                              if ($env{"user.role.$role./$adom/$aname"}) {
                                  my ($start,$end) =
-                                     split('.',$env{"user.role.$role./$adom/$aname"});
+                                     split(/\./,$env{"user.role.$role./$adom/$aname"});
-                                 if (($now >= $start) && (!$end || $end < $now)) {
+                                 if (($now >= $start) && (!$end || $end > $now)) {
                                      $ownaccess = 1;
                                      last;
                                  }
- Line 7605  sub allowed {
+ Line 8618  sub allowed {
      if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseuri}
         =~/\Q$priv\E\&([^\:]*)/) {
-         unless (($priv eq 'bro') && (!$ownaccess)) {
+         if ($priv eq 'mip') {
-             $thisallowed.=$1;
+             my $rem = $1;
+             if (($uri ne '') && ($env{'request.course.id'} eq $uri) &&
+                 ($env{'course.'.$env{'request.course.id'}.'.internal.courseowner'} eq $env{'user.name'}.':'.$env{'user.domain'})) {
+                 my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+                 if ($cdom ne '') {
+                     my %passwdconf = &get_passwdconf($cdom);
+                     if (ref($passwdconf{'crsownerchg'}) eq 'HASH') {
+                         if (ref($passwdconf{'crsownerchg'}{'by'}) eq 'ARRAY') {
+                             if (@{$passwdconf{'crsownerchg'}{'by'}}) {
+                                 my @inststatuses = split(':',$env{'environment.inststatus'});
+                                 unless (@inststatuses) {
+                                     @inststatuses = ('default');
+                                 }
+                                 foreach my $status (@inststatuses) {
+                                     if (grep(/^\Q$status\E$/,@{$passwdconf{'crsownerchg'}{'by'}})) {
+                                         $thisallowed.=$rem;
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         } else {
+             unless (($priv eq 'bro') && (!$ownaccess)) {
+                 $thisallowed.=$1;
+             }
          }
      }
- Line 7619  sub allowed {
+ Line 8658  sub allowed {
              if ($env{'user.priv.'.$env{'request.role'}.'./'}
                    =~/\Q$priv\E\&([^\:]*)/) {
                  my $value = $1;
-                 if ($noblockcheck) {
+                 my $deeplinkblock;
+                 unless ($nodeeplinkcheck) {
+                     $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                 }
+                 if ($deeplinkblock) {
+                     $thisallowed='D';
+                 } elsif ($noblockcheck) {
                      $thisallowed.=$value;
                  } else {
-                     my @blockers = &has_comm_blocking($priv,$symb,$uri);
+                     my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
                      if (@blockers > 0) {
                          $thisallowed = 'B';
                      } else {
- Line 7639  sub allowed {
+ Line 8684  sub allowed {
                      $refuri=&declutter($refuri);
                      my ($match) = &is_on_map($refuri);
                      if ($match) {
-                         if ($noblockcheck) {
+                         my $deeplinkblock;
+                         unless ($nodeeplinkcheck) {
+                             $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                         }
+                         if ($deeplinkblock) {
+                             $thisallowed='D';
+                         } elsif ($noblockcheck) {
                              $thisallowed='F';
                          } else {
-                             my @blockers = &has_comm_blocking($priv,$symb,$refuri);
+                             my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
                              if (@blockers > 0) {
                                  $thisallowed = 'B';
                              } else {
- Line 7669  sub allowed {
+ Line 8720  sub allowed {
  # If this is generating or modifying users, exit with special codes
-     if (':csu:cdc:ccc:cin:cta:cep:ccr:cst:cad:cli:cau:cdg:cca:caa:'=~/\:\Q$priv\E\:/) {
+     if (':csu:cdc:ccc:cin:cta:cep:ccr:cst:cad:cli:cau:cdg:cca:caa::vca:vaa:'=~/\:\Q$priv\E\:/) {
  	if (($priv eq 'cca') || ($priv eq 'caa')) {
  	    my ($audom,$auname)=split('/',$uri);
  # no author name given, so this just checks on the general right to make a co-author in this domain
- Line 7678  sub allowed {
+ Line 8729  sub allowed {
  	    if (($auname ne $env{'user.name'} && $env{'request.role'} !~ /^dc\./) ||
  		(($audom ne $env{'user.domain'} && $env{'request.role'} !~ /^dc\./) &&
  		 ($audom ne $env{'request.role.domain'}))) { return ''; }
+         } elsif (($priv eq 'vca') || ($priv eq 'vaa')) {
+             my ($audom,$auname)=split('/',$uri);
+             unless ($auname) { return $thisallowed; }
+             unless (($env{'request.role'} eq "dc./$audom") ||
+                     ($env{'request.role'} eq "ca./$uri")) {
+                 return '';
+             }
  	}
  	return $thisallowed;
      }
- Line 7689  sub allowed {
+ Line 8747  sub allowed {
      if ($env{'request.course.id'}) {
+         if ($priv eq 'bre') {
+             if (&is_coursetool_logo($uri)) {
+                 return 'F';
+             }
+         }
+ # If this is modifying password (internal auth) domains must match for user and user's role.
+         if ($priv eq 'mip') {
+             if ($env{'user.domain'} eq $env{'request.role.domain'}) {
+                 return $thisallowed;
+             } else {
+                 return '';
+             }
+         }
         $courseprivid=$env{'request.course.id'};
         if ($env{'request.course.sec'}) {
            $courseprivid.='/'.$env{'request.course.sec'};
- Line 7702  sub allowed {
+ Line 8776  sub allowed {
                 =~/\Q$priv\E\&([^\:]*)/) {
                 my $value = $1;
                 if ($priv eq 'bre') {
-                    if ($noblockcheck) {
+                    my $deeplinkblock;
+                    unless ($nodeeplinkcheck) {
+                        $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                    }
+                    if ($deeplinkblock) {
+                        $thisallowed = 'D';
+                    } elsif ($noblockcheck) {
                         $thisallowed.=$value;
                     } else {
-                        my @blockers = &has_comm_blocking($priv,$symb,$uri);
+                        my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
                         if (@blockers > 0) {
                             $thisallowed = 'B';
                         } else {
- Line 7718  sub allowed {
+ Line 8798  sub allowed {
                 $checkreferer=0;
             }
         }
         if ($checkreferer) {
  	  my $refuri=$env{'httpref.'.$orguri};
              unless ($refuri) {
- Line 7744  sub allowed {
+ Line 8824  sub allowed {
                    =~/\Q$priv\E\&([^\:]*)/) {
                    my $value = $1;
                    if ($priv eq 'bre') {
-                       if ($noblockcheck) {
+                       my $deeplinkblock;
+                       unless ($nodeeplinkcheck) {
+                           $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                       }
+                       if ($deeplinkblock) {
+                           $thisallowed = 'D';
+                       } elsif ($noblockcheck) {
                            $thisallowed.=$value;
                        } else {
-                           my @blockers = &has_comm_blocking($priv,$symb,$refuri);
+                           my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
                            if (@blockers > 0) {
                                $thisallowed = 'B';
                            } else {
- Line 7789  sub allowed {
+ Line 8875  sub allowed {
  #
  # Possibly locked functionality, check all courses
+ # In roles.tab, L (unless locked) available for bre, pch, plc, pac and sma.
  # Locks might take effect only after 10 minutes cache expiration for other
- # courses, and 2 minutes for current course
+ # courses, and 2 minutes for current course, in which user has st or ta role
+ # which is neither expired nor a future role (unless current course).
-     my $envkey;
+     my ($needlockcheck,$now,$crsonly);
      if ($thisallowed=~/L/) {
-         foreach $envkey (keys(%env)) {
+         $now = time;
+         if ($priv eq 'bre') {
+             if ($uri ne '') {
+                 if ($orguri =~ m{^/+res/}) {
+                     if ($uri =~ m{^lib/templates/}) {
+                         if ($env{'request.course.id'}) {
+                             $crsonly = 1;
+                             $needlockcheck = 1;
+                         }
+                     } else {
+                         $needlockcheck = 1;
+                     }
+                 } elsif ($env{'request.course.id'}) {
+                     my ($crsdom,$crsnum) = split('_',$env{'request.course.id'});
+                     if (($uri =~ m{^(adm|uploaded|public)/$crsdom/$crsnum/}) ||
+                         ($uri =~ m{^adm/$match_domain/$match_username/\d+/(smppg|bulletinboard)$})) {
+                         $crsonly = 1;
+                     }
+                     $needlockcheck = 1;
+                 }
+             }
+         } elsif (($priv eq 'pch') || ($priv eq 'plc') || ($priv eq 'pac') || ($priv eq 'sma')) {
+             $needlockcheck = 1;
+         }
+     }
+     if ($needlockcheck) {
+         foreach my $envkey (keys(%env)) {
             if ($envkey=~/^user\.role\.(st|ta)\.([^\.]*)/) {
                 my $courseid=$2;
                 my $roleid=$1.'.'.$2;
                 $courseid=~s/^\///;
+                unless ($env{'request.role'} eq $roleid) {
+                    my ($start,$end) = split(/\./,$env{$envkey});
+                    next unless (($now >= $start) && (!$end || $end > $now));
+                }
                 my $expiretime=600;
                 if ($env{'request.role'} eq $roleid) {
  		  $expiretime=120;
- Line 7821  sub allowed {
+ Line 8939  sub allowed {
                 }
                 if (($env{$prefix.'priv.'.$priv.'.lock.sections'}=~/\,\Q$csec\E\,/)
                  || ($env{$prefix.'priv.'.$priv.'.lock.sections'} eq 'all')) {
- 		   if ($env{'priv.'.$priv.'.lock.expire'}>time) {
+ 		   if ($env{$prefix.'priv.'.$priv.'.lock.expire'}>time) {
                         &log($env{'user.domain'},$env{'user.name'},
                              $env{'user.home'},
                              'Locked by priv: '.$priv.' for '.$uri.' due to '.
- Line 7833  sub allowed {
+ Line 8951  sub allowed {
  	   }
         }
      }
  #
  # Rest of the restrictions depend on selected course
  #
- Line 7892  sub allowed {
+ Line 9010  sub allowed {
         }
     }
+ # Restricted for deeplinked session?
+     if ($env{'request.deeplink.login'}) {
+         if ($env{'acc.deeplinkout'} && !$nodeeplinkout) {
+             if (!$symb) { $symb=&symbread($uri,1); }
+             if (($symb) && ($env{'acc.deeplinkout'}=~/\&\Q$symb\E\&/)) {
+                 return '';
+             }
+         }
+     }
  # Restricted by state or randomout?
     if ($thisallowed=~/X/) {
- Line 7912  sub allowed {
+ Line 9041  sub allowed {
  	return 'A';
      } elsif ($thisallowed eq 'B') {
          return 'B';
+     } elsif ($thisallowed eq 'D') {
+         return 'D';
      }
     return 'F';
  }
- Line 7928  sub constructaccess {
+ Line 9059  sub constructaccess {
      my ($ownername,$ownerdomain,$ownerhome);
      ($ownerdomain,$ownername) =
-         ($url=~ m{^(?:\Q$perlvar{'lonDocRoot'}\E|)/priv/($match_domain)/($match_username)(?:/|$)});
+         ($url=~ m{^(?:\Q$perlvar{'lonDocRoot'}\E|)(?:/daxepage|/daxeopen)?/priv/($match_domain)/($match_username)(?:/|$)});
  # The URL does not really point to any authorspace, forget it
      unless (($ownername) && ($ownerdomain)) { return ''; }
- Line 7991  sub constructaccess {
+ Line 9122  sub constructaccess {
  #
  # User for whom data are being temporarily cached.
  my $cacheduser='';
+ # Course for which data are being temporarily cached.
+ my $cachedcid='';
  # Cached blockers for this user (a hash of blocking items).
  my %cachedblockers=();
  # When the data were last cached.
  my $cachedlast='';
  sub load_all_blockers {
-     my ($uname,$udom,$blocks)=@_;
+     my ($uname,$udom)=@_;
      if (($uname ne '') && ($udom ne '')) {
          if (($cacheduser eq $uname.':'.$udom) &&
+             ($cachedcid eq $env{'request.course.id'}) &&
              (abs($cachedlast-time)<5)) {
              return;
          }
      }
      $cachedlast=time;
      $cacheduser=$uname.':'.$udom;
-     %cachedblockers = &get_commblock_resources($blocks);
+     $cachedcid=$env{'request.course.id'};
+     %cachedblockers = &get_commblock_resources();
+     return;
  }
  sub get_comm_blocks {
- Line 8033  sub get_commblock_resources {
+ Line 9169  sub get_commblock_resources {
      my ($blocks) = @_;
      my %blockers = ();
      return %blockers unless ($env{'request.course.id'});
-     return %blockers if ($env{'user.priv.'.$env{'request.role'}} =~/evb\&([^\:]*)/);
+     my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
+     if ($env{'request.course.sec'}) {
+         $courseurl .= '/'.$env{'request.course.sec'};
+     }
+     return %blockers if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseurl} =~/evb\&([^\:]*)/);
      my %commblocks;
      if (ref($blocks) eq 'HASH') {
          %commblocks = %{$blocks};
- Line 8065  sub get_commblock_resources {
+ Line 9205  sub get_commblock_resources {
              }
          } elsif ($block =~ /^firstaccess____(.+)$/) {
              my $item = $1;
-             my @to_test;
              if (ref($commblocks{$block}{'blocks'}) eq 'HASH') {
                  if (ref($commblocks{$block}{'blocks'}{'docs'}) eq 'HASH') {
-                     my @interval;
+                     my (@interval,$mapname);
                      my $type = 'map';
                      if ($item eq 'course') {
                          $type = 'course';
- Line 8077  sub get_commblock_resources {
+ Line 9216  sub get_commblock_resources {
                          if ($item =~ /___\d+___/) {
                              $type = 'resource';
                              @interval=&EXT("resource.0.interval",$item);
-                             if (ref($navmap)) {
-                                 my $res = $navmap->getBySymb($item);
-                                 push(@to_test,$res);
-                             }
                          } else {
-                             my $mapsymb = &symbread($item,1);
+                             $mapname = &deversion($item);
-                             if ($mapsymb) {
+                             if (ref($navmap)) {
-                                 if (ref($navmap)) {
+                                 my $timelimit = $navmap->get_mapparam(undef,$mapname,'0.interval');
-                                     my $mapres = $navmap->getBySymb($mapsymb);
+                                 @interval = ($timelimit,'map');
-                                     @to_test = $mapres->retrieveResources($mapres,undef,0,0,0,1);
-                                     foreach my $res (@to_test) {
-                                         my $symb = $res->symb();
-                                         next if ($symb eq $mapsymb);
-                                         if ($symb ne '') {
-                                             @interval=&EXT("resource.0.interval",$symb);
-                                             if ($interval[1] eq 'map') {
-                                                 last;
-                                             }
-                                         }
-                                     }
-                                 }
                              }
                          }
                      }
- Line 8115  sub get_commblock_resources {
+ Line 9238  sub get_commblock_resources {
                              my $timesup = $first_access+$timelimit;
                              if ($timesup > $now) {
                                  my $activeblock;
-                                 foreach my $res (@to_test) {
+                                 if ($type eq 'resource') {
-                                     if ($res->answerable()) {
+                                     if (ref($navmap)) {
-                                         $activeblock = 1;
+                                         my $res = $navmap->getBySymb($item);
-                                         last;
+                                         if ($res->answerable()) {
+                                             $activeblock = 1;
+                                         }
+                                     }
+                                 } elsif ($type eq 'map') {
+                                     my $mapsymb = &symbread($mapname,1);
+                                     if (($mapsymb) && (ref($navmap))) {
+                                         my $mapres = $navmap->getBySymb($mapsymb);
+                                         if (ref($mapres)) {
+                                             my $first = $mapres->map_start();
+                                             my $finish = $mapres->map_finish();
+                                             my $it = $navmap->getIterator($first,$finish,undef,0,0);
+                                             if (ref($it)) {
+                                                 my $res;
+                                                 while ($res = $it->next(undef,1)) {
+                                                     next unless (ref($res));
+                                                     my $symb = $res->symb();
+                                                     next if (($symb eq $mapsymb) || ($symb eq ''));
+                                                     @interval=&EXT("resource.0.interval",$symb);
+                                                     if ($interval[1] eq 'map') {
+                                                         if ($res->answerable()) {
+                                                             $activeblock = 1;
+                                                             last;
+                                                         }
+                                                     }
+                                                 }
+                                             }
+                                         }
                                      }
                                  }
                                  if ($activeblock) {
- Line 8144  sub get_commblock_resources {
+ Line 9294  sub get_commblock_resources {
  }
  sub has_comm_blocking {
-     my ($priv,$symb,$uri,$blocks) = @_;
+     my ($priv,$symb,$uri,$ignoresymbdb,$noenccheck,$blocked,$blocks) = @_;
      my @blockers;
      return unless ($env{'request.course.id'});
      return unless ($priv eq 'bre');
-     return if ($env{'user.priv.'.$env{'request.role'}} =~/evb\&([^\:]*)/);
      return if ($env{'request.state'} eq 'construct');
-     &load_all_blockers($env{'user.name'},$env{'user.domain'},$blocks);
+     my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
-     return unless (keys(%cachedblockers) > 0);
+     if ($env{'request.course.sec'}) {
+         $courseurl .= '/'.$env{'request.course.sec'};
+     }
+     return if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseurl} =~/evb\&([^\:]*)/);
+     my %blockinfo;
+     if (ref($blocks) eq 'HASH') {
+         %blockinfo = &get_commblock_resources($blocks);
+     } else {
+         &load_all_blockers($env{'user.name'},$env{'user.domain'});
+         %blockinfo = %cachedblockers;
+     }
+     return unless (keys(%blockinfo) > 0);
      my (%possibles,@symbs);
      if (!$symb) {
-         $symb = &symbread($uri,1,1,1,\%possibles);
+         $symb = &symbread($uri,1,1,1,\%possibles,$ignoresymbdb,$noenccheck);
      }
      if ($symb) {
          @symbs = ($symb);
- Line 8165  sub has_comm_blocking {
+ Line 9325  sub has_comm_blocking {
      foreach my $symb (@symbs) {
          last if ($noblock);
          my ($map,$resid,$resurl)=&decode_symb($symb);
-         foreach my $block (keys(%cachedblockers)) {
+         foreach my $block (keys(%blockinfo)) {
              if ($block =~ /^firstaccess____(.+)$/) {
                  my $item = $1;
-                 if (($item eq $map) || ($item eq $symb)) {
+                 unless ($blocked) {
-                     $noblock = 1;
+                     if (($item eq $map) || ($item eq $symb)) {
-                     last;
+                         $noblock = 1;
+                         last;
+                     }
                  }
              }
-             if (ref($cachedblockers{$block}) eq 'HASH') {
+             if (ref($blockinfo{$block}) eq 'HASH') {
-                 if (ref($cachedblockers{$block}{'resources'}) eq 'HASH') {
+                 if (ref($blockinfo{$block}{'resources'}) eq 'HASH') {
-                     if ($cachedblockers{$block}{'resources'}{$symb}) {
+                     if ($blockinfo{$block}{'resources'}{$symb}) {
                          unless (grep(/^\Q$block\E$/,@blockers)) {
                              push(@blockers,$block);
                          }
                      }
                  }
-             }
+                 if (ref($blockinfo{$block}{'maps'}) eq 'HASH') {
-             if (ref($cachedblockers{$block}{'maps'}) eq 'HASH') {
+                     if ($blockinfo{$block}{'maps'}{$map}) {
-                 if ($cachedblockers{$block}{'maps'}{$map}) {
+                         unless (grep(/^\Q$block\E$/,@blockers)) {
-                     unless (grep(/^\Q$block\E$/,@blockers)) {
+                             push(@blockers,$block);
-                         push(@blockers,$block);
+                         }
                      }
                  }
              }
          }
      }
-     return if ($noblock);
+     unless ($noblock) {
-     return @blockers;
+         return @blockers;
+     }
+     return;
+ }
  }
+ sub deeplink_check {
+     my ($priv,$symb,$uri) = @_;
+     return unless ($env{'request.course.id'});
+     return unless ($priv eq 'bre');
+     return if ($env{'request.state'} eq 'construct');
+     return if ($env{'request.role.adv'});
+     my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+     my (%possibles,@symbs);
+     if (!$symb) {
+         $symb = &symbread($uri,1,1,1,\%possibles);
+     }
+     if ($symb) {
+         @symbs = ($symb);
+     } elsif (keys(%possibles)) {
+         @symbs = keys(%possibles);
+     }
+     my ($deeplink_symb,$allow);
+     if ($env{'request.deeplink.login'}) {
+         $deeplink_symb = &Apache::loncommon::deeplink_login_symb($cnum,$cdom);
+     }
+     foreach my $symb (@symbs) {
+         last if ($allow);
+         my $deeplink = &EXT("resource.0.deeplink",$symb);
+         if ($deeplink eq '') {
+             $allow = 1;
+         } else {
+             my ($state,$others,$listed,$scope,$protect) = split(/,/,$deeplink);
+             if ($state ne 'only') {
+                 $allow = 1;
+             } else {
+                 my $check_deeplink_entry;
+                 if ($protect ne 'none') {
+                     my ($acctype,$item) = split(/:/,$protect);
+                     if (($acctype eq 'ltic') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ec$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1
+                         }
+                     } elsif (($acctype eq 'ltid') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ed$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     } elsif (($acctype eq 'key') && ($env{'user.deeplinkkey'})) {
+                         if (grep(/^\Q$item\E$/,split(/,/,$env{'user.deeplinkkey'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     }
+                 }
+                 if (($protect eq 'none') || ($check_deeplink_entry)) {
+                     if ($scope eq 'res') {
+                         if ($symb eq $deeplink_symb) {
+                             $allow = 1;
+                         }
+                     } elsif (($scope eq 'map') || ($scope eq 'rec')) {
+                         my ($map_from_symb,$map_from_login);
+                         $map_from_symb = &deversion((&decode_symb($symb))[0]);
+                         if ($deeplink_symb =~ /\.(page|sequence)$/) {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[2]);
+                         } else {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[0]);
+                         }
+                         if (($map_from_symb) && ($map_from_login)) {
+                             if ($map_from_symb eq $map_from_login) {
+                                 $allow = 1;
+                             } elsif ($scope eq 'rec') {
+                                 my @recurseup = &get_map_hierarchy($map_from_symb,$env{'request.course.id'});
+                                 if (grep(/^\Q$map_from_login\E$/,@recurseup)) {
+                                     $allow = 1;
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return if ($allow);
+     return 1;
  }
  # -------------------------------- Deversion and split uri into path an filename
- Line 8590  sub auto_validate_instcode {
+ Line 9835  sub auto_validate_instcode {
      return ($outcome,$description,$defaultcredits);
  }
+ sub auto_validate_inst_crosslist {
+     my ($cnum,$cdom,$instcode,$inst_xlist,$coowner) = @_;
+     my ($homeserver,$response);
+     if (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/)) {
+         $homeserver = &homeserver($cnum,$cdom);
+     }
+     if (!defined($homeserver)) {
+         if ($cdom =~ /^$match_domain$/) {
+             $homeserver = &domain($cdom,'primary');
+         }
+     }
+     unless (($homeserver eq '') || ($homeserver eq 'no_host')) {
+         $response=&reply('autovalidateinstcrosslist:'.$cdom.':'.
+                          &escape($instcode).':'.&escape($inst_xlist).':'.
+                          &escape($coowner),$homeserver);
+     }
+     return $response;
+ }
  sub auto_create_password {
      my ($cnum,$cdom,$authparam,$udom) = @_;
      my ($homeserver,$response);
- Line 8861  sub auto_validate_class_sec {
+ Line 10125  sub auto_validate_class_sec {
      return $response;
  }
+ sub auto_instsec_reformat {
+     my ($cdom,$action,$instsecref) = @_;
+     return unless(($action eq 'clutter') || ($action eq 'declutter'));
+     my @homeservers;
+     if (defined(&domain($cdom,'primary'))) {
+         push(@homeservers,&domain($cdom,'primary'));
+     } else {
+         my %servers = &get_servers($cdom,'library');
+         foreach my $tryserver (keys(%servers)) {
+             if (!grep(/^\Q$tryserver\E$/,@homeservers)) {
+                 push(@homeservers,$tryserver);
+             }
+         }
+     }
+     my $response;
+     my %reformatted = %{$instsecref};
+     foreach my $server (@homeservers) {
+         if (ref($instsecref) eq 'HASH') {
+             my $info = &freeze_escape($instsecref);
+             my $response=&reply('autoinstsecreformat:'.$cdom.':'.
+                                 $action.':'.$info,$server);
+             next if ($response =~ /(con_lost|error|no_such_host|refused|unknown_cmd)/);
+             my @items = split(/&/,$response);
+             foreach my $item (@items) {
+                 my ($key,$value) = split(/=/,$item);
+                 $reformatted{&unescape($key)} = &thaw_unescape($value);
+             }
+         }
+     }
+     return %reformatted;
+ }
  sub auto_validate_instclasses {
      my ($cdom,$cnum,$owners,$classesref) = @_;
      my ($homeserver,%validations);
- Line 8931  sub auto_export_grades {
+ Line 10227  sub auto_export_grades {
              my $grades = &freeze_escape($gradesref);
              my $response=&reply('encrypt:autoexportgrades:'.$cdom.':'.$cnum.':'.
                                  $info.':'.$grades,$homeserver);
-             unless ($response =~ /(con_lost|error|no_such_host|refused|unknown_command)/) {
+             unless ($response =~ /(con_lost|error|no_such_host|refused|unknown_cmd)/) {
                  my @items = split(/&/,$response);
                  foreach my $item (@items) {
                      my ($key,$value) = split('=',$item);
- Line 9193  sub plaintext {
+ Line 10489  sub plaintext {
  sub assignrole {
      my ($udom,$uname,$url,$role,$end,$start,$deleteflag,$selfenroll,
          $context)=@_;
-     my $mrole;
+     my ($mrole,$rolelogcontext);
      if ($role =~ /^cr\//) {
          my $cwosec=$url;
          $cwosec=~s/^\/($match_domain)\/($match_courseid)\/.*/$1\/$2/;
- Line 9265  sub assignrole {
+ Line 10561  sub assignrole {
                              }
                          }
                      }
-                 } elsif (($selfenroll == 1) && ($role eq 'st') && ($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'})) {
+                 } elsif (($selfenroll == 1) && ($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'})) {
-                     $refused = '';
+                     if ($role eq 'st') {
+                         $refused = '';
+                     } elsif (($context eq 'ltienroll') && ($env{'request.lti.login'})) {
+                         $refused = '';
+                     }
                  } elsif ($context eq 'requestcourses') {
                      my @possroles = ('st','ta','ep','in','cc','co');
                      if ((grep(/^\Q$role\E$/,@possroles)) && ($env{'user.name'} ne '' && $env{'user.domain'} ne '')) {
- Line 9319  sub assignrole {
+ Line 10619  sub assignrole {
                              }
                          }
                      }
+                 } elsif (($context eq 'author') && (($role eq 'ca' || $role eq 'aa'))) {
+                     if ($url =~ m{^/($match_domain)/($match_username)$}) {
+                         my ($audom,$auname) = ($1,$2);
+                         if ((&Apache::lonnet::allowed('v'.$role,"$audom/$auname")) &&
+                             ($env{"environment.internal.manager.$url"})) {
+                             $refused = '';
+                             $rolelogcontext = 'coauthor';
+                         }
+                     }
                  }
                  if ($refused) {
                      &logthis('Refused assignrole: '.$udom.' '.$uname.' '.$url.
- Line 9386  sub assignrole {
+ Line 10695  sub assignrole {
              &domainrolelog($role,$uname,$udom,$url,$origstart,$origend,$delflag,
                             $context);
          } elsif (($role eq 'ca') || ($role eq 'aa')) {
+             if ($rolelogcontext eq '') {
+                 $rolelogcontext = $context;
+             }
              &coauthorrolelog($role,$uname,$udom,$url,$origstart,$origend,$delflag,
-                              $context);
+                              $rolelogcontext);
          }
          if ($role eq 'cc') {
              &autoupdate_coowners($url,$end,$start,$uname,$udom);
- Line 9405  sub autoupdate_coowners {
+ Line 10717  sub autoupdate_coowners {
          if ($domdesign{$cdom.'.autoassign.co-owners'}) {
              my %coursehash = &coursedescription($cdom.'_'.$cnum);
              my $instcode = $coursehash{'internal.coursecode'};
+             my $xlists = $coursehash{'internal.crosslistings'};
              if ($instcode ne '') {
                  if (($start && $start <= $now) && ($end == 0) || ($end > $now)) {
                      unless ($coursehash{'internal.courseowner'} eq $uname.':'.$udom) {
                          my ($delcoowners,@newcoowners,$putresult,$delresult,$coowners);
                          my ($result,$desc) = &auto_validate_instcode($cnum,$cdom,$instcode,$uname.':'.$udom);
+                         unless ($result eq 'valid') {
+                             if ($xlists ne '') {
+                                 foreach my $xlist (split(',',$xlists)) {
+                                     my ($inst_crosslist,$lcsec) = split(':',$xlist);
+                                     $result =
+                                         &auto_validate_inst_crosslist($cnum,$cdom,$instcode,
+                                                                       $inst_crosslist,$uname.':'.$udom);
+                                     last if ($result eq 'valid');
+                                 }
+                             }
+                         }
                          if ($result eq 'valid') {
                              if ($coursehash{'internal.co-owners'}) {
                                  foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
- Line 9422  sub autoupdate_coowners {
+ Line 10746  sub autoupdate_coowners {
                              } else {
                                  push(@newcoowners,$uname.':'.$udom);
                              }
-                         } else {
+                         } elsif ($coursehash{'internal.co-owners'}) {
-                             if ($coursehash{'internal.co-owners'}) {
+                             foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
-                                 foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
+                                 unless ($coowner eq $uname.':'.$udom) {
-                                     unless ($coowner eq $uname.':'.$udom) {
+                                     push(@newcoowners,$coowner);
-                                         push(@newcoowners,$coowner);
-                                     }
-                                 }
-                                 unless (@newcoowners > 0) {
-                                     $delcoowners = 1;
-                                     $coowners = '';
                                  }
                              }
+                             unless (@newcoowners > 0) {
+                                 $delcoowners = 1;
+                                 $coowners = '';
+                             }
                          }
                          if (@newcoowners || $delcoowners) {
                              &store_coowners($cdom,$cnum,$coursehash{'home'},
- Line 9486  sub store_coowners {
+ Line 10808  sub store_coowners {
  sub modifyuserauth {
      my ($udom,$uname,$umode,$upass)=@_;
      my $uhome=&homeserver($uname,$udom);
-     unless (&allowed('mau',$udom)) { return 'refused'; }
+     my $allowed;
+     if (&allowed('mau',$udom)) {
+         $allowed = 1;
+     } elsif (($umode eq 'internal') && ($udom eq $env{'user.domain'}) &&
+              ($env{'request.course.id'}) && (&allowed('mip',$env{'request.course.id'})) &&
+              (!$env{'course.'.$env{'request.course.id'}.'.internal.nopasswdchg'})) {
+         my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+         my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         if (($cdom ne '') && ($cnum ne '')) {
+             my $is_owner = &is_course_owner($cdom,$cnum);
+             if ($is_owner) {
+                 $allowed = 1;
+             }
+         }
+     }
+     unless ($allowed) { return 'refused'; }
      &logthis('Call to modify user authentication '.$udom.', '.$uname.', '.
               $umode.' by '.$env{'user.name'}.' at '.$env{'user.domain'}.
               ' in domain '.$env{'request.role.domain'});
      my $reply=&reply('encrypt:changeuserauth:'.$udom.':'.$uname.':'.$umode.':'.
  		     &escape($upass),$uhome);
+     my $ip = &get_requestor_ip();
      &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},
          'Authentication changed for '.$udom.', '.$uname.', '.$umode.
-          '(Remote '.$ENV{'REMOTE_ADDR'}.'): '.$reply);
+          '(Remote '.$ip.'): '.$reply);
      &log($udom,,$uname,$uhome,
          'Authentication changed by '.$env{'user.domain'}.', '.
                                       $env{'user.name'}.', '.$umode.
-          '(Remote '.$ENV{'REMOTE_ADDR'}.'): '.$reply);
+          '(Remote '.$ip.'): '.$reply);
      unless ($reply eq 'ok') {
          &logthis('Authentication mode error: '.$reply);
  	return 'error: '.$reply;
- Line 9532  sub modifyuser {
+ Line 10870  sub modifyuser {
      my $newuser;
      if ($uhome eq 'no_host') {
          $newuser = 1;
+         unless (($umode && ($upass ne '')) || ($umode eq 'localauth') ||
+                 ($umode eq 'lti')) {
+             return 'error: more information needed to create new user';
+         }
      }
  # ----------------------------------------------------------------- Create User
      if (($uhome eq 'no_host') &&
- 	(($umode && $upass) || ($umode eq 'localauth'))) {
+ 	(($umode && $upass) || ($umode eq 'localauth') || ($umode eq 'lti'))) {
          my $unhome='';
          if (defined($desiredhome) && &host_domain($desiredhome) eq $udom) {
              $unhome = $desiredhome;
- Line 9984  sub generate_coursenum {
+ Line 11326  sub generate_coursenum {
  sub is_course {
      my ($cdom, $cnum) = scalar(@_) == 1 ?
           ($_[0] =~ /^($match_domain)_($match_courseid)$/)  :  @_;
+     return unless (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/));
-     return unless $cdom and $cnum;
+     my $uhome=&homeserver($cnum,$cdom);
+     my $iscourse;
-     my %courses = &courseiddump($cdom, '.', 1, '.', '.', $cnum, undef, undef,
+     if (grep { $_ eq $uhome } current_machine_ids()) {
-         '.');
+         $iscourse = &LONCAPA::Lond::is_course($cdom,$cnum);
+     } else {
-     return unless(exists($courses{$cdom.'_'.$cnum}));
+         my $hashid = $cdom.':'.$cnum;
+         ($iscourse,my $cached) = &is_cached_new('iscourse',$hashid);
+         unless (defined($cached)) {
+             my %courses = &courseiddump($cdom, '.', 1, '.', '.',
+                                         $cnum,undef,undef,'.');
+             $iscourse = 0;
+             if (exists($courses{$cdom.'_'.$cnum})) {
+                 $iscourse = 1;
+             }
+             &do_cache_new('iscourse',$hashid,$iscourse,3600);
+         }
+     }
+     return unless($iscourse);
      return wantarray ? ($cdom, $cnum) : $cdom.'_'.$cnum;
  }
  sub store_userdata {
-     my ($storehash,$datakey,$namespace,$udom,$uname) = @_;
+     my ($storehash,$datakey,$namespace,$udom,$uname,$ip) = @_;
      my $result;
      if ($datakey ne '') {
          if (ref($storehash) eq 'HASH') {
- Line 10007  sub store_userdata {
+ Line 11361  sub store_userdata {
              if (($uhome eq '') || ($uhome eq 'no_host')) {
                  $result = 'error: no_host';
              } else {
-                 $storehash->{'ip'} = $ENV{'REMOTE_ADDR'};
+                 if ($ip ne '') {
+                     $storehash->{'ip'} = $ip;
+                 } else {
+                     $storehash->{'ip'} = &get_requestor_ip();
+                 }
                  $storehash->{'host'} = $perlvar{'lonHostID'};
                  my $namevalue='';
- Line 10172  sub files_not_in_path {
+ Line 11530  sub files_not_in_path {
      my $filename = $user."savedfiles";
      my @return_files;
      my $path_part;
-     open(IN,'<',LONCAPA::tempdir().$filename);
+     open(IN, '<',LONCAPA::tempdir().$filename);
      while (my $line = <IN>) {
          #ok, I know it's clunky, but I want it to work
          my @paths_and_file = split(m|/|, $line);
- Line 10832  sub get_userresdata {
+ Line 12190  sub get_userresdata {
  #  Parameters:
  #     $name      - Course/user name.
  #     $domain    - Name of the domain the user/course is registered on.
- #     $type      - Type of thing $name is (must be 'course' or 'user')
+ #     $type      - Type of thing $name is (must be 'course' or 'user'
  #     @which     - Array of names of resources desired.
  #  Returns:
  #     The value of the first reasource in @which that is found in the
- Line 10851  sub resdata {
+ Line 12209  sub resdata {
      }
      if (!ref($result)) { return $result; }
      foreach my $item (@which) {
-         if (ref($item) eq 'ARRAY') {
+ 	if (defined($result->{$item->[0]})) {
- 	    if (defined($result->{$item->[0]})) {
+ 	    return [$result->{$item->[0]},$item->[1]];
- 	        return [$result->{$item->[0]},$item->[1]];
+ 	}
- 	    }
-         }
      }
      return undef;
  }
- sub get_domain_ltitools {
+ sub get_domain_lti {
-     my ($cdom) = @_;
+     my ($cdom,$context) = @_;
-     my %ltitools;
+     my ($name,$cachename,%lti);
-     my ($result,$cached)=&is_cached_new('ltitools',$cdom);
+     if ($context eq 'consumer') {
+         $name = 'ltitools';
+     } elsif ($context eq 'provider') {
+         $name = 'lti';
+     } elsif ($context eq 'linkprot') {
+         $name = 'ltisec';
+     } else {
+         return %lti;
+     }
+     if ($context eq 'linkprot') {
+         $cachename = $context;
+     } else {
+         $cachename = $name;
+     }
+     my ($result,$cached)=&is_cached_new($cachename,$cdom);
      if (defined($cached)) {
          if (ref($result) eq 'HASH') {
-             %ltitools = %{$result};
+             %lti = %{$result};
+         }
+     } else {
+         my %domconfig = &get_dom('configuration',[$name],$cdom);
+         if (ref($domconfig{$name}) eq 'HASH') {
+             if ($context eq 'linkprot') {
+                 if (ref($domconfig{$name}{'linkprot'}) eq 'HASH') {
+                     %lti = %{$domconfig{$name}{'linkprot'}};
+                 }
+             } else {
+                 %lti = %{$domconfig{$name}};
+             }
+         }
+         my $cachetime = 24*60*60;
+         &do_cache_new($cachename,$cdom,\%lti,$cachetime);
+     }
+     return %lti;
+ }
+ sub get_course_lti {
+     my ($cnum,$cdom,$context) = @_;
+     my ($name,$cachename,%lti);
+     if ($context eq 'consumer') {
+         $name = 'ltitools';
+         $cachename = 'courseltitools';
+     } elsif ($context eq 'provider') {
+         $name = 'lti';
+         $cachename = 'courselti';
+     } else {
+         return %lti;
+     }
+     my $hashid=$cdom.'_'.$cnum;
+     my ($result,$cached)=&is_cached_new($cachename,$hashid);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %lti = %{$result};
+         }
+     } else {
+         %lti = &dump($name,$cdom,$cnum,undef,undef,undef,1);
+         my $cachetime = 24*60*60;
+         &do_cache_new($cachename,$hashid,\%lti,$cachetime);
+     }
+     return %lti;
+ }
+ sub courselti_itemid {
+     my ($cnum,$cdom,$url,$method,$params,$context) = @_;
+     my ($chome,$itemid);
+     $chome = &homeserver($cnum,$cdom);
+     return if ($chome eq 'no_host');
+     if (ref($params) eq 'HASH') {
+         my $rep;
+         if (grep { $_ eq $chome } current_machine_ids()) {
+             $rep = LONCAPA::Lond::crslti_itemid($cdom,$cnum,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$chome);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
+ sub domainlti_itemid {
+     my ($cdom,$url,$method,$params,$context) = @_;
+     my ($primary_id,$itemid);
+     $primary_id = &domain($cdom,'primary');
+     return if ($primary_id eq '');
+     if (ref($params) eq 'HASH') {
+         my $rep;
+         if (grep { $_ eq $primary_id } current_machine_ids()) {
+             $rep = LONCAPA::Lond::domlti_itemid($cdom,$context,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $cnum = '';
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$primary_id);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
+ sub get_ltitools_id {
+     my ($context,$cdom,$cnum,$title) = @_;
+     my ($lockhash,$tries,$gotlock,$id,$error);
+     # get lock on ltitools db
+     $lockhash = {
+                    lock => $env{'user.name'}.
+                            ':'.$env{'user.domain'},
+                 };
+     $tries = 0;
+     if ($context eq 'domain') {
+         $gotlock = &newput_dom('ltitools',$lockhash,$cdom);
+     } else {
+         $gotlock = &newput('ltitools',$lockhash,$cdom,$cnum);
+     }
+     while (($gotlock ne 'ok') && ($tries<10)) {
+         $tries ++;
+         sleep (0.1);
+         if ($context eq 'domain') {
+             $gotlock = &newput_dom('ltitools',$lockhash,$cdom);
+         } else {
+             $gotlock = &newput('ltitools',$lockhash,$cdom,$cnum);
+         }
+     }
+     if ($gotlock eq 'ok') {
+         my %currids;
+         if ($context eq 'domain') {
+             %currids = &dump_dom('ltitools',$cdom);
+         } else {
+             %currids = &dump('ltitools',$cdom,$cnum);
+         }
+         if ($currids{'lock'}) {
+             delete($currids{'lock'});
+             if (keys(%currids)) {
+                 my @curr = sort { $a <=> $b } keys(%currids);
+                 if ($curr[-1] =~ /^\d+$/) {
+                     $id = 1 + $curr[-1];
+                 }
+             } else {
+                 $id = 1;
+             }
+             if ($id) {
+                 if ($context eq 'domain') {
+                     unless (&newput_dom('ltitools',{ $id => $title },$cdom) eq 'ok') {
+                         $error = 'nostore';
+                     }
+                 } else {
+                     unless (&newput('ltitools',{ $id => $title },$cdom,$cnum) eq 'ok') {
+                         $error = 'nostore';
+                     }
+                 }
+             } else {
+                 $error = 'nonumber';
+             }
+         }
+         my $dellockoutcome;
+         if ($context eq 'domain') {
+             $dellockoutcome = &del_dom('ltitools',['lock'],$cdom);
+         } else {
+             $dellockoutcome = &del('ltitools',['lock'],$cdom,$cnum);
          }
      } else {
-         my %domconfig = &get_dom('configuration',['ltitools'],$cdom);
+         $error = 'nolock';
-         if (ref($domconfig{'ltitools'}) eq 'HASH') {
+     }
-             %ltitools = %{$domconfig{'ltitools'}};
+     return ($id,$error);
-             my %encdomconfig = &get_dom('encconfig',['ltitools'],$cdom);
+ }
-             if (ref($encdomconfig{'ltitools'}) eq 'HASH') {
-                 foreach my $id (keys(%ltitools)) {
+ sub count_supptools {
-                     if (ref($encdomconfig{'ltitools'}{$id}) eq 'HASH') {
+     my ($cnum,$cdom,$ignorecache,$reload)=@_;
-                         foreach my $item ('key','secret') {
+     my $hashid=$cnum.':'.$cdom;
-                             $ltitools{$id}{$item} = $encdomconfig{'ltitools'}{$id}{$item};
+     my ($numexttools,$cached);
+     unless ($ignorecache) {
+         ($numexttools,$cached) = &is_cached_new('supptools',$hashid);
+     }
+     unless (defined($cached)) {
+         my $chome=&homeserver($cnum,$cdom);
+         $numexttools = 0;
+         unless ($chome eq 'no_host') {
+             my ($supplemental) = &Apache::loncommon::get_supplemental($cnum,$cdom,$reload);
+             if (ref($supplemental) eq 'HASH') {
+                 if ((ref($supplemental->{'ids'}) eq 'HASH') && (ref($supplemental->{'hidden'}) eq 'HASH')) {
+                     foreach my $key (keys(%{$supplemental->{'ids'}})) {
+                         if ($key =~ m{^/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                             $numexttools ++;
                          }
                      }
                  }
              }
          }
-         my $cachetime = 24*60*60;
+         &do_cache_new('supptools',$hashid,$numexttools,600);
-         &do_cache_new('ltitools',$cdom,\%ltitools,$cachetime);
      }
-     return %ltitools;
+     return $numexttools;
  }
- sub get_numsuppfiles {
+ sub has_unhidden_suppfiles {
-     my ($cnum,$cdom,$ignorecache)=@_;
+     my ($cnum,$cdom,$ignorecache,$possdel)=@_;
      my $hashid=$cnum.':'.$cdom;
-     my ($suppcount,$cached);
+     my ($showsupp,$cached);
      unless ($ignorecache) {
-         ($suppcount,$cached) = &is_cached_new('suppcount',$hashid);
+         ($showsupp,$cached) = &is_cached_new('showsupp',$hashid);
      }
      unless (defined($cached)) {
          my $chome=&homeserver($cnum,$cdom);
          unless ($chome eq 'no_host') {
-             ($suppcount,my $errors) = (0,0);
+             my ($supplemental) = &Apache::loncommon::get_supplemental($cnum,$cdom,$ignorecache,$possdel);
-             my $suppmap = 'supplemental.sequence';
+             if (ref($supplemental) eq 'HASH') {
-             ($suppcount,$errors) =
+                 if ((ref($supplemental->{'ids'}) eq 'HASH') && (ref($supplemental->{'hidden'}) eq 'HASH')) {
-                 &Apache::loncommon::recurse_supplemental($cnum,$cdom,$suppmap,$suppcount,$errors);
+                     foreach my $key (keys(%{$supplemental->{'ids'}})) {
+                         next if ($key =~ /\.sequence$/);
+                         if (ref($supplemental->{'ids'}->{$key}) eq 'ARRAY') {
+                             foreach my $id (@{$supplemental->{'ids'}->{$key}}) {
+                                 unless ($supplemental->{'hidden'}->{$id}) {
+                                     $showsupp = 1;
+                                     last;
+                                 }
+                             }
+                         }
+                         last if ($showsupp);
+                     }
+                 }
+             }
          }
-         &do_cache_new('suppcount',$hashid,$suppcount,600);
+         &do_cache_new('showsupp',$hashid,$showsupp,600);
      }
-     return $suppcount;
+     return $showsupp;
  }
  #
  # EXT resource caching routines
  #
+ {
+ # Cache (5 seconds) of map hierarchy for speedup of navmaps display
+ #
+ # The course for which we cache
+ my $cachedmapkey='';
+ # The cached recursive maps for this course
+ my %cachedmaps=();
+ # When this was last done
+ my $cachedmaptime='';
  sub clear_EXT_cache_status {
      &delenv('cache.EXT.');
  }
- Line 10969  sub EXT {
+ Line 12525  sub EXT {
  	    if ( (defined($Apache::lonhomework::parsing_a_problem)
  		  || defined($Apache::lonhomework::parsing_a_task))
  		 &&
  		 ($symbparm eq &symbread()) ) {
  		# if we are in the middle of processing the resource the
  		# get the value we are planning on committing
                  if (defined($Apache::lonhomework::results{$qualifierrest})) {
- Line 11167  sub EXT {
+ Line 12723  sub EXT {
  	}
  # ------------------------------------------ fourth, look in resource metadata
- 	$spacequalifierrest=~s/\./\_/;
+         my $what = $spacequalifierrest;
- 	my $filename;
+         $what=~s/\./\_/;
+         my $filename;
  	if (!$symbparm) { $symbparm=&symbread(); }
  	if ($symbparm) {
  	    $filename=(&decode_symb($symbparm))[2];
  	} else {
  	    $filename=$env{'request.filename'};
  	}
- 	my $metadata=&metadata($filename,$spacequalifierrest);
+         my $toolsymb;
+         if (($filename =~ /ext\.tool$/) && ($what ne '0_gradable')) {
+             $toolsymb = $symbparm;
+         }
+ 	my $metadata=&metadata($filename,$what,$toolsymb);
  	if (defined($metadata)) { return &get_reply([$metadata,'resource']); }
- 	$metadata=&metadata($filename,'parameter_'.$spacequalifierrest);
+ 	$metadata=&metadata($filename,'parameter_'.$what,$toolsymb);
  	if (defined($metadata)) { return &get_reply([$metadata,'resource']); }
- # ---------------------------------------------- fourth, look in rest of course
+ # ----------------------------------------------- fifth, look in rest of course
  	if ($symbparm && defined($courseid) &&
  	    $courseid eq $env{'request.course.id'}) {
  	    my $coursereply=&resdata($env{'course.'.$courseid.'.num'},
- Line 11201  sub EXT {
+ Line 12762  sub EXT {
  	    if (defined($partgeneral[0])) { return &get_reply(\@partgeneral); }
  	}
  	if ($recurse) { return undef; }
- 	my $pack_def=&packages_tab_default($filename,$varname);
+ 	my $pack_def=&packages_tab_default($filename,$varname,$toolsymb);
  	if (defined($pack_def)) { return &get_reply([$pack_def,'resource']); }
  # ---------------------------------------------------- Any other user namespace
      } elsif ($realm eq 'environment') {
- Line 11226  sub EXT {
+ Line 12787  sub EXT {
  	if ($space eq 'name') {
  	    return $ENV{'SERVER_NAME'};
          }
+     } elsif ($realm eq 'client') {
+         if ($space eq 'remote_addr') {
+             return &get_requestor_ip();
+         }
      }
      return '';
  }
- Line 11259  sub check_group_parms {
+ Line 12824  sub check_group_parms {
      return $coursereply;
  }
+ sub get_map_hierarchy {
+     my ($mapname,$courseid) = @_;
+     my @recurseup = ();
+     if ($mapname) {
+         if (($cachedmapkey eq $courseid) &&
+             (abs($cachedmaptime-time)<5)) {
+             if (ref($cachedmaps{$mapname}) eq 'ARRAY') {
+                 return @{$cachedmaps{$mapname}};
+             }
+         }
+         my $navmap = Apache::lonnavmaps::navmap->new();
+         if (ref($navmap)) {
+             @recurseup = $navmap->recurseup_maps($mapname);
+             undef($navmap);
+             $cachedmaps{$mapname} = \@recurseup;
+             $cachedmaptime=time;
+             $cachedmapkey=$courseid;
+         }
+     }
+     return @recurseup;
+ }
+ }
  sub sort_course_groups { # Sort groups based on defined rankings. Default is sort().
      my ($courseid,@groups) = @_;
      @groups = sort(@groups);
- Line 11266  sub sort_course_groups { # Sort groups b
+ Line 12855  sub sort_course_groups { # Sort groups b
  }
  sub packages_tab_default {
-     my ($uri,$varname)=@_;
+     my ($uri,$varname,$toolsymb)=@_;
      my (undef,$part,$name)=split(/\./,$varname);
      my (@extension,@specifics,$do_default);
-     foreach my $package (split(/,/,&metadata($uri,'packages'))) {
+     foreach my $package (split(/,/,&metadata($uri,'packages',$toolsymb))) {
  	my ($pack_type,$pack_part)=split(/_/,$package,2);
  	if ($pack_type eq 'default') {
  	    $do_default=1;
- Line 11339  my %metaentry;
+ Line 12928  my %metaentry;
  my %importedpartids;
  my %importedrespids;
  sub metadata {
-     my ($uri,$what,$liburi,$prefix,$depthcount)=@_;
+     my ($uri,$what,$toolsymb,$liburi,$prefix,$depthcount)=@_;
      $uri=&declutter($uri);
      # if it is a non metadata possible uri return quickly
      if (($uri eq '') ||
- Line 11363  sub metadata {
+ Line 12952  sub metadata {
  	my ($result,$cached)=&is_cached_new('meta',$uri);
  	if (defined($cached)) { return $result->{':'.$what}; }
      }
+ #
+ # If the uri is for an external tool the file from
+ # which metadata should be retrieved depends on whether
+ # the tool had been configured to be gradable (set in the Course
+ # Editor or Resource Editor).
+ #
+ # If a valid symb has been included as the third arg in the call
+ # to &metadata() that can be used to retrieve the value of
+ # parameter_0_gradable set for the resource, and included in the
+ # uploaded map containing the tool. The value is retrieved via
+ # &EXT(), if a valid symb is available.  Otherwise the value of
+ # gradable in the exttool_$marker.db file for the tool instance
+ # is retrieved via &get().
+ #
+ # When lonuserstate::traceroute() calls lonnet::EXT() for
+ # hiddenresource and encrypturl (during course initialization)
+ # the map-level parameter for resource.0.gradable included in the
+ # uploaded map containing the tool will not yet have been stored
+ # in the user_course_parms.db file for the user's session, so in
+ # this case fall back to retrieving gradable status from the
+ # exttool_$marker.db file.
+ #
+ # In order to avoid an infinite loop, &metadata() will return
+ # before a call to &EXT(), if the uri is for an external tool
+ # and the $what for which metadata is being requested is
+ # parameter_0_gradable or 0_gradable.
+ #
+     if ($uri =~ /ext\.tool$/) {
+         if (($what eq 'parameter_0_gradable') || ($what eq '0_gradable')) {
+             return;
+         } else {
+             my ($checked,$use_passback);
+             if ($toolsymb ne '') {
+                 (undef,undef,my $tooluri) = &decode_symb($toolsymb);
+                 if (($tooluri eq $uri) && (&EXT('resource.0.gradable',$toolsymb))) {
+                     $checked = 1;
+                     if (&EXT('resource.0.gradable',$toolsymb) =~ /^yes$/i) {
+                         $use_passback = 1;
+                     }
+                 }
+             }
+             unless ($checked) {
+                 my ($ignore,$cdom,$cnum,$marker) = split(m{/},$uri);
+                 $marker=~s/\D//g;
+                 if ($marker) {
+                     my %toolsettings=&get('exttool_'.$marker,['gradable'],$cdom,$cnum);
+                     $use_passback = $toolsettings{'gradable'};
+                 }
+             }
+             if ($use_passback) {
+                 $filename = '/home/httpd/html/res/lib/templates/LTIpassback.tool';
+             } else {
+                 $filename = '/home/httpd/html/res/lib/templates/LTIstandard.tool';
+             }
+         }
+     }
      {
  # Imported parts would go here
          my @origfiletagids=();
- Line 11536  sub metadata {
+ Line 13184  sub metadata {
  			if ($depthcount<20) {
  			    my $metadata =
- 				&metadata($uri,'keys', $location,$unikey,
+ 				&metadata($uri,'keys',$toolsymb,$location,$unikey,
  					  $depthcount+1);
  			    foreach my $meta (split(',',$metadata)) {
  				$metaentry{':'.$meta}=$metaentry{':'.$meta};
- Line 11611  sub metadata {
+ Line 13259  sub metadata {
  		$dir=~s|[^/]*$||;
  		$location=&filelocation($dir,$location);
  		my $rights_metadata =
- 		    &metadata($uri,'keys',$location,'_rights',
+ 		    &metadata($uri,'keys',$toolsymb,$location,'_rights',
  			      $depthcount+1);
  		foreach my $rights (split(',',$rights_metadata)) {
  		    #$metaentry{':'.$rights}=$metacache{$uri}->{':'.$rights};
- Line 11880  sub get_coursechange {
+ Line 13528  sub get_coursechange {
  }
  sub devalidate_coursechange_cache {
-     my ($cnum,$cdom)=@_;
+     my ($cdom,$cnum)=@_;
-     my $hashid=$cnum.':'.$cdom;
+     my $hashid=$cdom.'_'.$cnum;
      &devalidate_cache_new('crschange',$hashid);
  }
+ sub get_suppchange {
+     my ($cdom,$cnum) = @_;
+     if ($cdom eq '' || $cnum eq '') {
+         return unless ($env{'request.course.id'});
+         $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     }
+     my $hashid=$cdom.'_'.$cnum;
+     my ($change,$cached)=&is_cached_new('suppchange',$hashid);
+     if ((defined($cached)) && ($change ne '')) {
+         return $change;
+     } else {
+         my %crshash = &get('environment',['internal.supplementalchange'],$cdom,$cnum);
+         if ($crshash{'internal.supplementalchange'} eq '') {
+             $change = $env{'course.'.$cdom.'_'.$cnum.'.internal.created'};
+             if ($change eq '') {
+                 %crshash = &get('environment',['internal.created'],$cdom,$cnum);
+                 $change = $crshash{'internal.created'};
+             }
+         } else {
+             $change = $crshash{'internal.supplementalchange'};
+         }
+         my $cachetime = 600;
+         &do_cache_new('suppchange',$hashid,$change,$cachetime);
+     }
+     return $change;
+ }
+ sub devalidate_suppchange_cache {
+     my ($cdom,$cnum)=@_;
+     my $hashid=$cdom.'_'.$cnum;
+     &devalidate_cache_new('suppchange',$hashid);
+ }
+ sub update_supp_caches {
+     my ($cdom,$cnum) = @_;
+     my %servers = &internet_dom_servers($cdom);
+     my @ids=&current_machine_ids();
+     foreach my $server (keys(%servers)) {
+         next if (grep(/^\Q$server\E$/,@ids));
+         my $hashid=$cnum.':'.$cdom;
+         my $cachekey = &escape('showsupp').':'.&escape($hashid);
+         &remote_devalidate_cache($server,[$cachekey]);
+     }
+     &has_unhidden_suppfiles($cnum,$cdom,1,1);
+     &count_supptools($cnum,$cdom,1);
+     my $now = time;
+     if ($env{'request.course.id'} eq $cdom.'_'.$cnum) {
+         &Apache::lonnet::appenv({'request.course.suppupdated' => $now});
+     }
+     &put('environment',{'internal.supplementalchange' => $now},
+          $cdom,$cnum);
+     &Apache::lonnet::appenv(
+         {'course.'.$cdom.'_'.$cnum.'.internal.supplementalchange' => $now});
+     &do_cache_new('suppchange',$cdom.'_'.$cnum,$now,600);
+ }
  # ------------------------------------------------- Update symbolic store links
  sub symblist {
- Line 11931  sub symbverify {
+ Line 13636  sub symbverify {
      if (tie(%bighash,'GDBM_File',$env{'request.course.fn'}.'.db',
                              &GDBM_READER(),0640)) {
-         my $noclutter;
          if (($thisurl =~ m{^/adm/wrapper/ext/}) || ($thisurl =~ m{^ext/})) {
              $thisurl =~ s/\?.+$//;
              if ($map =~ m{^uploaded/.+\.page$}) {
                  $thisurl =~ s{^(/adm/wrapper|)/ext/}{http://};
                  $thisurl =~ s{^\Qhttp://https://\E}{https://};
-                 $noclutter = 1;
              }
          }
          my $ids;
-         if ($noclutter) {
+         if ($map =~ m{^uploaded/.+\.page$}) {
-             $ids=$bighash{'ids_'.$thisurl};
+             $ids=$bighash{'ids_'.&clutter_with_no_wrapper($thisurl)};
          } else {
              $ids=$bighash{'ids_'.&clutter($thisurl)};
          }
- Line 12042  sub deversion {
+ Line 13745  sub deversion {
  # ------------------------------------------------------ Return symb list entry
  sub symbread {
-     my ($thisfn,$donotrecurse,$ignorecachednull,$checkforblock,$possibles)=@_;
+     my ($thisfn,$donotrecurse,$ignorecachednull,$checkforblock,$possibles,
+         $ignoresymbdb,$noenccheck)=@_;
      my $cache_str='request.symbread.cached.'.$thisfn;
      if (defined($env{$cache_str})) {
-         if ($ignorecachednull) {
+         unless (ref($possibles) eq 'HASH') {
-             return $env{$cache_str} unless ($env{$cache_str} eq '');
+             if ($ignorecachednull) {
-         } else {
+                 return $env{$cache_str} unless ($env{$cache_str} eq '');
-             return $env{$cache_str};
+             } else {
+                 return $env{$cache_str};
+             }
          }
      }
  # no filename provided? try from environment
- Line 12070  sub symbread {
+ Line 13776  sub symbread {
      my %bighash;
      my $syval='';
      if (($env{'request.course.fn'}) && ($thisfn)) {
-         my $targetfn = $thisfn;
+         unless ($ignoresymbdb) {
-         if ( ($thisfn =~ m/^(uploaded|editupload)\//) && ($thisfn !~ m/\.(page|sequence)$/) ) {
+             if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
-             $targetfn = 'adm/wrapper/'.$thisfn;
+                           &GDBM_READER(),0640)) {
-         }
+ 	        $syval=$hash{$thisfn};
- 	if ($targetfn =~ m|^adm/wrapper/(ext/.*)|) {
+                 untie(%hash);
- 	    $targetfn=$1;
+             }
- 	}
+             if ($syval && $checkforblock) {
-         if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
+                 my @blockers = &has_comm_blocking('bre',$syval,$thisfn,$ignoresymbdb,$noenccheck);
-                       &GDBM_READER(),0640)) {
+                 if (@blockers) {
- 	    $syval=$hash{$targetfn};
+                     $syval='';
-             untie(%hash);
+                 }
+             }
          }
  # ---------------------------------------------------------- There was an entry
          if ($syval) {
- Line 12113  sub symbread {
+ Line 13820  sub symbread {
  		     $syval=&encode_symb($bighash{'map_id_'.$mapid},
  						    $resid,$thisfn);
                       if (ref($possibles) eq 'HASH') {
-                          $possibles->{$syval} = 1;
+                          unless ($bighash{'randomout_'.$ids} || $env{'request.role.adv'}) {
+                              $possibles->{$syval} = 1;
+                          }
                       }
                       if ($checkforblock) {
-                          my @blockers = &has_comm_blocking('bre',$syval,$bighash{'src_'.$ids});
+                          unless ($bighash{'randomout_'.$ids} || $env{'request.role.adv'}) {
-                          if (@blockers) {
+                              my @blockers = &has_comm_blocking('bre',$syval,$bighash{'src_'.$ids},'',$noenccheck);
-                              $syval = '';
+                              if (@blockers) {
-                              return;
+                                  $syval = '';
+                                  untie(%bighash);
+                                  return $env{$cache_str}='';
+                              }
                           }
                       }
                   } elsif ((!$donotrecurse) || ($checkforblock) || (ref($possibles) eq 'HASH')) {
- Line 12138  sub symbread {
+ Line 13850  sub symbread {
                               if ($bighash{'map_type_'.$mapid} ne 'page') {
                                   my $poss_syval=&encode_symb($bighash{'map_id_'.$mapid},
                                                               $resid,$thisfn);
-                                  if (ref($possibles) eq 'HASH') {
+                                  next if ($bighash{'randomout_'.$id} && !$env{'request.role.adv'});
-                                      $possibles->{$syval} = 1;
+                                  next unless (($noenccheck) || ($bighash{'encrypted_'.$id} eq $env{'request.enc'}));
-                                  }
                                   if ($checkforblock) {
-                                      my @blockers = &has_comm_blocking('bre',$poss_syval,$file);
+                                      my @blockers = &has_comm_blocking('bre',$poss_syval,$file,'',$noenccheck);
-                                      unless (@blockers > 0) {
+                                      if (@blockers > 0) {
+                                          $syval = '';
+                                      } else {
                                           $syval = $poss_syval;
                                           $realpossible++;
                                       }
- Line 12151  sub symbread {
+ Line 13864  sub symbread {
                                       $syval = $poss_syval;
                                       $realpossible++;
                                   }
+                                  if ($syval) {
+                                      if (ref($possibles) eq 'HASH') {
+                                          $possibles->{$syval} = 1;
+                                      }
+                                  }
                               }
  			 }
                       }
- Line 12688  sub repcopy_userfile {
+ Line 14406  sub repcopy_userfile {
      my $request;
      $uri=~s/^\///;
      my $homeserver = &homeserver($cnum,$cdom);
+     my $hostname = &hostname($homeserver);
      my $protocol = $protocol{$homeserver};
      $protocol = 'http' if ($protocol ne 'https');
-     $request=new HTTP::Request('GET',$protocol.'://'.&hostname($homeserver).'/raw/'.$uri);
+     $request=new HTTP::Request('GET',$protocol.'://'.$hostname.'/raw/'.$uri);
      my $response=$ua->request($request,$transferfile);
  # did it work?
      if ($response->is_error()) {
- Line 12714  sub tokenwrapper {
+ Line 14433  sub tokenwrapper {
  	$file=~s|(\?\.*)*$||;
          &appenv({"userfile.$udom/$uname/$file" => $env{'request.course.id'}});
          my $homeserver = &homeserver($uname,$udom);
+         my $hostname = &hostname($homeserver);
          my $protocol = $protocol{$homeserver};
          $protocol = 'http' if ($protocol ne 'https');
-         return $protocol.'://'.&hostname($homeserver).'/'.$uri.
+         return $protocol.'://'.$hostname.'/'.$uri.
                 (($uri=~/\?/)?'&':'?').'token='.$token.
                                 '&tokenissued='.$perlvar{'lonHostID'};
      } else {
- Line 12732  sub getuploaded {
+ Line 14452  sub getuploaded {
      my ($reqtype,$uri,$cdom,$cnum,$info,$rtncode) = @_;
      $uri=~s/^\///;
      my $homeserver = &homeserver($cnum,$cdom);
+     my $hostname = &hostname($homeserver);
      my $protocol = $protocol{$homeserver};
      $protocol = 'http' if ($protocol ne 'https');
-     $uri = $protocol.'://'.&hostname($homeserver).'/raw/'.$uri;
+     $uri = $protocol.'://'.$hostname.'/raw/'.$uri;
      my $ua=new LWP::UserAgent;
      my $request=new HTTP::Request($reqtype,$uri);
      my $response=$ua->request($request);
- Line 12867  sub machine_ids {
+ Line 14588  sub machine_ids {
  sub additional_machine_domains {
      my @domains;
-     open(my $fh,"<","$perlvar{'lonTabDir'}/expected_domains.tab");
+     if (-e "$perlvar{'lonTabDir'}/expected_domains.tab") {
-     while( my $line = <$fh>) {
+         if (open(my $fh,"<","$perlvar{'lonTabDir'}/expected_domains.tab")) {
-         $line =~ s/\s//g;
+             while( my $line = <$fh>) {
-         push(@domains,$line);
+                 chomp($line);
+                 $line =~ s/\s//g;
+                 push(@domains,$line);
+             }
+             close($fh);
+         }
      }
      return @domains;
  }
- Line 12888  sub default_login_domain {
+ Line 14614  sub default_login_domain {
      return $domain;
  }
+ sub shared_institution {
+     my ($dom,$lonhost) = @_;
+     if ($lonhost eq '') {
+         $lonhost = $perlvar{'lonHostID'};
+     }
+     my $same_intdom;
+     my $hostintdom = &internet_dom($lonhost);
+     if ($hostintdom ne '') {
+         my %iphost = &get_iphost();
+         my $primary_id = &domain($dom,'primary');
+         my $primary_ip = &get_host_ip($primary_id);
+         if (ref($iphost{$primary_ip}) eq 'ARRAY') {
+             foreach my $id (@{$iphost{$primary_ip}}) {
+                 my $intdom = &internet_dom($id);
+                 if ($intdom eq $hostintdom) {
+                     $same_intdom = 1;
+                     last;
+                 }
+             }
+         }
+     }
+     return $same_intdom;
+ }
+ sub uses_sts {
+     my ($ignore_cache) = @_;
+     my $lonhost = $perlvar{'lonHostID'};
+     my $hostname = &hostname($lonhost);
+     my $sts_on;
+     if ($protocol{$lonhost} eq 'https') {
+         my $cachetime = 12*3600;
+         if (!$ignore_cache) {
+             ($sts_on,my $cached)=&is_cached_new('stspolicy',$lonhost);
+             if (defined($cached)) {
+                 return $sts_on;
+             }
+         }
+         my $ua=new LWP::UserAgent;
+         my $url = $protocol{$lonhost}.'://'.$hostname.'/index.html';
+         my $request=new HTTP::Request('HEAD',$url);
+         my $response=$ua->request($request);
+         if ($response->is_success) {
+             my $has_sts = $response->header('Strict-Transport-Security');
+             if ($has_sts eq '') {
+                 $sts_on = 0;
+             } else {
+                 if ($has_sts =~ /\Qmax-age=\E(\d+)/) {
+                     my $maxage = $1;
+                     if ($maxage) {
+                         $sts_on = 1;
+                     } else {
+                         $sts_on = 0;
+                     }
+                 } else {
+                     $sts_on = 0;
+                 }
+             }
+             return &do_cache_new('stspolicy',$lonhost,$sts_on,$cachetime);
+         }
+     }
+     return;
+ }
+ sub waf_allssl {
+     my ($host_name) = @_;
+     my $alias = &get_proxy_alias();
+     if ($host_name eq '') {
+         $host_name = $ENV{'SERVER_NAME'};
+     }
+     if (($host_name ne '') && ($alias eq $host_name)) {
+         my $serverhomedom = &host_domain($perlvar{'lonHostID'});
+         my %defdomdefaults = &get_domain_defaults($serverhomedom);
+         if ($defdomdefaults{'waf_sslopt'}) {
+             return $defdomdefaults{'waf_sslopt'};
+         }
+     }
+     return;
+ }
+ sub get_requestor_ip {
+     my ($r,$nolookup,$noproxy) = @_;
+     my $from_ip;
+     if (ref($r)) {
+         if ($r->can('useragent_ip')) {
+             if ($noproxy && $r->can('client_ip')) {
+                 $from_ip = $r->client_ip();
+             } else {
+                 $from_ip = $r->useragent_ip();
+             }
+         } elsif ($r->connection->can('remote_ip')) {
+             $from_ip = $r->connection->remote_ip();
+         } else {
+             $from_ip = $r->get_remote_host($nolookup);
+         }
+     } else {
+         $from_ip = $ENV{'REMOTE_ADDR'};
+     }
+     return $from_ip if ($noproxy);
+    # Who controls proxy settings for server
+     my $dom_in_use = $Apache::lonnet::perlvar{'lonDefDomain'};
+     my $proxyinfo = &get_proxy_settings($dom_in_use);
+     if ((ref($proxyinfo) eq 'HASH') && ($from_ip)) {
+         if ($proxyinfo->{'vpnint'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'vpnint'})) {
+                 return $from_ip;
+             }
+         }
+         if ($proxyinfo->{'trusted'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'trusted'})) {
+                 my $ipheader = $proxyinfo->{'ipheader'};
+                 my ($ip,$xfor);
+                 if (ref($r)) {
+                     if ($ipheader) {
+                         $ip = $r->headers_in->{$ipheader};
+                     }
+                     $xfor = $r->headers_in->{'X-Forwarded-For'};
+                 } else {
+                     if ($ipheader) {
+                         $ip = $ENV{'HTTP_'.uc($ipheader)};
+                     }
+                     $xfor = $ENV{'HTTP_X_FORWARDED_FOR'};
+                 }
+                 if (($ip eq '') && ($xfor ne '')) {
+                     foreach my $poss_ip (reverse(split(/\s*,\s*/,$xfor))) {
+                         unless (&ip_match($poss_ip,$proxyinfo->{'trusted'})) {
+                             $ip = $poss_ip;
+                             last;
+                         }
+                     }
+                 }
+                 if ($ip ne '') {
+                     return $ip;
+                 }
+             }
+         }
+     }
+     return $from_ip;
+ }
+ sub get_proxy_settings {
+     my ($dom_in_use) = @_;
+     my %domdefaults = &Apache::lonnet::get_domain_defaults($dom_in_use);
+     my $proxyinfo = {
+                        ipheader => $domdefaults{'waf_ipheader'},
+                        trusted  => $domdefaults{'waf_trusted'},
+                        vpnint   => $domdefaults{'waf_vpnint'},
+                        vpnext   => $domdefaults{'waf_vpnext'},
+                        sslopt   => $domdefaults{'waf_sslopt'},
+                     };
+     return $proxyinfo;
+ }
+ sub ip_match {
+     my ($ip,$pattern_str) = @_;
+     $ip=Net::CIDR::cidrvalidate($ip);
+     if ($ip) {
+         return Net::CIDR::cidrlookup($ip,split(/\s*,\s*/,$pattern_str));
+     }
+     return;
+ }
+ sub get_proxy_alias {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($alias,$cached) = &is_cached_new('proxyalias',$lonid);
+         if ($cached) {
+             return $alias;
+         }
+         my $dom = &Apache::lonnet::host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &Apache::lonnet::get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'alias'}) eq 'HASH') {
+                     $alias = $domconfig{'wafproxy'}{'alias'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxyalias',$lonid,$alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub use_proxy_alias {
+     my ($r,$lonid) = @_;
+     my $alias = &get_proxy_alias($lonid);
+     if ($alias) {
+         my $dom = &host_domain($lonid);
+         if ($dom ne '') {
+             my $proxyinfo = &get_proxy_settings($dom);
+             my ($vpnint,$remote_ip);
+             if (ref($proxyinfo) eq 'HASH') {
+                 $vpnint = $proxyinfo->{'vpnint'};
+                 if ($vpnint) {
+                     $remote_ip = &get_requestor_ip($r,1,1);
+                 }
+             }
+             unless ($vpnint && &ip_match($remote_ip,$vpnint)) {
+                 return $alias;
+             }
+         }
+     }
+     return;
+ }
+ sub alias_sso {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($use_alias,$cached) = &is_cached_new('proxysaml',$lonid);
+         if ($cached) {
+             return $use_alias;
+         }
+         my $dom = &Apache::lonnet::host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &Apache::lonnet::get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'saml'}) eq 'HASH') {
+                     $use_alias = $domconfig{'wafproxy'}{'saml'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxysaml',$lonid,$use_alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub get_saml_landing {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         my $defdom = &default_login_domain();
+         my @hosts = &current_machine_ids();
+         if (@hosts > 1) {
+             foreach my $hostid (@hosts) {
+                 if (&host_domain($hostid) eq $defdom) {
+                     $lonid = $hostid;
+                     last;
+                 }
+             }
+         } else {
+             $lonid = $perlvar{'lonHostID'};
+         }
+         if ($lonid) {
+             unless (&Apache::lonnet::host_domain($lonid) eq $defdom) {
+                 return;
+             }
+         } else {
+             return;
+         }
+     } elsif (!defined(&hostname($lonid))) {
+         return;
+     }
+     my ($landing,$cached) = &is_cached_new('samllanding',$lonid);
+     if ($cached) {
+         return $landing;
+     }
+     my $dom = &Apache::lonnet::host_domain($lonid);
+     if ($dom ne '') {
+         my $cachetime = 60*60*24;
+         my %domconfig =
+             &Apache::lonnet::get_dom('configuration',['login'],$dom);
+         if (ref($domconfig{'login'}) eq 'HASH') {
+             if (ref($domconfig{'login'}{'saml'}) eq 'HASH') {
+                 if (ref($domconfig{'login'}{'saml'}{$lonid}) eq 'HASH') {
+                     $landing = 1;
+                 }
+             }
+         }
+         return &do_cache_new('samllanding',$lonid,$landing,$cachetime);
+     }
+     return;
+ }
  # ------------------------------------------------------------- Declutters URLs
  sub declutter {
- Line 13013  sub get_dns {
+ Line 15026  sub get_dns {
      }
      my %alldns;
-     open(my $config,"<","$perlvar{'lonTabDir'}/hosts.tab");
+     if (open(my $config,"<","$perlvar{'lonTabDir'}/hosts.tab")) {
-     foreach my $dns (<$config>) {
+         foreach my $dns (<$config>) {
- 	next if ($dns !~ /^\^(\S*)/x);
+ 	    next if ($dns !~ /^\^(\S*)/x);
-         my $line = $1;
+             my $line = $1;
-         my ($host,$protocol) = split(/:/,$line);
+             my ($host,$protocol) = split(/:/,$line);
-         if ($protocol ne 'https') {
+             if ($protocol ne 'https') {
-             $protocol = 'http';
+                 $protocol = 'http';
+             }
+ 	    $alldns{$host} = $protocol;
          }
- 	$alldns{$host} = $protocol;
+         close($config);
      }
      while (%alldns) {
  	my ($dns) = sort { $b cmp $a } keys(%alldns);
- 	my $ua=new LWP::UserAgent;
+         my @content;
-         $ua->timeout(30);
+         if ($dns eq Sys::Hostname::FQDN::fqdn()) {
- 	my $request=new HTTP::Request('GET',"$alldns{$dns}://$dns$url");
+             my $command = (split('/',$url))[3];
- 	my $response=$ua->request($request);
+             my ($dir,$file) = &parse_getdns_url($command,$url);
-         delete($alldns{$dns});
+             delete($alldns{$dns});
- 	next if ($response->is_error());
+             next if (($dir eq '') || ($file eq ''));
- 	my @content = split("\n",$response->content);
+             if (open(my $config,'<',"$dir/$file")) {
+                 @content = <$config>;
+                 close($config);
+             }
+         } else {
+ 	    my $ua=new LWP::UserAgent;
+             $ua->timeout(30);
+ 	    my $request=new HTTP::Request('GET',"$alldns{$dns}://$dns$url");
+ 	    my $response=$ua->request($request);
+             delete($alldns{$dns});
+ 	    next if ($response->is_error());
+ 	    @content = split("\n",$response->content);
+         }
          unless ($nocache) {
  	    &do_cache_new('dns',$url,\@content,30*24*60*60);
          }
  	&$func(\@content,$hashref);
  	return;
      }
-     close($config);
      my $which = (split('/',$url))[3];
      &logthis("unable to contact DNS defaulting to on disk file dns_$which.tab\n");
-     open($config,"<","$perlvar{'lonTabDir'}/dns_$which.tab");
+     if (open(my $config,"<","$perlvar{'lonTabDir'}/dns_$which.tab")) {
-     my @content = <$config>;
+         my @content = <$config>;
-     &$func(\@content,$hashref);
+         &$func(\@content,$hashref);
+     }
      return;
  }
- Line 13103  sub fetch_dns_checksums {
+ Line 15130  sub fetch_dns_checksums {
      return \%checksums;
  }
+ sub parse_getdns_url {
+     my ($command,$url) = @_;
+     my $dir = $perlvar{'lonTabDir'};
+     my $file;
+     if ($command eq 'hosts') {
+         $file = 'dns_hosts.tab';
+     } elsif ($command eq 'domain') {
+         $file = 'dns_domain.tab';
+     } elsif ($command eq 'checksums') {
+         my $version = (split('/',$url))[4];
+         $file = "dns_checksums/$version.tab",
+     }
+     return ($dir,$file);
+ }
  # ------------------------------------------------------------ Read domain file
  {
      my $loaded;
- Line 13655  BEGIN {
+ Line 15697  BEGIN {
  }
+ # ------------- set default texengine (domain default overrides this)
+ {
+     $deftex = LONCAPA::texengine();
+ }
+ # ------------- set default minimum length for passwords for internal auth users
+ {
+     $passwdmin = LONCAPA::passwd_min();
+ }
  $memcache=new Cache::Memcached({'servers'           => ['127.0.0.1:11211'],
  				'compress_threshold'=> 20_000,
   			        });
- Line 13972  prevents recursive calls to &allowed.
+ Line 16024  prevents recursive calls to &allowed.
 : browse allowed
   A: passphrase authentication needed
   B: access temporarily blocked because of a blocking event in a course.
+  D: access blocked because access is required via session initiated via deep-link
  =item *
- Line 14264  data base, returning a hash that is keye
+ Line 16317  data base, returning a hash that is keye
  values that are the resource value.  I believe that the timestamps and
  versions are also returned.
- get_numsuppfiles($cnum,$cdom) : retrieve number of files in a course's
- supplemental content area. This routine caches the number of files for
-minutes.
  =back
  =head2 Course Modification
- Line 14435  condval($condidx) : value of condition i
+ Line 16484  condval($condidx) : value of condition i
  =item *
- metadata($uri,$what,$liburi,$prefix,$depthcount) : request a
+ metadata($uri,$what,$toolsymb,$liburi,$prefix,$depthcount) : request a
  resource's metadata, $what should be either a specific key, or either
  'keys' (to get a list of possible keys) or 'packages' to get a list of
- packages that this resource currently uses, the last 3 arguments are only used internally for recursive metadata.
+ packages that this resource currently uses, the last 3 arguments are
+ only used internally for recursive metadata.
+ the toolsymb is only used where the uri is for an external tool (for which
+ the uri as well as the symb are guaranteed to be unique).
  this function automatically caches all requests

FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>

Removed from v.1.1172.2.93.4.13
changed lines
	Added in v.1.1172.2.146.2.28