loncom/lonnet/perl/lonnet.pm - diff

Return to lonnet.pm CVS log

Up to [LON-CAPA] / loncom / lonnet / perl

Diff for /loncom/lonnet/perl/lonnet.pm between versions 1.897 and 1.1526

-version 1.897, 2007/07/19 23:02:37
+version 1.1526, 2024/05/01 12:06:25
  Line 27
  #
  ###
+ =pod
+ =head1 NAME
+ Apache::lonnet.pm
+ =head1 SYNOPSIS
+ This file is an interface to the lonc processes of
+ the LON-CAPA network as well as set of elaborated functions for handling information
+ necessary for navigating through a given cluster of LON-CAPA machines within a
+ domain. There are over 40 specialized functions in this module which handle the
+ reading and transmission of metadata, user information (ids, names, environments, roles,
+ logs), file information (storage, reading, directories, extensions, replication, embedded
+ styles and descriptors), educational resources (course descriptions, section names and
+ numbers), url hashing (to assign roles on a url basis), and translating abbreviated symbols to
+ and from more descriptive phrases or explanations.
+ This is part of the LearningOnline Network with CAPA project
+ described at http://www.lon-capa.org.
+ =head1 Package Variables
+ These are largely undocumented, so if you decipher one please note it here.
+ =over 4
+ =item $processmarker
+ Contains the time this process was started and this servers host id.
+ =item $dumpcount
+ Counts the number of times a message log flush has been attempted (regardless
+ of success) by this process.  Used as part of the filename when messages are
+ delayed.
+ =back
+ =cut
  package Apache::lonnet;
  use strict;
- use LWP::UserAgent();
  use HTTP::Date;
- # use Date::Parse;
+ use Image::Magick;
- use vars qw(%perlvar %spareid %pr %prp $memcache %packagetab $tmpdir
+ use CGI::Cookie;
-             $_64bit %env);
+ use Encode;
+ use vars qw(%perlvar %spareid %pr %prp $memcache %packagetab $tmpdir $deftex
+             $_64bit %env %protocol %loncaparevs %serverhomeIDs %needsrelease
+             %managerstab $passwdmin);
  my (%badServerCache, $memcache, %courselogs, %accesshash, %domainrolehash,
      %userrolehash, $processmarker, $dumpcount, %coursedombuf,
      %coursenumbuf, %coursehombuf, %coursedescrbuf, %courseinstcodebuf,
-     %courseownerbuf, %coursetypebuf);
+     %courseownerbuf, %coursetypebuf,$locknum);
  use IO::Socket;
  use GDBM_File;
  use HTML::LCParser;
  use Fcntl qw(:flock);
  use Storable qw(thaw nfreeze);
- use Time::HiRes qw( gettimeofday tv_interval );
+ use Time::HiRes qw( sleep gettimeofday tv_interval );
  use Cache::Memcached;
  use Digest::MD5;
  use Math::Random;
+ use File::MMagic;
+ use Net::CIDR;
+ use Sys::Hostname::FQDN();
  use LONCAPA qw(:DEFAULT :match);
  use LONCAPA::Configuration;
+ use LONCAPA::lonmetadata;
+ use LONCAPA::Lond;
+ use LONCAPA::LWPReq;
+ use LONCAPA::transliterate;
+ use File::Copy;
  my $readit;
- my $max_connection_retries = 10;     # Or some such value.
+ my $max_connection_retries = 20;     # Or some such value.
  require Exporter;
  our @ISA = qw (Exporter);
  our @EXPORT = qw(%env);
- =pod
- =head1 Package Variables
- These are largely undocumented, so if you decipher one please note it here.
- =over 4
- =item $processmarker
- Contains the time this process was started and this servers host id.
- =item $dumpcount
- Counts the number of times a message log flush has been attempted (regardless
+ # ------------------------------------ Logging (parameters, docs, slots, roles)
- of success) by this process.  Used as part of the filename when messages are
- delayed.
- =back
- =cut
- # --------------------------------------------------------------------- Logging
  {
      my $logid;
-     sub instructor_log {
+     sub write_log {
- 	my ($hash_name,$storehash,$delflag,$uname,$udom)=@_;
+ 	my ($context,$hash_name,$storehash,$delflag,$uname,$udom,$cnum,$cdom)=@_;
- 	$logid++;
+         if ($context eq 'course') {
- 	my $id=time().'00000'.$$.'00000'.$logid;
+             if (($cnum eq '') || ($cdom eq '')) {
- 	return &Apache::lonnet::put('nohist_'.$hash_name,
+                 $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
- 				    { $id => {
+                 $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
- 					'exe_uname' => $env{'user.name'},
+             }
- 					'exe_udom'  => $env{'user.domain'},
+         }
- 					'exe_time'  => time(),
+ 	$logid ++;
- 					'exe_ip'    => $ENV{'REMOTE_ADDR'},
+         my $now = time();
- 					'delflag'   => $delflag,
+ 	my $id=$now.'00000'.$$.'00000'.$logid;
- 					'logentry'  => $storehash,
+         my $ip = &get_requestor_ip();
- 					'uname'     => $uname,
+         my $logentry = {
- 					'udom'      => $udom,
+                           $id => {
- 				    }
+                                    'exe_uname' => $env{'user.name'},
- 				  },
+                                    'exe_udom'  => $env{'user.domain'},
- 				    $env{'course.'.$env{'request.course.id'}.'.domain'},
+                                    'exe_time'  => $now,
- 				    $env{'course.'.$env{'request.course.id'}.'.num'}
+                                    'exe_ip'    => $ip,
- 				    );
+                                    'delflag'   => $delflag,
+                                    'logentry'  => $storehash,
+                                    'uname'     => $uname,
+                                    'udom'      => $udom,
+                                   }
+                        };
+ 	return &put('nohist_'.$hash_name,$logentry,$cdom,$cnum);
      }
  }
  sub logtouch {
      my $execdir=$perlvar{'lonDaemons'};
      unless (-e "$execdir/logs/lonnet.log") {
- 	open(my $fh,">>$execdir/logs/lonnet.log");
+ 	open(my $fh,">>","$execdir/logs/lonnet.log");
  	close $fh;
      }
      my ($wwwuid,$wwwgid)=(getpwnam('www'))[2,3];
- Line 124  sub logthis {
+ Line 162  sub logthis {
      my $execdir=$perlvar{'lonDaemons'};
      my $now=time;
      my $local=localtime($now);
-     if (open(my $fh,">>$execdir/logs/lonnet.log")) {
+     if (open(my $fh,">>","$execdir/logs/lonnet.log")) {
- 	print $fh "$local ($$): $message\n";
+ 	my $logstring = $local. " ($$): ".$message."\n"; # Keep any \'s in string.
+ 	print $fh $logstring;
  	close($fh);
      }
      return 1;
- Line 136  sub logperm {
+ Line 175  sub logperm {
      my $execdir=$perlvar{'lonDaemons'};
      my $now=time;
      my $local=localtime($now);
-     if (open(my $fh,">>$execdir/logs/lonnet.perm.log")) {
+     if (open(my $fh,">>","$execdir/logs/lonnet.perm.log")) {
  	print $fh "$now:$message:$local\n";
  	close($fh);
      }
- Line 149  sub create_connection {
+ Line 188  sub create_connection {
  				     Type    => SOCK_STREAM,
  				     Timeout => 10);
      return 0 if (!$client);
-     print $client (join(':',$hostname,$lonid,&machine_ids($hostname))."\n");
+     print $client (join(':',$hostname,$lonid,&machine_ids($hostname),$loncaparevs{$lonid})."\n");
      my $result = <$client>;
      chomp($result);
      return 1 if ($result eq 'done');
      return 0;
  }
+ sub get_server_timezone {
+     my ($cnum,$cdom) = @_;
+     my $home=&homeserver($cnum,$cdom);
+     if ($home ne 'no_host') {
+         my $cachetime = 24*3600;
+         my ($timezone,$cached)=&is_cached_new('servertimezone',$home);
+         if (defined($cached)) {
+             return $timezone;
+         } else {
+             my $timezone = &reply('servertimezone',$home);
+             return &do_cache_new('servertimezone',$home,$timezone,$cachetime);
+         }
+     }
+ }
+ sub get_server_distarch {
+     my ($lonhost,$ignore_cache) = @_;
+     if (defined($lonhost)) {
+         if (!defined(&hostname($lonhost))) {
+             return;
+         }
+         my $cachetime = 12*3600;
+         if (!$ignore_cache) {
+             my ($distarch,$cached)=&is_cached_new('serverdistarch',$lonhost);
+             if (defined($cached)) {
+                 return $distarch;
+             }
+         }
+         my $rep = &reply('serverdistarch',$lonhost);
+         unless ($rep eq 'unknown_command' || $rep eq 'no_such_host' ||
+                 $rep eq 'con_lost' || $rep eq 'rejected' || $rep eq 'refused' ||
+                 $rep eq '') {
+             return &do_cache_new('serverdistarch',$lonhost,$rep,$cachetime);
+         }
+     }
+     return;
+ }
+ sub get_servercerts_info {
+     my ($lonhost,$hostname,$context) = @_;
+     return if ($lonhost eq '');
+     if ($hostname eq '') {
+         $hostname = &hostname($lonhost);
+     }
+     return if ($hostname eq '');
+     my ($rep,$uselocal);
+     if ($context eq 'install') {
+         $uselocal = 1;
+     } elsif (grep { $_ eq $lonhost } &current_machine_ids()) {
+         $uselocal = 1;
+     }
+     if (($context ne 'cgi') && ($context ne 'install') && ($uselocal)) {
+         my $distro = (split(/\:/,&get_server_distarch($lonhost)))[0];
+         if ($distro eq '') {
+             $uselocal = 0;
+         } elsif ($distro =~ /^(?:centos|redhat|scientific)(\d+)$/) {
+             if ($1 < 6) {
+                 $uselocal = 0;
+             }
+         }  elsif ($distro =~ /^(?:sles)(\d+)$/) {
+             if ($1 < 12) {
+                 $uselocal = 0;
+             }
+         }
+     }
+     if ($uselocal) {
+         $rep = LONCAPA::Lond::server_certs(\%perlvar,$lonhost,$hostname);
+     } else {
+         $rep=&reply('servercerts',$lonhost);
+     }
+     my ($result,%returnhash);
+     if (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+         ($rep eq 'unknown_cmd')) {
+         $result = $rep;
+     } else {
+         $result = 'ok';
+         my @pairs=split(/\&/,$rep);
+         foreach my $item (@pairs) {
+             my ($key,$value)=split(/=/,$item,2);
+             my $what = &unescape($key);
+             $returnhash{$what}=&thaw_unescape($value);
+         }
+     }
+     return ($result,\%returnhash);
+ }
+ sub get_server_loncaparev {
+     my ($dom,$lonhost,$ignore_cache,$caller) = @_;
+     if (defined($lonhost)) {
+         if (!defined(&hostname($lonhost))) {
+             undef($lonhost);
+         }
+     }
+     if (!defined($lonhost)) {
+         if (defined(&domain($dom,'primary'))) {
+             $lonhost=&domain($dom,'primary');
+             if ($lonhost eq 'no_host') {
+                 undef($lonhost);
+             }
+         }
+     }
+     if (defined($lonhost)) {
+         my $cachetime = 12*3600;
+         if (!$ignore_cache) {
+             my ($loncaparev,$cached)=&is_cached_new('serverloncaparev',$lonhost);
+             if (defined($cached)) {
+                 return $loncaparev;
+             }
+         }
+         my ($answer,$loncaparev);
+         my @ids=&current_machine_ids();
+         if (grep(/^\Q$lonhost\E$/,@ids)) {
+             $answer = $perlvar{'lonVersion'};
+             if ($answer =~ /^[\'\"]?([\w.\-]+)[\'\"]?$/) {
+                 $loncaparev = $1;
+             }
+         } else {
+             $answer = &reply('serverloncaparev',$lonhost);
+             if (($answer eq 'unknown_cmd') || ($answer eq 'con_lost')) {
+                 if ($caller eq 'loncron') {
+                     my $hostname = &hostname($lonhost);
+                     my $protocol = $protocol{$lonhost};
+                     $protocol = 'http' if ($protocol ne 'https');
+                     my $url = $protocol.'://'.$hostname.'/adm/about.html';
+                     my $request=new HTTP::Request('GET',$url);
+                     my $response=&LONCAPA::LWPReq::makerequest($lonhost,$request,'',\%perlvar,4,1);
+                     unless ($response->is_error()) {
+                         my $content = $response->content;
+                         if ($content =~ /<p>VERSION\:\s*([\w.\-]+)<\/p>/) {
+                             $loncaparev = $1;
+                         }
+                     }
+                 } else {
+                     $loncaparev = $loncaparevs{$lonhost};
+                 }
+             } elsif ($answer =~ /^[\'\"]?([\w.\-]+)[\'\"]?$/) {
+                 $loncaparev = $1;
+             }
+         }
+         return &do_cache_new('serverloncaparev',$lonhost,$loncaparev,$cachetime);
+     }
+ }
+ sub get_server_homeID {
+     my ($hostname,$ignore_cache,$caller) = @_;
+     unless ($ignore_cache) {
+         my ($serverhomeID,$cached)=&is_cached_new('serverhomeID',$hostname);
+         if (defined($cached)) {
+             return $serverhomeID;
+         }
+     }
+     my $cachetime = 12*3600;
+     my $serverhomeID;
+     if ($caller eq 'loncron') {
+         my @machine_ids = &machine_ids($hostname);
+         foreach my $id (@machine_ids) {
+             my $response = &reply('serverhomeID',$id);
+             unless (($response eq 'unknown_cmd') || ($response eq 'con_lost')) {
+                 $serverhomeID = $response;
+                 last;
+             }
+         }
+         if ($serverhomeID eq '') {
+             $serverhomeID = $machine_ids[-1];
+         }
+     } else {
+         $serverhomeID = $serverhomeIDs{$hostname};
+     }
+     return &do_cache_new('serverhomeID',$hostname,$serverhomeID,$cachetime);
+ }
+ sub get_remote_globals {
+     my ($lonhost,$whathash,$ignore_cache) = @_;
+     my ($result,%returnhash,%whatneeded);
+     if (ref($whathash) eq 'HASH') {
+         foreach my $what (sort(keys(%{$whathash}))) {
+             my $hashid = $lonhost.'-'.$what;
+             my ($response,$cached);
+             unless ($ignore_cache) {
+                 ($response,$cached)=&is_cached_new('lonnetglobal',$hashid);
+             }
+             if (defined($cached)) {
+                 $returnhash{$what} = $response;
+             } else {
+                 $whatneeded{$what} = 1;
+             }
+         }
+         if (keys(%whatneeded) == 0) {
+             $result = 'ok';
+         } else {
+             my $requested = &freeze_escape(\%whatneeded);
+             my $rep=&reply('readlonnetglobal:'.$requested,$lonhost);
+             if (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+                 $result = $rep;
+             } else {
+                 $result = 'ok';
+                 my @pairs=split(/\&/,$rep);
+                 foreach my $item (@pairs) {
+                     my ($key,$value)=split(/=/,$item,2);
+                     my $what = &unescape($key);
+                     my $hashid = $lonhost.'-'.$what;
+                     $returnhash{$what}=&thaw_unescape($value);
+                     &do_cache_new('lonnetglobal',$hashid,$returnhash{$what},600);
+                 }
+             }
+         }
+     }
+     return ($result,\%returnhash);
+ }
+ sub remote_devalidate_cache {
+     my ($lonhost,$cachekeys) = @_;
+     my $items;
+     return unless (ref($cachekeys) eq 'ARRAY');
+     my $cachestr = join('&',@{$cachekeys});
+     my $response = &reply('devalidatecache:'.&escape($cachestr),$lonhost);
+     return $response;
+ }
+ sub sign_lti {
+     my ($cdom,$cnum,$crsdef,$type,$context,$url,$ltinum,$keynum,$paramsref,$inforef) = @_;
+     my $chome;
+     if (&domain($cdom) ne '') {
+         if ($crsdef) {
+             $chome = &homeserver($cnum,$cdom);
+         } else {
+             $chome = &domain($cdom,'primary');
+         }
+     }
+     if ($cdom && $chome && ($chome ne 'no_host')) {
+         if ((ref($paramsref) eq 'HASH') &&
+             (ref($inforef) eq 'HASH')) {
+             my $rep;
+             if (grep { $_ eq $chome } &current_machine_ids()) {
+                 # domain information is hosted on this machine
+                 $rep =
+                     &LONCAPA::Lond::sign_lti_payload($cdom,$cnum,$crsdef,$type,
+                                                      $context,$url,$ltinum,$keynum,
+                                                      $perlvar{'lonVersion'},
+                                                      $paramsref,$inforef);
+                 if (ref($rep) eq 'HASH') {
+                     return ('ok',$rep);
+                 }
+             } else {
+                 my ($escurl,$params,$info);
+                 $escurl = &escape($url);
+                 if (ref($paramsref) eq 'HASH') {
+                     $params = &freeze_escape($paramsref);
+                 }
+                 if (ref($inforef) eq 'HASH') {
+                     $info = &freeze_escape($inforef);
+                 }
+                 $rep=&reply("encrypt:signlti:$cdom:$cnum:$crsdef:$type:$context:$escurl:$ltinum:$keynum:$params:$info",$chome);
+             }
+             if (($rep eq '') || ($rep =~ /^con_lost|error|no_such_host|unknown_cmd/i)) {
+                 return ();
+             } elsif (($inforef->{'respfmt'} eq 'to_post_body') ||
+                      ($inforef->{'respfmt'} eq 'to_authorization_header')) {
+                 return ('ok',$rep);
+             } else {
+                 my %returnhash;
+                 foreach my $item (split(/\&/,$rep)) {
+                     my ($name,$value)=split(/\=/,$item);
+                     $returnhash{&unescape($name)}=&thaw_unescape($value);
+                 }
+                 return('ok',\%returnhash);
+             }
+         } else {
+             return ();
+         }
+     } else {
+         return ();
+         &logthis("sign_lti failed - no homeserver and/or domain ($cdom) ($chome)");
+     }
+ }
  # -------------------------------------------------- Non-critical communication
  sub subreply {
- Line 168  sub subreply {
+ Line 483  sub subreply {
      my $lockfile=$peerfile.".lock";
      while (-e $lockfile) {	# Need to wait for the lockfile to disappear.
- 	sleep(1);
+ 	sleep(0.1);
      }
      # At this point, either a loncnew parent is listening or an old lonc
      # or loncnew child is listening so we can connect or everything's dead.
- Line 186  sub subreply {
+ Line 501  sub subreply {
  	} else {
  	    &create_connection(&hostname($server),$server);
  	}
-         sleep(1);		# Try again later if failed connection.
+         sleep(0.1);	# Try again later if failed connection.
      }
      my $answer;
      if ($client) {
- Line 205  sub reply {
+ Line 520  sub reply {
      unless (defined(&hostname($server))) { return 'no_such_host'; }
      my $answer=subreply($cmd,$server);
      if (($answer=~/^refused/) || ($answer=~/^rejected/)) {
-        &logthis("<font color=\"blue\">WARNING:".
+         my $logged = $cmd;
-                 " $cmd to $server returned $answer</font>");
+         if ($cmd =~ /^encrypt:([^:]+):/) {
+             my $subcmd = $1;
+             if (($subcmd eq 'auth') || ($subcmd eq 'passwd') ||
+                 ($subcmd eq 'changeuserauth') || ($subcmd eq 'makeuser') ||
+                 ($subcmd eq 'putdom') || ($subcmd eq 'autoexportgrades') ||
+                 ($subcmd eq 'put')) {
+                 (undef,undef,my @rest) = split(/:/,$cmd);
+                 if (($subcmd eq 'auth') || ($subcmd eq 'putdom')) {
+                     splice(@rest,2,1,'Hidden');
+                 } elsif ($subcmd eq 'passwd') {
+                     splice(@rest,2,2,('Hidden','Hidden'));
+                 } elsif (($subcmd eq 'changeuserauth') || ($subcmd eq 'makeuser') ||
+                          ($subcmd eq 'autoexportgrades') || ($subcmd eq 'put')) {
+                     splice(@rest,3,1,'Hidden');
+                 }
+                 $logged = join(':',('encrypt:'.$subcmd,@rest));
+             }
+         }
+         &logthis("<font color=\"blue\">WARNING:".
+                  " $logged to $server returned $answer</font>");
      }
      return $answer;
  }
- Line 215  sub reply {
+ Line 549  sub reply {
  sub reconlonc {
      my ($lonid) = @_;
-     my $hostname = &hostname($lonid);
      if ($lonid) {
+         my $hostname = &hostname($lonid);
  	my $peerfile="$perlvar{'lonSockDir'}/$hostname";
  	if ($hostname && -e $peerfile) {
  	    &logthis("Trying to reconnect lonc for $lonid ($hostname)");
- Line 234  sub reconlonc {
+ Line 568  sub reconlonc {
      &logthis("Trying to reconnect lonc");
      my $loncfile="$perlvar{'lonDaemons'}/logs/lonc.pid";
-     if (open(my $fh,"<$loncfile")) {
+     if (open(my $fh,"<",$loncfile)) {
  	my $loncpid=<$fh>;
          chomp($loncpid);
          if (kill 0 => $loncpid) {
  	    &logthis("lonc at pid $loncpid responding, sending USR1");
              kill USR1 => $loncpid;
              sleep 1;
-          } else {
+         } else {
  	    &logthis(
                 "<font color=\"blue\">WARNING:".
                 " lonc at pid $loncpid not responding, giving up</font>");
- Line 262  sub critical {
+ Line 596  sub critical {
      }
      my $answer=reply($cmd,$server);
      if ($answer eq 'con_lost') {
- 	&reconlonc("$perlvar{'lonSockDir'}/$server");
+ 	&reconlonc($server);
  	my $answer=reply($cmd,$server);
          if ($answer eq 'con_lost') {
              my $now=time;
- Line 274  sub critical {
+ Line 608  sub critical {
              $dumpcount++;
              {
  		my $dfh;
- 		if (open($dfh,">$dfilename")) {
+ 		if (open($dfh,">",$dfilename)) {
  		    print $dfh "$cmd\n";
  		    close($dfh);
  		}
              }
-             sleep 2;
+             sleep 1;
              my $wcmd='';
              {
  		my $dfh;
- 		if (open($dfh,"<$dfilename")) {
+ 		if (open($dfh,"<",$dfilename)) {
  		    $wcmd=<$dfh>;
  		    close($dfh);
  		}
- Line 320  sub convert_and_load_session_env {
+ Line 654  sub convert_and_load_session_env {
      my ($lonidsdir,$handle)=@_;
      my @profile;
      {
- 	open(my $idf,"$lonidsdir/$handle.id");
+ 	my $opened = open(my $idf,'+<',"$lonidsdir/$handle.id");
+ 	if (!$opened) {
+ 	    return 0;
+ 	}
  	flock($idf,LOCK_SH);
  	@profile=<$idf>;
  	close($idf);
- Line 359  sub transfer_profile_to_env {
+ Line 696  sub transfer_profile_to_env {
      my $convert;
      {
-     	open(my $idf,"$lonidsdir/$handle.id");
+     	my $opened = open(my $idf,'+<',"$lonidsdir/$handle.id");
+ 	if (!$opened) {
+ 	    return;
+ 	}
  	flock($idf,LOCK_SH);
  	if (tie(my %disk_env,'GDBM_File',"$lonidsdir/$handle.id",
  		&GDBM_READER(),0640)) {
- Line 391  sub transfer_profile_to_env {
+ Line 731  sub transfer_profile_to_env {
      }
  }
+ # ---------------------------------------------------- Check for valid session
+ sub check_for_valid_session {
+     my ($r,$name,$userhashref,$domref) = @_;
+     my %cookies=CGI::Cookie->parse($r->header_in('Cookie'));
+     my ($lonidsdir,$linkname,$pubname,$secure,$lonid);
+     if ($name eq 'lonDAV') {
+         $lonidsdir=$r->dir_config('lonDAVsessDir');
+     } else {
+         $lonidsdir=$r->dir_config('lonIDsDir');
+         if ($name eq '') {
+             $name = 'lonID';
+         }
+     }
+     if ($name eq 'lonID') {
+         $secure = 'lonSID';
+         $linkname = 'lonLinkID';
+         $pubname = 'lonPubID';
+         if (exists($cookies{$secure})) {
+             $lonid=$cookies{$secure};
+         } elsif (exists($cookies{$name})) {
+             $lonid=$cookies{$name};
+         } elsif ((exists($cookies{$linkname})) && ($ENV{'SERVER_PORT'} != 443)) {
+             $lonid=$cookies{$linkname};
+         } elsif (exists($cookies{$pubname})) {
+             $lonid=$cookies{$pubname};
+         }
+     } else {
+         $lonid=$cookies{$name};
+     }
+     return undef if (!$lonid);
+     my $handle=&LONCAPA::clean_handle($lonid->value);
+     if (-l "$lonidsdir/$handle.id") {
+         my $link = readlink("$lonidsdir/$handle.id");
+         if ((-e $link) && ($link =~ m{^\Q$lonidsdir\E/(.+)\.id$})) {
+             $handle = $1;
+         }
+     }
+     if (!-e "$lonidsdir/$handle.id") {
+         if ((ref($domref)) && ($name eq 'lonID') &&
+             ($handle =~ /^($match_username)\_\d+\_($match_domain)\_(.+)$/)) {
+             my ($possuname,$possudom,$possuhome) = ($1,$2,$3);
+             if ((&domain($possudom) ne '') && (&homeserver($possuname,$possudom) eq $possuhome)) {
+                 $$domref = $possudom;
+             }
+         }
+         return undef;
+     }
+     my $opened = open(my $idf,'+<',"$lonidsdir/$handle.id");
+     return undef if (!$opened);
+     flock($idf,LOCK_SH);
+     my %disk_env;
+     if (!tie(%disk_env,'GDBM_File',"$lonidsdir/$handle.id",
+ 	    &GDBM_READER(),0640)) {
+ 	return undef;
+     }
+     if (!defined($disk_env{'user.name'})
+ 	|| !defined($disk_env{'user.domain'})) {
+         untie(%disk_env);
+ 	return undef;
+     }
+     if (ref($userhashref) eq 'HASH') {
+         $userhashref->{'name'} = $disk_env{'user.name'};
+         $userhashref->{'domain'} = $disk_env{'user.domain'};
+         if ($disk_env{'request.role'}) {
+             $userhashref->{'role'} = $disk_env{'request.role'};
+         }
+         $userhashref->{'lti'} = $disk_env{'request.lti.login'};
+         if ($userhashref->{'lti'}) {
+             $userhashref->{'ltitarget'} = $disk_env{'request.lti.target'};
+             $userhashref->{'ltiuri'} = $disk_env{'request.lti.uri'};
+         }
+     }
+     untie(%disk_env);
+     return $handle;
+ }
  sub timed_flock {
      my ($file,$lock_type) = @_;
      my $failed=0;
- Line 411  sub timed_flock {
+ Line 833  sub timed_flock {
      }
  }
+ sub get_sessionfile_vars {
+     my ($handle,$lonidsdir,$storearr) = @_;
+     my %returnhash;
+     unless (ref($storearr) eq 'ARRAY') {
+         return %returnhash;
+     }
+     if (-l "$lonidsdir/$handle.id") {
+         my $link = readlink("$lonidsdir/$handle.id");
+         if ((-e $link) && ($link =~ m{^\Q$lonidsdir\E/(.+)\.id$})) {
+             $handle = $1;
+         }
+     }
+     if ((-e "$lonidsdir/$handle.id") &&
+         ($handle =~ /^($match_username)\_\d+\_($match_domain)\_(.+)$/)) {
+         my ($possuname,$possudom,$possuhome) = ($1,$2,$3);
+         if ((&domain($possudom) ne '') && (&homeserver($possuname,$possudom) eq $possuhome)) {
+             if (open(my $idf,'+<',"$lonidsdir/$handle.id")) {
+                 flock($idf,LOCK_SH);
+                 if (tie(my %disk_env,'GDBM_File',"$lonidsdir/$handle.id",
+                         &GDBM_READER(),0640)) {
+                     foreach my $item (@{$storearr}) {
+                         $returnhash{$item} = $disk_env{$item};
+                     }
+                     untie(%disk_env);
+                 }
+             }
+         }
+     }
+     return %returnhash;
+ }
  # ---------------------------------------------------------- Append Environment
  sub appenv {
-     my %newenv=@_;
+     my ($newenv,$roles) = @_;
-     foreach my $key (keys(%newenv)) {
+     if (ref($newenv) eq 'HASH') {
- 	if (($newenv{$key}=~/^user\.role/) || ($newenv{$key}=~/^user\.priv/)) {
+         foreach my $key (keys(%{$newenv})) {
-             &logthis("<font color=\"blue\">WARNING: ".
+             my $refused = 0;
-                 "Attempt to modify environment ".$key." to ".$newenv{$key}
+ 	    if (($key =~ /^user\.role/) || ($key =~ /^user\.priv/)) {
-                 .'</font>');
+                 $refused = 1;
- 	    delete($newenv{$key});
+                 if (ref($roles) eq 'ARRAY') {
-         } else {
+                     my ($type,$role) = ($key =~ m{^user\.(role|priv)\.(.+?)\./});
-             $env{$key}=$newenv{$key};
+                     if (grep(/^\Q$role\E$/,@{$roles})) {
+                         $refused = 0;
+                     }
+                 }
+             }
+             if ($refused) {
+                 &logthis("<font color=\"blue\">WARNING: ".
+                          "Attempt to modify environment ".$key." to ".$newenv->{$key}
+                          .'</font>');
+ 	        delete($newenv->{$key});
+             } else {
+                 $env{$key}=$newenv->{$key};
+             }
+         }
+         my $lonids = $perlvar{'lonIDsDir'};
+         if ($env{'user.environment'} =~ m{^\Q$lonids/\E$match_username\_\d+\_$match_domain\_[\w\-.]+\.id$}) {
+             my $opened = open(my $env_file,'+<',$env{'user.environment'});
+             if ($opened
+ 	        && &timed_flock($env_file,LOCK_EX)
+ 	        &&
+ 	        tie(my %disk_env,'GDBM_File',$env{'user.environment'},
+ 	            (&GDBM_WRITER()|&GDBM_NOLOCK()),0640)) {
+ 	        while (my ($key,$value) = each(%{$newenv})) {
+ 	            $disk_env{$key} = $value;
+ 	        }
+ 	        untie(%disk_env);
+             }
          }
-     }
-     open(my $env_file,$env{'user.environment'});
-     if (&timed_flock($env_file,LOCK_EX)
- 	&&
- 	tie(my %disk_env,'GDBM_File',$env{'user.environment'},
- 	    (&GDBM_WRITER()|&GDBM_NOLOCK()),0640)) {
- 	while (my ($key,$value) = each(%newenv)) {
- 	    $disk_env{$key} = $value;
- 	}
- 	untie(%disk_env);
      }
      return 'ok';
  }
  # ----------------------------------------------------- Delete from Environment
  sub delenv {
-     my $delthis=shift;
+     my ($delthis,$regexp,$roles) = @_;
-     if (($delthis=~/user\.role/) || ($delthis=~/user\.priv/)) {
+     if (($delthis=~/^user\.role/) || ($delthis=~/^user\.priv/)) {
-         &logthis("<font color=\"blue\">WARNING: ".
+         my $refused = 1;
-                 "Attempt to delete from environment ".$delthis);
+         if (ref($roles) eq 'ARRAY') {
-         return 'error';
+             my ($type,$role) = ($delthis =~ /^user\.(role|priv)\.([^.]+)\./);
+             if (grep(/^\Q$role\E$/,@{$roles})) {
+                 $refused = 0;
+             }
+         }
+         if ($refused) {
+             &logthis("<font color=\"blue\">WARNING: ".
+                      "Attempt to delete from environment ".$delthis);
+             return 'error';
+         }
      }
-     open(my $env_file,$env{'user.environment'});
+     my $opened = open(my $env_file,'+<',$env{'user.environment'});
-     if (&timed_flock($env_file,LOCK_EX)
+     if ($opened
+ 	&& &timed_flock($env_file,LOCK_EX)
  	&&
  	tie(my %disk_env,'GDBM_File',$env{'user.environment'},
  	    (&GDBM_WRITER()|&GDBM_NOLOCK()),0640)) {
  	foreach my $key (keys(%disk_env)) {
- 	    if ($key=~/^$delthis/) {
+ 	    if ($regexp) {
-                 delete($env{$key});
+                 if ($key=~/^$delthis/) {
-                 delete($disk_env{$key});
+                     delete($env{$key});
+                     delete($disk_env{$key});
+                 }
+             } else {
+                 if ($key=~/^\Q$delthis\E/) {
+ 		    delete($env{$key});
+ 		    delete($disk_env{$key});
+ 	        }
              }
  	}
  	untie(%disk_env);
- Line 476  sub get_env_multiple {
+ Line 962  sub get_env_multiple {
      return(@values);
  }
+ # ------------------------------------------------------------------- Locking
+ sub set_lock {
+     my ($text)=@_;
+     $locknum++;
+     my $id=$$.'-'.$locknum;
+     &appenv({'session.locks' => $env{'session.locks'}.','.$id,
+              'session.lock.'.$id => $text});
+     return $id;
+ }
+ sub get_locks {
+     my $num=0;
+     my %texts=();
+     foreach my $lock (split(/\,/,$env{'session.locks'})) {
+        if ($lock=~/\w/) {
+           $num++;
+           $texts{$lock}=$env{'session.lock.'.$lock};
+        }
+    }
+    return ($num,%texts);
+ }
+ sub remove_lock {
+     my ($id)=@_;
+     my $newlocks='';
+     foreach my $lock (split(/\,/,$env{'session.locks'})) {
+        if (($lock=~/\w/) && ($lock ne $id)) {
+           $newlocks.=','.$lock;
+        }
+     }
+     &appenv({'session.locks' => $newlocks});
+     &delenv('session.lock.'.$id);
+ }
+ sub remove_all_locks {
+     my $activelocks=$env{'session.locks'};
+     foreach my $lock (split(/\,/,$env{'session.locks'})) {
+        if ($lock=~/\w/) {
+           &remove_lock($lock);
+        }
+     }
+ }
  # ------------------------------------------ Find out current server userload
- # there is a copy in lond
  sub userload {
      my $numusers=0;
      {
- Line 485  sub userload {
+ Line 1015  sub userload {
  	my $filename;
  	my $curtime=time;
  	while ($filename=readdir(LONIDS)) {
- 	    if ($filename eq '.' || $filename eq '..') {next;}
+ 	    next if ($filename eq '.' || $filename eq '..');
+ 	    next if ($filename =~ /publicuser_\d+\.id/);
+             next if ($filename =~ /^[a-f0-9]+_linked\.id$/);
  	    my ($mtime)=(stat($perlvar{'lonIDsDir'}.'/'.$filename))[9];
  	    if ($curtime-$mtime < 1800) { $numusers++; }
  	}
- Line 500  sub userload {
+ Line 1032  sub userload {
      return $userloadpercent;
  }
- # ------------------------------------------ Fight off request when overloaded
- sub overloaderror {
-     my ($r,$checkserver)=@_;
-     unless ($checkserver) { $checkserver=$perlvar{'lonHostID'}; }
-     my $loadavg;
-     if ($checkserver eq $perlvar{'lonHostID'}) {
-        open(my $loadfile,'/proc/loadavg');
-        $loadavg=<$loadfile>;
-        $loadavg =~ s/\s.*//g;
-        $loadavg = 100*$loadavg/$perlvar{'lonLoadLim'};
-        close($loadfile);
-     } else {
-        $loadavg=&reply('load',$checkserver);
-     }
-     my $overload=$loadavg-100;
-     if ($overload>0) {
- 	$r->err_headers_out->{'Retry-After'}=$overload;
-         $r->log_error('Overload of '.$overload.' on '.$checkserver);
-         return 413;
-     }
-     return '';
- }
  # ------------------------------ Find server with least workload from spare.tab
  sub spareserver {
-     my ($loadpercent,$userloadpercent,$want_server_name) = @_;
+     my ($r,$loadpercent,$userloadpercent,$want_server_name,$udom) = @_;
      my $spare_server;
      if ($userloadpercent !~ /\d/) { $userloadpercent=0; }
      my $lowest_load=($loadpercent > $userloadpercent) ? $loadpercent
                                                       :  $userloadpercent;
+     my ($uint_dom,$remotesessions);
-     foreach my $try_server (@{ $spareid{'primary'} }) {
+     if (($udom ne '') && (&domain($udom) ne '')) {
- 	($spare_server, $lowest_load) =
+         my $uprimary_id = &domain($udom,'primary');
- 	    &compare_server_load($try_server, $spare_server, $lowest_load);
+         $uint_dom = &internet_dom($uprimary_id);
-     }
+         my %udomdefaults = &get_domain_defaults($udom);
+         $remotesessions = $udomdefaults{'remotesessions'};
+     }
+     my $spareshash = &this_host_spares($udom);
+     if (ref($spareshash) eq 'HASH') {
+         if (ref($spareshash->{'primary'}) eq 'ARRAY') {
+             foreach my $try_server (@{ $spareshash->{'primary'} }) {
+                 next unless (&spare_can_host($udom,$uint_dom,$remotesessions,
+                                              $try_server));
+ 	        ($spare_server, $lowest_load) =
+ 	            &compare_server_load($try_server, $spare_server, $lowest_load);
+             }
+         }
-     my $found_server = ($spare_server ne '' && $lowest_load < 100);
+         my $found_server = ($spare_server ne '' && $lowest_load < 100);
-     if (!$found_server) {
+         if (!$found_server) {
- 	foreach my $try_server (@{ $spareid{'default'} }) {
+             if (ref($spareshash->{'default'}) eq 'ARRAY') {
- 	    ($spare_server, $lowest_load) =
+ 	        foreach my $try_server (@{ $spareshash->{'default'} }) {
- 		&compare_server_load($try_server, $spare_server, $lowest_load);
+                     next unless (&spare_can_host($udom,$uint_dom,
- 	}
+                                                  $remotesessions,$try_server));
+ 	            ($spare_server, $lowest_load) =
+ 		        &compare_server_load($try_server, $spare_server, $lowest_load);
+                 }
+ 	    }
+         }
      }
      if (!$want_server_name) {
- 	$spare_server="http://".&hostname($spare_server);
+         if (defined($spare_server)) {
+             my $hostname = &hostname($spare_server);
+             if (defined($hostname)) {
+                 my $protocol = 'http';
+                 if ($protocol{$spare_server} eq 'https') {
+                     $protocol = $protocol{$spare_server};
+                 }
+                 my $alias = &use_proxy_alias($r,$spare_server);
+                 $hostname = $alias if ($alias ne '');
+ 	        $spare_server = $protocol.'://'.$hostname;
+             }
+         }
      }
      return $spare_server;
  }
  sub compare_server_load {
-     my ($try_server, $spare_server, $lowest_load) = @_;
+     my ($try_server, $spare_server, $lowest_load, $required) = @_;
+     if ($required) {
+         my ($reqdmajor,$reqdminor) = ($required =~ /^(\d+)\.(\d+)$/);
+         my $remoterev = &get_server_loncaparev(undef,$try_server);
+         my ($major,$minor) = ($remoterev =~ /^\'?(\d+)\.(\d+)\.[\w.\-]+\'?$/);
+         if (($major eq '' && $minor eq '') ||
+             (($reqdmajor > $major) || (($reqdmajor == $major) && ($reqdminor > $minor)))) {
+             return ($spare_server,$lowest_load);
+         }
+     }
      my $loadans     = &reply('load',    $try_server);
      my $userloadans = &reply('userload',$try_server);
      if ($loadans !~ /\d/ && $userloadans !~ /\d/) {
- 	next; #didn't get a number from the server
+ 	return ($spare_server, $lowest_load); #didn't get a number from the server
      }
      my $load;
- Line 582  sub compare_server_load {
+ Line 1128  sub compare_server_load {
      }
      return ($spare_server,$lowest_load);
  }
+ # --------------------------- ask offload servers if user already has a session
+ sub find_existing_session {
+     my ($udom,$uname) = @_;
+     my $spareshash = &this_host_spares($udom);
+     if (ref($spareshash) eq 'HASH') {
+         if (ref($spareshash->{'primary'}) eq 'ARRAY') {
+             foreach my $try_server (@{ $spareshash->{'primary'} }) {
+                 return $try_server if (&has_user_session($try_server, $udom, $uname));
+             }
+         }
+         if (ref($spareshash->{'default'}) eq 'ARRAY') {
+             foreach my $try_server (@{ $spareshash->{'default'} }) {
+                 return $try_server if (&has_user_session($try_server, $udom, $uname));
+             }
+         }
+     }
+     return;
+ }
+ sub delusersession {
+     my ($lonid,$udom,$uname) = @_;
+     my $uprimary_id = &domain($udom,'primary');
+     my $uintdom = &internet_dom($uprimary_id);
+     my $intdom = &internet_dom($lonid);
+     my $serverhomedom = &host_domain($lonid);
+     if (($uintdom ne '') && ($uintdom eq $intdom)) {
+         return &reply(join(':','delusersession',
+                             map {&escape($_)} ($udom,$uname)),$lonid);
+     }
+     return;
+ }
+ # check if user's browser sent load balancer cookie and server still has session
+ # and is not overloaded.
+ sub check_for_balancer_cookie {
+     my ($r,$update_mtime) = @_;
+     my ($otherserver,$cookie);
+     my %cookies=CGI::Cookie->parse($r->header_in('Cookie'));
+     if (exists($cookies{'balanceID'})) {
+         my $balid = $cookies{'balanceID'};
+         $cookie=&LONCAPA::clean_handle($balid->value);
+         my $balancedir=$r->dir_config('lonBalanceDir');
+         if ((-d $balancedir) && (-e "$balancedir/$cookie.id")) {
+             if ($cookie =~ /^($match_domain)_($match_username)_[a-f0-9]+$/) {
+                 my ($possudom,$possuname) = ($1,$2);
+                 my $has_session = 0;
+                 if ((&domain($possudom) ne '') &&
+                     (&homeserver($possuname,$possudom) ne 'no_host')) {
+                     my $try_server;
+                     my $opened = open(my $idf,'+<',"$balancedir/$cookie.id");
+                     if ($opened) {
+                         flock($idf,LOCK_SH);
+                         while (my $line = <$idf>) {
+                             chomp($line);
+                             if (&hostname($line) ne '') {
+                                 $try_server = $line;
+                                 last;
+                             }
+                         }
+                         close($idf);
+                         if (($try_server) &&
+                             (&has_user_session($try_server,$possudom,$possuname))) {
+                             my $lowest_load = 30000;
+                             ($otherserver,$lowest_load) =
+                                 &compare_server_load($try_server,undef,$lowest_load);
+                             if ($otherserver ne '' && $lowest_load < 100) {
+                                 $has_session = 1;
+                             } else {
+                                 undef($otherserver);
+                             }
+                         }
+                     }
+                 }
+                 if ($has_session) {
+                     if ($update_mtime) {
+                         my $atime = my $mtime = time;
+                         utime($atime,$mtime,"$balancedir/$cookie.id");
+                     }
+                 } else {
+                     unlink("$balancedir/$cookie.id");
+                 }
+             }
+         }
+     }
+     return ($otherserver,$cookie);
+ }
+ sub updatebalcookie {
+     my ($cookie,$balancer,$lastentry)=@_;
+     if ($cookie =~ /^($match_domain)\_($match_username)\_[a-f0-9]{32}$/) {
+         my ($udom,$uname) = ($1,$2);
+         my $uprimary_id = &domain($udom,'primary');
+         my $uintdom = &internet_dom($uprimary_id);
+         my $intdom = &internet_dom($balancer);
+         my $serverhomedom = &host_domain($balancer);
+         if (($uintdom ne '') && ($uintdom eq $intdom)) {
+             return &reply('updatebalcookie:'.&escape($cookie).':'.&escape($lastentry),$balancer);
+         }
+     }
+     return;
+ }
+ sub delbalcookie {
+     my ($cookie,$balancer) =@_;
+     if ($cookie =~ /^($match_domain)\_($match_username)\_[a-f0-9]{32}$/) {
+         my ($udom,$uname) = ($1,$2);
+         my $uprimary_id = &domain($udom,'primary');
+         my $uintdom = &internet_dom($uprimary_id);
+         my $intdom = &internet_dom($balancer);
+         my $serverhomedom = &host_domain($balancer);
+         if (($uintdom ne '') && ($uintdom eq $intdom)) {
+             return &reply('delbalcookie:'.&escape($cookie),$balancer);
+         }
+     }
+ }
+ # -------------------------------- ask if server already has a session for user
+ sub has_user_session {
+     my ($lonid,$udom,$uname) = @_;
+     my $result = &reply(join(':','userhassession',
+ 			     map {&escape($_)} ($udom,$uname)),$lonid);
+     return 1 if ($result eq 'ok');
+     return 0;
+ }
+ # --------- determine least loaded server in a user's domain which allows login
+ sub choose_server {
+     my ($udom,$checkloginvia,$required,$skiploadbal) = @_;
+     my %domconfhash = &Apache::loncommon::get_domainconf($udom);
+     my %servers = &get_servers($udom);
+     my $lowest_load = 30000;
+     my ($login_host,$hostname,$portal_path,$isredirect,$balancers);
+     if ($skiploadbal) {
+         ($balancers,my $cached)=&is_cached_new('loadbalancing',$udom);
+         unless (defined($cached)) {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &get_dom('configuration',['loadbalancing'],$udom);
+             if (ref($domconfig{'loadbalancing'}) eq 'HASH') {
+                 $balancers = &do_cache_new('loadbalancing',$udom,$domconfig{'loadbalancing'},
+                                            $cachetime);
+             }
+         }
+     }
+     foreach my $lonhost (keys(%servers)) {
+         if ($skiploadbal) {
+             if (ref($balancers) eq 'HASH') {
+                 next if (exists($balancers->{$lonhost}));
+             }
+         }
+         my $loginvia;
+         if ($checkloginvia) {
+             $loginvia = $domconfhash{$udom.'.login.loginvia_'.$lonhost};
+             if ($loginvia) {
+                 my ($server,$path) = split(/:/,$loginvia);
+                 ($login_host, $lowest_load) =
+                     &compare_server_load($server, $login_host, $lowest_load, $required);
+                 if ($login_host eq $server) {
+                     $portal_path = $path;
+                     $isredirect = 1;
+                 }
+             } else {
+                 ($login_host, $lowest_load) =
+                     &compare_server_load($lonhost, $login_host, $lowest_load, $required);
+                 if ($login_host eq $lonhost) {
+                     $portal_path = '';
+                     $isredirect = '';
+                 }
+             }
+         } else {
+             ($login_host, $lowest_load) =
+                 &compare_server_load($lonhost, $login_host, $lowest_load, $required);
+         }
+     }
+     if ($login_host ne '') {
+         $hostname = &hostname($login_host);
+     }
+     return ($login_host,$hostname,$portal_path,$isredirect,$lowest_load);
+ }
+ sub get_course_sessions {
+     my ($cnum,$cdom,$lastactivity) = @_;
+     my %servers = &internet_dom_servers($cdom);
+     my %returnhash;
+     foreach my $server (sort(keys(%servers))) {
+         my $rep = &reply("coursesessions:$cdom:$cnum:$lastactivity",$server);
+         my @pairs=split(/\&/,$rep);
+         unless (($rep eq 'unknown_cmd') || ($rep =~ /^error/)) {
+             foreach my $item (@pairs) {
+                 my ($key,$value)=split(/=/,$item,2);
+                 $key = &unescape($key);
+                 next if ($key =~ /^error: 2 /);
+                 if (exists($returnhash{$key})) {
+                     next if ($value < $returnhash{$key});
+                 }
+                 $returnhash{$key}=$value;
+             }
+         }
+     }
+     return %returnhash;
+ }
  # --------------------------------------------- Try to change a user's password
  sub changepass {
      my ($uname,$udom,$currentpass,$newpass,$server,$context)=@_;
      $currentpass = &escape($currentpass);
      $newpass     = &escape($newpass);
-     my $answer = reply("encrypt:passwd:$udom:$uname:$currentpass:$newpass:$context",
+     my $lonhost = $perlvar{'lonHostID'};
+     my $answer = reply("encrypt:passwd:$udom:$uname:$currentpass:$newpass:$context:$lonhost",
  		       $server);
      if (! $answer) {
  	&logthis("No reply on password change request to $server ".
- Line 613  sub changepass {
+ Line 1365  sub changepass {
      } elsif ($answer =~ "^refused") {
  	&logthis("$server refused to change $uname in $udom password because ".
  		 "it was sent an unencrypted request to change the password.");
+     } elsif ($answer =~ "invalid_client") {
+         &logthis("$server refused to change $uname in $udom password because ".
+                  "it was a reset by e-mail originating from an invalid server.");
+     } elsif ($answer =~ "^prioruse") {
+        &logthis("$server refused to change $uname in $udom password because ".
+                 "the password had been used before");
      }
      return $answer;
  }
- Line 622  sub changepass {
+ Line 1380  sub changepass {
  sub queryauthenticate {
      my ($uname,$udom)=@_;
      my $uhome=&homeserver($uname,$udom);
-     if (!$uhome) {
+     if ((!$uhome) || ($uhome eq 'no_host')) {
  	&logthis("User $uname at $udom is unknown when looking for authentication mechanism");
  	return 'no_host';
      }
- Line 636  sub queryauthenticate {
+ Line 1394  sub queryauthenticate {
  # --------- Try to authenticate user from domain's lib servers (first this one)
  sub authenticate {
-     my ($uname,$upass,$udom)=@_;
+     my ($uname,$upass,$udom,$checkdefauth,$clientcancheckhost)=@_;
      $upass=&escape($upass);
      $uname= &LONCAPA::clean_username($uname);
      my $uhome=&homeserver($uname,$udom,1);
+     my $newhome;
      if ((!$uhome) || ($uhome eq 'no_host')) {
  # Maybe the machine was offline and only re-appeared again recently?
          &reconlonc();
  # One more
- 	my $uhome=&homeserver($uname,$udom,1);
+ 	$uhome=&homeserver($uname,$udom,1);
+         if (($uhome eq 'no_host') && $checkdefauth) {
+             if (defined(&domain($udom,'primary'))) {
+                 $newhome=&domain($udom,'primary');
+             }
+             if ($newhome ne '') {
+                 $uhome = $newhome;
+             }
+         }
  	if ((!$uhome) || ($uhome eq 'no_host')) {
  	    &logthis("User $uname at $udom is unknown in authenticate");
- 	}
+ 	    return 'no_host';
- 	return 'no_host';
+         }
      }
-     my $answer=reply("encrypt:auth:$udom:$uname:$upass",$uhome);
+     my $answer=reply("encrypt:auth:$udom:$uname:$upass:$checkdefauth:$clientcancheckhost",$uhome);
      if ($answer eq 'authorized') {
- 	&logthis("User $uname at $udom authorized by $uhome");
+         if ($newhome) {
- 	return $uhome;
+             &logthis("User $uname at $udom authorized by $uhome, but needs account");
+             return 'no_account_on_host';
+         } else {
+             &logthis("User $uname at $udom authorized by $uhome");
+             return $uhome;
+         }
      }
      if ($answer eq 'non_authorized') {
  	&logthis("User $uname at $udom rejected by $uhome");
  	return 'no_host';
      }
      &logthis("User $uname at $udom threw error $answer when checking authentication mechanism");
      return 'no_host';
  }
+ sub can_switchserver {
+     my ($udom,$home) = @_;
+     my ($canswitch,@intdoms);
+     my $internet_names = &get_internet_names($home);
+     if (ref($internet_names) eq 'ARRAY') {
+         @intdoms = @{$internet_names};
+     }
+     my $uint_dom = &internet_dom(&domain($udom,'primary'));
+     if ($uint_dom ne '' && grep(/^\Q$uint_dom\E$/,@intdoms)) {
+         $canswitch = 1;
+     } else {
+          my $serverhomeID = &get_server_homeID(&hostname($home));
+          my $serverhomedom = &host_domain($serverhomeID);
+          my %defdomdefaults = &get_domain_defaults($serverhomedom);
+          my %udomdefaults = &get_domain_defaults($udom);
+          my $remoterev = &get_server_loncaparev('',$home);
+          $canswitch = &can_host_session($udom,$home,$remoterev,
+                                         $udomdefaults{'remotesessions'},
+                                         $defdomdefaults{'hostedsessions'});
+     }
+     return $canswitch;
+ }
+ sub can_host_session {
+     my ($udom,$lonhost,$remoterev,$remotesessions,$hostedsessions) = @_;
+     my $canhost = 1;
+     my $host_idn = &internet_dom($lonhost);
+     if (ref($remotesessions) eq 'HASH') {
+         if (ref($remotesessions->{'excludedomain'}) eq 'ARRAY') {
+             if (grep(/^\Q$host_idn\E$/,@{$remotesessions->{'excludedomain'}})) {
+                 $canhost = 0;
+             } else {
+                 $canhost = 1;
+             }
+         }
+         if (ref($remotesessions->{'includedomain'}) eq 'ARRAY') {
+             if (grep(/^\Q$host_idn\E$/,@{$remotesessions->{'includedomain'}})) {
+                 $canhost = 1;
+             } else {
+                 $canhost = 0;
+             }
+         }
+         if ($canhost) {
+             if ($remotesessions->{'version'} ne '') {
+                 my ($reqmajor,$reqminor) = ($remotesessions->{'version'} =~ /^(\d+)\.(\d+)$/);
+                 if ($reqmajor ne '' && $reqminor ne '') {
+                     if ($remoterev =~ /^\'?(\d+)\.(\d+)/) {
+                         my $major = $1;
+                         my $minor = $2;
+                         if (($major < $reqmajor ) ||
+                             (($major == $reqmajor) && ($minor < $reqminor))) {
+                             $canhost = 0;
+                         }
+                     } else {
+                         $canhost = 0;
+                     }
+                 }
+             }
+         }
+     }
+     if ($canhost) {
+         if (ref($hostedsessions) eq 'HASH') {
+             my $uprimary_id = &domain($udom,'primary');
+             my $uint_dom = &internet_dom($uprimary_id);
+             if (ref($hostedsessions->{'excludedomain'}) eq 'ARRAY') {
+                 if (($uint_dom ne '') &&
+                     (grep(/^\Q$uint_dom\E$/,@{$hostedsessions->{'excludedomain'}}))) {
+                     $canhost = 0;
+                 } else {
+                     $canhost = 1;
+                 }
+             }
+             if (ref($hostedsessions->{'includedomain'}) eq 'ARRAY') {
+                 if (($uint_dom ne '') &&
+                     (grep(/^\Q$uint_dom\E$/,@{$hostedsessions->{'includedomain'}}))) {
+                     $canhost = 1;
+                 } else {
+                     $canhost = 0;
+                 }
+             }
+         }
+     }
+     return $canhost;
+ }
+ sub spare_can_host {
+     my ($udom,$uint_dom,$remotesessions,$try_server)=@_;
+     my $canhost=1;
+     my $try_server_hostname = &hostname($try_server);
+     my $serverhomeID = &get_server_homeID($try_server_hostname);
+     my $serverhomedom = &host_domain($serverhomeID);
+     my %defdomdefaults = &get_domain_defaults($serverhomedom);
+     if (ref($defdomdefaults{'offloadnow'}) eq 'HASH') {
+         if ($defdomdefaults{'offloadnow'}{$try_server}) {
+             $canhost = 0;
+         }
+     }
+     if ($canhost) {
+         if (ref($defdomdefaults{'offloadoth'}) eq 'HASH') {
+             if ($defdomdefaults{'offloadoth'}{$try_server}) {
+                 unless (&shared_institution($udom,$try_server)) {
+                     $canhost = 0;
+                 }
+             }
+         }
+     }
+     if (($canhost) && ($uint_dom)) {
+         my @intdoms;
+         my $internet_names = &get_internet_names($try_server);
+         if (ref($internet_names) eq 'ARRAY') {
+             @intdoms = @{$internet_names};
+         }
+         unless (grep(/^\Q$uint_dom\E$/,@intdoms)) {
+             my $remoterev = &get_server_loncaparev(undef,$try_server);
+             $canhost = &can_host_session($udom,$try_server,$remoterev,
+                                          $remotesessions,
+                                          $defdomdefaults{'hostedsessions'});
+         }
+     }
+     return $canhost;
+ }
+ sub this_host_spares {
+     my ($dom) = @_;
+     my ($dom_in_use,$lonhost_in_use,$result);
+     my @hosts = &current_machine_ids();
+     foreach my $lonhost (@hosts) {
+         if (&host_domain($lonhost) eq $dom) {
+             $dom_in_use = $dom;
+             $lonhost_in_use = $lonhost;
+             last;
+         }
+     }
+     if ($dom_in_use ne '') {
+         $result = &spares_for_offload($dom_in_use,$lonhost_in_use);
+     }
+     if (ref($result) ne 'HASH') {
+         $lonhost_in_use = $perlvar{'lonHostID'};
+         $dom_in_use = &host_domain($lonhost_in_use);
+         $result = &spares_for_offload($dom_in_use,$lonhost_in_use);
+         if (ref($result) ne 'HASH') {
+             $result = \%spareid;
+         }
+     }
+     return $result;
+ }
+ sub spares_for_offload  {
+     my ($dom_in_use,$lonhost_in_use) = @_;
+     my ($result,$cached)=&is_cached_new('spares',$dom_in_use);
+     if (defined($cached)) {
+         return $result;
+     } else {
+         my $cachetime = 60*60*24;
+         my %domconfig =
+             &get_dom('configuration',['usersessions'],$dom_in_use);
+         if (ref($domconfig{'usersessions'}) eq 'HASH') {
+             if (ref($domconfig{'usersessions'}{'spares'}) eq 'HASH') {
+                 if (ref($domconfig{'usersessions'}{'spares'}{$lonhost_in_use}) eq 'HASH') {
+                     return &do_cache_new('spares',$dom_in_use,$domconfig{'usersessions'}{'spares'}{$lonhost_in_use},$cachetime);
+                 }
+             }
+         }
+     }
+     return;
+ }
+ sub get_lonbalancer_config {
+     my ($servers) = @_;
+     my ($currbalancer,$currtargets);
+     if (ref($servers) eq 'HASH') {
+         foreach my $server (keys(%{$servers})) {
+             my %what = (
+                          spareid => 1,
+                          perlvar => 1,
+                        );
+             my ($result,$returnhash) = &get_remote_globals($server,\%what);
+             if ($result eq 'ok') {
+                 if (ref($returnhash) eq 'HASH') {
+                     if (ref($returnhash->{'perlvar'}) eq 'HASH') {
+                         if ($returnhash->{'perlvar'}->{'lonBalancer'} eq 'yes') {
+                             $currbalancer = $server;
+                             $currtargets = {};
+                             if (ref($returnhash->{'spareid'}) eq 'HASH') {
+                                 if (ref($returnhash->{'spareid'}->{'primary'}) eq 'ARRAY') {
+                                     $currtargets->{'primary'} = $returnhash->{'spareid'}->{'primary'};
+                                 }
+                                 if (ref($returnhash->{'spareid'}->{'default'}) eq 'ARRAY') {
+                                     $currtargets->{'default'} = $returnhash->{'spareid'}->{'default'};
+                                 }
+                             }
+                             last;
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return ($currbalancer,$currtargets);
+ }
+ sub check_loadbalancing {
+     my ($uname,$udom,$caller) = @_;
+     my ($is_balancer,$currtargets,$currrules,$dom_in_use,$homeintdom,
+         $rule_in_effect,$offloadto,$otherserver,$setcookie,$dom_balancers);
+     my $lonhost = $perlvar{'lonHostID'};
+     my @hosts = &current_machine_ids();
+     my $uprimary_id = &domain($udom,'primary');
+     my $uintdom = &internet_dom($uprimary_id);
+     my $intdom = &internet_dom($lonhost);
+     my $serverhomedom = &host_domain($lonhost);
+     my $domneedscache;
+     my $cachetime = 60*60*24;
+     if (($uintdom ne '') && ($uintdom eq $intdom)) {
+         $dom_in_use = $udom;
+         $homeintdom = 1;
+     } else {
+         $dom_in_use = $serverhomedom;
+     }
+     my ($result,$cached)=&is_cached_new('loadbalancing',$dom_in_use);
+     unless (defined($cached)) {
+         my %domconfig =
+             &get_dom('configuration',['loadbalancing'],$dom_in_use);
+         if (ref($domconfig{'loadbalancing'}) eq 'HASH') {
+             $result = &do_cache_new('loadbalancing',$dom_in_use,$domconfig{'loadbalancing'},$cachetime);
+         } else {
+             $domneedscache = $dom_in_use;
+         }
+     }
+     if (ref($result) eq 'HASH') {
+         ($is_balancer,$currtargets,$currrules,$setcookie,$dom_balancers) =
+             &check_balancer_result($result,@hosts);
+         if ($is_balancer) {
+             if (ref($currrules) eq 'HASH') {
+                 if ($homeintdom) {
+                     if ($uname ne '') {
+                         if (($currrules->{'_LC_adv'} ne '') || ($currrules->{'_LC_author'} ne '')) {
+                             my ($is_adv,$is_author) = &is_advanced_user($udom,$uname);
+                             if (($currrules->{'_LC_author'} ne '') && ($is_author)) {
+                                 $rule_in_effect = $currrules->{'_LC_author'};
+                             } elsif (($currrules->{'_LC_adv'} ne '') && ($is_adv)) {
+                                 $rule_in_effect = $currrules->{'_LC_adv'}
+                             }
+                         }
+                         if ($rule_in_effect eq '') {
+                             my %userenv = &userenvironment($udom,$uname,'inststatus');
+                             if ($userenv{'inststatus'} ne '') {
+                                 my @statuses = map { &unescape($_); } split(/:/,$userenv{'inststatus'});
+                                 my ($othertitle,$usertypes,$types) =
+                                     &Apache::loncommon::sorted_inst_types($udom);
+                                 if (ref($types) eq 'ARRAY') {
+                                     foreach my $type (@{$types}) {
+                                         if (grep(/^\Q$type\E$/,@statuses)) {
+                                             if (exists($currrules->{$type})) {
+                                                 $rule_in_effect = $currrules->{$type};
+                                             }
+                                         }
+                                     }
+                                 }
+                             } else {
+                                 if (exists($currrules->{'default'})) {
+                                     $rule_in_effect = $currrules->{'default'};
+                                 }
+                             }
+                         }
+                     } else {
+                         if (exists($currrules->{'default'})) {
+                             $rule_in_effect = $currrules->{'default'};
+                         }
+                     }
+                 } else {
+                     if ($currrules->{'_LC_external'} ne '') {
+                         $rule_in_effect = $currrules->{'_LC_external'};
+                     }
+                 }
+                 $offloadto = &get_loadbalancer_targets($rule_in_effect,$currtargets,
+                                                        $uname,$udom);
+             }
+         }
+     } elsif (($homeintdom) && ($udom ne $serverhomedom)) {
+         ($result,$cached)=&is_cached_new('loadbalancing',$serverhomedom);
+         unless (defined($cached)) {
+             my %domconfig =
+                 &get_dom('configuration',['loadbalancing'],$serverhomedom);
+             if (ref($domconfig{'loadbalancing'}) eq 'HASH') {
+                 $result = &do_cache_new('loadbalancing',$serverhomedom,$domconfig{'loadbalancing'},$cachetime);
+             } else {
+                 $domneedscache = $serverhomedom;
+             }
+         }
+         if (ref($result) eq 'HASH') {
+             ($is_balancer,$currtargets,$currrules,$setcookie,$dom_balancers) =
+                 &check_balancer_result($result,@hosts);
+             if ($is_balancer) {
+                 if (ref($currrules) eq 'HASH') {
+                     if ($currrules->{'_LC_internetdom'} ne '') {
+                         $rule_in_effect = $currrules->{'_LC_internetdom'};
+                     }
+                 }
+                 $offloadto = &get_loadbalancer_targets($rule_in_effect,$currtargets,
+                                                        $uname,$udom);
+             }
+         } else {
+             if ($perlvar{'lonBalancer'} eq 'yes') {
+                 $is_balancer = 1;
+                 $offloadto = &this_host_spares($dom_in_use);
+             }
+             unless (defined($cached)) {
+                 $domneedscache = $serverhomedom;
+             }
+         }
+     } else {
+         if ($perlvar{'lonBalancer'} eq 'yes') {
+             $is_balancer = 1;
+             $offloadto = &this_host_spares($dom_in_use);
+         }
+         unless (defined($cached)) {
+             $domneedscache = $serverhomedom;
+         }
+     }
+     if ($domneedscache) {
+         &do_cache_new('loadbalancing',$domneedscache,$is_balancer,$cachetime);
+     }
+     if (($is_balancer) && ($caller ne 'switchserver')) {
+         my $lowest_load = 30000;
+         if (ref($offloadto) eq 'HASH') {
+             if (ref($offloadto->{'primary'}) eq 'ARRAY') {
+                 foreach my $try_server (@{$offloadto->{'primary'}}) {
+                     ($otherserver,$lowest_load) =
+                         &compare_server_load($try_server,$otherserver,$lowest_load);
+                 }
+             }
+             my $found_server = ($otherserver ne '' && $lowest_load < 100);
+             if (!$found_server) {
+                 if (ref($offloadto->{'default'}) eq 'ARRAY') {
+                     foreach my $try_server (@{$offloadto->{'default'}}) {
+                         ($otherserver,$lowest_load) =
+                             &compare_server_load($try_server,$otherserver,$lowest_load);
+                     }
+                 }
+             }
+         } elsif (ref($offloadto) eq 'ARRAY') {
+             if (@{$offloadto} == 1) {
+                 $otherserver = $offloadto->[0];
+             } elsif (@{$offloadto} > 1) {
+                 foreach my $try_server (@{$offloadto}) {
+                     ($otherserver,$lowest_load) =
+                         &compare_server_load($try_server,$otherserver,$lowest_load);
+                 }
+             }
+         }
+         unless ($caller eq 'login') {
+             if (($otherserver ne '') && (grep(/^\Q$otherserver\E$/,@hosts))) {
+                 $is_balancer = 0;
+                 if ($uname ne '' && $udom ne '') {
+                     if (($env{'user.name'} eq $uname) && ($env{'user.domain'} eq $udom)) {
+                         &appenv({'user.loadbalexempt'     => $lonhost,
+                                  'user.loadbalcheck.time' => time});
+                     }
+                 }
+             }
+         }
+     }
+     if (($is_balancer) && (!$homeintdom)) {
+         undef($setcookie);
+     }
+     return ($is_balancer,$otherserver,$setcookie,$offloadto,$dom_balancers);
+ }
+ sub check_balancer_result {
+     my ($result,@hosts) = @_;
+     my ($is_balancer,$currtargets,$currrules,$setcookie,$dom_balancers);
+     if (ref($result) eq 'HASH') {
+         if ($result->{'lonhost'} ne '') {
+             my $currbalancer = $result->{'lonhost'};
+             if (grep(/^\Q$currbalancer\E$/,@hosts)) {
+                 $is_balancer = 1;
+                 $currtargets = $result->{'targets'};
+                 $currrules = $result->{'rules'};
+             }
+             $dom_balancers = $currbalancer;
+         } else {
+             if (keys(%{$result})) {
+                 foreach my $key (keys(%{$result})) {
+                     if (($key ne '') && (grep(/^\Q$key\E$/,@hosts)) &&
+                         (ref($result->{$key}) eq 'HASH')) {
+                         $is_balancer = 1;
+                         $currrules = $result->{$key}{'rules'};
+                         $currtargets = $result->{$key}{'targets'};
+                         $setcookie = $result->{$key}{'cookie'};
+                         last;
+                     }
+                 }
+                 $dom_balancers = join(',',sort(keys(%{$result})));
+             }
+         }
+     }
+     return ($is_balancer,$currtargets,$currrules,$setcookie,$dom_balancers);
+ }
+ sub get_loadbalancer_targets {
+     my ($rule_in_effect,$currtargets,$uname,$udom) = @_;
+     my $offloadto;
+     if ($rule_in_effect eq 'none') {
+         return [$perlvar{'lonHostID'}];
+     } elsif ($rule_in_effect eq '') {
+         $offloadto = $currtargets;
+     } else {
+         if ($rule_in_effect eq 'homeserver') {
+             my $homeserver = &homeserver($uname,$udom);
+             if ($homeserver ne 'no_host') {
+                 $offloadto = [$homeserver];
+             }
+         } elsif ($rule_in_effect eq 'externalbalancer') {
+             my %domconfig =
+                 &get_dom('configuration',['loadbalancing'],$udom);
+             if (ref($domconfig{'loadbalancing'}) eq 'HASH') {
+                 if ($domconfig{'loadbalancing'}{'lonhost'} ne '') {
+                     if (&hostname($domconfig{'loadbalancing'}{'lonhost'}) ne '') {
+                         $offloadto = [$domconfig{'loadbalancing'}{'lonhost'}];
+                     }
+                 }
+             } else {
+                 my %servers = &internet_dom_servers($udom);
+                 my ($remotebalancer,$remotetargets) = &get_lonbalancer_config(\%servers);
+                 if (&hostname($remotebalancer) ne '') {
+                     $offloadto = [$remotebalancer];
+                 }
+             }
+         } elsif (&hostname($rule_in_effect) ne '') {
+             $offloadto = [$rule_in_effect];
+         }
+     }
+     return $offloadto;
+ }
+ sub internet_dom_servers {
+     my ($dom) = @_;
+     my (%uniqservers,%servers);
+     my $primaryserver = &hostname(&domain($dom,'primary'));
+     my @machinedoms = &machine_domains($primaryserver);
+     foreach my $mdom (@machinedoms) {
+         my %currservers = %servers;
+         my %server = &get_servers($mdom);
+         %servers = (%currservers,%server);
+     }
+     my %by_hostname;
+     foreach my $id (keys(%servers)) {
+         push(@{$by_hostname{$servers{$id}}},$id);
+     }
+     foreach my $hostname (sort(keys(%by_hostname))) {
+         if (@{$by_hostname{$hostname}} > 1) {
+             my $match = 0;
+             foreach my $id (@{$by_hostname{$hostname}}) {
+                 if (&host_domain($id) eq $dom) {
+                     $uniqservers{$id} = $hostname;
+                     $match = 1;
+                 }
+             }
+             unless ($match) {
+                 $uniqservers{$by_hostname{$hostname}[0]} = $hostname;
+             }
+         } else {
+             $uniqservers{$by_hostname{$hostname}[0]} = $hostname;
+         }
+     }
+     return %uniqservers;
+ }
+ sub trusted_domains {
+     my ($cmdtype,$calldom) = @_;
+     my ($trusted,$untrusted);
+     if (&domain($calldom) eq '') {
+         return ($trusted,$untrusted);
+     }
+     unless ($cmdtype =~ /^(content|shared|enroll|coaurem|othcoau|domroles|catalog|reqcrs|msg)$/) {
+         return ($trusted,$untrusted);
+     }
+     my $callprimary = &domain($calldom,'primary');
+     my $intcalldom = &internet_dom($callprimary);
+     if ($intcalldom eq '') {
+         return ($trusted,$untrusted);
+     }
+     my ($trustconfig,$cached)=&is_cached_new('trust',$calldom);
+     unless (defined($cached)) {
+         my %domconfig = &get_dom('configuration',['trust'],$calldom);
+         &do_cache_new('trust',$calldom,$domconfig{'trust'},3600);
+         $trustconfig = $domconfig{'trust'};
+     }
+     if (ref($trustconfig)) {
+         my (%possexc,%possinc,@allexc,@allinc);
+         if (ref($trustconfig->{$cmdtype}) eq 'HASH') {
+             if (ref($trustconfig->{$cmdtype}->{'exc'}) eq 'ARRAY') {
+                 map { $possexc{$_} = 1; } @{$trustconfig->{$cmdtype}->{'exc'}};
+             }
+             if (ref($trustconfig->{$cmdtype}->{'inc'}) eq 'ARRAY') {
+                 $possinc{$intcalldom} = 1;
+                 map { $possinc{$_} = 1; } @{$trustconfig->{$cmdtype}->{'inc'}};
+             }
+         }
+         if (keys(%possexc)) {
+             if (keys(%possinc)) {
+                 foreach my $key (sort(keys(%possexc))) {
+                     next if ($key eq $intcalldom);
+                     unless ($possinc{$key}) {
+                         push(@allexc,$key);
+                     }
+                 }
+             } else {
+                 @allexc = sort(keys(%possexc));
+             }
+         }
+         if (keys(%possinc)) {
+             $possinc{$intcalldom} = 1;
+             @allinc = sort(keys(%possinc));
+         }
+         if ((@allexc > 0) || (@allinc > 0)) {
+             my %doms_by_intdom;
+             my %allintdoms = &all_host_intdom();
+             my %alldoms = &all_host_domain();
+             foreach my $key (%allintdoms) {
+                 if (ref($doms_by_intdom{$allintdoms{$key}}) eq 'ARRAY') {
+                     unless (grep(/^\Q$alldoms{$key}\E$/,@{$doms_by_intdom{$allintdoms{$key}}})) {
+                         push(@{$doms_by_intdom{$allintdoms{$key}}},$alldoms{$key});
+                     }
+                 } else {
+                     $doms_by_intdom{$allintdoms{$key}} = [$alldoms{$key}];
+                 }
+             }
+             foreach my $exc (@allexc) {
+                 if (ref($doms_by_intdom{$exc}) eq 'ARRAY') {
+                     push(@{$untrusted},@{$doms_by_intdom{$exc}});
+                 }
+             }
+             foreach my $inc (@allinc) {
+                 if (ref($doms_by_intdom{$inc}) eq 'ARRAY') {
+                     push(@{$trusted},@{$doms_by_intdom{$inc}});
+                 }
+             }
+         }
+     }
+     return ($trusted,$untrusted);
+ }
+ sub will_trust {
+     my ($cmdtype,$domain,$possdom) = @_;
+     return 1 if ($domain eq $possdom);
+     my ($trustedref,$untrustedref) = &trusted_domains($cmdtype,$possdom);
+     my $willtrust;
+     if ((ref($trustedref) eq 'ARRAY') && (@{$trustedref} > 0)) {
+         if (grep(/^\Q$domain\E$/,@{$trustedref})) {
+             $willtrust = 1;
+         }
+     } elsif ((ref($untrustedref) eq 'ARRAY') && (@{$untrustedref} > 0)) {
+         unless (grep(/^\Q$domain\E$/,@{$untrustedref})) {
+             $willtrust = 1;
+         }
+     } else {
+         $willtrust = 1;
+     }
+     return $willtrust;
+ }
  # ---------------------- Find the homebase for a user from domain's lib servers
  my %homecache;
- Line 688  sub homeserver {
+ Line 2026  sub homeserver {
      return 'no_host';
  }
- # ------------------------------------- Find the usernames behind a list of IDs
+ # ----- Find the usernames behind a list of student/employee IDs or clicker IDs
  sub idget {
-     my ($udom,@ids)=@_;
+     my ($udom,$idsref,$namespace)=@_;
      my %returnhash=();
+     my @ids=();
+     if (ref($idsref) eq 'ARRAY') {
+         @ids = @{$idsref};
+     } else {
+         return %returnhash;
+     }
+     if ($namespace eq '') {
+         $namespace = 'ids';
+     }
      my %servers = &get_servers($udom,'library');
      foreach my $tryserver (keys(%servers)) {
- 	my $idlist=join('&',@ids);
+ 	my $idlist=join('&', map { &escape($_); } @ids);
- 	$idlist=~tr/A-Z/a-z/;
+ 	if ($namespace eq 'ids') {
- 	my $reply=&reply("idget:$udom:".$idlist,$tryserver);
+ 	    $idlist=~tr/A-Z/a-z/;
+ 	}
+ 	my $reply;
+ 	if ($namespace eq 'ids') {
+ 	    $reply=&reply("idget:$udom:".$idlist,$tryserver);
+ 	} else {
+ 	    $reply=&reply("getdom:$udom:$namespace:$idlist",$tryserver);
+ 	}
  	my @answer=();
  	if (($reply ne 'con_lost') && ($reply!~/^error\:/)) {
  	    @answer=split(/\&/,$reply);
- Line 706  sub idget {
+ Line 2060  sub idget {
  	my $i;
  	for ($i=0;$i<=$#ids;$i++) {
  	    if ($answer[$i]) {
- 		$returnhash{$ids[$i]}=$answer[$i];
+ 		$returnhash{$ids[$i]}=&unescape($answer[$i]);
  	    }
  	}
      }
      return %returnhash;
  }
- Line 724  sub idrget {
+ Line 2078  sub idrget {
      return %returnhash;
  }
- # ------------------------------- Store away a list of names and associated IDs
+ # Store away a list of names and associated student/employee IDs or clicker IDs
  sub idput {
-     my ($udom,%ids)=@_;
+     my ($udom,$idsref,$uhom,$namespace)=@_;
      my %servers=();
+     my %ids=();
+     my %byid = ();
+     if (ref($idsref) eq 'HASH') {
+         %ids=%{$idsref};
+     }
+     if ($namespace eq '') {
+         $namespace = 'ids';
+     }
      foreach my $uname (keys(%ids)) {
  	&cput('environment',{'id'=>$ids{$uname}},$udom,$uname);
-         my $uhom=&homeserver($uname,$udom);
+         if ($uhom eq '') {
+             $uhom=&homeserver($uname,$udom);
+         }
          if ($uhom ne 'no_host') {
-             my $id=&escape($ids{$uname});
-             $id=~tr/A-Z/a-z/;
              my $esc_unam=&escape($uname);
- 	    if ($servers{$uhom}) {
+             if ($namespace eq 'ids') {
- 		$servers{$uhom}.='&'.$id.'='.$esc_unam;
+                 my $id=&escape($ids{$uname});
+                 $id=~tr/A-Z/a-z/;
+                 my $esc_unam=&escape($uname);
+                 $servers{$uhom}.=$id.'='.$esc_unam.'&';
              } else {
-                 $servers{$uhom}=$id.'='.$esc_unam;
+                 my @currids = split(/,/,$ids{$uname});
+                 foreach my $id (@currids) {
+                     $byid{$uhom}{$id} .= $uname.',';
+                 }
+             }
+         }
+     }
+     if ($namespace eq 'clickers') {
+         foreach my $server (keys(%byid)) {
+             if (ref($byid{$server}) eq 'HASH') {
+                 foreach my $id (keys(%{$byid{$server}})) {
+                     $byid{$server} =~ s/,$//;
+                     $servers{$uhom}.=&escape($id).'='.&escape($byid{$server}).'&';
+                 }
              }
          }
      }
      foreach my $server (keys(%servers)) {
-         &critical('idput:'.$udom.':'.$servers{$server},$server);
+         $servers{$server} =~ s/\&$//;
+         if ($namespace eq 'ids') {
+             &critical('idput:'.$udom.':'.$servers{$server},$server);
+         } else {
+             &critical('updateclickers:'.$udom.':add:'.$servers{$server},$server);
+         }
      }
  }
- # ------------------------------------------- get items from domain db files
+ # ------------- Delete unwanted student/employee IDs or clicker IDs from domain
+ sub iddel {
+     my ($udom,$idshashref,$uhome,$namespace)=@_;
+     my %result=();
+     my %ids=();
+     my %byid = ();
+     if (ref($idshashref) eq 'HASH') {
+         %ids=%{$idshashref};
+     } else {
+         return %result;
+     }
+     if ($namespace eq '') {
+         $namespace = 'ids';
+     }
+     my %servers=();
+     while (my ($id,$unamestr) = each(%ids)) {
+         if ($namespace eq 'ids') {
+             my $uhom = $uhome;
+             if ($uhom eq '') {
+                 $uhom=&homeserver($unamestr,$udom);
+             }
+             if ($uhom ne 'no_host') {
+                 $servers{$uhom}.='&'.&escape($id);
+             }
+          } else {
+             my @curritems = split(/,/,$ids{$id});
+             foreach my $uname (@curritems) {
+                 my $uhom = $uhome;
+                 if ($uhom eq '') {
+                     $uhom=&homeserver($uname,$udom);
+                 }
+                 if ($uhom ne 'no_host') {
+                     $byid{$uhom}{$id} .= $uname.',';
+                 }
+             }
+         }
+     }
+     if ($namespace eq 'clickers') {
+         foreach my $server (keys(%byid)) {
+             if (ref($byid{$server}) eq 'HASH') {
+                 foreach my $id (keys(%{$byid{$server}})) {
+                     $byid{$server}{$id} =~ s/,$//;
+                     $servers{$server}.=&escape($id).'='.&escape($byid{$server}{$id}).'&';
+                 }
+             }
+         }
+     }
+     foreach my $server (keys(%servers)) {
+         $servers{$server} =~ s/\&$//;
+         if ($namespace eq 'ids') {
+             $result{$server} = &critical('iddel:'.$udom.':'.$servers{$server},$uhome);
+         } elsif ($namespace eq 'clickers') {
+             $result{$server} = &critical('updateclickers:'.$udom.':del:'.$servers{$server},$server);
+         }
+     }
+     return %result;
+ }
+ # ----- Update clicker ID-to-username look-ups in clickers.db on library server
+ sub updateclickers {
+     my ($udom,$action,$idshashref,$uhome,$critical) = @_;
+     my %clickers;
+     if (ref($idshashref) eq 'HASH') {
+         %clickers=%{$idshashref};
+     } else {
+         return;
+     }
+     my $items='';
+     foreach my $item (keys(%clickers)) {
+         $items.=&escape($item).'='.&escape($clickers{$item}).'&';
+     }
+     $items=~s/\&$//;
+     my $request = "updateclickers:$udom:$action:$items";
+     if ($critical) {
+         return &critical($request,$uhome);
+     } else {
+         return &reply($request,$uhome);
+     }
+ }
+ # ------------------------------dump from db file owned by domainconfig user
+ sub dump_dom {
+     my ($namespace, $udom, $regexp) = @_;
+     $udom ||= $env{'user.domain'};
+     return () unless $udom;
+     return &dump($namespace, $udom, &get_domainconfiguser($udom), $regexp);
+ }
+ # ------------------------------------------ get items from domain db files
  sub get_dom {
-     my ($namespace,$storearr,$udom,$uhome)=@_;
+     my ($namespace,$storearr,$udom,$uhome,$encrypt)=@_;
+     return if ($udom eq 'public');
      my $items='';
      foreach my $item (@$storearr) {
          $items.=&escape($item).'&';
- Line 759  sub get_dom {
+ Line 2236  sub get_dom {
      $items=~s/\&$//;
      if (!$udom) {
          $udom=$env{'user.domain'};
+         return if ($udom eq 'public');
          if (defined(&domain($udom,'primary'))) {
              $uhome=&domain($udom,'primary');
          } else {
- Line 772  sub get_dom {
+ Line 2250  sub get_dom {
          }
      }
      if ($udom && $uhome && ($uhome ne 'no_host')) {
-         my $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+         my $rep;
+         if (grep { $_ eq $uhome } &current_machine_ids()) {
+             # domain information is hosted on this machine
+             $rep = &LONCAPA::Lond::get_dom("getdom:$udom:$namespace:$items");
+         } else {
+             if ($encrypt) {
+                 $rep=&reply("encrypt:egetdom:$udom:$namespace:$items",$uhome);
+             } else {
+                 $rep=&reply("getdom:$udom:$namespace:$items",$uhome);
+             }
+         }
          my %returnhash;
          if ($rep eq '' || $rep =~ /^error: 2 /) {
              return %returnhash;
- Line 795  sub get_dom {
+ Line 2283  sub get_dom {
  # -------------------------------------------- put items in domain db files
  sub put_dom {
-     my ($namespace,$storehash,$udom,$uhome)=@_;
+     my ($namespace,$storehash,$udom,$uhome,$encrypt)=@_;
      if (!$udom) {
          $udom=$env{'user.domain'};
          if (defined(&domain($udom,'primary'))) {
- Line 816  sub put_dom {
+ Line 2304  sub put_dom {
              $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
          }
          $items=~s/\&$//;
-         return &reply("putdom:$udom:$namespace:$items",$uhome);
+         if ($encrypt) {
+             return &reply("encrypt:putdom:$udom:$namespace:$items",$uhome);
+         } else {
+             return &reply("putdom:$udom:$namespace:$items",$uhome);
+         }
      } else {
          &logthis("put_dom failed - no homeserver and/or domain");
      }
  }
+ # --------------------- newput for items in db file owned by domainconfig user
+ sub newput_dom {
+     my ($namespace,$storehash,$udom) = @_;
+     my $result;
+     if (!$udom) {
+         $udom=$env{'user.domain'};
+     }
+     if ($udom) {
+         my $uname = &get_domainconfiguser($udom);
+         $result = &newput($namespace,$storehash,$udom,$uname);
+     }
+     return $result;
+ }
+ # --------------------- delete for items in db file owned by domainconfig user
+ sub del_dom {
+     my ($namespace,$storearr,$udom)=@_;
+     if (ref($storearr) eq 'ARRAY') {
+         if (!$udom) {
+             $udom=$env{'user.domain'};
+         }
+         if ($udom) {
+             my $uname = &get_domainconfiguser($udom);
+             return &del($namespace,$storearr,$udom,$uname);
+         }
+     }
+ }
+ sub store_dom {
+     my ($storehash,$id,$namespace,$dom,$home,$encrypt) = @_;
+     $$storehash{'ip'}=&get_requestor_ip();
+     $$storehash{'host'}=$perlvar{'lonHostID'};
+     my $namevalue='';
+     foreach my $key (keys(%{$storehash})) {
+         $namevalue.=&escape($key).'='.&freeze_escape($$storehash{$key}).'&';
+     }
+     $namevalue=~s/\&$//;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         return LONCAPA::Lond::store_dom("storedom:$dom:$namespace:$id:$namevalue");
+     } else {
+         if ($namespace eq 'private') {
+             return 'refused';
+         } elsif ($encrypt) {
+             return reply("encrypt:storedom:$dom:$namespace:$id:$namevalue",$home);
+         } else {
+             return reply("storedom:$dom:$namespace:$id:$namevalue",$home);
+         }
+     }
+ }
+ sub restore_dom {
+     my ($id,$namespace,$dom,$home,$encrypt) = @_;
+     my $answer;
+     if (grep { $_ eq $home } current_machine_ids()) {
+         $answer = LONCAPA::Lond::restore_dom("restoredom:$dom:$namespace:$id");
+     } elsif ($namespace ne 'private') {
+         if ($encrypt) {
+             $answer=&reply("encrypt:restoredom:$dom:$namespace:$id",$home);
+         } else {
+             $answer=&reply("restoredom:$dom:$namespace:$id",$home);
+         }
+     }
+     my %returnhash=();
+     unless (($answer eq '') || ($answer eq 'con_lost') || ($answer eq 'refused') ||
+             ($answer eq 'unknown_cmd') || ($answer eq 'rejected')) {
+         foreach my $line (split(/\&/,$answer)) {
+             my ($name,$value)=split(/\=/,$line);
+             $returnhash{&unescape($name)}=&thaw_unescape($value);
+         }
+         my $version;
+         for ($version=1;$version<=$returnhash{'version'};$version++) {
+             foreach my $item (split(/\:/,$returnhash{$version.':keys'})) {
+                 $returnhash{$item}=$returnhash{$version.':'.$item};
+             }
+         }
+     }
+     return %returnhash;
+ }
+ # ----------------------------------construct domainconfig user for a domain
+ sub get_domainconfiguser {
+     my ($udom) = @_;
+     return $udom.'-domainconfig';
+ }
  sub retrieve_inst_usertypes {
      my ($udom) = @_;
      my (%returnhash,@order);
-     if (defined(&domain($udom,'primary'))) {
+     my %domdefs = &get_domain_defaults($udom);
-         my $uhome=&domain($udom,'primary');
+     if ((ref($domdefs{'inststatustypes'}) eq 'HASH') &&
-         my $rep=&reply("inst_usertypes:$udom",$uhome);
+         (ref($domdefs{'inststatusorder'}) eq 'ARRAY')) {
-         my ($hashitems,$orderitems) = split(/:/,$rep);
+         return ($domdefs{'inststatustypes'},$domdefs{'inststatusorder'});
-         my @pairs=split(/\&/,$hashitems);
-         foreach my $item (@pairs) {
-             my ($key,$value)=split(/=/,$item,2);
-             $key = &unescape($key);
-             next if ($key =~ /^error: 2 /);
-             $returnhash{$key}=&thaw_unescape($value);
-         }
-         my @esc_order = split(/\&/,$orderitems);
-         foreach my $item (@esc_order) {
-             push(@order,&unescape($item));
-         }
      } else {
-         &logthis("get_dom failed - no primary domain server for $udom");
+         if (defined(&domain($udom,'primary'))) {
+             my $uhome=&domain($udom,'primary');
+             my $rep=&reply("inst_usertypes:$udom",$uhome);
+             if ($rep =~ /^(con_lost|error|no_such_host|refused)/) {
+                 &logthis("retrieve_inst_usertypes failed - $rep returned from $uhome in domain: $udom");
+                 return (\%returnhash,\@order);
+             }
+             my ($hashitems,$orderitems) = split(/:/,$rep);
+             my @pairs=split(/\&/,$hashitems);
+             foreach my $item (@pairs) {
+                 my ($key,$value)=split(/=/,$item,2);
+                 $key = &unescape($key);
+                 next if ($key =~ /^error: 2 /);
+                 $returnhash{$key}=&thaw_unescape($value);
+             }
+             my @esc_order = split(/\&/,$orderitems);
+             foreach my $item (@esc_order) {
+                 push(@order,&unescape($item));
+             }
+         } else {
+             &logthis("retrieve_inst_usertypes failed - no primary domain server for $udom");
+         }
+         return (\%returnhash,\@order);
      }
-     return (\%returnhash,\@order);
  }
  sub is_domainimage {
      my ($url) = @_;
-     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo)/+-) {
+     if ($url=~m-^/+res/+($match_domain)/+\1\-domainconfig/+(img|logo|domlogo|login)/+[^/]-) {
          if (&domain($1) ne '') {
              return '1';
          }
- Line 856  sub is_domainimage {
+ Line 2443  sub is_domainimage {
      return;
  }
+ sub inst_directory_query {
+     my ($srch) = @_;
+     my $udom = $srch->{'srchdomain'};
+     my %results;
+     my $homeserver = &domain($udom,'primary');
+     my $outcome;
+     if ($homeserver ne '') {
+         unless ($homeserver eq $perlvar{'lonHostID'}) {
+             if ($srch->{'srchby'} eq 'email') {
+                 my $lcrev = &get_server_loncaparev($udom,$homeserver);
+                 my ($major,$minor) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.[\w.\-]+\'?$/);
+                 if (($major eq '' && $minor eq '') || ($major < 2) ||
+                     (($major == 2) && ($minor < 12))) {
+                     return;
+                 }
+             }
+         }
+ 	my $queryid=&reply("querysend:instdirsearch:".
+ 			   &escape($srch->{'srchby'}).':'.
+ 			   &escape($srch->{'srchterm'}).':'.
+ 			   &escape($srch->{'srchtype'}),$homeserver);
+ 	my $host=&hostname($homeserver);
+ 	if ($queryid !~/^\Q$host\E\_/) {
+ 	    &logthis('institutional directory search invalid queryid: '.$queryid.' for host: '.$homeserver.' in domain '.$udom);
+ 	    return;
+ 	}
+ 	my $response = &get_query_reply($queryid);
+ 	my $maxtries = 5;
+ 	my $tries = 1;
+ 	while (($response=~/^timeout/) && ($tries < $maxtries)) {
+ 	    $response = &get_query_reply($queryid);
+ 	    $tries ++;
+ 	}
+         if (!&error($response) && $response ne 'refused') {
+             if ($response eq 'unavailable') {
+                 $outcome = $response;
+             } else {
+                 $outcome = 'ok';
+                 my @matches = split(/\n/,$response);
+                 foreach my $match (@matches) {
+                     my ($key,$value) = split(/=/,$match);
+                     $results{&unescape($key).':'.$udom} = &thaw_unescape($value);
+                 }
+             }
+         }
+     }
+     return ($outcome,%results);
+ }
+ sub usersearch {
+     my ($srch) = @_;
+     my $dom = $srch->{'srchdomain'};
+     my %results;
+     my %libserv = &all_library();
+     my $query = 'usersearch';
+     foreach my $tryserver (keys(%libserv)) {
+         if (&host_domain($tryserver) eq $dom) {
+             unless ($tryserver eq $perlvar{'lonHostID'}) {
+                 if ($srch->{'srchby'} eq 'email') {
+                     my $lcrev = &get_server_loncaparev($dom,$tryserver);
+                     my ($major,$minor) = ($lcrev =~ /^\'?(\d+)\.(\d+)\.[\w.\-]+\'?$/);
+                     next if (($major eq '' && $minor eq '') || ($major < 2) ||
+                              (($major == 2) && ($minor < 12)));
+                 }
+             }
+             my $host=&hostname($tryserver);
+             my $queryid=
+                 &reply("querysend:".&escape($query).':'.
+                        &escape($srch->{'srchby'}).':'.
+                        &escape($srch->{'srchtype'}).':'.
+                        &escape($srch->{'srchterm'}),$tryserver);
+             if ($queryid !~/^\Q$host\E\_/) {
+                 &logthis('usersearch: invalid queryid: '.$queryid.' for host: '.$host.'in domain '.$dom.' and server: '.$tryserver);
+                 next;
+             }
+             my $reply = &get_query_reply($queryid);
+             my $maxtries = 1;
+             my $tries = 1;
+             while (($reply=~/^timeout/) && ($tries < $maxtries)) {
+                 $reply = &get_query_reply($queryid);
+                 $tries ++;
+             }
+             if ( ($reply =~/^timeout/) || ($reply =~/^error/) ) {
+                 &logthis('usersrch error: '.$reply.' for '.$dom.' - searching for : '.$srch->{'srchterm'}.' by '.$srch->{'srchby'}.' ('.$srch->{'srchtype'}.') -  maxtries: '.$maxtries.' tries: '.$tries);
+             } else {
+                 my @matches;
+                 if ($reply =~ /\n/) {
+                     @matches = split(/\n/,$reply);
+                 } else {
+                     @matches = split(/\&/,$reply);
+                 }
+                 foreach my $match (@matches) {
+                     my ($uname,$udom,%userhash);
+                     foreach my $entry (split(/:/,$match)) {
+                         my ($key,$value) =
+                             map {&unescape($_);} split(/=/,$entry);
+                         $userhash{$key} = $value;
+                         if ($key eq 'username') {
+                             $uname = $value;
+                         } elsif ($key eq 'domain') {
+                             $udom = $value;
+                         }
+                     }
+                     $results{$uname.':'.$udom} = \%userhash;
+                 }
+             }
+         }
+     }
+     return %results;
+ }
+ sub get_instuser {
+     my ($udom,$uname,$id) = @_;
+     my $homeserver = &domain($udom,'primary');
+     my ($outcome,%results);
+     if ($homeserver ne '') {
+         my $queryid=&reply("querysend:getinstuser:".&escape($uname).':'.
+                            &escape($id).':'.&escape($udom),$homeserver);
+         my $host=&hostname($homeserver);
+         if ($queryid !~/^\Q$host\E\_/) {
+             &logthis('get_instuser invalid queryid: '.$queryid.' for host: '.$homeserver.'in domain '.$udom);
+             return;
+         }
+         my $response = &get_query_reply($queryid);
+         my $maxtries = 5;
+         my $tries = 1;
+         while (($response=~/^timeout/) && ($tries < $maxtries)) {
+             $response = &get_query_reply($queryid);
+             $tries ++;
+         }
+         if (!&error($response) && $response ne 'refused') {
+             if ($response eq 'unavailable') {
+                 $outcome = $response;
+             } else {
+                 $outcome = 'ok';
+                 my @matches = split(/\n/,$response);
+                 foreach my $match (@matches) {
+                     my ($key,$value) = split(/=/,$match);
+                     $results{&unescape($key)} = &thaw_unescape($value);
+                 }
+             }
+         }
+     }
+     my %userinfo;
+     if (ref($results{$uname}) eq 'HASH') {
+         %userinfo = %{$results{$uname}};
+     }
+     return ($outcome,%userinfo);
+ }
+ sub get_multiple_instusers {
+     my ($udom,$users,$caller) = @_;
+     my ($outcome,$results);
+     if (ref($users) eq 'HASH') {
+         my $count = keys(%{$users});
+         my $requested = &freeze_escape($users);
+         my $homeserver = &domain($udom,'primary');
+         if ($homeserver ne '') {
+             my $queryid=&reply('querysend:getmultinstusers:::'.$caller.'='.$requested,$homeserver);
+             my $host=&hostname($homeserver);
+             if ($queryid !~/^\Q$host\E\_/) {
+                 &logthis('get_multiple_instusers invalid queryid: '.$queryid.
+                          ' for host: '.$homeserver.'in domain '.$udom);
+                 return ($outcome,$results);
+             }
+             my $response = &get_query_reply($queryid);
+             my $maxtries = 5;
+             if ($count > 100) {
+                 $maxtries = 1+int($count/20);
+             }
+             my $tries = 1;
+             while (($response=~/^timeout/) && ($tries <= $maxtries)) {
+                 $response = &get_query_reply($queryid);
+                 $tries ++;
+             }
+             if ($response eq '') {
+                 $results = {};
+                 foreach my $key (keys(%{$users})) {
+                     my ($uname,$id);
+                     if ($caller eq 'id') {
+                         $id = $key;
+                     } else {
+                         $uname = $key;
+                     }
+                     my ($resp,%info) = &get_instuser($udom,$uname,$id);
+                     $outcome = $resp;
+                     if ($resp eq 'ok') {
+                         %{$results} = (%{$results}, %info);
+                     } else {
+                         last;
+                     }
+                 }
+             } elsif(!&error($response) && ($response ne 'refused')) {
+                 if (($response eq 'unavailable') || ($response eq 'invalid') || ($response eq 'timeout')) {
+                     $outcome = $response;
+                 } else {
+                     ($outcome,my $userdata) = split(/=/,$response,2);
+                     if ($outcome eq 'ok') {
+                         $results = &thaw_unescape($userdata);
+                     }
+                 }
+             }
+         }
+     }
+     return ($outcome,$results);
+ }
+ sub inst_rulecheck {
+     my ($udom,$uname,$id,$item,$rules) = @_;
+     my %returnhash;
+     if ($udom ne '') {
+         if (ref($rules) eq 'ARRAY') {
+             @{$rules} = map {&escape($_);} (@{$rules});
+             my $rulestr = join(':',@{$rules});
+             my $homeserver=&domain($udom,'primary');
+             if (($homeserver ne '') && ($homeserver ne 'no_host')) {
+                 my $response;
+                 if ($item eq 'username') {
+                     $response=&unescape(&reply('instrulecheck:'.&escape($udom).
+                                               ':'.&escape($uname).':'.$rulestr,
+                                               $homeserver));
+                 } elsif ($item eq 'id') {
+                     $response=&unescape(&reply('instidrulecheck:'.&escape($udom).
+                                               ':'.&escape($id).':'.$rulestr,
+                                               $homeserver));
+                 } elsif ($item eq 'selfcreate') {
+                     $response=&unescape(&reply('instselfcreatecheck:'.
+                                                &escape($udom).':'.&escape($uname).
+                                               ':'.$rulestr,$homeserver));
+                 } elsif ($item eq 'unamemap') {
+                     $response=&unescape(&reply('instunamemapcheck:'.
+                                                &escape($udom).':'.&escape($uname).
+                                               ':'.$rulestr,$homeserver));
+                 }
+                 if ($response ne 'refused') {
+                     my @pairs=split(/\&/,$response);
+                     foreach my $item (@pairs) {
+                         my ($key,$value)=split(/=/,$item,2);
+                         $key = &unescape($key);
+                         next if ($key =~ /^error: 2 /);
+                         $returnhash{$key}=&thaw_unescape($value);
+                     }
+                 }
+             }
+         }
+     }
+     return %returnhash;
+ }
+ sub inst_userrules {
+     my ($udom,$check) = @_;
+     my (%ruleshash,@ruleorder);
+     if ($udom ne '') {
+         my $homeserver=&domain($udom,'primary');
+         if (($homeserver ne '') && ($homeserver ne 'no_host')) {
+             my $response;
+             if ($check eq 'id') {
+                 $response=&reply('instidrules:'.&escape($udom),
+                                  $homeserver);
+             } elsif ($check eq 'email') {
+                 $response=&reply('instemailrules:'.&escape($udom),
+                                  $homeserver);
+             } elsif ($check eq 'unamemap') {
+                 $response=&reply('unamemaprules:'.&escape($udom),
+                                  $homeserver);
+             } else {
+                 $response=&reply('instuserrules:'.&escape($udom),
+                                  $homeserver);
+             }
+             if (($response ne 'refused') && ($response ne 'error') &&
+                 ($response ne 'unknown_cmd') &&
+                 ($response ne 'no_such_host')) {
+                 my ($hashitems,$orderitems) = split(/:/,$response);
+                 my @pairs=split(/\&/,$hashitems);
+                 foreach my $item (@pairs) {
+                     my ($key,$value)=split(/=/,$item,2);
+                     $key = &unescape($key);
+                     next if ($key =~ /^error: 2 /);
+                     $ruleshash{$key}=&thaw_unescape($value);
+                 }
+                 my @esc_order = split(/\&/,$orderitems);
+                 foreach my $item (@esc_order) {
+                     push(@ruleorder,&unescape($item));
+                 }
+             }
+         }
+     }
+     return (\%ruleshash,\@ruleorder);
+ }
+ # ------------- Get Authentication, Language and User Tools Defaults for Domain
+ sub get_domain_defaults {
+     my ($domain,$ignore_cache) = @_;
+     return if (($domain eq '') || ($domain eq 'public'));
+     my $cachetime = 60*60*24;
+     unless ($ignore_cache) {
+         my ($result,$cached)=&is_cached_new('domdefaults',$domain);
+         if (defined($cached)) {
+             if (ref($result) eq 'HASH') {
+                 return %{$result};
+             }
+         }
+     }
+     my %domdefaults;
+     my %domconfig =
+          &get_dom('configuration',['defaults','quotas',
+                                   'requestcourses','inststatus',
+                                   'coursedefaults','usersessions',
+                                   'requestauthor','authordefaults',
+                                   'selfenrollment','coursecategories',
+                                   'ssl','autoenroll','trust',
+                                   'helpsettings','wafproxy',
+                                   'ltisec','toolsec','privacy'],$domain);
+     my @coursetypes = ('official','unofficial','community','textbook','placement');
+     if (ref($domconfig{'defaults'}) eq 'HASH') {
+         $domdefaults{'lang_def'} = $domconfig{'defaults'}{'lang_def'};
+         $domdefaults{'auth_def'} = $domconfig{'defaults'}{'auth_def'};
+         $domdefaults{'auth_arg_def'} = $domconfig{'defaults'}{'auth_arg_def'};
+         $domdefaults{'timezone_def'} = $domconfig{'defaults'}{'timezone_def'};
+         $domdefaults{'datelocale_def'} = $domconfig{'defaults'}{'datelocale_def'};
+         $domdefaults{'portal_def'} = $domconfig{'defaults'}{'portal_def'};
+         $domdefaults{'portal_def_email'} = $domconfig{'defaults'}{'portal_def_email'};
+         $domdefaults{'portal_def_web'} = $domconfig{'defaults'}{'portal_def_web'};
+         $domdefaults{'intauth_cost'} = $domconfig{'defaults'}{'intauth_cost'};
+         $domdefaults{'intauth_switch'} = $domconfig{'defaults'}{'intauth_switch'};
+         $domdefaults{'intauth_check'} = $domconfig{'defaults'}{'intauth_check'};
+         $domdefaults{'unamemap_rule'} = $domconfig{'defaults'}{'unamemap_rule'};
+     } else {
+         $domdefaults{'lang_def'} = &domain($domain,'lang_def');
+         $domdefaults{'auth_def'} = &domain($domain,'auth_def');
+         $domdefaults{'auth_arg_def'} = &domain($domain,'auth_arg_def');
+     }
+     if (ref($domconfig{'quotas'}) eq 'HASH') {
+         if (ref($domconfig{'quotas'}{'defaultquota'}) eq 'HASH') {
+             $domdefaults{'defaultquota'} = $domconfig{'quotas'}{'defaultquota'};
+         } else {
+             $domdefaults{'defaultquota'} = $domconfig{'quotas'};
+         }
+         my @usertools = ('aboutme','blog','webdav','portfolio','portaccess');
+         foreach my $item (@usertools) {
+             if (ref($domconfig{'quotas'}{$item}) eq 'HASH') {
+                 $domdefaults{$item} = $domconfig{'quotas'}{$item};
+             }
+         }
+         if (ref($domconfig{'quotas'}{'authorquota'}) eq 'HASH') {
+             $domdefaults{'authorquota'} = $domconfig{'quotas'}{'authorquota'};
+         }
+     }
+     if (ref($domconfig{'requestcourses'}) eq 'HASH') {
+         foreach my $item ('official','unofficial','community','textbook','placement') {
+             $domdefaults{$item} = $domconfig{'requestcourses'}{$item};
+         }
+     }
+     if (ref($domconfig{'requestauthor'}) eq 'HASH') {
+         $domdefaults{'requestauthor'} = $domconfig{'requestauthor'};
+     }
+     if (ref($domconfig{'authordefaults'}) eq 'HASH') {
+         foreach my $item ('nocodemirror','copyright','sourceavail','domcoordacc','editors') {
+             if ($item eq 'editors') {
+                 if (ref($domconfig{'authordefaults'}{'editors'}) eq 'ARRAY') {
+                     $domdefaults{$item} = join(',',@{$domconfig{'authordefaults'}{'editors'}});
+                 }
+             } else {
+                 $domdefaults{$item} = $domconfig{'authordefaults'}{$item};
+             }
+         }
+     }
+     if (ref($domconfig{'inststatus'}) eq 'HASH') {
+         foreach my $item ('inststatustypes','inststatusorder','inststatusguest') {
+             $domdefaults{$item} = $domconfig{'inststatus'}{$item};
+         }
+     }
+     if (ref($domconfig{'coursedefaults'}) eq 'HASH') {
+         $domdefaults{'canuse_pdfforms'} = $domconfig{'coursedefaults'}{'canuse_pdfforms'};
+         $domdefaults{'usejsme'} = $domconfig{'coursedefaults'}{'usejsme'};
+         $domdefaults{'inline_chem'} = $domconfig{'coursedefaults'}{'inline_chem'};
+         $domdefaults{'uselcmath'} = $domconfig{'coursedefaults'}{'uselcmath'};
+         if (ref($domconfig{'coursedefaults'}{'postsubmit'}) eq 'HASH') {
+             $domdefaults{'postsubmit'} = $domconfig{'coursedefaults'}{'postsubmit'}{'client'};
+         }
+         foreach my $type (@coursetypes) {
+             if (ref($domconfig{'coursedefaults'}{'coursecredits'}) eq 'HASH') {
+                 unless ($type eq 'community') {
+                     $domdefaults{$type.'credits'} = $domconfig{'coursedefaults'}{'coursecredits'}{$type};
+                 }
+             }
+             if (ref($domconfig{'coursedefaults'}{'uploadquota'}) eq 'HASH') {
+                 $domdefaults{$type.'quota'} = $domconfig{'coursedefaults'}{'uploadquota'}{$type};
+             }
+             if (ref($domconfig{'coursedefaults'}{'coursequota'}) eq 'HASH') {
+                 $domdefaults{$type.'coursequota'} = $domconfig{'coursedefaults'}{'coursequota'}{$type};
+             }
+             if ($domdefaults{'postsubmit'} eq 'on') {
+                 if (ref($domconfig{'coursedefaults'}{'postsubmit'}{'timeout'}) eq 'HASH') {
+                     $domdefaults{$type.'postsubtimeout'} =
+                         $domconfig{'coursedefaults'}{'postsubmit'}{'timeout'}{$type};
+                 }
+             }
+             if (ref($domconfig{'coursedefaults'}{'domexttool'}) eq 'HASH') {
+                 $domdefaults{$type.'domexttool'} = $domconfig{'coursedefaults'}{'domexttool'}{$type};
+             } else {
+                 $domdefaults{$type.'domexttool'} = 1;
+             }
+             if (ref($domconfig{'coursedefaults'}{'exttool'}) eq 'HASH') {
+                 $domdefaults{$type.'exttool'} = $domconfig{'coursedefaults'}{'exttool'}{$type};
+             } else {
+                 $domdefaults{$type.'exttool'} = 0;
+             }
+             if (ref($domconfig{'coursedefaults'}{'crsauthor'}) eq 'HASH') {
+                 $domdefaults{$type.'crsauthor'} = $domconfig{'coursedefaults'}{'crsauthor'}{$type};
+             } else {
+                 $domdefaults{$type.'crsauthor'} = 1;
+             }
+             if (ref($domconfig{'coursedefaults'}{'crseditors'}) eq 'ARRAY') {
+                 $domdefaults{'crseditors'}=join(',',@{$domconfig{'coursedefaults'}{'crseditors'}});
+             }
+         }
+         if (ref($domconfig{'coursedefaults'}{'canclone'}) eq 'HASH') {
+             if (ref($domconfig{'coursedefaults'}{'canclone'}{'instcode'}) eq 'ARRAY') {
+                 my @clonecodes = @{$domconfig{'coursedefaults'}{'canclone'}{'instcode'}};
+                 if (@clonecodes) {
+                     $domdefaults{'canclone'} = join('+',@clonecodes);
+                 }
+             }
+         } elsif ($domconfig{'coursedefaults'}{'canclone'}) {
+             $domdefaults{'canclone'}=$domconfig{'coursedefaults'}{'canclone'};
+         }
+         if ($domconfig{'coursedefaults'}{'texengine'}) {
+             $domdefaults{'texengine'} = $domconfig{'coursedefaults'}{'texengine'};
+         }
+         if (exists($domconfig{'coursedefaults'}{'ltiauth'})) {
+             $domdefaults{'crsltiauth'} = $domconfig{'coursedefaults'}{'ltiauth'};
+         }
+     }
+     if (ref($domconfig{'usersessions'}) eq 'HASH') {
+         if (ref($domconfig{'usersessions'}{'remote'}) eq 'HASH') {
+             $domdefaults{'remotesessions'} = $domconfig{'usersessions'}{'remote'};
+         }
+         if (ref($domconfig{'usersessions'}{'hosted'}) eq 'HASH') {
+             $domdefaults{'hostedsessions'} = $domconfig{'usersessions'}{'hosted'};
+         }
+         if (ref($domconfig{'usersessions'}{'offloadnow'}) eq 'HASH') {
+             $domdefaults{'offloadnow'} = $domconfig{'usersessions'}{'offloadnow'};
+         }
+         if (ref($domconfig{'usersessions'}{'offloadoth'}) eq 'HASH') {
+             $domdefaults{'offloadoth'} = $domconfig{'usersessions'}{'offloadoth'};
+         }
+     }
+     if (ref($domconfig{'selfenrollment'}) eq 'HASH') {
+         if (ref($domconfig{'selfenrollment'}{'admin'}) eq 'HASH') {
+             my @settings = ('types','registered','enroll_dates','access_dates','section',
+                             'approval','limit');
+             foreach my $type (@coursetypes) {
+                 if (ref($domconfig{'selfenrollment'}{'admin'}{$type}) eq 'HASH') {
+                     my @mgrdc = ();
+                     foreach my $item (@settings) {
+                         if ($domconfig{'selfenrollment'}{'admin'}{$type}{$item} eq '0') {
+                             push(@mgrdc,$item);
+                         }
+                     }
+                     if (@mgrdc) {
+                         $domdefaults{$type.'selfenrolladmdc'} = join(',',@mgrdc);
+                     }
+                 }
+             }
+         }
+         if (ref($domconfig{'selfenrollment'}{'default'}) eq 'HASH') {
+             foreach my $type (@coursetypes) {
+                 if (ref($domconfig{'selfenrollment'}{'default'}{$type}) eq 'HASH') {
+                     foreach my $item (keys(%{$domconfig{'selfenrollment'}{'default'}{$type}})) {
+                         $domdefaults{$type.'selfenroll'.$item} = $domconfig{'selfenrollment'}{'default'}{$type}{$item};
+                     }
+                 }
+             }
+         }
+     }
+     if (ref($domconfig{'coursecategories'}) eq 'HASH') {
+         $domdefaults{'catauth'} = 'std';
+         $domdefaults{'catunauth'} = 'std';
+         if ($domconfig{'coursecategories'}{'auth'}) {
+             $domdefaults{'catauth'} = $domconfig{'coursecategories'}{'auth'};
+         }
+         if ($domconfig{'coursecategories'}{'unauth'}) {
+             $domdefaults{'catunauth'} = $domconfig{'coursecategories'}{'unauth'};
+         }
+     }
+     if (ref($domconfig{'ssl'}) eq 'HASH') {
+         if (ref($domconfig{'ssl'}{'replication'}) eq 'HASH') {
+             $domdefaults{'replication'} = $domconfig{'ssl'}{'replication'};
+         }
+         if (ref($domconfig{'ssl'}{'connto'}) eq 'HASH') {
+             $domdefaults{'connect'} = $domconfig{'ssl'}{'connto'};
+         }
+         if (ref($domconfig{'ssl'}{'connfrom'}) eq 'HASH') {
+             $domdefaults{'connect'} = $domconfig{'ssl'}{'connfrom'};
+         }
+     }
+     if (ref($domconfig{'trust'}) eq 'HASH') {
+         my @prefixes = qw(content shared enroll othcoau coaurem domroles catalog reqcrs msg);
+         foreach my $prefix (@prefixes) {
+             if (ref($domconfig{'trust'}{$prefix}) eq 'HASH') {
+                 $domdefaults{'trust'.$prefix} = $domconfig{'trust'}{$prefix};
+             }
+         }
+     }
+     if (ref($domconfig{'autoenroll'}) eq 'HASH') {
+         $domdefaults{'autofailsafe'} = $domconfig{'autoenroll'}{'autofailsafe'};
+         $domdefaults{'failsafe'} = $domconfig{'autoenroll'}{'failsafe'};
+     }
+     if (ref($domconfig{'helpsettings'}) eq 'HASH') {
+         $domdefaults{'submitbugs'} = $domconfig{'helpsettings'}{'submitbugs'};
+         if (ref($domconfig{'helpsettings'}{'adhoc'}) eq 'HASH') {
+             $domdefaults{'adhocroles'} = $domconfig{'helpsettings'}{'adhoc'};
+         }
+     }
+     if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+         foreach my $item ('ipheader','trusted','vpnint','vpnext','sslopt') {
+             if ($domconfig{'wafproxy'}{$item}) {
+                 $domdefaults{'waf_'.$item} = $domconfig{'wafproxy'}{$item};
+             }
+         }
+     }
+     if (ref($domconfig{'ltisec'}) eq 'HASH') {
+         if (ref($domconfig{'ltisec'}{'encrypt'}) eq 'HASH') {
+             $domdefaults{'linkprotenc_crs'} = $domconfig{'ltisec'}{'encrypt'}{'crs'};
+             $domdefaults{'linkprotenc_dom'} = $domconfig{'ltisec'}{'encrypt'}{'dom'};
+             $domdefaults{'ltienc_consumers'} = $domconfig{'ltisec'}{'encrypt'}{'consumers'};
+         }
+         if (ref($domconfig{'ltisec'}{'private'}) eq 'HASH') {
+             if (ref($domconfig{'ltisec'}{'private'}{'keys'}) eq 'ARRAY') {
+                 $domdefaults{'ltiprivhosts'} = $domconfig{'ltisec'}{'private'}{'keys'};
+             }
+         }
+         if (ref($domconfig{'ltisec'}{'suggested'}) eq 'HASH') {
+             my %suggestions = %{$domconfig{'ltisec'}{'suggested'}};
+             foreach my $item (keys(%{$domconfig{'ltisec'}{'suggested'}})) {
+                 unless (ref($domconfig{'ltisec'}{'suggested'}{$item}) eq 'HASH') {
+                     delete($suggestions{$item});
+                 }
+             }
+             if (keys(%suggestions)) {
+                 $domdefaults{'linkprotsuggested'} = \%suggestions;
+             }
+         }
+     }
+     if (ref($domconfig{'toolsec'}) eq 'HASH') {
+         if (ref($domconfig{'toolsec'}{'encrypt'}) eq 'HASH') {
+             $domdefaults{'toolenc_crs'} = $domconfig{'toolsec'}{'encrypt'}{'crs'};
+             $domdefaults{'toolenc_dom'} = $domconfig{'toolsec'}{'encrypt'}{'dom'};
+         }
+         if (ref($domconfig{'toolsec'}{'private'}) eq 'HASH') {
+             if (ref($domconfig{'toolsec'}{'private'}{'keys'}) eq 'ARRAY') {
+                 $domdefaults{'toolprivhosts'} = $domconfig{'toolsec'}{'private'}{'keys'};
+             }
+         }
+     }
+     if (ref($domconfig{'privacy'}) eq 'HASH') {
+         if (ref($domconfig{'privacy'}{'approval'}) eq 'HASH') {
+             foreach my $domtype ('instdom','extdom') {
+                 if (ref($domconfig{'privacy'}{'approval'}{$domtype}) eq 'HASH') {
+                     foreach my $roletype ('domain','author','course','community') {
+                         if ($domconfig{'privacy'}{'approval'}{$domtype}{$roletype} eq 'user') {
+                             $domdefaults{'userapprovals'} = 1;
+                             last;
+                         }
+                     }
+                 }
+                 last if ($domdefaults{'userapprovals'});
+             }
+         }
+     }
+     &do_cache_new('domdefaults',$domain,\%domdefaults,$cachetime);
+     return %domdefaults;
+ }
+ sub get_dom_cats {
+     my ($dom) = @_;
+     return unless (&domain($dom));
+     my ($cats,$cached)=&is_cached_new('cats',$dom);
+     unless (defined($cached)) {
+         my %domconfig = &get_dom('configuration',['coursecategories'],$dom);
+         if (ref($domconfig{'coursecategories'}) eq 'HASH') {
+             if (ref($domconfig{'coursecategories'}{'cats'}) eq 'HASH') {
+                 %{$cats} = %{$domconfig{'coursecategories'}{'cats'}};
+             } else {
+                 $cats = {};
+             }
+         } else {
+             $cats = {};
+         }
+         &do_cache_new('cats',$dom,$cats,3600);
+     }
+     return $cats;
+ }
+ sub get_dom_instcats {
+     my ($dom) = @_;
+     return unless (&domain($dom));
+     my ($instcats,$cached)=&is_cached_new('instcats',$dom);
+     unless (defined($cached)) {
+         my (%coursecodes,%codes,@codetitles,%cat_titles,%cat_order);
+         my $totcodes = &retrieve_instcodes(\%coursecodes,$dom);
+         if ($totcodes > 0) {
+             my $caller = 'global';
+             if (&auto_instcode_format($caller,$dom,\%coursecodes,\%codes,
+                                       \@codetitles,\%cat_titles,\%cat_order) eq 'ok') {
+                 $instcats = {
+                                 totcodes => $totcodes,
+                                 codes => \%codes,
+                                 codetitles => \@codetitles,
+                                 cat_titles => \%cat_titles,
+                                 cat_order => \%cat_order,
+                             };
+                 &do_cache_new('instcats',$dom,$instcats,3600);
+             }
+         }
+     }
+     return $instcats;
+ }
+ sub retrieve_instcodes {
+     my ($coursecodes,$dom) = @_;
+     my $totcodes;
+     my %courses = &courseiddump($dom,'.',1,'.','.','.',undef,undef,'Course');
+     foreach my $course (keys(%courses)) {
+         if (ref($courses{$course}) eq 'HASH') {
+             if ($courses{$course}{'inst_code'} ne '') {
+                 $$coursecodes{$course} = $courses{$course}{'inst_code'};
+                 $totcodes ++;
+             }
+         }
+     }
+     return $totcodes;
+ }
+ sub course_portal_url {
+     my ($cnum,$cdom,$r) = @_;
+     my $chome = &homeserver($cnum,$cdom);
+     my $hostname = &hostname($chome);
+     my $protocol = $protocol{$chome};
+     $protocol = 'http' if ($protocol ne 'https');
+     my %domdefaults = &get_domain_defaults($cdom);
+     my $firsturl;
+     if ($domdefaults{'portal_def'}) {
+         $firsturl = $domdefaults{'portal_def'};
+     } else {
+         my $alias = &use_proxy_alias($r,$chome);
+         $hostname = $alias if ($alias ne '');
+         $firsturl = $protocol.'://'.$hostname;
+     }
+     return $firsturl;
+ }
+ sub url_prefix {
+     my ($r,$dom,$home,$context) = @_;
+     my $prefix;
+     my %domdefs = &get_domain_defaults($dom);
+     if ($domdefs{'portal_def'} && $domdefs{'portal_def_'.$context}) {
+         if ($domdefs{'portal_def'} =~ m{^(https?://[^/]+)}) {
+             $prefix = $1;
+         }
+     }
+     if ($prefix eq '') {
+         my $hostname = &hostname($home);
+         my $protocol = $protocol{$home};
+         $protocol = 'http' if ($protocol{$home} ne 'https');
+         my $alias = &use_proxy_alias($r,$home);
+         $hostname = $alias if ($alias ne '');
+         $prefix = $protocol.'://'.$hostname;
+     }
+     return $prefix;
+ }
+ # --------------------------------------------- Get domain config for passwords
+ sub get_passwdconf {
+     my ($dom) = @_;
+     my (%passwdconf,$gotconf,$lookup);
+     my ($result,$cached)=&is_cached_new('passwdconf',$dom);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %passwdconf = %{$result};
+             $gotconf = 1;
+         }
+     }
+     unless ($gotconf) {
+         my %domconfig = &get_dom('configuration',['passwords'],$dom);
+         if (ref($domconfig{'passwords'}) eq 'HASH') {
+             %passwdconf = %{$domconfig{'passwords'}};
+         }
+         my $cachetime = 24*60*60;
+         &do_cache_new('passwdconf',$dom,\%passwdconf,$cachetime);
+     }
+     return %passwdconf;
+ }
  # --------------------------------------------------- Assign a key to a student
  sub assign_access_key {
- Line 888  sub assign_access_key {
+ Line 3173  sub assign_access_key {
  # key now belongs to user
  	    my $envkey='key.'.$cdom.'_'.$cnum;
              if (&put('environment',{$envkey => $ckey}) eq 'ok') {
-                 &appenv('environment.'.$envkey => $ckey);
+                 &appenv({'environment.'.$envkey => $ckey});
                  return 'ok';
              } else {
                  return
- Line 1004  sub courseid_to_courseurl {
+ Line 3289  sub courseid_to_courseurl {
  	return "/$cdom/$cnum";
      }
-     my %courseinfo=&Apache::lonnet::coursedescription($courseid);
+     my %courseinfo=&coursedescription($courseid);
      if (exists($courseinfo{'num'})) {
  	return "/$courseinfo{'domain'}/$courseinfo{'num'}";
      }
- Line 1092  sub make_key {
+ Line 3377  sub make_key {
  sub devalidate_cache_new {
      my ($name,$id,$debug) = @_;
      if ($debug) { &Apache::lonnet::logthis("deleting $name:$id"); }
+     my $remembered_id=$name.':'.$id;
      $id=&make_key($name,$id);
      $memcache->delete($id);
-     delete($remembered{$id});
+     delete($remembered{$remembered_id});
-     delete($accessed{$id});
+     delete($accessed{$remembered_id});
  }
  sub is_cached_new {
      my ($name,$id,$debug) = @_;
-     $id=&make_key($name,$id);
+     my $remembered_id=$name.':'.$id; # this is to avoid make_key (which is slow) whenever possible
-     if (exists($remembered{$id})) {
+     if (exists($remembered{$remembered_id})) {
- 	if ($debug) { &Apache::lonnet::logthis("Earyl return $id of $remembered{$id} "); }
+ 	if ($debug) { &Apache::lonnet::logthis("Early return $remembered_id of $remembered{$remembered_id} "); }
- 	$accessed{$id}=[&gettimeofday()];
+ 	$accessed{$remembered_id}=[&gettimeofday()];
  	$hits++;
- 	return ($remembered{$id},1);
+ 	return ($remembered{$remembered_id},1);
      }
+     $id=&make_key($name,$id);
      my $value = $memcache->get($id);
      if (!(defined($value))) {
  	if ($debug) { &Apache::lonnet::logthis("getting $id is not defined"); }
- Line 1116  sub is_cached_new {
+ Line 3403  sub is_cached_new {
  	if ($debug) { &Apache::lonnet::logthis("getting $id is __undef__"); }
  	$value=undef;
      }
-     &make_room($id,$value,$debug);
+     &make_room($remembered_id,$value,$debug);
      if ($debug) { &Apache::lonnet::logthis("getting $id is $value"); }
      return ($value,1);
  }
  sub do_cache_new {
      my ($name,$id,$value,$time,$debug) = @_;
+     my $remembered_id=$name.':'.$id;
      $id=&make_key($name,$id);
      my $setvalue=$value;
      if (!defined($setvalue)) {
- Line 1132  sub do_cache_new {
+ Line 3420  sub do_cache_new {
  	$time=600;
      }
      if ($debug) { &Apache::lonnet::logthis("Setting $id to $value"); }
-     if (!($memcache->set($id,$setvalue,$time))) {
+     my $result = $memcache->set($id,$setvalue,$time);
+     if (! $result) {
  	&logthis("caching of id -> $id  failed");
+ 	$memcache->disconnect_all();
      }
      # need to make a copy of $value
-     #&make_room($id,$value,$debug);
+     &make_room($remembered_id,$value,$debug);
      return $value;
  }
  sub make_room {
-     my ($id,$value,$debug)=@_;
+     my ($remembered_id,$value,$debug)=@_;
-     $remembered{$id}=$value;
+     $remembered{$remembered_id}= (ref($value)) ? &Storable::dclone($value)
+                                     : $value;
      if ($to_remember<0) { return; }
-     $accessed{$id}=[&gettimeofday()];
+     $accessed{$remembered_id}=[&gettimeofday()];
      if (scalar(keys(%remembered)) <= $to_remember) { return; }
      my $to_kick;
      my $max_time=0;
- Line 1171  sub purge_remembered {
+ Line 3463  sub purge_remembered {
  sub userenvironment {
      my ($udom,$unam,@what)=@_;
+     my $items;
+     foreach my $item (@what) {
+         $items.=&escape($item).'&';
+     }
+     $items=~s/\&$//;
      my %returnhash=();
-     my @answer=split(/\&/,
+     my $uhome = &homeserver($unam,$udom);
-                 &reply('get:'.$udom.':'.$unam.':environment:'.join('&',@what),
+     unless ($uhome eq 'no_host') {
-                       &homeserver($unam,$udom)));
+         my @answer=split(/\&/,
-     my $i;
+             &reply('get:'.$udom.':'.$unam.':environment:'.$items,$uhome));
-     for ($i=0;$i<=$#what;$i++) {
+         if ($#answer==0 && $answer[0] =~ /^(con_lost|error:|no_such_host)/i) {
- 	$returnhash{$what[$i]}=&unescape($answer[$i]);
+             return %returnhash;
+         }
+         my $i;
+         for ($i=0;$i<=$#what;$i++) {
+ 	    $returnhash{$what[$i]}=&unescape($answer[$i]);
+         }
      }
      return %returnhash;
  }
- Line 1185  sub userenvironment {
+ Line 3487  sub userenvironment {
  # ---------------------------------------------------------- Get a studentphoto
  sub studentphoto {
      my ($udom,$unam,$ext) = @_;
-     my $home=&Apache::lonnet::homeserver($unam,$udom);
+     my $home=&homeserver($unam,$udom);
      if (defined($env{'request.course.id'})) {
          if ($env{'course.'.$env{'request.course.id'}.'.internal.showphoto'}) {
              if ($udom eq $env{'course.'.$env{'request.course.id'}.'.domain'}) {
                  return(&retrievestudentphoto($udom,$unam,$ext));
              } else {
                  my ($result,$perm_reqd)=
- 		    &Apache::lonnet::auto_photo_permission($unam,$udom);
+ 		    &auto_photo_permission($unam,$udom);
                  if ($result eq 'ok') {
                      if (!($perm_reqd eq 'yes')) {
                          return(&retrievestudentphoto($udom,$unam,$ext));
- Line 1202  sub studentphoto {
+ Line 3504  sub studentphoto {
          }
      } else {
          my ($result,$perm_reqd) =
- 	    &Apache::lonnet::auto_photo_permission($unam,$udom);
+ 	    &auto_photo_permission($unam,$udom);
          if ($result eq 'ok') {
              if (!($perm_reqd eq 'yes')) {
                  return(&retrievestudentphoto($udom,$unam,$ext));
- Line 1214  sub studentphoto {
+ Line 3516  sub studentphoto {
  sub retrievestudentphoto {
      my ($udom,$unam,$ext,$type) = @_;
-     my $home=&Apache::lonnet::homeserver($unam,$udom);
+     my $home=&homeserver($unam,$udom);
-     my $ret=&Apache::lonnet::reply("studentphoto:$udom:$unam:$ext:$type",$home);
+     my $ret=&reply("studentphoto:$udom:$unam:$ext:$type",$home);
      if ($ret eq 'ok') {
          my $url="/uploaded/$udom/$unam/internal/studentphoto.$ext";
          if ($type eq 'thumbnail') {
              $url="/uploaded/$udom/$unam/internal/studentphoto_tn.$ext";
          }
-         my $tokenurl=&Apache::lonnet::tokenwrapper($url);
+         my $tokenurl=&tokenwrapper($url);
          return $tokenurl;
      } else {
          if ($type eq 'thumbnail') {
- Line 1248  sub chatsend {
+ Line 3550  sub chatsend {
  sub getversion {
      my $fname=&clutter(shift);
-     unless ($fname=~/^\/res\//) { return -1; }
+     unless ($fname=~m{^(/adm/wrapper|)/res/}) { return -1; }
      return &currentversion(&filelocation('',$fname));
  }
  sub currentversion {
      my $fname=shift;
-     my ($result,$cached)=&is_cached_new('resversion',$fname);
-     if (defined($cached)) { return $result; }
      my $author=$fname;
      $author=~s/\/home\/httpd\/html\/res\/([^\/]*)\/([^\/]*).*/$1\/$2/;
      my ($udom,$uname)=split(/\//,$author);
-     my $home=homeserver($uname,$udom);
+     my $home=&homeserver($uname,$udom);
      if ($home eq 'no_host') {
          return -1;
      }
-     my $answer=reply("currentversion:$fname",$home);
+     my $answer=&reply("currentversion:$fname",$home);
      if (($answer eq 'con_lost') || ($answer eq 'rejected')) {
  	return -1;
      }
-     return &do_cache_new('resversion',$fname,$answer,600);
+     return $answer;
+ }
+ #
+ # Return special version number of resource if set by override, empty otherwise
+ #
+ sub usedversion {
+     my $fname=shift;
+     unless ($fname) { $fname=$env{'request.uri'}; }
+     my ($urlversion)=($fname=~/\.(\d+)\.\w+$/);
+     if ($urlversion) { return $urlversion; }
+     return '';
  }
  # ----------------------------- Subscribe to a resource, return URL if possible
- Line 1295  sub subscribe {
+ Line 3606  sub subscribe {
  sub repcopy {
      my $filename=shift;
      $filename=~s/\/+/\//g;
-     if ($filename=~m|^/home/httpd/html/adm/|) { return 'ok'; }
+     my $londocroot = $perlvar{'lonDocRoot'};
-     if ($filename=~m|^/home/httpd/html/lonUsers/|) { return 'ok'; }
+     if ($filename=~m{^\Q$londocroot/adm/\E}) { return 'ok'; }
-     if ($filename=~m|^/home/httpd/html/userfiles/| or
+     if ($filename=~m{^\Q/home/httpd/lonUsers/\E}) { return 'ok'; }
- 	$filename=~m -^/*(uploaded|editupload)/-) {
+     if ($filename=~m{^\Q$londocroot/userfiles/\E} or
+ 	$filename=~m{^/*(uploaded|editupload)/}) {
  	return &repcopy_userfile($filename);
      }
      $filename=~s/[\n\r]//g;
- Line 1325  sub repcopy {
+ Line 3637  sub repcopy {
          unless ($home eq $perlvar{'lonHostID'}) {
             my @parts=split(/\//,$filename);
             my $path="/$parts[1]/$parts[2]/$parts[3]/$parts[4]";
-            if ($path ne "$perlvar{'lonDocRoot'}/res") {
+            if ($path ne "$londocroot/res") {
                 &logthis("Malconfiguration for replication: $filename");
  	       return 'bad_request';
             }
- Line 1336  sub repcopy {
+ Line 3648  sub repcopy {
  		   mkdir($path,0777);
                 }
             }
-            my $ua=new LWP::UserAgent;
             my $request=new HTTP::Request('GET',"$remoteurl");
-            my $response=$ua->request($request,$transname);
+            my $response;
+            if ($remoteurl =~ m{/raw/}) {
+                $response=&LONCAPA::LWPReq::makerequest($home,$request,$transname,\%perlvar,'',0,1);
+            } else {
+                $response=&LONCAPA::LWPReq::makerequest($home,$request,$transname,\%perlvar,'',1);
+            }
             if ($response->is_error()) {
  	       unlink($transname);
                 my $message=$response->status_line;
- Line 1348  sub repcopy {
+ Line 3664  sub repcopy {
             } else {
  	       if ($remoteurl!~/\.meta$/) {
                    my $mrequest=new HTTP::Request('GET',$remoteurl.'.meta');
-                   my $mresponse=$ua->request($mrequest,$filename.'.meta');
+                   my $mresponse;
+                   if ($remoteurl =~ m{/raw/}) {
+                       $mresponse = &LONCAPA::LWPReq::makerequest($home,$mrequest,$filename.'.meta',\%perlvar,'',0,1);
+                   } else {
+                       $mresponse = &LONCAPA::LWPReq::makerequest($home,$mrequest,$filename.'.meta',\%perlvar,'',1);
+                   }
                    if ($mresponse->is_error()) {
  		      unlink($filename.'.meta');
                        &logthis(
- Line 1362  sub repcopy {
+ Line 3683  sub repcopy {
      }
  }
+ # ------------------------------------------------- Unsubscribe from a resource
+ sub unsubscribe {
+     my ($fname) = @_;
+     my $answer;
+     if ($fname=~/\/(aboutme|syllabus|bulletinboard|smppg)$/) { return $answer; }
+     $fname=~s/[\n\r]//g;
+     my $author=$fname;
+     $author=~s/\/home\/httpd\/html\/res\/([^\/]*)\/([^\/]*).*/$1\/$2/;
+     my ($udom,$uname)=split(/\//,$author);
+     my $home=homeserver($uname,$udom);
+     if ($home eq 'no_host') {
+         $answer = 'no_host';
+     } elsif (grep { $_ eq $home } &current_machine_ids()) {
+         $answer = 'home';
+     } else {
+         my $defdom = $perlvar{'lonDefDomain'};
+         if (&will_trust('content',$defdom,$udom)) {
+             $answer = reply("unsub:$fname",$home);
+         } else {
+             $answer = 'untrusted';
+         }
+     }
+     return $answer;
+ }
  # ------------------------------------------------ Get server side include body
  sub ssi_body {
      my ($filelink,%form)=@_;
      if (! exists($form{'LONCAPA_INTERNAL_no_discussion'})) {
          $form{'LONCAPA_INTERNAL_no_discussion'}='true';
      }
-     my $output=($filelink=~/^http\:/?&externalssi($filelink):
+     my $output='';
-                                      &ssi($filelink,%form));
+     my $response;
+     if ($filelink=~/^https?\:/) {
+        ($output,$response)=&externalssi($filelink);
+     } else {
+        $filelink .= $filelink=~/\?/ ? '&' : '?';
+        $filelink .= 'inhibitmenu=yes';
+        ($output,$response)=&ssi($filelink,%form);
+     }
      $output=~s|//(\s*<!--)? BEGIN LON-CAPA Internal.+?// END LON-CAPA Internal\s*(-->)?\s||gs;
      $output=~s/^.*?\<body[^\>]*\>//si;
-     $output=~s/(.*)\<\/body\s*\>.*?$/$1/si;
+     $output=~s/\<\/body\s*\>.*?$//si;
-     return $output;
+     if (wantarray) {
+         return ($output, $response);
+     } else {
+         return $output;
+     }
  }
  # --------------------------------------------------------- Server Side Include
  sub absolute_url {
-     my ($host_name) = @_;
+     my ($host_name,$unalias,$keep_proto) = @_;
      my $protocol = ($ENV{'SERVER_PORT'} == 443?'https://':'http://');
      if ($host_name eq '') {
  	$host_name = $ENV{'SERVER_NAME'};
      }
+     if ($unalias) {
+         my $alias = &get_proxy_alias();
+         if ($alias eq $host_name) {
+             my $lonhost = $perlvar{'lonHostID'};
+             my $hostname = &hostname($lonhost);
+             my $lcproto;
+             if (($keep_proto) || ($hostname eq '')) {
+                 $lcproto = $protocol;
+             } else {
+                 $lcproto = $protocol{$lonhost};
+                 $lcproto = 'http' if ($lcproto ne 'https');
+                 $lcproto .= '://';
+             }
+             unless ($hostname eq '') {
+                 return $lcproto.$hostname;
+             }
+         }
+     }
      return $protocol.$host_name;
  }
+ #
+ #   Server side include.
+ # Parameters:
+ #  fn     Possibly encrypted resource name/id.
+ #  form   Hash that describes how the rendering should be done
+ #         and other things.
+ # Returns:
+ #   Scalar context: The content of the response.
+ #   Array context:  2 element list of the content and the full response object.
+ #
  sub ssi {
      my ($fn,%form)=@_;
+     my ($host,$request,$response);
-     my $ua=new LWP::UserAgent;
+     $host = &absolute_url('',1);
-     my $request;
      $form{'no_update_last_known'}=1;
      &Apache::lonenc::check_encrypt(\$fn);
      if (%form) {
-       $request=new HTTP::Request('POST',&absolute_url().$fn);
+       $request=new HTTP::Request('POST',$host.$fn);
-       $request->content(join('&',map { &escape($_).'='.&escape($form{$_}) } keys %form));
+       $request->content(join('&',map {
+             my $name = escape($_);
+             "$name=" . ( ref($form{$_}) eq 'ARRAY'
+             ? join("&$name=", map {escape($_) } @{$form{$_}})
+             : &escape($form{$_}) );
+         } keys(%form)));
      } else {
-       $request=new HTTP::Request('GET',&absolute_url().$fn);
+       $request=new HTTP::Request('GET',$host.$fn);
      }
      $request->header(Cookie => $ENV{'HTTP_COOKIE'});
-     my $response=$ua->request($request);
+     my $lonhost = $perlvar{'lonHostID'};
+     my $islocal;
+     if (($env{'request.course.id'}) &&
+         ($form{'grade_courseid'} eq $env{'request.course.id'}) &&
+         ($form{'grade_username'} ne '') && ($form{'grade_domain'} ne '') &&
+         ($form{'grade_symb'} ne '') &&
+         (&allowed('mgr',$env{'request.course.id'}.
+                         ($env{'request.course.sec'}?'/'.$env{'request.course.sec'}:'')))) {
+         $islocal = 1;
+     }
+     $response= &LONCAPA::LWPReq::makerequest($lonhost,$request,'',\%perlvar,
+                                              '','','',$islocal);
-     return $response->content;
+     if (wantarray) {
+ 	return ($response->content, $response);
+     } else {
+ 	return $response->content;
+     }
  }
  sub externalssi {
      my ($url)=@_;
-     my $ua=new LWP::UserAgent;
      my $request=new HTTP::Request('GET',$url);
-     my $response=$ua->request($request);
+     my $response = &LONCAPA::LWPReq::makerequest('',$request,'',\%perlvar);
-     return $response->content;
+     if (wantarray) {
+         return ($response->content, $response);
+     } else {
+         return $response->content;
+     }
+ }
+ # If the local copy of a replicated resource is outdated, trigger a
+ # connection from the homeserver to flush the delayed queue. If no update
+ # happens, remove local copies of outdated resource (and corresponding
+ # metadata file).
+ sub remove_stale_resfile {
+     my ($url) = @_;
+     my $removed;
+     if ($url=~m{^/res/($match_domain)/($match_username)/}) {
+         my $audom = $1;
+         my $auname = $2;
+         unless (($url =~ /\.\d+\.\w+$/) || ($url =~ m{^/res/lib/templates/})) {
+             my $homeserver = &homeserver($auname,$audom);
+             unless (($homeserver eq 'no_host') ||
+                     (grep { $_ eq $homeserver } &current_machine_ids())) {
+                 my $fname = &filelocation('',$url);
+                 if (-e $fname) {
+                     my $hostname = &hostname($homeserver);
+                     if ($hostname) {
+                         my $protocol = $protocol{$homeserver};
+                         $protocol = 'http' if ($protocol ne 'https');
+                         my $uri = &declutter($url);
+                         my $request=new HTTP::Request('HEAD',$protocol.'://'.$hostname.'/raw/'.$uri);
+                         my $response = &LONCAPA::LWPReq::makerequest($homeserver,$request,'',\%perlvar,5,0,1);
+                         if ($response->is_success()) {
+                             my $remmodtime = &HTTP::Date::str2time( $response->header('Last-modified') );
+                             my $locmodtime = (stat($fname))[9];
+                             if ($locmodtime < $remmodtime) {
+                                 my $stale;
+                                 my $answer = &reply('pong',$homeserver);
+                                 if ($answer eq $homeserver.':'.$perlvar{'lonHostID'}) {
+                                     sleep(0.2);
+                                     $locmodtime = (stat($fname))[9];
+                                     if ($locmodtime < $remmodtime) {
+                                         my $posstransfer = $fname.'.in.transfer';
+                                         if ((-e $posstransfer) && ($remmodtime < (stat($posstransfer))[9])) {
+                                             $removed = 1;
+                                         } else {
+                                             $stale = 1;
+                                         }
+                                     } else {
+                                         $removed = 1;
+                                     }
+                                 } else {
+                                     $stale = 1;
+                                 }
+                                 if ($stale) {
+                                     if (unlink($fname)) {
+                                         if ($uri!~/\.meta$/) {
+                                             if (-e $fname.'.meta') {
+                                                 unlink($fname.'.meta');
+                                             }
+                                         }
+                                         my $unsubresult = &unsubscribe($fname);
+                                         unless ($unsubresult eq 'ok') {
+                                             &logthis("no unsub of $fname from $homeserver, reason: $unsubresult");
+                                         }
+                                         $removed = 1;
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return $removed;
  }
  # -------------------------------- Allow a /uploaded/ URI to be vouched for
- Line 1428  sub allowuploaded {
+ Line 3906  sub allowuploaded {
      my %httpref=();
      my $httpurl=&hreflocation('',$url);
      $httpref{'httpref.'.$httpurl}=$srcurl;
-     &Apache::lonnet::appenv(%httpref);
+     &Apache::lonnet::appenv(\%httpref);
+ }
+ #
+ # Determine if the current user should be able to edit a particular resource,
+ # when viewing in course context.
+ # (a) When viewing resource used to determine if "Edit" item is included in
+ #     Functions.
+ # (b) When displaying folder contents in course editor, used to determine if
+ #     "Edit" link will be displayed alongside resource.
+ #
+ #  input: six args -- filename (decluttered), course number, course domain,
+ #                   url, symb (if registered) and group (if this is a group
+ #                   item -- e.g., bulletin board, group page etc.).
+ #  output: array of five scalars --
+ #          $cfile -- url for file editing if editable on current server
+ #          $home -- homeserver of resource (i.e., for author if published,
+ #                                           or course if uploaded.).
+ #          $switchserver --  1 if server switch will be needed.
+ #          $forceedit -- 1 if icon/link should be to go to edit mode
+ #          $forceview -- 1 if icon/link should be to go to view mode
+ #
+ sub can_edit_resource {
+     my ($file,$cnum,$cdom,$resurl,$symb,$group) = @_;
+     my ($cfile,$home,$switchserver,$forceedit,$forceview,$uploaded,$incourse);
+ #
+ # For aboutme pages user can only edit his/her own.
+ #
+     if ($resurl =~ m{^/?adm/($match_domain)/($match_username)/aboutme$}) {
+         my ($sdom,$sname) = ($1,$2);
+         if (($sdom eq $env{'user.domain'}) && ($sname eq $env{'user.name'})) {
+             $home = $env{'user.home'};
+             $cfile = $resurl;
+             if ($env{'form.forceedit'}) {
+                 $forceview = 1;
+             } else {
+                 $forceedit = 1;
+             }
+             return ($cfile,$home,$switchserver,$forceedit,$forceview);
+         } else {
+             return;
+         }
+     }
+ #
+ # For /adm/viewcoauthors can only edit if author or co-author who is manager.
+ #
+     if (($resurl eq '/adm/viewcoauthors') && ($cnum ne '') && ($cdom ne '')) {
+         if (((&allowed('cca',"$cdom/$cnum")) ||
+              (&allowed('caa',"$cdom/$cnum"))) ||
+              ((&allowed('vca',"$cdom/$cnum") ||
+                &allowed('vaa',"$cdom/$cnum")) &&
+               ($env{"environment.internal.manager./$cdom/$cnum"}))) {
+             $home = $env{'user.home'};
+             $cfile = $resurl;
+             if ($env{'form.forceedit'}) {
+                 $forceview = 1;
+             } else {
+                 $forceedit = 1;
+             }
+             return ($cfile,$home,$switchserver,$forceedit,$forceview);
+         } else {
+             return;
+         }
+     }
+     if ($env{'request.course.id'}) {
+         my $crsedit = &allowed('mdc',$env{'request.course.id'});
+         if ($group ne '') {
+ # if this is a group homepage or group bulletin board, check group privs
+             my $allowed = 0;
+             if ($resurl =~ m{^/?adm/$cdom/$cnum/$group/smppg$}) {
+                 if ((&allowed('mdg',$env{'request.course.id'}.
+                               ($env{'request.course.sec'}?'/'.$env{'request.course.sec'}:''))) ||
+                         (&allowed('mgh',$env{'request.course.id'}.'/'.$group)) || $crsedit) {
+                     $allowed = 1;
+                 }
+             } elsif ($resurl =~ m{^/?adm/$cdom/$cnum/\d+/bulletinboard$}) {
+                 if ((&allowed('mdg',$env{'request.course.id'}.($env{'request.course.sec'}?'/'.$env{'request.course.sec'}:''))) ||
+                         (&allowed('cgb',$env{'request.course.id'}.'/'.$group)) || $crsedit) {
+                     $allowed = 1;
+                 }
+             }
+             if ($allowed) {
+                 $home=&homeserver($cnum,$cdom);
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = $resurl;
+             } else {
+                 return;
+             }
+         } else {
+             if ($resurl =~ m{^/?adm/viewclasslist$}) {
+                 unless (&allowed('opa',$env{'request.course.id'})) {
+                     return;
+                 }
+             } elsif (!$crsedit) {
+                 if ($env{'request.role'} =~ m{^st\./$cdom/$cnum}) {
+ #
+ # No edit allowed where CC has switched to student role.
+ #
+                     return;
+                 } elsif (($resurl !~ m{^/res/$match_domain/$match_username/}) ||
+                          ($resurl =~ m{^/res/lib/templates/})) {
+                     return;
+                 }
+             }
+         }
+     }
+     if ($file ne '') {
+         if (($cnum =~ /$match_courseid/) && ($cdom =~ /$match_domain/)) {
+             if (&is_course_upload($file,$cnum,$cdom)) {
+                 $uploaded = 1;
+                 $incourse = 1;
+                 if ($file =~/\.(htm|html|css|js|txt)$/) {
+                     $cfile = &hreflocation('',$file);
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                 }
+             } elsif ($resurl =~ m{^/public/$cdom/$cnum/syllabus}) {
+                 $incourse = 1;
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = $resurl;
+             } elsif (($resurl ne '') && (&is_on_map($resurl))) {
+                 if ($resurl =~ m{^/adm/$match_domain/$match_username/\d+/smppg|bulletinboard$}) {
+                     $incourse = 1;
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                     $cfile = $resurl;
+                 } elsif ($resurl eq '/res/lib/templates/simpleproblem.problem') {
+                     $incourse = 1;
+                     $cfile = $resurl.'/smpedit';
+                 } elsif ($resurl =~ m{^/adm/wrapper/ext/}) {
+                     $incourse = 1;
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                     $cfile = $resurl;
+                 } elsif (($resurl =~ m{^/ext/}) && ($symb ne '')) {
+                     my ($map,$id,$res) = &decode_symb($symb);
+                     if ($map =~ /\.page$/) {
+                         $incourse = 1;
+                         if ($env{'form.forceedit'}) {
+                             $forceview = 1;
+                             $cfile = $map;
+                         } else {
+                             $forceedit = 1;
+                             $cfile =  '/adm/wrapper'.$resurl;
+                         }
+                     }
+                 } elsif ($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                     $incourse = 1;
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                     $cfile = $resurl;
+                 } elsif ($resurl =~ m{^/?adm/viewclasslist$}) {
+                     $incourse = 1;
+                     if ($env{'form.forceedit'}) {
+                         $forceview = 1;
+                     } else {
+                         $forceedit = 1;
+                     }
+                     $cfile = ($resurl =~ m{^/} ? $resurl : "/$resurl");
+                 }
+             } elsif ($resurl eq '/res/lib/templates/simpleproblem.problem/smpedit') {
+                 my $template = '/res/lib/templates/simpleproblem.problem';
+                 if (&is_on_map($template)) {
+                     $incourse = 1;
+                     $forceview = 1;
+                     $cfile = $template;
+                 }
+             } elsif (($resurl =~ m{^/adm/wrapper/ext/}) && ($env{'form.folderpath'} =~ /^supplemental/)) {
+                 $incourse = 1;
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = $resurl;
+             } elsif (($resurl =~ m{^/adm/wrapper/adm/$cdom/$cnum/\d+/ext\.tool$}) && ($env{'form.folderpath'} =~ /^supplemental/)) {
+                 $incourse = 1;
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = $resurl;
+             } elsif (($resurl eq '/adm/extresedit') && ($symb || $env{'form.folderpath'})) {
+                 $incourse = 1;
+                 $forceview = 1;
+                 if ($symb) {
+                     my ($map,$id,$res)=&decode_symb($symb);
+                     $env{'request.symb'} = $symb;
+                     $cfile = &clutter($res);
+                 } else {
+                     $cfile = $env{'form.suppurl'};
+                     my $escfile = &unescape($cfile);
+                     if ($escfile =~ m{^/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                         $cfile = '/adm/wrapper'.$escfile;
+                     } else {
+                         $escfile =~ s{^http://}{};
+                         $cfile = &escape("/adm/wrapper/ext/$escfile");
+                     }
+                 }
+             } elsif ($resurl =~ m{^/?adm/viewclasslist$}) {
+                 if ($env{'form.forceedit'}) {
+                     $forceview = 1;
+                 } else {
+                     $forceedit = 1;
+                 }
+                 $cfile = ($resurl =~ m{^/} ? $resurl : "/$resurl");
+             }
+         }
+         if ($uploaded || $incourse) {
+             $home=&homeserver($cnum,$cdom);
+         } elsif ($file !~ m{/$}) {
+             $file=~s{^(priv/$match_domain/$match_username)}{/$1};
+             $file=~s{^($match_domain/$match_username)}{/priv/$1};
+             # Check that the user has permission to edit this resource
+             my $setpriv = 1;
+             my ($cfuname,$cfudom)=&constructaccess($file,$setpriv);
+             if (defined($cfudom)) {
+                 $home=&homeserver($cfuname,$cfudom);
+                 $cfile=$file;
+             }
+         }
+         if (($cfile ne '') && (!$incourse || $uploaded) &&
+             (($home ne '') && ($home ne 'no_host'))) {
+             my @ids=&current_machine_ids();
+             unless (grep(/^\Q$home\E$/,@ids)) {
+                 $switchserver=1;
+             }
+         }
+     }
+     return ($cfile,$home,$switchserver,$forceedit,$forceview);
+ }
+ sub is_course_upload {
+     my ($file,$cnum,$cdom) = @_;
+     my $uploadpath = &LONCAPA::propath($cdom,$cnum);
+     $uploadpath =~ s{^\/}{};
+     if (($file =~ m{^\Q$uploadpath\E/userfiles/(docs|supplemental)/}) ||
+         ($file =~ m{^userfiles/\Q$cdom\E/\Q$cnum\E/(docs|supplemental)/})) {
+         return 1;
+     }
+     return;
+ }
+ sub in_course {
+     my ($udom,$uname,$cdom,$cnum,$type,$hideprivileged) = @_;
+     if ($hideprivileged) {
+         my $skipuser;
+         my %coursehash = &coursedescription($cdom.'_'.$cnum);
+         my @possdoms = ($cdom);
+         if ($coursehash{'checkforpriv'}) {
+             push(@possdoms,split(/,/,$coursehash{'checkforpriv'}));
+         }
+         if (&privileged($uname,$udom,\@possdoms)) {
+             $skipuser = 1;
+             if ($coursehash{'nothideprivileged'}) {
+                 foreach my $item (split(/\s*\,\s*/,$coursehash{'nothideprivileged'})) {
+                     my $user;
+                     if ($item =~ /:/) {
+                         $user = $item;
+                     } else {
+                         $user = join(':',split(/[\@]/,$item));
+                     }
+                     if ($user eq $uname.':'.$udom) {
+                         undef($skipuser);
+                         last;
+                     }
+                 }
+             }
+             if ($skipuser) {
+                 return 0;
+             }
+         }
+     }
+     $type ||= 'any';
+     if (!defined($cdom) || !defined($cnum)) {
+         my $cid  = $env{'request.course.id'};
+         $cdom = $env{'course.'.$cid.'.domain'};
+         $cnum = $env{'course.'.$cid.'.num'};
+     }
+     my $typesref;
+     if (($type eq 'any') || ($type eq 'all')) {
+         $typesref = ['active','previous','future'];
+     } elsif ($type eq 'previous' || $type eq 'future') {
+         $typesref = [$type];
+     }
+     my %roles = &get_my_roles($uname,$udom,'userroles',
+                               $typesref,undef,[$cdom]);
+     my ($tmp) = keys(%roles);
+     return 0 if ($tmp =~ /^(con_lost|error|no_such_host)/i);
+     my @course_roles = grep(/^\Q$cnum\E:\Q$cdom\E:/, keys(%roles));
+     if (@course_roles > 0) {
+         return 1;
+     }
+     return 0;
  }
  # --------- File operations in /home/httpd/html/userfiles/$domain/1/2/3/$course
- Line 1436  sub allowuploaded {
+ Line 4233  sub allowuploaded {
  #        path to file, source of file, instruction to parse file for objects,
  #        ref to hash for embedded objects,
  #        ref to hash for codebase of java objects.
+ #        reference to scalar to accommodate mime type determined
+ #          from File::MMagic if $parser = parse.
  #
  # output: url to file (if action was uploaddoc),
  #         ok if successful, or diagnostic message otherwise (if action was propagate or copy)
- Line 1462  sub allowuploaded {
+ Line 4261  sub allowuploaded {
  #
  sub process_coursefile {
-     my ($action,$docuname,$docudom,$file,$source,$parser,$allfiles,$codebase)=@_;
+     my ($action,$docuname,$docudom,$file,$source,$parser,$allfiles,$codebase,
+         $mimetype)=@_;
      my $fetchresult;
      my $home=&homeserver($docuname,$docudom);
      if ($action eq 'propagate') {
- Line 1485  sub process_coursefile {
+ Line 4285  sub process_coursefile {
                                   $home);
              }
          } elsif ($action eq 'uploaddoc') {
-             open(my $fh,'>'.$filepath.'/'.$fname);
+             open(my $fh,'>',$filepath.'/'.$fname);
              print $fh $env{'form.'.$source};
              close($fh);
              if ($parser eq 'parse') {
-                 my $parse_result = &extract_embedded_items($filepath,$fname,$allfiles,$codebase);
+                 my $mm = new File::MMagic;
-                 unless ($parse_result eq 'ok') {
+                 my $type = $mm->checktype_filename($filepath.'/'.$fname);
-                     &logthis('Failed to parse '.$filepath.'/'.$fname.' for embedded media: '.$parse_result);
+                 if ($type eq 'text/html') {
+                     my $parse_result = &extract_embedded_items($filepath.'/'.$fname,$allfiles,$codebase);
+                     unless ($parse_result eq 'ok') {
+                         &logthis('Failed to parse '.$filepath.'/'.$fname.' for embedded media: '.$parse_result);
+                     }
                  }
+                 if (ref($mimetype)) {
+                     $$mimetype = $type;
+                 }
              }
              $fetchresult= &reply('fetchuserfile:'.$docudom.'/'.$docuname.'/'.$file,
                                   $home);
- Line 1536  sub store_edited_file {
+ Line 4343  sub store_edited_file {
      ($fpath,$fname) = ($file =~ m|^(.*)/([^/]+)$|);
      $fpath=$docudom.'/'.$docuname.'/'.$fpath;
      my $filepath = &build_filepath($fpath);
-     open(my $fh,'>'.$filepath.'/'.$fname);
+     open(my $fh,'>',$filepath.'/'.$fname);
      print $fh $content;
      close($fh);
      my $home=&homeserver($docuname,$docudom);
- Line 1561  sub clean_filename {
+ Line 4368  sub clean_filename {
      }
  # Replace spaces by underscores
      $fname=~s/\s+/\_/g;
+ # Transliterate non-ascii text to ascii
+     my $lang = &Apache::lonlocal::current_language();
+     $fname = &LONCAPA::transliterate::fname_to_ascii($fname,$lang);
  # Replace all other weird characters by nothing
      $fname=~s{[^/\w\.\-]}{}g;
  # Replace all .\d. sequences with _\d. so they no longer look like version
  # numbers
      $fname=~s/\.(\d+)(?=\.)/_$1/g;
+ # Replace three or more adjacent underscores with one for consistency
+ # with loncfile::filename_check() so complete url can be extracted by
+ # lonnet::decode_symb()
+     $fname=~s/_{3,}/_/g;
      return $fname;
  }
+ # This Function checks if an Image's dimensions exceed either $resizewidth (width)
+ # or $resizeheight (height) - both pixels. If so, the image is scaled to produce an
+ # image with the same aspect ratio as the original, but with dimensions which do
+ # not exceed $resizewidth and $resizeheight.
+ sub resizeImage {
+     my ($img_path,$resizewidth,$resizeheight) = @_;
+     my $ima = Image::Magick->new;
+     my $resized;
+     if (-e $img_path) {
+         $ima->Read($img_path);
+         if (($resizewidth =~ /^\d+$/) && ($resizeheight > 0)) {
+             my $width = $ima->Get('width');
+             my $height = $ima->Get('height');
+             if ($width > $resizewidth) {
+ 	        my $factor = $width/$resizewidth;
+                 my $newheight = $height/$factor;
+                 $ima->Scale(width=>$resizewidth,height=>$newheight);
+                 $resized = 1;
+             }
+         }
+         if (($resizeheight =~ /^\d+$/) && ($resizeheight > 0)) {
+             my $width = $ima->Get('width');
+             my $height = $ima->Get('height');
+             if ($height > $resizeheight) {
+                 my $factor = $height/$resizeheight;
+                 my $newwidth = $width/$factor;
+                 $ima->Scale(width=>$newwidth,height=>$resizeheight);
+                 $resized = 1;
+             }
+         }
+         if ($resized) {
+             $ima->Write($img_path);
+         }
+     }
+     return;
+ }
  # --------------- Take an uploaded file and put it into the userfiles directory
  # input: $formname - the contents of the file are in $env{"form.$formname"}
- #                    the desired filenam is in $env{"form.$formname.filename"}
+ #                    the desired filename is in $env{"form.$formname.filename"}
- #        $coursedoc - if true up to the current course
+ #        $context - possible values: coursedoc, existingfile, overwrite,
- #                     if false
+ #                                    canceloverwrite, scantron, toollogo  or ''.
+ #                   if 'coursedoc': upload to the current course
+ #                   if 'existingfile': write file to tmp/overwrites directory
+ #                   if 'canceloverwrite': delete file written to tmp/overwrites directory
+ #                   $context is passed as argument to &finishuserfileupload
  #        $subdir - directory in userfile to store the file into
- #        $parser - instruction to parse file for objects ($parser = parse)
+ #        $parser - instruction to parse file for objects ($parser = parse) or
+ #                  if context is 'scantron', $parser is hashref of csv column mapping
+ #                  (e.g.,{ PaperID => 0, LastName => 1, FirstName => 2, ID => 3,
+ #                          Section => 4, CODE => 5, FirstQuestion => 9 }).
  #        $allfiles - reference to hash for embedded objects
  #        $codebase - reference to hash for codebase of java objects
- #        $desuname - username for permanent storage of uploaded file
+ #        $destuname - username for permanent storage of uploaded file
- #        $dsetudom - domain for permanaent storage of uploaded file
+ #        $destudom - domain for permanaent storage of uploaded file
  #        $thumbwidth - width (pixels) of thumbnail to make for uploaded image
  #        $thumbheight - height (pixels) of thumbnail to make for uploaded image
+ #        $resizewidth - width (pixels) to which to resize uploaded image
+ #        $resizeheight - height (pixels) to which to resize uploaded image
+ #        $mimetype - reference to scalar to accommodate mime type determined
+ #                    from File::MMagic.
  #
  # output: url of file in userspace, or error: <message>
  #             or /adm/notfound.html if failure to upload occurse
  sub userfileupload {
-     my ($formname,$coursedoc,$subdir,$parser,$allfiles,$codebase,$destuname,
+     my ($formname,$context,$subdir,$parser,$allfiles,$codebase,$destuname,
-         $destudom,$thumbwidth,$thumbheight)=@_;
+         $destudom,$thumbwidth,$thumbheight,$resizewidth,$resizeheight,$mimetype)=@_;
      if (!defined($subdir)) { $subdir='unknown'; }
      my $fname=$env{'form.'.$formname.'.filename'};
      $fname=&clean_filename($fname);
- # See if there is anything left
+     # See if there is anything left
      unless ($fname) { return 'error: no uploaded file'; }
-     chop($env{'form.'.$formname});
+     # If filename now begins with a . prepend unix timestamp _ milliseconds
-     if (($formname eq 'screenshot') && ($subdir eq 'helprequests')) { #files uploaded to help request form are handled differently
+     if ($fname =~ /^\./) {
+         my ($s,$usec) = &gettimeofday();
+         while (length($usec) < 6) {
+             $usec = '0'.$usec;
+         }
+         $fname = $s.'_'.substr($usec,0,3).$fname;
+     }
+     # Files uploaded to help request form, or uploaded to "create course" page are handled differently
+     if ((($formname eq 'screenshot') && ($subdir eq 'helprequests')) ||
+         (($formname eq 'coursecreatorxml') && ($subdir eq 'batchupload')) ||
+          ($context eq 'existingfile') || ($context eq 'canceloverwrite')) {
          my $now = time;
-         my $filepath = 'tmp/helprequests/'.$now;
+         my $filepath;
-         my @parts=split(/\//,$filepath);
+         if (($formname eq 'screenshot') && ($subdir eq 'helprequests')) {
-         my $fullpath = $perlvar{'lonDaemons'};
+              $filepath = 'tmp/helprequests/'.$now;
-         for (my $i=0;$i<@parts;$i++) {
+         } elsif (($formname eq 'coursecreatorxml') && ($subdir eq 'batchupload')) {
-             $fullpath .= '/'.$parts[$i];
+              $filepath = 'tmp/addcourse/'.$destudom.'/web/'.$env{'user.name'}.
-             if ((-e $fullpath)!=1) {
+                          '_'.$env{'user.domain'}.'/pending';
-                 mkdir($fullpath,0777);
+         } elsif (($context eq 'existingfile') || ($context eq 'canceloverwrite')) {
+             my ($docuname,$docudom);
+             if ($destudom =~ /^$match_domain$/) {
+                 $docudom = $destudom;
+             } else {
+                 $docudom = $env{'user.domain'};
+             }
+             if ($destuname =~ /^$match_username$/) {
+                 $docuname = $destuname;
+             } else {
+                 $docuname = $env{'user.name'};
+             }
+             if (exists($env{'form.group'})) {
+                 $docuname=$env{'course.'.$env{'request.course.id'}.'.num'};
+                 $docudom=$env{'course.'.$env{'request.course.id'}.'.domain'};
+             }
+             $filepath = 'tmp/overwrites/'.$docudom.'/'.$docuname.'/'.$subdir;
+             if ($context eq 'canceloverwrite') {
+                 my $tempfile =  $perlvar{'lonDaemons'}.'/'.$filepath.'/'.$fname;
+                 if (-e  $tempfile) {
+                     my @info = stat($tempfile);
+                     if ($info[9] eq $env{'form.timestamp'}) {
+                         unlink($tempfile);
+                     }
+                 }
+                 return;
              }
          }
-         open(my $fh,'>'.$fullpath.'/'.$fname);
+         # Create the directory if not present
-         print $fh $env{'form.'.$formname};
-         close($fh);
-         return $fullpath.'/'.$fname;
-     } elsif (($formname eq 'coursecreatorxml') && ($subdir eq 'batchupload')) { #files uploaded to create course page are handled differently
-         my $filepath = 'tmp/addcourse/'.$destudom.'/web/'.$env{'user.name'}.
-                        '_'.$env{'user.domain'}.'/pending';
          my @parts=split(/\//,$filepath);
          my $fullpath = $perlvar{'lonDaemons'};
          for (my $i=0;$i<@parts;$i++) {
- Line 1622  sub userfileupload {
+ Line 4513  sub userfileupload {
                  mkdir($fullpath,0777);
              }
          }
-         open(my $fh,'>'.$fullpath.'/'.$fname);
+         open(my $fh,'>',$fullpath.'/'.$fname);
          print $fh $env{'form.'.$formname};
          close($fh);
-         return $fullpath.'/'.$fname;
+         if ($context eq 'existingfile') {
+             my @info = stat($fullpath.'/'.$fname);
+             return ($fullpath.'/'.$fname,$info[9]);
+         } else {
+             return $fullpath.'/'.$fname;
+         }
      }
+     if ($subdir eq 'scantron') {
- # Create the directory if not present
+         $fname = 'scantron_orig_'.$fname;
-     $fname="$subdir/$fname";
+     } else {
-     if ($coursedoc) {
+         $fname="$subdir/$fname";
+     }
+     if ($context eq 'coursedoc') {
  	my $docuname=$env{'course.'.$env{'request.course.id'}.'.num'};
  	my $docudom=$env{'course.'.$env{'request.course.id'}.'.domain'};
          if ($env{'form.folder'} =~ m/^(default|supplemental)/) {
              return &finishuserfileupload($docuname,$docudom,
  					 $formname,$fname,$parser,$allfiles,
- 					 $codebase,$thumbwidth,$thumbheight);
+ 					 $codebase,$thumbwidth,$thumbheight,
+                                          $resizewidth,$resizeheight,$context,$mimetype);
          } else {
-             $fname=$env{'form.folder'}.'/'.$fname;
+             if ($env{'form.folder'}) {
+                 $fname=$env{'form.folder'}.'/'.$fname;
+             }
              return &process_coursefile('uploaddoc',$docuname,$docudom,
  				       $fname,$formname,$parser,
- 				       $allfiles,$codebase);
+ 				       $allfiles,$codebase,$mimetype);
          }
      } elsif (defined($destuname)) {
          my $docuname=$destuname;
          my $docudom=$destudom;
  	return &finishuserfileupload($docuname,$docudom,$formname,$fname,
  				     $parser,$allfiles,$codebase,
-                                      $thumbwidth,$thumbheight);
+                                      $thumbwidth,$thumbheight,
+                                      $resizewidth,$resizeheight,$context,$mimetype);
      } else {
          my $docuname=$env{'user.name'};
          my $docudom=$env{'user.domain'};
-         if (exists($env{'form.group'})) {
+         if ((exists($env{'form.group'})) || ($context eq 'syllabus')) {
              $docuname=$env{'course.'.$env{'request.course.id'}.'.num'};
              $docudom=$env{'course.'.$env{'request.course.id'}.'.domain'};
          }
  	return &finishuserfileupload($docuname,$docudom,$formname,$fname,
  				     $parser,$allfiles,$codebase,
-                                      $thumbwidth,$thumbheight);
+                                      $thumbwidth,$thumbheight,
+                                      $resizewidth,$resizeheight,$context,$mimetype);
      }
  }
  sub finishuserfileupload {
      my ($docuname,$docudom,$formname,$fname,$parser,$allfiles,$codebase,
-         $thumbwidth,$thumbheight) = @_;
+         $thumbwidth,$thumbheight,$resizewidth,$resizeheight,$context,$mimetype) = @_;
      my $path=$docudom.'/'.$docuname.'/';
      my $filepath=$perlvar{'lonDocRoot'};
      my ($fnamepath,$file,$fetchthumb);
      $file=$fname;
      if ($fname=~m|/|) {
- Line 1682  sub finishuserfileupload {
+ Line 4585  sub finishuserfileupload {
  	    mkdir($filepath,0777);
          }
      }
  # Save the file
      {
- 	if (!open(FH,'>'.$filepath.'/'.$file)) {
+ 	if (!open(FH,'>',$filepath.'/'.$file)) {
  	    &logthis('Failed to create '.$filepath.'/'.$file);
  	    print STDERR ('Failed to create '.$filepath.'/'.$file."\n");
  	    return '/adm/notfound.html';
  	}
- 	if (!print FH ($env{'form.'.$formname})) {
+         if ($context eq 'overwrite') {
+             my $source =  LONCAPA::tempdir().'/overwrites/'.$docudom.'/'.$docuname.'/'.$fname;
+             my $target = $filepath.'/'.$file;
+             if (-e $source) {
+                 my @info = stat($source);
+                 if ($info[9] eq $env{'form.timestamp'}) {
+                     unless (&File::Copy::move($source,$target)) {
+                         &logthis('Failed to overwrite '.$filepath.'/'.$file);
+                         return "Moving from $source failed";
+                     }
+                 } else {
+                     return "Temporary file: $source had unexpected date/time for last modification";
+                 }
+             } else {
+                 return "Temporary file: $source missing";
+             }
+         } elsif (!print FH ($env{'form.'.$formname})) {
  	    &logthis('Failed to write to '.$filepath.'/'.$file);
  	    print STDERR ('Failed to write to '.$filepath.'/'.$file."\n");
  	    return '/adm/notfound.html';
  	}
  	close(FH);
+         if ($resizewidth && $resizeheight) {
+             my $mm = new File::MMagic;
+             my $mime_type = $mm->checktype_filename($filepath.'/'.$file);
+             if ($mime_type =~ m{^image/}) {
+ 	        &resizeImage($filepath.'/'.$file,$resizewidth,$resizeheight);
+             }
+ 	}
+     }
+     if (($context eq 'coursedoc') || ($parser eq 'parse')) {
+         if (ref($mimetype)) {
+             if ($$mimetype eq '') {
+                 my $mm = new File::MMagic;
+                 my $type = $mm->checktype_filename($filepath.'/'.$file);
+                 $$mimetype = $type;
+             }
+         }
      }
-     if ($parser eq 'parse') {
+     if (($context ne 'scantron') && ($parser eq 'parse')) {
-         my $parse_result = &extract_embedded_items($filepath,$file,$allfiles,
+         if ((ref($mimetype)) && ($$mimetype eq 'text/html')) {
- 						   $codebase);
+             my $parse_result = &extract_embedded_items($filepath.'/'.$file,
-         unless ($parse_result eq 'ok') {
+                                                        $allfiles,$codebase);
-             &logthis('Failed to parse '.$filepath.$file.
+             unless ($parse_result eq 'ok') {
- 		     ' for embedded media: '.$parse_result);
+                 &logthis('Failed to parse '.$filepath.$file.
+ 	   	         ' for embedded media: '.$parse_result);
+             }
          }
+     } elsif (($context eq 'scantron') && (ref($parser) eq 'HASH')) {
+         my $format = $env{'form.scantron_format'};
+         &bubblesheet_converter($docudom,$filepath.'/'.$file,$parser,$format);
      }
      if (($thumbwidth =~ /^\d+$/) && ($thumbheight =~ /^\d+$/)) {
          my $input = $filepath.'/'.$file;
          my $output = $filepath.'/'.'tn-'.$file;
+         my $makethumb;
          my $thumbsize = $thumbwidth.'x'.$thumbheight;
-         system("convert -sample $thumbsize $input $output");
+         if ($context eq 'toollogo') {
-         if (-e $filepath.'/'.'tn-'.$file) {
+             my ($fullwidth,$fullheight) = &check_dimensions($input);
-             $fetchthumb  = 1;
+             if ($fullwidth ne '' && $fullheight ne '') {
+                 if ($fullwidth > $thumbwidth && $fullheight > $thumbheight) {
+                     $makethumb = 1;
+                 }
+             }
+         } else {
+             $makethumb = 1;
+         }
+         if ($makethumb) {
+             my @args = ('convert','-sample',$thumbsize,$input,$output);
+             system({$args[0]} @args);
+             if (-e $filepath.'/'.'tn-'.$file) {
+                 $fetchthumb  = 1;
+             }
          }
      }
  # Notify homeserver to grep it
  #
      my $docuhome=&homeserver($docuname,$docudom);
      my $fetchresult= &reply('fetchuserfile:'.$path.$file,$docuhome);
      if ($fetchresult eq 'ok') {
          if ($fetchthumb) {
- Line 1737  sub finishuserfileupload {
+ Line 4692  sub finishuserfileupload {
  }
  sub extract_embedded_items {
-     my ($filepath,$file,$allfiles,$codebase,$content) = @_;
+     my ($fullpath,$allfiles,$codebase,$content) = @_;
      my @state = ();
+     my (%lastids,%related,%shockwave,%flashvars);
      my %javafiles = (
                        codebase => '',
                        code => '',
- Line 1752  sub extract_embedded_items {
+ Line 4708  sub extract_embedded_items {
      if ($content) {
          $p = HTML::LCParser->new($content);
      } else {
-         $p = HTML::LCParser->new($filepath.'/'.$file);
+         $p = HTML::LCParser->new($fullpath);
      }
      while (my $t=$p->get_token()) {
  	if ($t->[0] eq 'S') {
- Line 1765  sub extract_embedded_items {
+ Line 4721  sub extract_embedded_items {
  		&add_filetype($allfiles,$attr->{'src'},'src');
  	    }
  	    if (lc($tagname) eq 'a') {
- 		&add_filetype($allfiles,$attr->{'href'},'href');
+                 unless (($attr->{'href'} =~ /^#/) || ($attr->{'href'} eq '')) {
+                     &add_filetype($allfiles,$attr->{'href'},'href');
+                 }
  	    }
              if (lc($tagname) eq 'script') {
+                 my $src;
                  if ($attr->{'archive'} =~ /\.jar$/i) {
                      &add_filetype($allfiles,$attr->{'archive'},'archive');
                  } else {
-                     &add_filetype($allfiles,$attr->{'src'},'src');
+                     if ($attr->{'src'} ne '') {
+                         $src = $attr->{'src'};
+                         &add_filetype($allfiles,$src,'src');
+                     }
+                 }
+                 my $text = $p->get_trimmed_text();
+                 if ($text =~ /\Qswfobject.registerObject(\E([^\)]+)\)/) {
+                     my @swfargs = split(/,/,$1);
+                     foreach my $item (@swfargs) {
+                         $item =~ s/["']//g;
+                         $item =~ s/^\s+//;
+                         $item =~ s/\s+$//;
+                     }
+                     if (($swfargs[0] ne'') && ($swfargs[2] ne '')) {
+                         if (ref($related{$swfargs[0]}) eq 'ARRAY') {
+                             push(@{$related{$swfargs[0]}},$swfargs[2]);
+                         } else {
+                             $related{$swfargs[0]} = [$swfargs[2]];
+                         }
+                     }
                  }
              }
              if (lc($tagname) eq 'link') {
- Line 1784  sub extract_embedded_items {
+ Line 4762  sub extract_embedded_items {
  		foreach my $item (keys(%javafiles)) {
  		    $javafiles{$item} = '';
  		}
+                 if ((lc($tagname) eq 'object') && (lc($state[-2]) ne 'object')) {
+                     $lastids{lc($tagname)} = $attr->{'id'};
+                 }
  	    }
  	    if (lc($state[-2]) eq 'object' && lc($tagname) eq 'param') {
  		my $name = lc($attr->{'name'});
- Line 1793  sub extract_embedded_items {
+ Line 4774  sub extract_embedded_items {
  			last;
  		    }
  		}
+                 my $pathfrom;
  		foreach my $item (keys(%mediafiles)) {
  		    if ($name eq $item) {
- 			&add_filetype($allfiles, $attr->{'value'}, 'value');
+                         $pathfrom = $attr->{'value'};
+                         $shockwave{$lastids{lc($state[-2])}} = $pathfrom;
+ 			&add_filetype($allfiles,$pathfrom,$name);
  			last;
  		    }
  		}
+                 if ($name eq 'flashvars') {
+                     $flashvars{$lastids{lc($state[-2])}} = $attr->{'value'};
+                 }
+                 if ($pathfrom ne '') {
+                     &embedded_dependency($allfiles,\%related,$lastids{lc($state[-2])},
+                                          $pathfrom);
+                 }
  	    }
  	    if (lc($tagname) eq 'embed' || lc($tagname) eq 'applet') {
  		foreach my $item (keys(%javafiles)) {
- Line 1813  sub extract_embedded_items {
+ Line 4804  sub extract_embedded_items {
  			last;
  		    }
  		}
+                 if (lc($tagname) eq 'embed') {
+                     if (($attr->{'name'} ne '') && ($attr->{'src'} ne '')) {
+                         &embedded_dependency($allfiles,\%related,$attr->{'name'},
+                                              $attr->{'src'});
+                     }
+                 }
  	    }
+             if (lc($tagname) eq 'iframe') {
+                 my $src = $attr->{'src'} ;
+                 if (($src ne '') && ($src !~ m{^(/|https?://)})) {
+                     &add_filetype($allfiles,$src,'src');
+                 } elsif ($src =~ m{^/}) {
+                     if ($env{'request.course.id'}) {
+                         my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+                         my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+                         my $url = &hreflocation('',$fullpath);
+                         if ($url =~ m{^/uploaded/$cdom/$cnum/docs/(\w+/\d+)/}) {
+                             my $relpath = $1;
+                             if ($src =~ m{^/uploaded/$cdom/$cnum/docs/\Q$relpath\E/(.+)$}) {
+                                 &add_filetype($allfiles,$1,'src');
+                             }
+                         }
+                     }
+                 }
+             }
+             if ($t->[4] =~ m{/>$}) {
+                 pop(@state);
+             }
  	} elsif ($t->[0] eq 'E') {
  	    my ($tagname) = ($t->[1]);
  	    if ($javafiles{'codebase'} ne '') {
- Line 1833  sub extract_embedded_items {
+ Line 4851  sub extract_embedded_items {
  	    pop @state;
  	}
      }
+     foreach my $id (sort(keys(%flashvars))) {
+         if ($shockwave{$id} ne '') {
+             my @pairs = split(/\&/,$flashvars{$id});
+             foreach my $pair (@pairs) {
+                 my ($key,$value) = split(/\=/,$pair);
+                 if ($key eq 'thumb') {
+                     &add_filetype($allfiles,$value,$key);
+                 } elsif ($key eq 'content') {
+                     my ($path) = ($shockwave{$id} =~ m{^(.+/)[^/]+$});
+                     my ($ext) = ($value =~ /\.([^.]+)$/);
+                     if ($ext ne '') {
+                         &add_filetype($allfiles,$path.$value,$ext);
+                     }
+                 }
+             }
+         }
+     }
      return 'ok';
  }
- Line 1847  sub add_filetype {
+ Line 4882  sub add_filetype {
      }
  }
+ sub embedded_dependency {
+     my ($allfiles,$related,$identifier,$pathfrom) = @_;
+     if ((ref($allfiles) eq 'HASH') && (ref($related) eq 'HASH')) {
+         if (($identifier ne '') &&
+             (ref($related->{$identifier}) eq 'ARRAY') &&
+             ($pathfrom ne '')) {
+             my ($path) = ($pathfrom =~ m{^(.+/)[^/]+$});
+             foreach my $dep (@{$related->{$identifier}}) {
+                 &add_filetype($allfiles,$path.$dep,'object');
+             }
+         }
+     }
+     return;
+ }
+ sub check_dimensions {
+     my ($inputfile) = @_;
+     my ($fullwidth,$fullheight);
+     if (($inputfile =~ m|^[/\w.\-]+$|) && (-e $inputfile)) {
+         my $mm = new File::MMagic;
+         my $mime_type = $mm->checktype_filename($inputfile);
+         if ($mime_type =~ m{^image/}) {
+             if (open(PIPE,"identify $inputfile 2>&1 |")) {
+                 my $imageinfo = <PIPE>;
+                 if (!close(PIPE)) {
+                     &Apache::lonnet::logthis("Failed to close PIPE opened to retrieve image information for $inputfile");
+                 }
+                 chomp($imageinfo);
+                 my ($fullsize) =
+                     ($imageinfo =~ /^\Q$inputfile\E\s+\w+\s+(\d+x\d+)/);
+                 if ($fullsize) {
+                     ($fullwidth,$fullheight) = split(/x/,$fullsize);
+                 }
+             }
+         }
+     }
+     return ($fullwidth,$fullheight);
+ }
+ sub bubblesheet_converter {
+     my ($cdom,$fullpath,$config,$format) = @_;
+     if ((&domain($cdom) ne '') &&
+         ($fullpath =~ m{^\Q$perlvar{'lonDocRoot'}/userfiles/$cdom/\E$match_courseid/scantron_orig}) &&
+         (-e $fullpath) && (ref($config) eq 'HASH') && ($format ne '')) {
+         my (%csvcols,%csvoptions);
+         if (ref($config->{'fields'}) eq 'HASH') {
+             %csvcols = %{$config->{'fields'}};
+         }
+         if (ref($config->{'options'}) eq 'HASH') {
+             %csvoptions = %{$config->{'options'}};
+         }
+         my %csvbynum = reverse(%csvcols);
+         my %scantronconf = &get_scantron_config($format,$cdom);
+         if (keys(%scantronconf)) {
+             my %bynum = (
+                           $scantronconf{CODEstart} => 'CODEstart',
+                           $scantronconf{IDstart}   => 'IDstart',
+                           $scantronconf{PaperID}   => 'PaperID',
+                           $scantronconf{FirstName} => 'FirstName',
+                           $scantronconf{LastName}  => 'LastName',
+                           $scantronconf{Qstart}    => 'Qstart',
+                         );
+             my @ordered;
+             foreach my $item (sort { $a <=> $b } keys(%bynum)) {
+                 push(@ordered,$bynum{$item});
+             }
+             my %mapstart = (
+                               CODEstart => 'CODE',
+                               IDstart   => 'ID',
+                               PaperID   => 'PaperID',
+                               FirstName => 'FirstName',
+                               LastName  => 'LastName',
+                               Qstart    => 'FirstQuestion',
+                            );
+             my %maplength = (
+                               CODEstart => 'CODElength',
+                               IDstart   => 'IDlength',
+                               PaperID   => 'PaperIDlength',
+                               FirstName => 'FirstNamelength',
+                               LastName  => 'LastNamelength',
+             );
+             if (open(my $fh,'<',$fullpath)) {
+                 my $output;
+                 my %lettdig = &letter_to_digits();
+                 my %diglett = reverse(%lettdig);
+                 my $numletts = scalar(keys(%lettdig));
+                 my $num = 0;
+                 while (my $line=<$fh>) {
+                     $num ++;
+                     next if (($num == 1) && ($csvoptions{'hdr'} == 1));
+                     $line =~ s{[\r\n]+$}{};
+                     my %found;
+                     my @values = split(/,/,$line,-1);
+                     my ($qstart,$record);
+                     for (my $i=0; $i<@values; $i++) {
+                         if ((($qstart ne '') && ($i > $qstart)) ||
+                             ($csvbynum{$i} eq 'FirstQuestion')) {
+                             if ($values[$i] eq '') {
+                                 $values[$i] = $scantronconf{'Qoff'};
+                             } elsif ($scantronconf{'Qon'} eq 'number') {
+                                 if ($values[$i] =~ /^[A-Ja-j]$/) {
+                                     $values[$i] = $lettdig{uc($values[$i])};
+                                 }
+                             } elsif ($scantronconf{'Qon'} eq 'letter') {
+                                 if ($values[$i] =~ /^[0-9]$/) {
+                                     $values[$i] = $diglett{$values[$i]};
+                                 }
+                             } else {
+                                 if ($values[$i] =~ /^[0-9A-Ja-j]$/) {
+                                     my $digit;
+                                     if ($values[$i] =~ /^[A-Ja-j]$/) {
+                                         $digit = $lettdig{uc($values[$i])}-1;
+                                         if ($values[$i] eq 'J') {
+                                             $digit += $numletts;
+                                         }
+                                     } elsif ($values[$i] =~ /^[0-9]$/) {
+                                         $digit = $values[$i]-1;
+                                         if ($values[$i] eq '0') {
+                                             $digit += $numletts;
+                                         }
+                                     }
+                                     my $qval='';
+                                     for (my $j=0; $j<$scantronconf{'Qlength'}; $j++) {
+                                         if ($j == $digit) {
+                                             $qval .= $scantronconf{'Qon'};
+                                         } else {
+                                             $qval .= $scantronconf{'Qoff'};
+                                         }
+                                     }
+                                     $values[$i] = $qval;
+                                 }
+                             }
+                             if (length($values[$i]) > $scantronconf{'Qlength'}) {
+                                 $values[$i] = substr($values[$i],0,$scantronconf{'Qlength'});
+                             }
+                             my $numblank = $scantronconf{'Qlength'} - length($values[$i]);
+                             if ($numblank > 0) {
+                                  $values[$i] .= ($scantronconf{'Qoff'} x $numblank);
+                             }
+                             if ($csvbynum{$i} eq 'FirstQuestion') {
+                                 $qstart = $i;
+                                 $found{$csvbynum{$i}} = $values[$i];
+                             } else {
+                                 $found{'FirstQuestion'} .= $values[$i];
+                             }
+                         } elsif (exists($csvbynum{$i})) {
+                             if ($csvoptions{'rem'}) {
+                                 $values[$i] =~ s/^\s+//;
+                             }
+                             if (($csvbynum{$i} eq 'PaperID') && ($csvoptions{'pad'})) {
+                                 while (length($values[$i]) < $scantronconf{$maplength{$csvbynum{$i}}}) {
+                                     $values[$i] = '0'.$values[$i];
+                                 }
+                             }
+                             $found{$csvbynum{$i}} = $values[$i];
+                         }
+                     }
+                     foreach my $item (@ordered) {
+                         my $currlength = 1+length($record);
+                         my $numspaces = $scantronconf{$item} - $currlength;
+                         if ($numspaces > 0) {
+                             $record .= (' ' x $numspaces);
+                         }
+                         if (($mapstart{$item} ne '') && (exists($found{$mapstart{$item}}))) {
+                             unless ($item eq 'Qstart') {
+                                 if (length($found{$mapstart{$item}}) > $scantronconf{$maplength{$item}}) {
+                                     $found{$mapstart{$item}} = substr($found{$mapstart{$item}},0,$scantronconf{$maplength{$item}});
+                                 }
+                             }
+                             $record .= $found{$mapstart{$item}};
+                         }
+                     }
+                     $output .= "$record\n";
+                 }
+                 close($fh);
+                 if ($output) {
+                     if (open(my $fh,'>',$fullpath)) {
+                         print $fh $output;
+                         close($fh);
+                     }
+                 }
+             }
+         }
+         return;
+     }
+ }
+ sub letter_to_digits {
+     my %lettdig = (
+                     A => 1,
+                     B => 2,
+                     C => 3,
+                     D => 4,
+                     E => 5,
+                     F => 6,
+                     G => 7,
+                     H => 8,
+                     I => 9,
+                     J => 0,
+                   );
+     return %lettdig;
+ }
+ sub get_scantron_config {
+     my ($which,$cdom) = @_;
+     my @lines = &get_scantronformat_file($cdom);
+     my %config;
+     #FIXME probably should move to XML it has already gotten a bit much now
+     foreach my $line (@lines) {
+         my ($name,$descrip)=split(/:/,$line);
+         if ($name ne $which ) { next; }
+         chomp($line);
+         my @config=split(/:/,$line);
+         $config{'name'}=$config[0];
+         $config{'description'}=$config[1];
+         $config{'CODElocation'}=$config[2];
+         $config{'CODEstart'}=$config[3];
+         $config{'CODElength'}=$config[4];
+         $config{'IDstart'}=$config[5];
+         $config{'IDlength'}=$config[6];
+         $config{'Qstart'}=$config[7];
+         $config{'Qlength'}=$config[8];
+         $config{'Qoff'}=$config[9];
+         $config{'Qon'}=$config[10];
+         $config{'PaperID'}=$config[11];
+         $config{'PaperIDlength'}=$config[12];
+         $config{'FirstName'}=$config[13];
+         $config{'FirstNamelength'}=$config[14];
+         $config{'LastName'}=$config[15];
+         $config{'LastNamelength'}=$config[16];
+         $config{'BubblesPerRow'}=$config[17];
+         last;
+     }
+     return %config;
+ }
+ sub get_scantronformat_file {
+     my ($cdom) = @_;
+     if ($cdom eq '') {
+         $cdom= $env{'course.'.$env{'request.course.id'}.'.domain'};
+     }
+     my %domconfig = &get_dom('configuration',['scantron'],$cdom);
+     my $gottab = 0;
+     my @lines;
+     if (ref($domconfig{'scantron'}) eq 'HASH') {
+         if ($domconfig{'scantron'}{'scantronformat'} ne '') {
+             my $formatfile = &getfile($perlvar{'lonDocRoot'}.$domconfig{'scantron'}{'scantronformat'});
+             if ($formatfile ne '-1') {
+                 @lines = split("\n",$formatfile,-1);
+                 $gottab = 1;
+             }
+         }
+     }
+     if (!$gottab) {
+         my $confname = $cdom.'-domainconfig';
+         my $default = $perlvar{'lonDocRoot'}.'/res/'.$cdom.'/'.$confname.'/default.tab';
+         my $formatfile = &getfile($default);
+         if ($formatfile ne '-1') {
+             @lines = split("\n",$formatfile,-1);
+             $gottab = 1;
+         }
+     }
+     if (!$gottab) {
+         my @domains = &current_machine_domains();
+         if (grep(/^\Q$cdom\E$/,@domains)) {
+             if (open(my $fh,'<',$perlvar{'lonTabDir'}.'/scantronformat.tab')) {
+                 @lines = <$fh>;
+                 close($fh);
+             }
+         } else {
+             if (open(my $fh,'<',$perlvar{'lonTabDir'}.'/default_scantronformat.tab')) {
+                 @lines = <$fh>;
+                 close($fh);
+             }
+         }
+         chomp(@lines);
+     }
+     return @lines;
+ }
  sub removeuploadedurl {
      my ($url)=@_;
      my (undef,undef,$udom,$uname,$fname)=split('/',$url,5);
      return &removeuserfile($uname,$udom,$fname);
  }
  sub removeuserfile {
      my ($docuname,$docudom,$fname)=@_;
      my $home=&homeserver($docuname,$docudom);
      my $result = &reply("removeuserfile:$docudom/$docuname/$fname",$home);
      if ($result eq 'ok') {
          if (($fname !~ /\.meta$/) && (&is_portfolio_file($fname))) {
              my $metafile = $fname.'.meta';
              my $metaresult = &removeuserfile($docuname,$docudom,$metafile);
  	    my $url = "/uploaded/$docudom/$docuname/$fname";
              my ($file,$group) = (&parse_portfolio_url($url))[3,4];
              my $sqlresult =
                  &update_portfolio_table($docuname,$docudom,$file,
                                          'portfolio_metadata',$group,
- Line 1923  sub flushcourselogs {
+ Line 5238  sub flushcourselogs {
  # times and course titles for all courseids
  #
      my %courseidbuffer=();
-     foreach my $crsid (keys %courselogs) {
+     foreach my $crsid (keys(%courselogs)) {
          if (&reply('log:'.$coursedombuf{$crsid}.':'.$coursenumbuf{$crsid}.':'.
  		          &escape($courselogs{$crsid}),
  		          $coursehombuf{$crsid}) eq 'ok') {
- Line 1936  sub flushcourselogs {
+ Line 5251  sub flushcourselogs {
                 delete $courselogs{$crsid};
              }
          }
-         if ($courseidbuffer{$coursehombuf{$crsid}}) {
+         $courseidbuffer{$coursehombuf{$crsid}}{$crsid} = {
-            $courseidbuffer{$coursehombuf{$crsid}}.='&'.
+             'description' => $coursedescrbuf{$crsid},
- 			 &escape($crsid).'='.&escape($coursedescrbuf{$crsid}).
+             'inst_code'    => $courseinstcodebuf{$crsid},
-                          ':'.&escape($courseinstcodebuf{$crsid}).':'.&escape($courseownerbuf{$crsid}).':'.&escape($coursetypebuf{$crsid});
+             'type'        => $coursetypebuf{$crsid},
-         } else {
+             'owner'       => $courseownerbuf{$crsid},
-            $courseidbuffer{$coursehombuf{$crsid}}=
+         };
- 			 &escape($crsid).'='.&escape($coursedescrbuf{$crsid}).
-                          ':'.&escape($courseinstcodebuf{$crsid}).':'.&escape($courseownerbuf{$crsid}).':'.&escape($coursetypebuf{$crsid});
-         }
      }
  #
  # Write course id database (reverse lookup) to homeserver of courses
  # Is used in pickcourse
  #
      foreach my $crs_home (keys(%courseidbuffer)) {
-         &courseidput(&host_domain($crs_home),$courseidbuffer{$crs_home},
+         my $response = &courseidput(&host_domain($crs_home),
- 		     $crs_home);
+                                     $courseidbuffer{$crs_home},
+                                     $crs_home,'timeonly');
      }
  #
  # File accesses
- Line 1966  sub flushcourselogs {
+ Line 5279  sub flushcourselogs {
              if (! defined($dom) || $dom eq '' ||
                  ! defined($name) || $name eq '') {
                  my $cid = $env{'request.course.id'};
+ #
+ # FIXME 11/29/2021
+ # Typo in rev. 1.458 (2003/12/09)??
+ # These should likely by $env{'course.'.$cid.'.domain'} and $env{'course.'.$cid.'.num'}
+ #
+ # While these remain as $env{'request.'.$cid.'.domain'} and $env{'request.'.$cid.'.num'}
+ # $dom and $name will always be null, so the &inc() call will default to storing this data
+ # in a nohist_accesscount.db file for the user rather than the course.
+ #
+ # That said there is a lot of noise in the data being stored.
+ # So counts for prtspool/  and adm/ etc. are recorded.
+ #
+ # A review of which items ending '___count' are written to %accesshash should likely be
+ # made before deciding whether to set these to 'course.' instead of 'request.'
+ #
+ # Under the current scheme each user receives a nohist_accesscount.db file listing
+ # accesses for things which are not published resources, regardless of course, and
+ # there is not a nohist_accesscount.db file in a course, which might log accesses from
+ # anyone in the course for things which are not published resources.
+ #
+ # For an author, nohist_accesscount.db ends up having records for other items
+ # mixed up with the legitimate access counts for the author's published resources.
+ #
                  $dom  = $env{'request.'.$cid.'.domain'};
                  $name = $env{'request.'.$cid.'.num'};
              }
- Line 1975  sub flushcourselogs {
+ Line 5311  sub flushcourselogs {
              my $result = &inc('nohist_accesscount',\%temphash,$dom,$name);
              if ($result eq 'ok') {
                  delete $accesshash{$entry};
-             } elsif ($result eq 'unknown_cmd') {
-                 # Target server has old code running on it.
-                 my %temphash=($entry => $value);
-                 if (&put('nohist_resevaldata',\%temphash,$dom,$name) eq 'ok') {
-                     delete $accesshash{$entry};
-                 }
              }
          } else {
              my ($dom,$name) = ($entry=~m{___($match_domain)/($match_name)/(.*)___(\w+)$});
+             if (($dom eq 'uploaded') || ($dom eq 'adm')) { next; }
              my %temphash=($entry => $accesshash{$entry});
              if (&put('nohist_resevaldata',\%temphash,$dom,$name) eq 'ok') {
                  delete $accesshash{$entry};
- Line 1997  sub flushcourselogs {
+ Line 5328  sub flushcourselogs {
      foreach my $entry (keys(%userrolehash)) {
          my ($role,$uname,$udom,$runame,$rudom,$rsec)=
  	    split(/\:/,$entry);
-         if (&Apache::lonnet::put('nohist_userroles',
+         if (&put('nohist_userroles',
               { $role.':'.$uname.':'.$udom.':'.$rsec => $userrolehash{$entry} },
                  $rudom,$runame) eq 'ok') {
  	    delete $userrolehash{$entry};
          }
      }
  #
- # Reverse lookup of domain roles (dc, ad, li, sc, au)
+ # Reverse lookup of domain roles (dc, ad, li, sc, dh, da, au)
  #
      my %domrolebuffer = ();
-     foreach my $entry (keys %domainrolehash) {
+     foreach my $entry (keys(%domainrolehash)) {
-         my ($role,$uname,$udom,$runame,$rudom,$rsec)=split/:/,$entry;
+         my ($role,$uname,$udom,$runame,$rudom,$rsec)=split(/:/,$entry);
          if ($domrolebuffer{$rudom}) {
              $domrolebuffer{$rudom}.='&'.&escape($entry).
                        '='.&escape($domainrolehash{$entry});
- Line 2019  sub flushcourselogs {
+ Line 5350  sub flushcourselogs {
          delete $domainrolehash{$entry};
      }
      foreach my $dom (keys(%domrolebuffer)) {
- 	my %servers = &get_servers($dom,'library');
+ 	my %servers;
+ 	if (defined(&domain($dom,'primary'))) {
+ 	    my $primary=&domain($dom,'primary');
+ 	    my $hostname=&hostname($primary);
+ 	    $servers{$primary} = $hostname;
+ 	} else {
+ 	    %servers = &get_servers($dom,'library');
+ 	}
  	foreach my $tryserver (keys(%servers)) {
- 	    unless (&reply('domroleput:'.$dom.':'.
+ 	    if (&reply('domroleput:'.$dom.':'.
- 			   $domrolebuffer{$dom},$tryserver) eq 'ok') {
+ 		       $domrolebuffer{$dom},$tryserver) eq 'ok') {
+ 		last;
+ 	    } else {
  		&logthis('Put of domain roles failed for '.$dom.' and  '.$tryserver);
  	    }
          }
- Line 2062  sub courseacclog {
+ Line 5402  sub courseacclog {
      my $fnsymb=shift;
      unless ($env{'request.course.id'}) { return ''; }
      my $what=$fnsymb.':'.$env{'user.name'}.':'.$env{'user.domain'};
-     if ($fnsymb=~/(problem|exam|quiz|assess|survey|form|task|page)$/) {
+     if ($fnsymb=~/$LONCAPA::assess_re/) {
          $what.=':POST';
          # FIXME: Probably ought to escape things....
  	foreach my $key (keys(%env)) {
              if ($key=~/^form\.(.*)/) {
- 		$what.=':'.$1.'='.$env{$key};
+                 my $formitem = $1;
+                 if ($formitem =~ /^HWFILE(?:SIZE|TOOBIG)/) {
+                     $what.=':'.$formitem.'='.$env{$key};
+                 } elsif ($formitem !~ /^HWFILE(?:[^.]+)$/) {
+                     if ($formitem eq 'proctorpassword') {
+                         $what.=':'.$formitem.'=' . '*' x length($env{$key});
+                     } else {
+                         $what.=':'.$formitem.'='.$env{$key};
+                     }
+                 }
              }
          }
      } elsif ($fnsymb =~ m:^/adm/searchcat:) {
- Line 2089  sub countacc {
+ Line 5438  sub countacc {
      my $url=&declutter(shift);
      return if (! defined($url) || $url eq '');
      unless ($env{'request.course.id'}) { return ''; }
+ #
+ # Mark that this url was used in this course
+ #
      $accesshash{$env{'request.course.id'}.'___'.$url.'___course'}=1;
+ #
+ # Increase the access count for this resource in this child process
+ #
      my $key=$$.$processmarker.'_'.$dumpcount.'___'.$url.'___count';
      $accesshash{$key}++;
  }
- Line 2101  sub linklog {
+ Line 5456  sub linklog {
      $accesshash{$from.'___'.$to.'___comefrom'}=1;
      $accesshash{$to.'___'.$from.'___goto'}=1;
  }
+ sub statslog {
+     my ($symb,$part,$users,$av_attempts,$degdiff)=@_;
+     if ($users<2) { return; }
+     my %dynstore=&LONCAPA::lonmetadata::dynamic_metadata_storage({
+             'course'       => $env{'request.course.id'},
+             'sections'     => '"all"',
+             'num_students' => $users,
+             'part'         => $part,
+             'symb'         => $symb,
+             'mean_tries'   => $av_attempts,
+             'deg_of_diff'  => $degdiff});
+     foreach my $key (keys(%dynstore)) {
+         $accesshash{$key}=$dynstore{$key};
+     }
+ }
  sub userrolelog {
      my ($trole,$username,$domain,$area,$tstart,$tend)=@_;
-     if (($trole=~/^ca/) || ($trole=~/^aa/) ||
+     if ( $trole =~ /^(ca|aa|in|cc|ep|cr|ta|co)/ ) {
-         ($trole=~/^in/) || ($trole=~/^cc/) ||
-         ($trole=~/^ep/) || ($trole=~/^cr/) ||
-         ($trole=~/^ta/)) {
         my (undef,$rudom,$runame,$rsec)=split(/\//,$area);
         $userrolehash
           {$trole.':'.$username.':'.$domain.':'.$runame.':'.$rudom.':'.$rsec}
                      =$tend.':'.$tstart;
      }
-     if (($trole=~/^dc/) || ($trole=~/^ad/) ||
+     if ($env{'request.role'} =~ /dc\./ && $trole =~ /^(au|in|cc|ep|cr|ta|co)/) {
-         ($trole=~/^li/) || ($trole=~/^li/) ||
+        $userrolehash
-         ($trole=~/^au/) || ($trole=~/^dg/) ||
+          {$trole.':'.$username.':'.$domain.':'.$env{'user.name'}.':'.$env{'user.domain'}.':'}
-         ($trole=~/^sc/)) {
+                     =$tend.':'.$tstart;
+     }
+     if ($trole =~ /^(dc|ad|li|au|dg|sc|dh|da)/ ) {
         my (undef,$rudom,$runame,$rsec)=split(/\//,$area);
         $domainrolehash
           {$trole.':'.$username.':'.$domain.':'.$runame.':'.$rudom.':'.$rsec}
- Line 2124  sub userrolelog {
+ Line 5494  sub userrolelog {
      }
  }
+ sub courserolelog {
+     my ($trole,$username,$domain,$area,$tstart,$tend,$delflag,$selfenroll,
+         $context,$othdomby,$requester)=@_;
+     if ($area =~ m-^/($match_domain)/($match_courseid)/?([^/]*)-) {
+         my $cdom = $1;
+         my $cnum = $2;
+         my $sec = $3;
+         my $namespace = 'rolelog';
+         my %storehash = (
+                            role    => $trole,
+                            start   => $tstart,
+                            end     => $tend,
+                            selfenroll => $selfenroll,
+                            context    => $context,
+                         );
+         if ($othdomby) {
+             if ($othdomby eq 'othdombydc') {
+                 $storehash{'approval'} = 'domain';
+             } elsif ($othdomby eq 'othdombyuser') {
+                 $storehash{'approval'} = 'user';
+             }
+             if ($requester ne '') {
+                 $storehash{'requester'} = $requester;
+             }
+         }
+         if ($trole eq 'gr') {
+             $namespace = 'groupslog';
+             $storehash{'group'} = $sec;
+         } else {
+             $storehash{'section'} = $sec;
+             my ($curruserdomstr,$newuserdomstr);
+             if (exists($env{'course.'.$cdom.'_'.$cnum.'.internal.userdomains'})) {
+                 $curruserdomstr = $env{'course.'.$env{'request.course.id'}.'.internal.userdomains'};
+             } else {
+                 my %courseinfo = &coursedescription($cdom.'/'.$cnum);
+                 $curruserdomstr = $courseinfo{'internal.userdomains'};
+             }
+             if ($curruserdomstr ne '') {
+                 my @udoms = split(/,/,$curruserdomstr);
+                 unless (grep(/^\Q$domain\E/,@udoms)) {
+                     push(@udoms,$domain);
+                     $newuserdomstr = join(',',sort(@udoms));
+                 }
+             } else {
+                 $newuserdomstr = $domain;
+             }
+             if ($newuserdomstr ne '') {
+                 my $putresult = &put('environment',{ 'internal.userdomains' => $newuserdomstr },
+                                      $cdom,$cnum);
+                 if ($putresult eq 'ok') {
+                     unless (($selfenroll) || ($context eq 'selfenroll')) {
+                         if (($context eq 'createcourse') || ($context eq 'requestcourses') ||
+                             ($context eq 'automated') || ($context eq 'domain')) {
+                             $env{'course.'.$cdom.'_'.$cnum.'.internal.userdomains'} = $newuserdomstr;
+                         } elsif ($env{'request.course.id'} eq $cdom.'_'.$cnum) {
+                             &appenv({'course.'.$cdom.'_'.$cnum.'.internal.userdomains' => $newuserdomstr});
+                         }
+                     }
+                 }
+             }
+         }
+         &write_log('course',$namespace,\%storehash,$delflag,$username,
+                    $domain,$cnum,$cdom);
+         if (($trole ne 'st') || ($sec ne '')) {
+             &devalidate_cache_new('getcourseroles',$cdom.'_'.$cnum);
+         }
+     }
+     return;
+ }
+ sub domainrolelog {
+     my ($trole,$username,$domain,$area,$tstart,$tend,$delflag,
+         $context,$othdomby,$requester)=@_;
+     if ($area =~ m{^/($match_domain)/$}) {
+         my $cdom = $1;
+         my $domconfiguser = &get_domainconfiguser($cdom);
+         my $namespace = 'rolelog';
+         my %storehash = (
+                            role    => $trole,
+                            start   => $tstart,
+                            end     => $tend,
+                            context => $context,
+                         );
+         if ($othdomby) {
+             if ($othdomby eq 'othdombydc') {
+                 $storehash{'approval'} = 'domain';
+             } elsif ($othdomby eq 'othdombyuser') {
+                 $storehash{'approval'} = 'user';
+             }
+             if ($requester ne '') {
+                 $storehash{'requester'} = $requester;
+             }
+         }
+         &write_log('domain',$namespace,\%storehash,$delflag,$username,
+                    $domain,$domconfiguser,$cdom);
+     }
+     return;
+ }
+ sub coauthorrolelog {
+     my ($trole,$username,$domain,$area,$tstart,$tend,$delflag,
+         $context,$othdomby,$requester)=@_;
+     if ($area =~ m{^/($match_domain)/($match_username)$}) {
+         my $audom = $1;
+         my $auname = $2;
+         my $namespace = 'rolelog';
+         my %storehash = (
+                            role    => $trole,
+                            start   => $tstart,
+                            end     => $tend,
+                            context => $context,
+                         );
+         if ($othdomby) {
+             if ($othdomby eq 'othdombydc') {
+                 $storehash{'approval'} = 'domain';
+             } elsif ($othdomby eq 'othdombyuser') {
+                 $storehash{'approval'} = 'user';
+             }
+             if ($requester ne '') {
+                 $storehash{'requester'} = $requester;
+             }
+         }
+         &write_log('author',$namespace,\%storehash,$delflag,$username,
+                    $domain,$auname,$audom);
+     }
+     return;
+ }
  sub get_course_adv_roles {
-     my $cid=shift;
+     my ($cid,$codes) = @_;
      $cid=$env{'request.course.id'} unless (defined($cid));
      my %coursehash=&coursedescription($cid);
+     my $crstype = &Apache::loncommon::course_type($cid);
      my %nothide=();
      foreach my $user (split(/\s*\,\s*/,$coursehash{'nothideprivileged'})) {
- 	$nothide{join(':',split(/[\@\:]/,$user))}=1;
+         if ($user !~ /:/) {
+ 	    $nothide{join(':',split(/[\@]/,$user))}=1;
+         } else {
+             $nothide{$user}=1;
+         }
+     }
+     my @possdoms = ($coursehash{'domain'});
+     if ($coursehash{'checkforpriv'}) {
+         push(@possdoms,split(/,/,$coursehash{'checkforpriv'}));
      }
      my %returnhash=();
      my %dumphash=
              &dump('nohist_userroles',$coursehash{'domain'},$coursehash{'num'});
      my $now=time;
-     foreach my $entry (keys %dumphash) {
+     my %privileged;
+     foreach my $entry (keys(%dumphash)) {
  	my ($tend,$tstart)=split(/\:/,$dumphash{$entry});
          if (($tstart) && ($tstart<0)) { next; }
          if (($tend) && ($tend<$now)) { next; }
          if (($tstart) && ($now<$tstart)) { next; }
          my ($role,$username,$domain,$section)=split(/\:/,$entry);
  	if ($username eq '' || $domain eq '') { next; }
- 	if ((&privileged($username,$domain)) &&
+         if ((&privileged($username,$domain,\@possdoms)) &&
- 	    (!$nothide{$username.':'.$domain})) { next; }
+             (!$nothide{$username.':'.$domain})) { next; }
  	if ($role eq 'cr') { next; }
-         my $key=&plaintext($role);
+         if ($codes) {
-         if ($section) { $key.=' (Sec/Grp '.$section.')'; }
+             if ($section) { $role .= ':'.$section; }
-         if ($returnhash{$key}) {
+             if ($returnhash{$role}) {
- 	    $returnhash{$key}.=','.$username.':'.$domain;
+                 $returnhash{$role}.=','.$username.':'.$domain;
+             } else {
+                 $returnhash{$role}=$username.':'.$domain;
+             }
          } else {
-             $returnhash{$key}=$username.':'.$domain;
+             my $key=&plaintext($role,$crstype);
+             if ($section) { $key.=' ('.&Apache::lonlocal::mt('Section [_1]',$section).')'; }
+             if ($returnhash{$key}) {
+ 	        $returnhash{$key}.=','.$username.':'.$domain;
+             } else {
+                 $returnhash{$key}=$username.':'.$domain;
+             }
          }
-      }
+     }
      return %returnhash;
  }
  sub get_my_roles {
-     my ($uname,$udom,$context,$types,$roles,$roledoms)=@_;
+     my ($uname,$udom,$context,$types,$roles,$roledoms,$withsec,$hidepriv)=@_;
      unless (defined($uname)) { $uname=$env{'user.name'}; }
      unless (defined($udom)) { $udom=$env{'user.domain'}; }
-     my %dumphash;
+     my (%dumphash,%nothide);
      if ($context eq 'userroles') {
          %dumphash = &dump('roles',$udom,$uname);
      } else {
-         %dumphash=
+         %dumphash = &dump('nohist_userroles',$udom,$uname);
-             &dump('nohist_userroles',$udom,$uname);
+         if ($hidepriv) {
+             my %coursehash=&coursedescription($udom.'_'.$uname);
+             foreach my $user (split(/\s*\,\s*/,$coursehash{'nothideprivileged'})) {
+                 if ($user !~ /:/) {
+                     $nothide{join(':',split(/[\@]/,$user))} = 1;
+                 } else {
+                     $nothide{$user} = 1;
+                 }
+             }
+         }
      }
      my %returnhash=();
      my $now=time;
+     my %privileged;
      foreach my $entry (keys(%dumphash)) {
          my ($role,$tend,$tstart);
          if ($context eq 'userroles') {
+             next if ($entry =~ /^rolesdef/);
  	    ($role,$tend,$tstart)=split(/_/,$dumphash{$entry});
          } else {
              ($tend,$tstart)=split(/\:/,$dumphash{$entry});
          }
          if (($tstart) && ($tstart<0)) { next; }
          my $status = 'active';
-         if (($tend) && ($tend<$now)) {
+         if (($tend) && ($tend<=$now)) {
              $status = 'previous';
          }
          if (($tstart) && ($now<$tstart)) {
- Line 2196  sub get_my_roles {
+ Line 5725  sub get_my_roles {
          }
          my ($rolecode,$username,$domain,$section,$area);
          if ($context eq 'userroles') {
-             ($area,$rolecode) = split(/_/,$entry);
+             ($area,$rolecode) = ($entry =~ /^(.+)_([^_]+)$/);
              (undef,$domain,$username,$section) = split(/\//,$area);
          } else {
              ($role,$username,$domain,$section) = split(/\:/,$entry);
- Line 2208  sub get_my_roles {
+ Line 5737  sub get_my_roles {
          }
          if (ref($roles) eq 'ARRAY') {
              if (!grep(/^\Q$role\E$/,@{$roles})) {
-                 next;
+                 if ($role =~ /^cr\//) {
+                     if (!grep(/^cr$/,@{$roles})) {
+                         next;
+                     }
+                 } elsif ($role =~ /^gr\//) {
+                     if (!grep(/^gr$/,@{$roles})) {
+                         next;
+                     }
+                 } else {
+                     next;
+                 }
+             }
+         }
+         if ($hidepriv) {
+             my @privroles = ('dc','su');
+             if ($context eq 'userroles') {
+                 next if (grep(/^\Q$role\E$/,@privroles));
+             } else {
+                 my $possdoms = [$domain];
+                 if (ref($roledoms) eq 'ARRAY') {
+                    push(@{$possdoms},@{$roledoms});
+                 }
+                 if (&privileged($username,$domain,$possdoms,\@privroles)) {
+                     if (!$nothide{$username.':'.$domain}) {
+                         next;
+                     }
+                 }
              }
          }
- 	$returnhash{$username.':'.$domain.':'.$role}=$tstart.':'.$tend;
+         if ($withsec) {
+             $returnhash{$username.':'.$domain.':'.$role.':'.$section} =
+                 $tstart.':'.$tend;
+         } else {
+             $returnhash{$username.':'.$domain.':'.$role}=$tstart.':'.$tend;
+         }
      }
      return %returnhash;
  }
+ sub get_all_adhocroles {
+     my ($dom) = @_;
+     my @roles_by_num = ();
+     my %domdefaults = &get_domain_defaults($dom);
+     my (%description,%access_in_dom,%access_info);
+     if (ref($domdefaults{'adhocroles'}) eq 'HASH') {
+         my $count = 0;
+         my %domcurrent = %{$domdefaults{'adhocroles'}};
+         my %ordered;
+         foreach my $role (sort(keys(%domcurrent))) {
+             my ($order,$desc,$access_in_dom);
+             if (ref($domcurrent{$role}) eq 'HASH') {
+                 $order = $domcurrent{$role}{'order'};
+                 $desc = $domcurrent{$role}{'desc'};
+                 $access_in_dom{$role} = $domcurrent{$role}{'access'};
+                 $access_info{$role} = $domcurrent{$role}{$access_in_dom{$role}};
+             }
+             if ($order eq '') {
+                 $order = $count;
+             }
+             $ordered{$order} = $role;
+             if ($desc ne '') {
+                 $description{$role} = $desc;
+             } else {
+                 $description{$role}= $role;
+             }
+             $count++;
+         }
+         foreach my $item (sort {$a <=> $b } (keys(%ordered))) {
+             push(@roles_by_num,$ordered{$item});
+         }
+     }
+     return (\@roles_by_num,\%description,\%access_in_dom,\%access_info);
+ }
+ sub get_my_adhocroles {
+     my ($cid,$checkreg) = @_;
+     my ($cdom,$cnum,%info,@possroles,$description,$roles_by_num);
+     if ($env{'request.course.id'} eq $cid) {
+         $cdom = $env{'course.'.$cid.'.domain'};
+         $cnum = $env{'course.'.$cid.'.num'};
+         $info{'internal.coursecode'} = $env{'course.'.$cid.'.internal.coursecode'};
+     } elsif ($cid =~ /^($match_domain)_($match_courseid)$/) {
+         $cdom = $1;
+         $cnum = $2;
+         %info = &get('environment',['internal.coursecode'],
+                      $cdom,$cnum);
+     }
+     if (($info{'internal.coursecode'} ne '') && ($checkreg)) {
+         my $user = $env{'user.name'}.':'.$env{'user.domain'};
+         my %rosterhash = &get('classlist',[$user],$cdom,$cnum);
+         if ($rosterhash{$user} ne '') {
+             my $type = (split(/:/,$rosterhash{$user}))[5];
+             return ([],{}) if ($type eq 'auto');
+         }
+     }
+     if (($cdom ne '') && ($cnum ne ''))  {
+         if (($env{"user.role.dh./$cdom/"}) || ($env{"user.role.da./$cdom/"})) {
+             my $then=$env{'user.login.time'};
+             my $update=$env{'user.update.time'};
+             if (!$update) {
+                 $update = $then;
+             }
+             my @liveroles;
+             foreach my $role ('dh','da') {
+                 if ($env{"user.role.$role./$cdom/"}) {
+                     my ($tstart,$tend)=split(/\./,$env{"user.role.$role./$cdom/"});
+                     my $limit = $update;
+                     if ($env{'request.role'} eq "$role./$cdom/") {
+                         $limit = $then;
+                     }
+                     my $activerole = 1;
+                     if ($tstart && $tstart>$limit) { $activerole = 0; }
+                     if ($tend   && $tend  <$limit) { $activerole = 0; }
+                     if ($activerole) {
+                         push(@liveroles,$role);
+                     }
+                 }
+             }
+             if (@liveroles) {
+                 if (&homeserver($cnum,$cdom) ne 'no_host') {
+                     my ($accessref,$accessinfo,%access_in_dom);
+                     ($roles_by_num,$description,$accessref,$accessinfo) = &get_all_adhocroles($cdom);
+                     if (ref($roles_by_num) eq 'ARRAY') {
+                         if (@{$roles_by_num}) {
+                             my %settings;
+                             if ($env{'request.course.id'} eq $cid) {
+                                 foreach my $envkey (keys(%env)) {
+                                     if ($envkey =~ /^\Qcourse.$cid.\E(internal\.adhoc.+)$/) {
+                                         $settings{$1} = $env{$envkey};
+                                     }
+                                 }
+                             } else {
+                                 %settings = &dump('environment',$cdom,$cnum,'internal\.adhoc');
+                             }
+                             my %setincrs;
+                             if ($settings{'internal.adhocaccess'}) {
+                                 map { $setincrs{$_} = 1; } split(/,/,$settings{'internal.adhocaccess'});
+                             }
+                             my @statuses;
+                             if ($env{'environment.inststatus'}) {
+                                 @statuses = split(/,/,$env{'environment.inststatus'});
+                             }
+                             my $user = $env{'user.name'}.':'.$env{'user.domain'};
+                             if (ref($accessref) eq 'HASH') {
+                                 %access_in_dom = %{$accessref};
+                             }
+                             foreach my $role (@{$roles_by_num}) {
+                                 my ($curraccess,@okstatus,@personnel);
+                                 if ($setincrs{$role}) {
+                                     ($curraccess,my $rest) = split(/=/,$settings{'internal.adhoc.'.$role});
+                                     if ($curraccess eq 'status') {
+                                         @okstatus = split(/\&/,$rest);
+                                     } elsif (($curraccess eq 'exc') || ($curraccess eq 'inc')) {
+                                         @personnel = split(/\&/,$rest);
+                                     }
+                                 } else {
+                                     $curraccess = $access_in_dom{$role};
+                                     if (ref($accessinfo) eq 'HASH') {
+                                         if ($curraccess eq 'status') {
+                                             if (ref($accessinfo->{$role}) eq 'ARRAY') {
+                                                 @okstatus = @{$accessinfo->{$role}};
+                                             }
+                                         } elsif (($curraccess eq 'exc') || ($curraccess eq 'inc')) {
+                                             if (ref($accessinfo->{$role}) eq 'ARRAY') {
+                                                 @personnel = @{$accessinfo->{$role}};
+                                             }
+                                         }
+                                     }
+                                 }
+                                 if ($curraccess eq 'none') {
+                                     next;
+                                 } elsif ($curraccess eq 'all') {
+                                     push(@possroles,$role);
+                                 } elsif ($curraccess eq 'dh') {
+                                     if (grep(/^dh$/,@liveroles)) {
+                                         push(@possroles,$role);
+                                     } else {
+                                         next;
+                                     }
+                                 } elsif ($curraccess eq 'da') {
+                                     if (grep(/^da$/,@liveroles)) {
+                                         push(@possroles,$role);
+                                     } else {
+                                         next;
+                                     }
+                                 } elsif ($curraccess eq 'status') {
+                                     if (@okstatus) {
+                                         if (!@statuses) {
+                                             if (grep(/^default$/,@okstatus)) {
+                                                 push(@possroles,$role);
+                                             }
+                                         } else {
+                                             foreach my $status (@okstatus) {
+                                                 if (grep(/^\Q$status\E$/,@statuses)) {
+                                                     push(@possroles,$role);
+                                                     last;
+                                                 }
+                                             }
+                                         }
+                                     }
+                                 } elsif (($curraccess eq 'exc') || ($curraccess eq 'inc')) {
+                                     if (grep(/^\Q$user\E$/,@personnel)) {
+                                         if ($curraccess eq 'exc') {
+                                             push(@possroles,$role);
+                                         }
+                                     } elsif ($curraccess eq 'inc') {
+                                         push(@possroles,$role);
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     unless (ref($description) eq 'HASH') {
+         if (ref($roles_by_num) eq 'ARRAY') {
+             my %desc;
+             map { $desc{$_} = $_; } (@{$roles_by_num});
+             $description = \%desc;
+         } else {
+             $description = {};
+         }
+     }
+     return (\@possroles,$description);
+ }
  # ----------------------------------------------------- Frontpage Announcements
  #
  #
- Line 2229  sub postannounce {
+ Line 5978  sub postannounce {
  sub getannounce {
-     if (open(my $fh,$perlvar{'lonDocRoot'}.'/announcement.txt')) {
+     if (open(my $fh,"<",$perlvar{'lonDocRoot'}.'/announcement.txt')) {
  	my $announcement='';
  	while (my $line = <$fh>) { $announcement .= $line; }
  	close($fh);
- Line 2250  sub getannounce {
+ Line 5999  sub getannounce {
  #
  sub courseidput {
-     my ($domain,$what,$coursehome)=@_;
+     my ($domain,$storehash,$coursehome,$caller) = @_;
-     return &reply('courseidput:'.$domain.':'.$what,$coursehome);
+     return unless (ref($storehash) eq 'HASH');
+     my $outcome;
+     if ($caller eq 'timeonly') {
+         my $cids = '';
+         foreach my $item (keys(%$storehash)) {
+             $cids.=&escape($item).'&';
+         }
+         $cids=~s/\&$//;
+         $outcome = &reply('courseidputhash:'.$domain.':'.$caller.':'.$cids,
+                           $coursehome);
+     } else {
+         my $items = '';
+         foreach my $item (keys(%$storehash)) {
+             $items.= &escape($item).'='.
+                      &freeze_escape($$storehash{$item}).'&';
+         }
+         $items=~s/\&$//;
+         $outcome = &reply('courseidputhash:'.$domain.':'.$caller.':'.$items,
+                           $coursehome);
+     }
+     if ($outcome eq 'unknown_cmd') {
+         my $what;
+         foreach my $cid (keys(%$storehash)) {
+             $what .= &escape($cid).'=';
+             foreach my $item ('description','inst_code','owner','type') {
+                 $what .= &escape($storehash->{$cid}{$item}).':';
+             }
+             $what =~ s/\:$/&/;
+         }
+         $what =~ s/\&$//;
+         return &reply('courseidput:'.$domain.':'.$what,$coursehome);
+     } else {
+         return $outcome;
+     }
  }
  sub courseiddump {
-     my ($domfilter,$descfilter,$sincefilter,$instcodefilter,$ownerfilter,$coursefilter,$hostidflag,$hostidref,$typefilter,$regexp_ok)=@_;
+     my ($domfilter,$descfilter,$sincefilter,$instcodefilter,$ownerfilter,
-     my %returnhash=();
+         $coursefilter,$hostidflag,$hostidref,$typefilter,$regexp_ok,
-     unless ($domfilter) { $domfilter=''; }
+         $selfenrollonly,$catfilter,$showhidden,$caller,$cloner,$cc_clone,
+         $cloneonly,$createdbefore,$createdafter,$creationcontext,$domcloner,
+         $hasuniquecode,$reqcrsdom,$reqinstcode)=@_;
+     my $as_hash = 1;
+     my %returnhash;
+     if (!$domfilter) { $domfilter=''; }
      my %libserv = &all_library();
      foreach my $tryserver (keys(%libserv)) {
          if ( (  $hostidflag == 1
  	        && grep(/^\Q$tryserver\E$/,@{$hostidref}) )
  	     || (!defined($hostidflag)) ) {
- 	    if ($domfilter eq ''
+ 	    if (($domfilter eq '') ||
- 		|| (&host_domain($tryserver) eq $domfilter)) {
+ 		(&host_domain($tryserver) eq $domfilter)) {
- 	        foreach my $line (
+                 my $rep;
-                  split(/\&/,&reply('courseiddump:'.&host_domain($tryserver).':'.
+                 if (grep { $_ eq $tryserver } current_machine_ids()) {
- 			       $sincefilter.':'.&escape($descfilter).':'.
+                     $rep = LONCAPA::Lond::dump_course_id_handler(
-                                &escape($instcodefilter).':'.&escape($ownerfilter).':'.&escape($coursefilter).':'.&escape($typefilter).':'.&escape($regexp_ok),
+                         join(":", (&host_domain($tryserver), $sincefilter,
-                                $tryserver))) {
+                                 &escape($descfilter), &escape($instcodefilter),
- 		    my ($key,$value)=split(/\=/,$line,2);
+                                 &escape($ownerfilter), &escape($coursefilter),
-                     if (($key) && ($value)) {
+                                 &escape($typefilter), &escape($regexp_ok),
- 		        $returnhash{&unescape($key)}=$value;
+                                 $as_hash, &escape($selfenrollonly),
+                                 &escape($catfilter), $showhidden, $caller,
+                                 &escape($cloner), &escape($cc_clone), $cloneonly,
+                                 &escape($createdbefore), &escape($createdafter),
+                                 &escape($creationcontext),$domcloner,$hasuniquecode,
+                                 $reqcrsdom,&escape($reqinstcode))));
+                 } else {
+                     $rep = &reply('courseiddump:'.&host_domain($tryserver).':'.
+                              $sincefilter.':'.&escape($descfilter).':'.
+                              &escape($instcodefilter).':'.&escape($ownerfilter).
+                              ':'.&escape($coursefilter).':'.&escape($typefilter).
+                              ':'.&escape($regexp_ok).':'.$as_hash.':'.
+                              &escape($selfenrollonly).':'.&escape($catfilter).':'.
+                              $showhidden.':'.$caller.':'.&escape($cloner).':'.
+                              &escape($cc_clone).':'.$cloneonly.':'.
+                              &escape($createdbefore).':'.&escape($createdafter).':'.
+                              &escape($creationcontext).':'.$domcloner.':'.$hasuniquecode.
+                              ':'.$reqcrsdom.':'.&escape($reqinstcode),$tryserver);
+                 }
+                 my @pairs=split(/\&/,$rep);
+                 foreach my $item (@pairs) {
+                     my ($key,$value)=split(/\=/,$item,2);
+                     $key = &unescape($key);
+                     next if ($key =~ /^error: 2 /);
+                     my $result = &thaw_unescape($value);
+                     if (ref($result) eq 'HASH') {
+                         $returnhash{$key}=$result;
+                     } else {
+                         my @responses = split(/:/,$value);
+                         my @items = ('description','inst_code','owner','type');
+                         for (my $i=0; $i<@responses; $i++) {
+                             $returnhash{$key}{$items[$i]} = &unescape($responses[$i]);
+                         }
                      }
                  }
              }
- Line 2282  sub courseiddump {
+ Line 6102  sub courseiddump {
      return %returnhash;
  }
+ sub courselastaccess {
+     my ($cdom,$cnum,$hostidref) = @_;
+     my %returnhash;
+     if ($cdom && $cnum) {
+         my $chome = &homeserver($cnum,$cdom);
+         if ($chome ne 'no_host') {
+             my $rep = &reply('courselastaccess:'.$cdom.':'.$cnum,$chome);
+             &extract_lastaccess(\%returnhash,$rep);
+         }
+     } else {
+         if (!$cdom) { $cdom=''; }
+         my %libserv = &all_library();
+         foreach my $tryserver (keys(%libserv)) {
+             if (ref($hostidref) eq 'ARRAY') {
+                 next unless (grep(/^\Q$tryserver\E$/,@{$hostidref}));
+             }
+             if (($cdom eq '') || (&host_domain($tryserver) eq $cdom)) {
+                 my $rep = &reply('courselastaccess:'.&host_domain($tryserver).':',$tryserver);
+                 &extract_lastaccess(\%returnhash,$rep);
+             }
+         }
+     }
+     return %returnhash;
+ }
+ sub extract_lastaccess {
+     my ($returnhash,$rep) = @_;
+     if (ref($returnhash) eq 'HASH') {
+         unless ($rep eq 'unknown_command' || $rep eq 'no_such_host' ||
+                 $rep eq 'con_lost' || $rep eq 'rejected' || $rep eq 'refused' ||
+                  $rep eq '') {
+             my @pairs=split(/\&/,$rep);
+             foreach my $item (@pairs) {
+                 my ($key,$value)=split(/\=/,$item,2);
+                 $key = &unescape($key);
+                 next if ($key =~ /^error: 2 /);
+                 $returnhash->{$key} = &thaw_unescape($value);
+             }
+         }
+     }
+     return;
+ }
  # ---------------------------------------------------------- DC e-mail
  sub dcmailput {
      my ($domain,$msgid,$message,$server)=@_;
-     my $status = &Apache::lonnet::critical(
+     my $status = &critical(
         'dcmailput:'.$domain.':'.&escape($msgid).'='.
         &escape($message),$server);
      return $status;
- Line 2314  sub dcmaildump {
+ Line 6177  sub dcmaildump {
  sub get_domain_roles {
      my ($dom,$roles,$startdate,$enddate)=@_;
-     if (undef($startdate) || $startdate eq '') {
+     if ((!defined($startdate)) || ($startdate eq '')) {
          $startdate = '.';
      }
-     if (undef($enddate) || $enddate eq '') {
+     if ((!defined($enddate)) || ($enddate eq '')) {
          $enddate = '.';
      }
-     my $rolelist = join(':',@{$roles});
+     my $rolelist;
+     if (ref($roles) eq 'ARRAY') {
+         $rolelist = join('&',@{$roles});
+     }
      my %personnel = ();
      my %servers = &get_servers($dom,'library');
- Line 2339  sub get_domain_roles {
+ Line 6205  sub get_domain_roles {
      return %personnel;
  }
- # ----------------------------------------------------------- Check out an item
+ sub get_active_domroles {
+     my ($dom,$roles) = @_;
+     return () unless (ref($roles) eq 'ARRAY');
+     my $now = time;
+     my %dompersonnel = &get_domain_roles($dom,$roles,$now,$now);
+     my %domroles;
+     foreach my $server (keys(%dompersonnel)) {
+         foreach my $user (sort(keys(%{$dompersonnel{$server}}))) {
+             my ($trole,$uname,$udom,$runame,$rudom,$rsec) = split(/:/,$user);
+             $domroles{$uname.':'.$udom} = $dompersonnel{$server}{$user};
+         }
+     }
+     return %domroles;
+ }
+ # ----------------------------------------------------------- Interval timing
+ {
+ # Caches needed for speedup of navmaps
+ # We don't want to cache this for very long at all (5 seconds at most)
+ #
+ # The user for whom we cache
+ my $cachedkey='';
+ # The cached times for this user
+ my %cachedtimes=();
+ # When this was last done
+ my $cachedtime='';
+ sub load_all_first_access {
+     my ($uname,$udom,$ignorecache)=@_;
+     if (($cachedkey eq $uname.':'.$udom) &&
+         (abs($cachedtime-time)<5) && (!$env{'form.markaccess'}) &&
+         (!$ignorecache)) {
+         return;
+     }
+     $cachedtime=time;
+     $cachedkey=$uname.':'.$udom;
+     %cachedtimes=&dump('firstaccesstimes',$udom,$uname);
+ }
  sub get_first_access {
-     my ($type,$argsymb)=@_;
+     my ($type,$argsymb,$argmap,$ignorecache)=@_;
      my ($symb,$courseid,$udom,$uname)=&whichuser();
      if ($argsymb) { $symb=$argsymb; }
      my ($map,$id,$res)=&decode_symb($symb);
-     if ($type eq 'map') {
+     if ($argmap) { $map = $argmap; }
+     if ($type eq 'course') {
+ 	$res='course';
+     } elsif ($type eq 'map') {
  	$res=&symbread($map);
      } else {
  	$res=$symb;
      }
-     my %times=&get('firstaccesstimes',["$courseid\0$res"],$udom,$uname);
+     &load_all_first_access($uname,$udom,$ignorecache);
-     return $times{"$courseid\0$res"};
+     return $cachedtimes{"$courseid\0$res"};
  }
  sub set_first_access {
-     my ($type)=@_;
+     my ($type,$interval)=@_;
      my ($symb,$courseid,$udom,$uname)=&whichuser();
      my ($map,$id,$res)=&decode_symb($symb);
-     if ($type eq 'map') {
+     if ($type eq 'course') {
+ 	$res='course';
+     } elsif ($type eq 'map') {
  	$res=&symbread($map);
      } else {
  	$res=$symb;
      }
-     my $firstaccess=&get_first_access($type,$symb);
+     $cachedkey='';
-     if (!$firstaccess) {
+     my $firstaccess=&get_first_access($type,$symb,$map);
- 	return &put('firstaccesstimes',{"$courseid\0$res"=>time},$udom,$uname);
+     if ($firstaccess) {
+         &logthis("First access time already set ($firstaccess) when attempting ".
+                  "to set new value (type: $type, extent: $res) for $uname:$udom ".
+                  "in $courseid");
+         return 'already_set';
+     } else {
+         my $start = time;
+ 	my $putres = &put('firstaccesstimes',{"$courseid\0$res"=>$start},
+                           $udom,$uname);
+         if ($putres eq 'ok') {
+             &put('timerinterval',{"$courseid\0$res"=>$interval},
+                  $udom,$uname);
+             &appenv(
+                      {
+                         'course.'.$courseid.'.firstaccess.'.$res   => $start,
+                         'course.'.$courseid.'.timerinterval.'.$res => $interval,
+                      }
+                   );
+             if (($cachedtime) && (abs($start-$cachedtime) < 5)) {
+                 $cachedtimes{"$courseid\0$res"} = $start;
+             }
+         } elsif ($putres ne 'refused') {
+             &logthis("Result: $putres when attempting to set first access time ".
+                      "(type: $type, extent: $res) for $uname:$udom in $courseid");
+         }
+         return $putres;
      }
      return 'already_set';
  }
- sub checkout {
-     my ($symb,$tuname,$tudom,$tcrsid)=@_;
-     my $now=time;
-     my $lonhost=$perlvar{'lonHostID'};
-     my $infostr=&escape(
-                  'CHECKOUTTOKEN&'.
-                  $tuname.'&'.
-                  $tudom.'&'.
-                  $tcrsid.'&'.
-                  $symb.'&'.
- 		 $now.'&'.$ENV{'REMOTE_ADDR'});
-     my $token=&reply('tmpput:'.$infostr,$lonhost);
-     if ($token=~/^error\:/) {
-         &logthis("<font color=\"blue\">WARNING: ".
-                 "Checkout tmpput failed ".$tudom.' - '.$tuname.' - '.$symb.
-                  "</font>");
-         return '';
-     }
-     $token=~s/^(\d+)\_.*\_(\d+)$/$1\*$2\*$lonhost/;
-     $token=~tr/a-z/A-Z/;
-     my %infohash=('resource.0.outtoken' => $token,
-                   'resource.0.checkouttime' => $now,
-                   'resource.0.outremote' => $ENV{'REMOTE_ADDR'});
-     unless (&cstore(\%infohash,$symb,$tcrsid,$tudom,$tuname) eq 'ok') {
-        return '';
-     } else {
-         &logthis("<font color=\"blue\">WARNING: ".
-                 "Checkout cstore failed ".$tudom.' - '.$tuname.' - '.$symb.
-                  "</font>");
-     }
-     if (&log($tudom,$tuname,&homeserver($tuname,$tudom),
-                          &escape('Checkout '.$infostr.' - '.
-                                                  $token)) ne 'ok') {
- 	return '';
-     } else {
-         &logthis("<font color=\"blue\">WARNING: ".
-                 "Checkout log failed ".$tudom.' - '.$tuname.' - '.$symb.
-                  "</font>");
-     }
-     return $token;
- }
- # ------------------------------------------------------------ Check in an item
- sub checkin {
-     my $token=shift;
-     my $now=time;
-     my ($ta,$tb,$lonhost)=split(/\*/,$token);
-     $lonhost=~tr/A-Z/a-z/;
-     my $dtoken=$ta.'_'.&hostname($lonhost).'_'.$tb;
-     $dtoken=~s/\W/\_/g;
-     my ($dummy,$tuname,$tudom,$tcrsid,$symb,$chtim,$rmaddr)=
-                  split(/\&/,&unescape(&reply('tmpget:'.$dtoken,$lonhost)));
-     unless (($tuname) && ($tudom)) {
-         &logthis('Check in '.$token.' ('.$dtoken.') failed');
-         return '';
-     }
-     unless (&allowed('mgr',$tcrsid)) {
-         &logthis('Check in '.$token.' ('.$dtoken.') unauthorized: '.
-                  $env{'user.name'}.' - '.$env{'user.domain'});
-         return '';
-     }
-     my %infohash=('resource.0.intoken' => $token,
-                   'resource.0.checkintime' => $now,
-                   'resource.0.inremote' => $ENV{'REMOTE_ADDR'});
-     unless (&cstore(\%infohash,$symb,$tcrsid,$tudom,$tuname) eq 'ok') {
-        return '';
-     }
-     if (&log($tudom,$tuname,&homeserver($tuname,$tudom),
-                          &escape('Checkin - '.$token)) ne 'ok') {
- 	return '';
-     }
-     return ($symb,$tuname,$tudom,$tcrsid);
  }
  # --------------------------------------------- Set Expire Date for Spreadsheet
- Line 2560  sub hashref2str {
+ Line 6410  sub hashref2str {
        $result.='=';
        #print("Got a ref of ".(ref($key))." skipping.");
      } else {
- 	if ($key) {$result.=&escape($key).'=';} else { last; }
+ 	if (defined($key)) {$result.=&escape($key).'=';} else { last; }
      }
      if(ref($hashref->{$key}) eq 'ARRAY') {
- Line 2710  sub tmpreset {
+ Line 6560  sub tmpreset {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
-   my $path=$perlvar{'lonDaemons'}.'/tmp';
+   my $path=LONCAPA::tempdir();
    my %hash;
    if (tie(%hash,'GDBM_File',
  	  $path.'/tmpstore_'.$stuname.'_'.$domain.'_'.$namespace.'.db',
  	  &GDBM_WRCREAT(),0640)) {
-     foreach my $key (keys %hash) {
+     foreach my $key (keys(%hash)) {
        if ($key=~ /:$symb/) {
  	delete($hash{$key});
        }
- Line 2747  sub tmpstore {
+ Line 6597  sub tmpstore {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
    my $now=time;
    my %hash;
-   my $path=$perlvar{'lonDaemons'}.'/tmp';
+   my $path=LONCAPA::tempdir();
    if (tie(%hash,'GDBM_File',
  	  $path.'/tmpstore_'.$stuname.'_'.$domain.'_'.$namespace.'.db',
  	  &GDBM_WRCREAT(),0640)) {
- Line 2791  sub tmprestore {
+ Line 6641  sub tmprestore {
    if (!$domain) { $domain=$env{'user.domain'}; }
    if (!$stuname) { $stuname=$env{'user.name'}; }
    if ($domain eq 'public' && $stuname eq 'public') {
-       $stuname=$ENV{'REMOTE_ADDR'};
+       $stuname=&get_requestor_ip();
    }
    my %returnhash;
    $namespace=~s/\//\_/g;
    $namespace=~s/\W//g;
    my %hash;
-   my $path=$perlvar{'lonDaemons'}.'/tmp';
+   my $path=LONCAPA::tempdir();
    if (tie(%hash,'GDBM_File',
  	  $path.'/tmpstore_'.$stuname.'_'.$domain.'_'.$namespace.'.db',
  	  &GDBM_READER(),0640)) {
- Line 2826  sub tmprestore {
+ Line 6676  sub tmprestore {
  # ----------------------------------------------------------------------- Store
  sub store {
-     my ($storehash,$symb,$namespace,$domain,$stuname) = @_;
+     my ($storehash,$symb,$namespace,$domain,$stuname,$laststore) = @_;
      my $home='';
      if ($stuname) { $home=&homeserver($stuname,$domain); }
- Line 2847  sub store {
+ Line 6697  sub store {
      }
      if (!$home) { $home=$env{'user.home'}; }
-     $$storehash{'ip'}=$ENV{'REMOTE_ADDR'};
+     $$storehash{'ip'}=&get_requestor_ip();
      $$storehash{'host'}=$perlvar{'lonHostID'};
      my $namevalue='';
- Line 2856  sub store {
+ Line 6706  sub store {
      }
      $namevalue=~s/\&$//;
      &courselog($symb.':'.$stuname.':'.$domain.':STORE:'.$namevalue);
-     return reply("store:$domain:$stuname:$namespace:$symb:$namevalue","$home");
+     return reply("store:$domain:$stuname:$namespace:$symb:$namevalue:$laststore","$home");
  }
  # -------------------------------------------------------------- Critical Store
  sub cstore {
-     my ($storehash,$symb,$namespace,$domain,$stuname) = @_;
+     my ($storehash,$symb,$namespace,$domain,$stuname,$laststore) = @_;
      my $home='';
      if ($stuname) { $home=&homeserver($stuname,$domain); }
- Line 2883  sub cstore {
+ Line 6733  sub cstore {
      }
      if (!$home) { $home=$env{'user.home'}; }
-     $$storehash{'ip'}=$ENV{'REMOTE_ADDR'};
+     $$storehash{'ip'}=&get_requestor_ip();
      $$storehash{'host'}=$perlvar{'lonHostID'};
      my $namevalue='';
- Line 2893  sub cstore {
+ Line 6743  sub cstore {
      $namevalue=~s/\&$//;
      &courselog($symb.':'.$stuname.':'.$domain.':CSTORE:'.$namevalue);
      return critical
-                 ("store:$domain:$stuname:$namespace:$symb:$namevalue","$home");
+                 ("store:$domain:$stuname:$namespace:$symb:$namevalue:$laststore","$home");
  }
  # --------------------------------------------------------------------- Restore
- Line 2905  sub restore {
+ Line 6755  sub restore {
      if ($stuname) { $home=&homeserver($stuname,$domain); }
      if (!$symb) {
-       unless ($symb=escape(&symbread())) { return ''; }
+         return if ($namespace eq 'courserequests');
+         unless ($symb=escape(&symbread())) { return ''; }
      } else {
-       $symb=&escape(&symbclean($symb));
+         unless ($namespace eq 'courserequests') {
+             $symb=&escape(&symbclean($symb));
+         }
      }
      if (!$namespace) {
         unless ($namespace=$env{'request.course.id'}) {
- Line 2934  sub restore {
+ Line 6787  sub restore {
  }
  # ---------------------------------------------------------- Course Description
+ #
+ #
  sub coursedescription {
      my ($courseid,$args)=@_;
- Line 2963  sub coursedescription {
+ Line 6818  sub coursedescription {
  	return %returnhash;
      }
-     # get the data agin
+     # get the data again
      if (!$args->{'one_time'}) {
  	$envhash{'course.'.$normalid.'.last_cache'}=time;
      }
- Line 2971  sub coursedescription {
+ Line 6827  sub coursedescription {
      if ($chome ne 'no_host') {
         %returnhash=&dump('environment',$cdomain,$cnum);
         if (!exists($returnhash{'con_lost'})) {
+ 	   my $username = $env{'user.name'}; # Defult username
+ 	   if(defined $args->{'user'}) {
+ 	       $username = $args->{'user'};
+ 	   }
             $returnhash{'home'}= $chome;
  	   $returnhash{'domain'} = $cdomain;
  	   $returnhash{'num'} = $cnum;
- Line 2981  sub coursedescription {
+ Line 6841  sub coursedescription {
                 $envhash{'course.'.$normalid.'.'.$name}=$value;
             }
             $returnhash{'url'}=&clutter($returnhash{'url'});
-            $returnhash{'fn'}=$perlvar{'lonDaemons'}.'/tmp/'.
+            $returnhash{'fn'}=LONCAPA::tempdir() .
- 	       $env{'user.name'}.'_'.$cdomain.'_'.$cnum;
+ 	       $username.'_'.$cdomain.'_'.$cnum;
             $envhash{'course.'.$normalid.'.home'}=$chome;
             $envhash{'course.'.$normalid.'.domain'}=$cdomain;
             $envhash{'course.'.$normalid.'.num'}=$cnum;
         }
      }
      if (!$args->{'one_time'}) {
- 	&appenv(%envhash);
+ 	&appenv(\%envhash);
      }
      return %returnhash;
  }
+ sub update_released_required {
+     my ($needsrelease,$cdom,$cnum,$chome,$cid) = @_;
+     if ($cdom eq '' || $cnum eq '' || $chome eq '' || $cid eq '') {
+         $cid = $env{'request.course.id'};
+         $cdom = $env{'course.'.$cid.'.domain'};
+         $cnum = $env{'course.'.$cid.'.num'};
+         $chome = $env{'course.'.$cid.'.home'};
+     }
+     if ($needsrelease) {
+         my %curr_reqd_hash = &userenvironment($cdom,$cnum,'internal.releaserequired');
+         my $needsupdate;
+         if ($curr_reqd_hash{'internal.releaserequired'} eq '') {
+             $needsupdate = 1;
+         } else {
+             my ($currmajor,$currminor) = split(/\./,$curr_reqd_hash{'internal.releaserequired'});
+             my ($needsmajor,$needsminor) = split(/\./,$needsrelease);
+             if (($currmajor < $needsmajor) || ($currmajor == $needsmajor && $currminor < $needsminor)) {
+                 $needsupdate = 1;
+             }
+         }
+         if ($needsupdate) {
+             my %needshash = (
+                              'internal.releaserequired' => $needsrelease,
+                             );
+             my $putresult = &put('environment',\%needshash,$cdom,$cnum);
+             if ($putresult eq 'ok') {
+                 &appenv({'course.'.$cid.'.internal.releaserequired' => $needsrelease});
+                 my %crsinfo = &courseiddump($cdom,'.',1,'.','.',$cnum,undef,undef,'.');
+                 if (ref($crsinfo{$cid}) eq 'HASH') {
+                     $crsinfo{$cid}{'releaserequired'} = $needsrelease;
+                     &courseidput($cdom,\%crsinfo,$chome,'notime');
+                 }
+             }
+         }
+     }
+     return;
+ }
  # -------------------------------------------------See if a user is privileged
  sub privileged {
-     my ($username,$domain)=@_;
+     my ($username,$domain,$possdomains,$possroles)=@_;
-     my $rolesdump=&reply("dump:$domain:$username:roles",
+     my $now = time;
- 			&homeserver($username,$domain));
+     my $roles;
-     if (($rolesdump eq 'con_lost') || ($rolesdump eq '')) { return 0; }
+     if (ref($possroles) eq 'ARRAY') {
-     my $now=time;
+         $roles = $possroles;
-     if ($rolesdump ne '') {
+     } else {
-         foreach my $entry (split(/&/,$rolesdump)) {
+         $roles = ['dc','su'];
- 	    if ($entry!~/^rolesdef_/) {
+     }
- 		my ($area,$role)=split(/=/,$entry);
+     if (ref($possdomains) eq 'ARRAY') {
- 		$area=~s/\_\w\w$//;
+         my %privileged = &privileged_by_domain($possdomains,$roles);
- 		my ($trole,$tend,$tstart)=split(/_/,$role);
+         foreach my $dom (@{$possdomains}) {
- 		if (($trole eq 'dc') || ($trole eq 'su')) {
+             if (($username =~ /^$match_username$/) && ($domain =~ /^$match_domain$/) &&
- 		    my $active=1;
+                 (ref($privileged{$dom}) eq 'HASH')) {
- 		    if ($tend) {
+                 foreach my $role (@{$roles}) {
- 			if ($tend<$now) { $active=0; }
+                     if (ref($privileged{$dom}{$role}) eq 'HASH') {
- 		    }
+                         if (exists($privileged{$dom}{$role}{$username.':'.$domain})) {
- 		    if ($tstart) {
+                             my ($end,$start) = split(/:/,$privileged{$dom}{$role}{$username.':'.$domain});
- 			if ($tstart>$now) { $active=0; }
+                             return 1 unless (($end && $end < $now) ||
- 		    }
+                                              ($start && $start > $now));
- 		    if ($active) { return 1; }
+                         }
- 		}
+                     }
- 	    }
+                 }
- 	}
+             }
+         }
+     } else {
+         my %rolesdump = &dump("roles", $domain, $username) or return 0;
+         my $now = time;
+         for my $role (@rolesdump{grep { ! /^rolesdef_/ } keys(%rolesdump)}) {
+             my ($trole, $tend, $tstart) = split(/_/, $role);
+             if (grep(/^\Q$trole\E$/,@{$roles})) {
+                 return 1 unless ($tend && $tend < $now)
+                         or ($tstart && $tstart > $now);
+             }
+         }
      }
      return 0;
  }
+ sub privileged_by_domain {
+     my ($domains,$roles) = @_;
+     my %privileged = ();
+     my $cachetime = 60*60*24;
+     my $now = time;
+     unless ((ref($domains) eq 'ARRAY') && (ref($roles) eq 'ARRAY')) {
+         return %privileged;
+     }
+     foreach my $dom (@{$domains}) {
+         next if (ref($privileged{$dom}) eq 'HASH');
+         my $needroles;
+         foreach my $role (@{$roles}) {
+             my ($result,$cached)=&is_cached_new('priv_'.$role,$dom);
+             if (defined($cached)) {
+                 if (ref($result) eq 'HASH') {
+                     $privileged{$dom}{$role} = $result;
+                 }
+             } else {
+                 $needroles = 1;
+             }
+         }
+         if ($needroles) {
+             my %dompersonnel = &get_domain_roles($dom,$roles);
+             $privileged{$dom} = {};
+             foreach my $server (keys(%dompersonnel)) {
+                 if (ref($dompersonnel{$server}) eq 'HASH') {
+                     foreach my $item (keys(%{$dompersonnel{$server}})) {
+                         my ($trole,$uname,$udom,$rest) = split(/:/,$item,4);
+                         my ($end,$start) = split(/:/,$dompersonnel{$server}{$item});
+                         next if ($end && $end < $now);
+                         $privileged{$dom}{$trole}{$uname.':'.$udom} =
+                             $dompersonnel{$server}{$item};
+                     }
+                 }
+             }
+             if (ref($privileged{$dom}) eq 'HASH') {
+                 foreach my $role (@{$roles}) {
+                     if (ref($privileged{$dom}{$role}) eq 'HASH') {
+                         &do_cache_new('priv_'.$role,$dom,$privileged{$dom}{$role},$cachetime);
+                     } else {
+                         my %hash = ();
+                         &do_cache_new('priv_'.$role,$dom,\%hash,$cachetime);
+                     }
+                 }
+             }
+         }
+     }
+     return %privileged;
+ }
  # -------------------------------------------------------- Get user privileges
  sub rolesinit {
-     my ($domain,$username,$authhost)=@_;
+     my ($domain, $username) = @_;
-     my $rolesdump=reply("dump:$domain:$username:roles",$authhost);
+     my %userroles = ('user.login.time' => time);
-     if (($rolesdump eq 'con_lost') || ($rolesdump eq '')) { return ''; }
+     my %rolesdump = &dump("roles", $domain, $username) or return \%userroles;
+     # firstaccess and timerinterval are related to timed maps/resources.
+     # also, blocking can be triggered by an activating timer
+     # it's saved in the user's %env.
+     my %firstaccess = &dump('firstaccesstimes', $domain, $username);
+     my %timerinterval = &dump('timerinterval', $domain, $username);
+     my (%coursetimerstarts, %firstaccchk, %firstaccenv, %coursetimerintervals,
+         %timerintchk, %timerintenv, %coauthorenv);
+     foreach my $key (keys(%firstaccess)) {
+         my ($cid, $rest) = split(/\0/, $key);
+         $coursetimerstarts{$cid}{$rest} = $firstaccess{$key};
+     }
+     foreach my $key (keys(%timerinterval)) {
+         my ($cid,$rest) = split(/\0/,$key);
+         $coursetimerintervals{$cid}{$rest} = $timerinterval{$key};
+     }
      my %allroles=();
      my %allgroups=();
-     my $now=time;
+     my %gotcoauconfig=();
-     my %userroles = ('user.login.time' => $now);
+     my %domdefaults=();
-     my $group_privs;
+     for my $area (grep { ! /^rolesdef_/ } keys(%rolesdump)) {
+         my $role = $rolesdump{$area};
+         $area =~ s/\_\w\w$//;
+         my ($trole, $tend, $tstart, $group_privs);
+         if ($role =~ /^cr/) {
+         # Custom role, defined by a user
+         # e.g., user.role.cr/msu/smith/mynewrole
+             if ($role =~ m|^(cr/$match_domain/$match_username/[a-zA-Z0-9]+)_(.*)$|) {
+                 $trole = $1;
+                 ($tend, $tstart) = split('_', $2);
+             } else {
+                 $trole = $role;
+             }
+         } elsif ($role =~ m|^gr/|) {
+         # Role of member in a group, defined within a course/community
+         # e.g., user.role.gr/msu/04935610a19ee4a5fmsul1/leopards
+             ($trole, $tend, $tstart) = split(/_/, $role);
+             next if $tstart eq '-1';
+             ($trole, $group_privs) = split(/\//, $trole);
+             $group_privs = &unescape($group_privs);
+         } else {
+         # Just a normal role, defined in roles.tab
+             ($trole, $tend, $tstart) = split(/_/,$role);
+         }
-     if ($rolesdump ne '') {
+         my %new_role = &set_arearole($trole,$area,$tstart,$tend,$domain,
-         foreach my $entry (split(/&/,$rolesdump)) {
+                  $username);
- 	  if ($entry!~/^rolesdef_/) {
+         @userroles{keys(%new_role)} = @new_role{keys(%new_role)};
-             my ($area,$role)=split(/=/,$entry);
- 	    $area=~s/\_\w\w$//;
+         # role expired or not available yet?
-             my ($trole,$tend,$tstart,$group_privs);
+         $trole = '' if ($tend != 0 && $tend < $userroles{'user.login.time'}) or
- 	    if ($role=~/^cr/) {
+             ($tstart != 0 && $tstart > $userroles{'user.login.time'});
- 		if ($role=~m|^(cr/$match_domain/$match_username/[a-zA-Z0-9]+)_(.*)$|) {
- 		    ($trole,my $trest)=($role=~m|^(cr/$match_domain/$match_username/[a-zA-Z0-9]+)_(.*)$|);
+         next if $area eq '' or $trole eq '';
- 		    ($tend,$tstart)=split('_',$trest);
- 		} else {
+         my $spec = "$trole.$area";
- 		    $trole=$role;
+         my ($tdummy, $tdomain, $trest) = split(/\//, $area);
- 		}
-             } elsif ($role =~ m|^gr/|) {
+         if ($trole =~ /^cr\//) {
-                 ($trole,$tend,$tstart) = split(/_/,$role);
+         # Custom role, defined by a user
-                 ($trole,$group_privs) = split(/\//,$trole);
+             &custom_roleprivs(\%allroles,$trole,$tdomain,$trest,$spec,$area);
-                 $group_privs = &unescape($group_privs);
+         } elsif ($trole eq 'gr') {
- 	    } else {
+         # Role of a member in a group, defined within a course/community
- 		($trole,$tend,$tstart)=split(/_/,$role);
+             &group_roleprivs(\%allgroups,$area,$group_privs,$tend,$tstart);
- 	    }
+             next;
- 	    my %new_role = &set_arearole($trole,$area,$tstart,$tend,$domain,
+         } else {
- 					 $username);
+         # Normal role, defined in roles.tab
- 	    @userroles{keys(%new_role)} = @new_role{keys(%new_role)};
+             &standard_roleprivs(\%allroles,$trole,$tdomain,$spec,$trest,$area);
-             if (($tend!=0) && ($tend<$now)) { $trole=''; }
+             if (($trole eq 'ca') || ($trole eq 'aa')) {
-             if (($tstart!=0) && ($tstart>$now)) { $trole=''; }
+                 (undef,my ($audom,$auname)) = split(/\//,$area);
-             if (($area ne '') && ($trole ne '')) {
+                 unless ($gotcoauconfig{$area}) {
- 		my $spec=$trole.'.'.$area;
+                     my @ca_settings = ('authoreditors','coauthorlist','coauthoroptin');
- 		my ($tdummy,$tdomain,$trest)=split(/\//,$area);
+                     my %info = &userenvironment($audom,$auname,@ca_settings);
- 		if ($trole =~ /^cr\//) {
+                     $gotcoauconfig{$area} = 1;
-                     &custom_roleprivs(\%allroles,$trole,$tdomain,$trest,$spec,$area);
+                     foreach my $item (@ca_settings) {
-                 } elsif ($trole eq 'gr') {
+                         if (exists($info{$item})) {
-                     &group_roleprivs(\%allgroups,$area,$group_privs,$tend,$tstart);
+                             my $name = $item;
- 		} else {
+                             if ($item eq 'authoreditors') {
-                     &standard_roleprivs(\%allroles,$trole,$tdomain,$spec,$trest,$area);
+                                 $name = 'editors';
- 		}
+                                 unless ($info{'authoreditors'}) {
+                                     my %domdefs;
+                                     if (ref($domdefaults{$audom}) eq 'HASH') {
+                                         %domdefs = %{$domdefaults{$audom}};
+                                     } else {
+                                         %domdefs = &get_domain_defaults($audom);
+                                         $domdefaults{$audom} = \%domdefs;
+                                     }
+                                     if ($domdefs{$name} ne '') {
+                                         $info{'authoreditors'} = $domdefs{$name};
+                                     } else {
+                                         $info{'authoreditors'} = 'edit,xml';
+                                     }
+                                 }
+                             }
+                             $coauthorenv{"environment.internal.$name.$area"} = $info{$item};
+                         }
+                     }
+                 }
              }
-           }
          }
-         my ($author,$adv) = &set_userprivs(\%userroles,\%allroles,\%allgroups);
-         $userroles{'user.adv'}    = $adv;
+         my $cid = $tdomain.'_'.$trest;
- 	$userroles{'user.author'} = $author;
+         unless ($firstaccchk{$cid}) {
-         $env{'user.adv'}=$adv;
+             if (ref($coursetimerstarts{$cid}) eq 'HASH') {
+                 foreach my $item (keys(%{$coursetimerstarts{$cid}})) {
+                     $firstaccenv{'course.'.$cid.'.firstaccess.'.$item} =
+                         $coursetimerstarts{$cid}{$item};
+                 }
+             }
+             $firstaccchk{$cid} = 1;
+         }
+         unless ($timerintchk{$cid}) {
+             if (ref($coursetimerintervals{$cid}) eq 'HASH') {
+                 foreach my $item (keys(%{$coursetimerintervals{$cid}})) {
+                     $timerintenv{'course.'.$cid.'.timerinterval.'.$item} =
+                        $coursetimerintervals{$cid}{$item};
+                 }
+             }
+             $timerintchk{$cid} = 1;
+         }
      }
-     return \%userroles;
+     @userroles{'user.author','user.adv','user.rar'} = &set_userprivs(\%userroles,
+                                                           \%allroles, \%allgroups);
+     $env{'user.adv'} = $userroles{'user.adv'};
+     $env{'user.rar'} = $userroles{'user.rar'};
+     return (\%userroles,\%firstaccenv,\%timerintenv,\%coauthorenv);
  }
  sub set_arearole {
-     my ($trole,$area,$tstart,$tend,$domain,$username) = @_;
+     my ($trole,$area,$tstart,$tend,$domain,$username,$nolog) = @_;
+     unless ($nolog) {
  # log the associated role with the area
-     &userrolelog($trole,$username,$domain,$area,$tstart,$tend);
+         &userrolelog($trole,$username,$domain,$area,$tstart,$tend);
+     }
      return ('user.role.'.$trole.'.'.$area => $tstart.'.'.$tend);
  }
  sub custom_roleprivs {
      my ($allroles,$trole,$tdomain,$trest,$spec,$area) = @_;
      my ($rdummy,$rdomain,$rauthor,$rrole)=split(/\//,$trole);
-     my $homsvr=homeserver($rauthor,$rdomain);
+     my $homsvr = &homeserver($rauthor,$rdomain);
      if (&hostname($homsvr) ne '') {
          my ($rdummy,$roledef)=
              &get('roles',["rolesdef_$rrole"],$rdomain,$rauthor);
          if (($rdummy ne 'con_lost') && ($roledef ne '')) {
              my ($syspriv,$dompriv,$coursepriv)=split(/\_/,$roledef);
              if (defined($syspriv)) {
+                 if ($trest =~ /^$match_community$/) {
+                     $syspriv =~ s/bre\&S//;
+                 }
                  $$allroles{'cm./'}.=':'.$syspriv;
                  $$allroles{$spec.'./'}.=':'.$syspriv;
              }
- Line 3108  sub custom_roleprivs {
+ Line 7157  sub custom_roleprivs {
                      $$allroles{$spec.'./'.$tdomain.'/'}.=':'.$dompriv;
                  }
                  if (($trest ne '') && (defined($coursepriv))) {
+                     if ($trole =~ m{^cr/$tdomain/$tdomain\Q-domainconfig\E/([^/]+)$}) {
+                         my $rolename = $1;
+                         $coursepriv = &course_adhocrole_privs($rolename,$tdomain,$trest,$coursepriv);
+                     }
                      $$allroles{'cm.'.$area}.=':'.$coursepriv;
                      $$allroles{$spec.'.'.$area}.=':'.$coursepriv;
                  }
- Line 3116  sub custom_roleprivs {
+ Line 7169  sub custom_roleprivs {
      }
  }
+ sub course_adhocrole_privs {
+     my ($rolename,$cdom,$cnum,$coursepriv) = @_;
+     my %overrides = &get('environment',["internal.adhocpriv.$rolename"],$cdom,$cnum);
+     if ($overrides{"internal.adhocpriv.$rolename"}) {
+         my (%currprivs,%storeprivs);
+         foreach my $item (split(/:/,$coursepriv)) {
+             my ($priv,$restrict) = split(/\&/,$item);
+             $currprivs{$priv} = $restrict;
+         }
+         my (%possadd,%possremove,%full);
+         foreach my $item (split(/\:/,$Apache::lonnet::pr{'cr:c'})) {
+             my ($priv,$restrict)=split(/\&/,$item);
+             $full{$priv} = $restrict;
+         }
+         foreach my $item (split(/,/,$overrides{"internal.adhocpriv.$rolename"})) {
+             next if ($item eq '');
+             my ($rule,$rest) = split(/=/,$item);
+             next unless (($rule eq 'off') || ($rule eq 'on'));
+             foreach my $priv (split(/:/,$rest)) {
+                 if ($priv ne '') {
+                     if ($rule eq 'off') {
+                         $possremove{$priv} = 1;
+                     } else {
+                         $possadd{$priv} = 1;
+                     }
+                 }
+             }
+         }
+         foreach my $priv (sort(keys(%full))) {
+             if (exists($currprivs{$priv})) {
+                 unless (exists($possremove{$priv})) {
+                     $storeprivs{$priv} = $currprivs{$priv};
+                 }
+             } elsif (exists($possadd{$priv})) {
+                 $storeprivs{$priv} = $full{$priv};
+             }
+         }
+         $coursepriv = ':'.join(':',map { $_.'&'.$storeprivs{$_}; } sort(keys(%storeprivs)));
+     }
+     return $coursepriv;
+ }
  sub group_roleprivs {
      my ($allgroups,$area,$group_privs,$tend,$tstart) = @_;
      my $access = 1;
- Line 3147  sub standard_roleprivs {
+ Line 7242  sub standard_roleprivs {
  }
  sub set_userprivs {
-     my ($userroles,$allroles,$allgroups) = @_;
+     my ($userroles,$allroles,$allgroups,$groups_roles) = @_;
      my $author=0;
      my $adv=0;
+     my $rar=0;
      my %grouproles = ();
      if (keys(%{$allgroups}) > 0) {
-         foreach my $role (keys %{$allroles}) {
+         my @groupkeys;
-             my ($trole,$area,$sec,$extendedarea);
+         foreach my $role (keys(%{$allroles})) {
-             if ($role =~ m-^(\w+|cr/$match_domain/$match_username/\w+)\.(/$match_domain/$match_courseid)(/?\w*)\.-) {
+             push(@groupkeys,$role);
-                 $trole = $1;
+         }
-                 $area = $2;
+         if (ref($groups_roles) eq 'HASH') {
-                 $sec = $3;
+             foreach my $key (keys(%{$groups_roles})) {
-                 $extendedarea = $area.$sec;
+                 unless (grep(/^\Q$key\E$/,@groupkeys)) {
-                 if (exists($$allgroups{$area})) {
+                     push(@groupkeys,$key);
-                     foreach my $group (keys(%{$$allgroups{$area}})) {
+                 }
-                         my $spec = $trole.'.'.$extendedarea;
+             }
-                         $grouproles{$spec.'.'.$area.'/'.$group} =
+         }
+         if (@groupkeys > 0) {
+             foreach my $role (@groupkeys) {
+                 my ($trole,$area,$sec,$extendedarea);
+                 if ($role =~ m-^(\w+|cr/$match_domain/$match_username/\w+)\.(/$match_domain/$match_courseid)(/?\w*)\.-) {
+                     $trole = $1;
+                     $area = $2;
+                     $sec = $3;
+                     $extendedarea = $area.$sec;
+                     if (exists($$allgroups{$area})) {
+                         foreach my $group (keys(%{$$allgroups{$area}})) {
+                             my $spec = $trole.'.'.$extendedarea;
+                             $grouproles{$spec.'.'.$area.'/'.$group} =
                                                  $$allgroups{$area}{$group};
+                         }
                      }
                  }
              }
- Line 3174  sub set_userprivs {
+ Line 7283  sub set_userprivs {
      }
      foreach my $role (keys(%{$allroles})) {
          my %thesepriv;
-         if (($role=~/^au/) || ($role=~/^ca/)) { $author=1; }
+         if (($role=~/^au/) || ($role=~/^ca/) || ($role=~/^aa/)) { $author=1; }
          foreach my $item (split(/:/,$$allroles{$role})) {
              if ($item ne '') {
                  my ($privilege,$restrictions)=split(/&/,$item);
- Line 3184  sub set_userprivs {
+ Line 7293  sub set_userprivs {
                      $thesepriv{$privilege}.=$restrictions;
                  }
                  if ($thesepriv{'adv'} eq 'F') { $adv=1; }
+                 if ($thesepriv{'rar'} eq 'F') { $rar=1; }
              }
          }
          my $thesestr='';
-         foreach my $priv (keys(%thesepriv)) {
+         foreach my $priv (sort(keys(%thesepriv))) {
  	    $thesestr.=':'.$priv.'&'.$thesepriv{$priv};
  	}
          $userroles->{'user.priv.'.$role} = $thesestr;
      }
-     return ($author,$adv);
+     return ($author,$adv,$rar);
+ }
+ sub role_status {
+     my ($rolekey,$update,$refresh,$now,$role,$where,$trolecode,$tstatus,$tstart,$tend) = @_;
+     if (exists($env{$rolekey}) && $env{$rolekey} ne '') {
+         my ($one,$two) = split(m{\./},$rolekey,2);
+         (undef,undef,$$role) = split(/\./,$one,3);
+         unless (!defined($$role) || $$role eq '') {
+             $$where = '/'.$two;
+             $$trolecode=$$role.'.'.$$where;
+             ($$tstart,$$tend)=split(/\./,$env{$rolekey});
+             $$tstatus='is';
+             if ($$tstart && $$tstart>$update) {
+                 $$tstatus='future';
+                 if ($$tstart<$now) {
+                     if ($$tstart && $$tstart>$refresh) {
+                         if (($$where ne '') && ($$role ne '')) {
+                             my (%allroles,%allgroups,$group_privs,
+                                 %groups_roles,@rolecodes);
+                             my %userroles = (
+                                 'user.role.'.$$role.'.'.$$where => $$tstart.'.'.$$tend
+                             );
+                             @rolecodes = ('cm');
+                             my $spec=$$role.'.'.$$where;
+                             my ($tdummy,$tdomain,$trest)=split(/\//,$$where);
+                             if ($$role =~ /^cr\//) {
+                                 &custom_roleprivs(\%allroles,$$role,$tdomain,$trest,$spec,$$where);
+                                 push(@rolecodes,'cr');
+                             } elsif ($$role eq 'gr') {
+                                 push(@rolecodes,$$role);
+                                 my %rolehash = &get('roles',[$$where.'_'.$$role],$env{'user.domain'},
+                                                     $env{'user.name'});
+                                 my ($trole) = split('_',$rolehash{$$where.'_'.$$role},2);
+                                 (undef,my $group_privs) = split(/\//,$trole);
+                                 $group_privs = &unescape($group_privs);
+                                 &group_roleprivs(\%allgroups,$$where,$group_privs,$$tend,$$tstart);
+                                 my %course_roles = &get_my_roles($env{'user.name'},$env{'user.domain'},'userroles',['active'],['cc','co','in','ta','ep','ad','st','cr'],[$tdomain],1);
+                                 &get_groups_roles($tdomain,$trest,
+                                                   \%course_roles,\@rolecodes,
+                                                   \%groups_roles);
+                             } else {
+                                 push(@rolecodes,$$role);
+                                 &standard_roleprivs(\%allroles,$$role,$tdomain,$spec,$trest,$$where);
+                             }
+                             my ($author,$adv,$rar)= &set_userprivs(\%userroles,\%allroles,\%allgroups,
+                                                                    \%groups_roles);
+                             &appenv(\%userroles,\@rolecodes);
+                             &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},"Role ".$spec);
+                         }
+                     }
+                     $$tstatus = 'is';
+                 }
+             }
+             if ($$tend) {
+                 if ($$tend<$update) {
+                     $$tstatus='expired';
+                 } elsif ($$tend<$now) {
+                     $$tstatus='will_not';
+                 }
+             }
+         }
+     }
+ }
+ sub get_groups_roles {
+     my ($cdom,$rest,$cdom_courseroles,$rolecodes,$groups_roles) = @_;
+     return unless((ref($cdom_courseroles) eq 'HASH') &&
+                   (ref($rolecodes) eq 'ARRAY') &&
+                   (ref($groups_roles) eq 'HASH'));
+     if (keys(%{$cdom_courseroles}) > 0) {
+         my ($cnum) = ($rest =~ /^($match_courseid)/);
+         if ($cdom ne '' && $cnum ne '') {
+             foreach my $key (keys(%{$cdom_courseroles})) {
+                 if ($key =~ /^\Q$cnum\E:\Q$cdom\E:([^:]+):?([^:]*)/) {
+                     my $crsrole = $1;
+                     my $crssec = $2;
+                     if ($crsrole =~ /^cr/) {
+                         unless (grep(/^cr$/,@{$rolecodes})) {
+                             push(@{$rolecodes},'cr');
+                         }
+                     } else {
+                         unless(grep(/^\Q$crsrole\E$/,@{$rolecodes})) {
+                             push(@{$rolecodes},$crsrole);
+                         }
+                     }
+                     my $rolekey = "$crsrole./$cdom/$cnum";
+                     if ($crssec ne '') {
+                         $rolekey .= "/$crssec";
+                     }
+                     $rolekey .= './';
+                     $groups_roles->{$rolekey} = $rolecodes;
+                 }
+             }
+         }
+     }
+     return;
+ }
+ sub delete_env_groupprivs {
+     my ($where,$courseroles,$possroles) = @_;
+     return unless((ref($courseroles) eq 'HASH') && (ref($possroles) eq 'ARRAY'));
+     my ($dummy,$udom,$uname,$group) = split(/\//,$where);
+     unless (ref($courseroles->{$udom}) eq 'HASH') {
+         %{$courseroles->{$udom}} =
+             &get_my_roles('','','userroles',['active'],
+                           $possroles,[$udom],1);
+     }
+     if (ref($courseroles->{$udom}) eq 'HASH') {
+         foreach my $item (keys(%{$courseroles->{$udom}})) {
+             my ($cnum,$cdom,$crsrole,$crssec) = split(/:/,$item);
+             my $area = '/'.$cdom.'/'.$cnum;
+             my $privkey = "user.priv.$crsrole.$area";
+             if ($crssec ne '') {
+                 $privkey .= '/'.$crssec;
+             }
+             $privkey .= ".$area/$group";
+             &Apache::lonnet::delenv($privkey,undef,[$crsrole]);
+         }
+     }
+     return;
+ }
+ sub check_adhoc_privs {
+     my ($cdom,$cnum,$update,$refresh,$now,$checkrole,$caller,$sec) = @_;
+     my $cckey = 'user.role.'.$checkrole.'./'.$cdom.'/'.$cnum;
+     if ($sec) {
+         $cckey .= '/'.$sec;
+     }
+     my $setprivs;
+     if ($env{$cckey}) {
+         my ($role,$where,$trolecode,$tstart,$tend,$tremark,$tstatus,$tpstart,$tpend);
+         &role_status($cckey,$update,$refresh,$now,\$role,\$where,\$trolecode,\$tstatus,\$tstart,\$tend);
+         unless (($tstatus eq 'is') || ($tstatus eq 'will_not')) {
+             &set_adhoc_privileges($cdom,$cnum,$checkrole,$caller,$sec);
+             $setprivs = 1;
+         }
+     } else {
+         &set_adhoc_privileges($cdom,$cnum,$checkrole,$caller,$sec);
+         $setprivs = 1;
+     }
+     return $setprivs;
+ }
+ sub set_adhoc_privileges {
+ # role can be cc, ca, or cr/<dom>/<dom>-domainconfig/role
+     my ($dcdom,$pickedcourse,$role,$caller,$sec) = @_;
+     my $area = '/'.$dcdom.'/'.$pickedcourse;
+     if ($sec ne '') {
+         $area .= '/'.$sec;
+     }
+     my $spec = $role.'.'.$area;
+     my %userroles = &set_arearole($role,$area,'','',$env{'user.domain'},
+                                   $env{'user.name'},1);
+     my %rolehash = ();
+     if ($role =~ m{^\Qcr/$dcdom/$dcdom\E\-domainconfig/(\w+)$}) {
+         my $rolename = $1;
+         &custom_roleprivs(\%rolehash,$role,$dcdom,$pickedcourse,$spec,$area);
+         my %domdef = &get_domain_defaults($dcdom);
+         if (ref($domdef{'adhocroles'}) eq 'HASH') {
+             if (ref($domdef{'adhocroles'}{$rolename}) eq 'HASH') {
+                 &appenv({'request.role.desc' => $domdef{'adhocroles'}{$rolename}{'desc'},});
+             }
+         }
+     } else {
+         &standard_roleprivs(\%rolehash,$role,$dcdom,$spec,$pickedcourse,$area);
+     }
+     my ($author,$adv,$rar)= &set_userprivs(\%userroles,\%rolehash);
+     &appenv(\%userroles,[$role,'cm']);
+     &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},"Role ".$spec);
+     unless (($caller eq 'constructaccess' && $env{'request.course.id'}) ||
+             ($caller eq 'tiny')) {
+         &appenv( {'request.role'        => $spec,
+                   'request.role.domain' => $dcdom,
+                   'request.course.sec'  => $sec,
+                  }
+                );
+         my $tadv=0;
+         if (&allowed('adv') eq 'F') { $tadv=1; }
+         &appenv({'request.role.adv'    => $tadv});
+     }
  }
  # --------------------------------------------------------------- get interface
- Line 3230  sub del {
+ Line 7520  sub del {
     foreach my $item (@$storearr) {
         $items.=&escape($item).'&';
     }
     $items=~s/\&$//;
     if (!$udomain) { $udomain=$env{'user.domain'}; }
     if (!$uname) { $uname=$env{'user.name'}; }
     my $uhome=&homeserver($uname,$udomain);
     return &reply("del:$udomain:$uname:$namespace:$items",$uhome);
  }
  # -------------------------------------------------------------- dump interface
+ sub unserialize {
+     my ($rep, $escapedkeys) = @_;
+     return {} if $rep =~ /^error/;
+     my %returnhash=();
+ 	foreach my $item (split(/\&/,$rep)) {
+ 	    my ($key, $value) = split(/=/, $item, 2);
+ 	    $key = unescape($key) unless $escapedkeys;
+ 	    next if $key =~ /^error: 2 /;
+ 	    $returnhash{$key} = &thaw_unescape($value);
+ 	}
+     #return %returnhash;
+     return \%returnhash;
+ }
+ # see Lond::dump_with_regexp
+ # if $escapedkeys hash keys won't get unescaped.
  sub dump {
-     my ($namespace,$udomain,$uname,$regexp,$range)=@_;
+     my ($namespace,$udomain,$uname,$regexp,$range,$escapedkeys,$encrypt)=@_;
      if (!$udomain) { $udomain=$env{'user.domain'}; }
      if (!$uname) { $uname=$env{'user.name'}; }
      my $uhome=&homeserver($uname,$udomain);
      if ($regexp) {
- 	$regexp=&escape($regexp);
+         $regexp=&escape($regexp);
+     } else {
+         $regexp='.';
+     }
+     if (grep { $_ eq $uhome } current_machine_ids()) {
+         # user is hosted on this machine
+         my $reply = LONCAPA::Lond::dump_with_regexp(join(":", ($udomain,
+                     $uname, $namespace, $regexp, $range)), $perlvar{'lonVersion'});
+         return %{unserialize($reply, $escapedkeys)};
+     }
+     my $rep;
+     if ($encrypt) {
+         $rep=&reply("encrypt:edump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
      } else {
- 	$regexp='.';
+         $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
      }
-     my $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
      my @pairs=split(/\&/,$rep);
      my %returnhash=();
-     foreach my $item (@pairs) {
+     if (!($rep =~ /^error/ )) {
- 	my ($key,$value)=split(/=/,$item,2);
+ 	foreach my $item (@pairs) {
- 	$key = &unescape($key);
+ 	    my ($key,$value)=split(/=/,$item,2);
- 	next if ($key =~ /^error: 2 /);
+         $key = unescape($key) unless $escapedkeys;
- 	$returnhash{$key}=&thaw_unescape($value);
+         #$key = &unescape($key);
+ 	    next if ($key =~ /^error: 2 /);
+ 	    $returnhash{$key}=&thaw_unescape($value);
+ 	}
      }
      return %returnhash;
  }
  # --------------------------------------------------------- dumpstore interface
  sub dumpstore {
     my ($namespace,$udomain,$uname,$regexp,$range)=@_;
-    if (!$udomain) { $udomain=$env{'user.domain'}; }
+    # same as dump but keys must be escaped. They may contain colon separated
-    if (!$uname) { $uname=$env{'user.name'}; }
+    # lists of values that may themself contain colons (e.g. symbs).
-    my $uhome=&homeserver($uname,$udomain);
+    return &dump($namespace, $udomain, $uname, $regexp, $range, 1);
-    if ($regexp) {
-        $regexp=&escape($regexp);
-    } else {
-        $regexp='.';
-    }
-    my $rep=&reply("dump:$udomain:$uname:$namespace:$regexp:$range",$uhome);
-    my @pairs=split(/\&/,$rep);
-    my %returnhash=();
-    foreach my $item (@pairs) {
-        my ($key,$value)=split(/=/,$item,2);
-        next if ($key =~ /^error: 2 /);
-        $returnhash{$key}=&thaw_unescape($value);
-    }
-    return %returnhash;
  }
  # -------------------------------------------------------------- keys interface
- Line 3308  sub currentdump {
+ Line 7618  sub currentdump {
     $sdom     = $env{'user.domain'}       if (! defined($sdom));
     $sname    = $env{'user.name'}         if (! defined($sname));
     my $uhome = &homeserver($sname,$sdom);
-    my $rep=reply('currentdump:'.$sdom.':'.$sname.':'.$courseid,$uhome);
+    my $rep;
+    if (grep { $_ eq $uhome } current_machine_ids()) {
+        $rep = LONCAPA::Lond::dump_profile_database(join(":", ($sdom, $sname,
+                    $courseid)));
+    } else {
+        $rep = reply('currentdump:'.$sdom.':'.$sname.':'.$courseid,$uhome);
+    }
     return if ($rep =~ /^(error:|no_such_host)/);
     #
     my %returnhash=();
     #
-    if ($rep eq "unknown_cmd") {
+    if ($rep eq 'unknown_cmd') {
         # an old lond will not know currentdump
         # Do a dump and make it look like a currentdump
         my @tmp = &dumpstore($courseid,$sdom,$sname,'.');
- Line 3399  sub inc {
+ Line 7717  sub inc {
  # --------------------------------------------------------------- put interface
  sub put {
-    my ($namespace,$storehash,$udomain,$uname)=@_;
+    my ($namespace,$storehash,$udomain,$uname,$encrypt)=@_;
     if (!$udomain) { $udomain=$env{'user.domain'}; }
     if (!$uname) { $uname=$env{'user.name'}; }
     my $uhome=&homeserver($uname,$udomain);
- Line 3408  sub put {
+ Line 7726  sub put {
         $items.=&escape($item).'='.&freeze_escape($$storehash{$item}).'&';
     }
     $items=~s/\&$//;
-    return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    if ($encrypt) {
+        return &reply("encrypt:put:$udomain:$uname:$namespace:$items",$uhome);
+    } else {
+        return &reply("put:$udomain:$uname:$namespace:$items",$uhome);
+    }
  }
  # ------------------------------------------------------------ newput interface
- Line 3429  sub newput {
+ Line 7751  sub newput {
  # ---------------------------------------------------------  putstore interface
  sub putstore {
-    my ($namespace,$symb,$version,$storehash,$udomain,$uname)=@_;
+    my ($namespace,$symb,$version,$storehash,$udomain,$uname,$tolog)=@_;
     if (!$udomain) { $udomain=$env{'user.domain'}; }
     if (!$uname) { $uname=$env{'user.name'}; }
     my $uhome=&homeserver($uname,$udomain);
- Line 3443  sub putstore {
+ Line 7765  sub putstore {
     my $reply =
         &reply("putstore:$udomain:$uname:$namespace:$esc_symb:$esc_v:$items",
  	      $uhome);
+    if (($tolog) && ($reply eq 'ok')) {
+        my $namevalue='';
+        foreach my $key (keys(%{$storehash})) {
+            $namevalue.=&escape($key).'='.&freeze_escape($storehash->{$key}).'&';
+        }
+        my $ip = &get_requestor_ip();
+        $namevalue .= 'ip='.&escape($ip).
+                      '&host='.&escape($perlvar{'lonHostID'}).
+                      '&version='.$esc_v.
+                      '&by='.&escape($env{'user.name'}.':'.$env{'user.domain'});
+        &courselog($symb.':'.$uname.':'.$udomain.':PUTSTORE:'.$namevalue);
+    }
     if ($reply eq 'unknown_cmd') {
         # gfall back to way things use to be done
         return &old_putstore($namespace,$symb,$version,$storehash,$udomain,
- Line 3536  sub tmpget {
+ Line 7870  sub tmpget {
      if (!defined($server)) { $server = $perlvar{'lonHostID'}; }
      my $rep=&reply("tmpget:$token",$server);
      my %returnhash;
+     if ($rep =~ /^(con_lost|error|no_such_host)/i) {
+         return %returnhash;
+     }
      foreach my $item (split(/\&/,$rep)) {
  	my ($key,$value)=split(/=/,$item);
  	$returnhash{&unescape($key)}=&thaw_unescape($value);
- Line 3543  sub tmpget {
+ Line 7880  sub tmpget {
      return %returnhash;
  }
- # ------------------------------------------------------------ tmpget interface
+ # ------------------------------------------------------------ tmpdel interface
  sub tmpdel {
      my ($token,$server)=@_;
      if (!defined($server)) { $server = $perlvar{'lonHostID'}; }
      return &reply("tmpdel:$token",$server);
  }
+ # ------------------------------------------------------------ get_timebased_id
+ sub get_timebased_id {
+     my ($prefix,$keyid,$namespace,$cdom,$cnum,$idtype,$who,$locktries,
+         $maxtries) = @_;
+     my ($newid,$error,$dellock);
+     unless (($prefix =~ /^\w+$/) && ($keyid =~ /^\w+$/) && ($namespace ne '')) {
+         return ('','ok','invalid call to get suffix');
+     }
+ # set defaults for any optional args for which values were not supplied
+     if ($who eq '') {
+         $who = $env{'user.name'}.':'.$env{'user.domain'};
+     }
+     if (!$locktries) {
+         $locktries = 3;
+     }
+     if (!$maxtries) {
+         $maxtries = 10;
+     }
+     if (($cdom eq '') || ($cnum eq '')) {
+         if ($env{'request.course.id'}) {
+             $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+             $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         }
+         if (($cdom eq '') || ($cnum eq '')) {
+             return ('','ok','call to get suffix not in course context');
+         }
+     }
+ # construct locking item
+     my $lockhash = {
+                       $prefix."\0".'locked_'.$keyid => $who,
+                    };
+     my $tries = 0;
+ # attempt to get lock on nohist_$namespace file
+     my $gotlock = &newput('nohist_'.$namespace,$lockhash,$cdom,$cnum);
+     while (($gotlock ne 'ok') && $tries <$locktries) {
+         $tries ++;
+         sleep 1;
+         $gotlock = &newput('nohist_'.$namespace,$lockhash,$cdom,$cnum);
+     }
+ # attempt to get unique identifier, based on current timestamp
+     if ($gotlock eq 'ok') {
+         my %inuse = &dump('nohist_'.$namespace,$cdom,$cnum,$prefix);
+         my $id = time;
+         $newid = $id;
+         if ($idtype eq 'addcode') {
+             $newid .= &sixnum_code();
+         }
+         my $idtries = 0;
+         while (exists($inuse{$prefix."\0".$newid}) && $idtries < $maxtries) {
+             if ($idtype eq 'concat') {
+                 $newid = $id.$idtries;
+             } elsif ($idtype eq 'addcode') {
+                 $newid = $newid.&sixnum_code();
+             } else {
+                 $newid ++;
+             }
+             $idtries ++;
+         }
+         if (!exists($inuse{$prefix."\0".$newid})) {
+             my %new_item =  (
+                               $prefix."\0".$newid => $who,
+                             );
+             my $putresult = &put('nohist_'.$namespace,\%new_item,
+                                                  $cdom,$cnum);
+             if ($putresult ne 'ok') {
+                 undef($newid);
+                 $error = 'error saving new item: '.$putresult;
+             }
+         } else {
+              undef($newid);
+              $error = ('error: no unique suffix available for the new item ');
+         }
+ #  remove lock
+         my @del_lock = ($prefix."\0".'locked_'.$keyid);
+         $dellock = &Apache::lonnet::del('nohist_'.$namespace,\@del_lock,$cdom,$cnum);
+     } else {
+         $error = "error: could not obtain lockfile\n";
+         $dellock = 'ok';
+         if (($prefix eq 'paste') && ($namespace eq 'courseeditor') && ($keyid eq 'num')) {
+             $dellock = 'nolock';
+         }
+     }
+     return ($newid,$dellock,$error);
+ }
+ sub sixnum_code {
+     my $code;
+     for (0..6) {
+         $code .= int( rand(9) );
+     }
+     return $code;
+ }
  # -------------------------------------------------- portfolio access checking
  sub portfolio_access {
-     my ($requrl) = @_;
+     my ($requrl,$clientip) = @_;
      my (undef,$udom,$unum,$file_name,$group) = &parse_portfolio_url($requrl);
-     my $result = &get_portfolio_access($udom,$unum,$file_name,$group);
+     my $result = &get_portfolio_access($udom,$unum,$file_name,$group,$clientip);
      if ($result) {
          my %setters;
          if ($env{'user.name'} eq 'public' && $env{'user.domain'} eq 'public') {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-                 &Apache::loncommon::blockcheck(\%setters,'port',$unum,$udom);
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip,$unum,$udom);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip)) {
                  return 'B';
              }
          } else {
-             my ($startblock,$endblock) =
+             my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-                 &Apache::loncommon::blockcheck(\%setters,'port');
+                 &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-             if ($startblock && $endblock) {
+             if (($startblock && $endblock) || ($by_ip)) {
                  return 'B';
              }
          }
- Line 3581  sub portfolio_access {
+ Line 8017  sub portfolio_access {
  }
  sub get_portfolio_access {
-     my ($udom,$unum,$file_name,$group,$access_hash) = @_;
+     my ($udom,$unum,$file_name,$group,$clientip,$access_hash,$portaccessref) = @_;
      if (!ref($access_hash)) {
  	my $current_perms = &get_portfile_permissions($udom,$unum);
- Line 3590  sub get_portfolio_access {
+ Line 8026  sub get_portfolio_access {
  	$access_hash = $access_controls{$file_name};
      }
-     my ($public,$guest,@domains,@users,@courses,@groups);
+     my $portaccess;
+     if (ref($portaccess) eq 'SCALAR') {
+         $portaccess = $$portaccessref;
+     } else {
+         $portaccess = &usertools_access($unum,$udom,'portaccess',undef,'tools');
+     }
+     my ($public,$guest,@domains,@users,@courses,@groups,@ips,@userips);
      my $now = time;
      if (ref($access_hash) eq 'HASH') {
          foreach my $key (keys(%{$access_hash})) {
              my ($num,$scope,$end,$start) = ($key =~ /^([^:]+):([a-z]+)_(\d*)_?(\d*)$/);
+             next if (($scope ne 'ip') && ($portaccess == 0));
              if ($start > $now) {
                  next;
              }
- Line 3614  sub get_portfolio_access {
+ Line 8058  sub get_portfolio_access {
                  push(@courses,$key);
              } elsif ($scope eq 'group') {
                  push(@groups,$key);
+             } elsif ($scope eq 'ip') {
+                 push(@ips,$key);
+             } elsif ($scope eq 'userip') {
+                 push(@userips,$key);
              }
          }
          if ($public) {
              return 'ok';
+         } elsif (@ips > 0) {
+             my $allowed;
+             foreach my $ipkey (@ips) {
+                 if (ref($access_hash->{$ipkey}{'ip'}) eq 'ARRAY') {
+                     if (&Apache::loncommon::check_ip_acc(join(',',@{$access_hash->{$ipkey}{'ip'}}),$clientip)) {
+                         $allowed = 1;
+                         last;
+                     }
+                 }
+             }
+             if ($allowed) {
+                 return 'ok';
+             }
+         } elsif (@userips > 0) {
+             my $allowed;
+             foreach my $useripkey (@userips) {
+                 if (ref($access_hash->{$useripkey}{'ip'}) eq 'ARRAY') {
+                     if (&Apache::loncommon::check_ip_acc(join(',',@{$access_hash->{$useripkey}{'ip'}}),$clientip)) {
+                         $allowed = 1;
+                         last;
+                     }
+                 }
+             }
+             if ($allowed) {
+                 return 'ok';
+             }
          }
          if ($env{'user.name'} eq 'public' && $env{'user.domain'} eq 'public') {
              if ($guest) {
- Line 3654  sub get_portfolio_access {
+ Line 8128  sub get_portfolio_access {
                  my (%allgroups,%allroles);
                  my ($start,$end,$role,$sec,$group);
                  foreach my $envkey (%env) {
-                     if ($envkey =~ m-^user\.role\.(gr|cc|in|ta|ep|st)\./($match_domain)/($match_courseid)/?([^/]*)$-) {
+                     if ($envkey =~ m-^user\.role\.(gr|cc|co|in|ta|ep|ad|st)\./($match_domain)/($match_courseid)/?([^/]*)$-) {
                          my $cid = $2.'_'.$3;
                          if ($1 eq 'gr') {
                              $group = $4;
- Line 3793  sub is_portfolio_file {
+ Line 8267  sub is_portfolio_file {
      return;
  }
+ sub is_coursetool_logo {
+     my ($uri) = @_;
+     if ($env{'request.course.id'}) {
+         my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
+         if ($uri =~ m{^/*uploaded\Q$courseurl\E/toollogo/\d+/[^/]+$}) {
+             return 1;
+         }
+     }
+     return;
+ }
+ sub usertools_access {
+     my ($uname,$udom,$tool,$action,$context,$userenvref,$domdefref,$is_advref)=@_;
+     my ($access,%tools);
+     if ($context eq '') {
+         $context = 'tools';
+     }
+     if ($context eq 'requestcourses') {
+         %tools = (
+                       official   => 1,
+                       unofficial => 1,
+                       community  => 1,
+                       textbook   => 1,
+                       placement  => 1,
+                       lti        => 1,
+                  );
+     } elsif ($context eq 'requestauthor') {
+         %tools = (
+                       requestauthor => 1,
+                  );
+     } elsif ($context eq 'authordefaults') {
+         %tools = (
+                       webdav    => 1,
+                  );
+     } else {
+         %tools = (
+                       aboutme   => 1,
+                       blog      => 1,
+                       webdav    => 1,
+                       portfolio => 1,
+                       portaccess => 1,
+                       timezone  => 1,
+                  );
+     }
+     return if (!defined($tools{$tool}));
+     if (($udom eq '') || ($uname eq '')) {
+         $udom = $env{'user.domain'};
+         $uname = $env{'user.name'};
+     }
+     if (($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'})) {
+         if ($action ne 'reload') {
+             if ($context eq 'requestcourses') {
+                 return $env{'environment.canrequest.'.$tool};
+             } elsif ($context eq 'requestauthor') {
+                 return $env{'environment.canrequest.author'};
+             } elsif ($context eq 'authordefaults') {
+                 if ($tool eq 'webdav') {
+                     return $env{'environment.availabletools.'.$tool};
+                 }
+             } else {
+                 return $env{'environment.availabletools.'.$tool};
+             }
+         }
+     }
+     my ($toolstatus,$inststatus,$envkey);
+     if ($context eq 'requestauthor') {
+         $envkey = $context;
+     } elsif ($context eq 'authordefaults') {
+         if ($tool eq 'webdav') {
+             $envkey = 'tools.'.$tool;
+         }
+     } else {
+         $envkey = $context.'.'.$tool;
+     }
+     if (($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'}) &&
+          ($action ne 'reload')) {
+         $toolstatus = $env{'environment.'.$envkey};
+         $inststatus = $env{'environment.inststatus'};
+     } else {
+         if (ref($userenvref) eq 'HASH') {
+             $toolstatus = $userenvref->{$envkey};
+             $inststatus = $userenvref->{'inststatus'};
+         } else {
+             my %userenv = &userenvironment($udom,$uname,$envkey,'inststatus');
+             $toolstatus = $userenv{$envkey};
+             $inststatus = $userenv{'inststatus'};
+         }
+     }
+     if ($toolstatus ne '') {
+         if ($toolstatus) {
+             $access = 1;
+         } else {
+             $access = 0;
+         }
+         return $access;
+     }
+     my ($is_adv,%domdef);
+     if (ref($is_advref) eq 'HASH') {
+         $is_adv = $is_advref->{'is_adv'};
+     } else {
+         $is_adv = &is_advanced_user($udom,$uname);
+     }
+     if (ref($domdefref) eq 'HASH') {
+         %domdef = %{$domdefref};
+     } else {
+         %domdef = &get_domain_defaults($udom);
+     }
+     if (ref($domdef{$tool}) eq 'HASH') {
+         if ($is_adv) {
+             if ($domdef{$tool}{'_LC_adv'} ne '') {
+                 if ($domdef{$tool}{'_LC_adv'}) {
+                     $access = 1;
+                 } else {
+                     $access = 0;
+                 }
+                 return $access;
+             }
+         }
+         if ($inststatus ne '') {
+             my ($hasaccess,$hasnoaccess);
+             foreach my $affiliation (split(/:/,$inststatus)) {
+                 if ($domdef{$tool}{$affiliation} ne '') {
+                     if ($domdef{$tool}{$affiliation}) {
+                         $hasaccess = 1;
+                     } else {
+                         $hasnoaccess = 1;
+                     }
+                 }
+             }
+             if ($hasaccess || $hasnoaccess) {
+                 if ($hasaccess) {
+                     $access = 1;
+                 } elsif ($hasnoaccess) {
+                     $access = 0;
+                 }
+                 return $access;
+             }
+         } else {
+             if ($domdef{$tool}{'default'} ne '') {
+                 if ($domdef{$tool}{'default'}) {
+                     $access = 1;
+                 } elsif ($domdef{$tool}{'default'} == 0) {
+                     $access = 0;
+                 }
+                 return $access;
+             }
+         }
+     } else {
+         if (($context eq 'tools') && ($tool ne 'webdav')) {
+             $access = 1;
+         } else {
+             $access = 0;
+         }
+         return $access;
+     }
+ }
+ sub is_course_owner {
+     my ($cdom,$cnum,$udom,$uname) = @_;
+     if (($udom eq '') || ($uname eq '')) {
+         $udom = $env{'user.domain'};
+         $uname = $env{'user.name'};
+     }
+     unless (($udom eq '') || ($uname eq '')) {
+         if (exists($env{'course.'.$cdom.'_'.$cnum.'.internal.courseowner'})) {
+             if ($env{'course.'.$cdom.'_'.$cnum.'.internal.courseowner'} eq $uname.':'.$udom) {
+                 return 1;
+             } else {
+                 my %courseinfo = &coursedescription($cdom.'/'.$cnum);
+                 if ($courseinfo{'internal.courseowner'} eq $uname.':'.$udom) {
+                     return 1;
+                 }
+             }
+         }
+     }
+     return;
+ }
+ sub is_advanced_user {
+     my ($udom,$uname,$nocache) = @_;
+     my ($is_adv,$is_author,$use_cache,$hashid);
+     if ($udom ne '' && $uname ne '') {
+         if (($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'})) {
+             if (wantarray) {
+                 return ($env{'user.adv'},$env{'user.author'});
+             } else {
+                 return $env{'user.adv'};
+             }
+         } elsif (!$nocache) {
+             $use_cache = 1;
+             $hashid = "$udom:$uname";
+             my ($info,$cached)=&is_cached_new('isadvau',$hashid);
+             if ($cached) {
+                 ($is_adv,$is_author) = split(/:/,$info);
+                 if (wantarray) {
+                     return ($is_adv,$is_author);
+                 }
+                 return $is_adv;
+             }
+         }
+     }
+     my %roleshash = &get_my_roles($uname,$udom,'userroles',undef,undef,undef,1);
+     my %allroles;
+     foreach my $role (keys(%roleshash)) {
+         my ($trest,$tdomain,$trole,$sec) = split(/:/,$role);
+         my $area = '/'.$tdomain.'/'.$trest;
+         if ($sec ne '') {
+             $area .= '/'.$sec;
+         }
+         if (($area ne '') && ($trole ne '')) {
+             my $spec=$trole.'.'.$area;
+             if ($trole =~ /^cr\//) {
+                 &custom_roleprivs(\%allroles,$trole,$tdomain,$trest,$spec,$area);
+             } elsif ($trole ne 'gr') {
+                 &standard_roleprivs(\%allroles,$trole,$tdomain,$spec,$trest,$area);
+             }
+             if ($trole eq 'au') {
+                 $is_author = 1;
+             }
+         }
+     }
+     foreach my $role (keys(%allroles)) {
+         last if ($is_adv);
+         foreach my $item (split(/:/,$allroles{$role})) {
+             if ($item ne '') {
+                 my ($privilege,$restrictions)=split(/&/,$item);
+                 if ($privilege eq 'adv') {
+                     $is_adv = 1;
+                     last;
+                 }
+             }
+         }
+     }
+     if ($use_cache) {
+         my $cachetime = 600;
+         &do_cache_new('isadvau',$hashid,$is_adv.':'.$is_author,$cachetime);
+     }
+     if (wantarray) {
+         return ($is_adv,$is_author);
+     }
+     return $is_adv;
+ }
+ sub check_can_request {
+     my ($dom,$can_request,$request_domains,$uname,$udom) = @_;
+     my $canreq = 0;
+     if (($env{'user.name'} ne '') && ($env{'user.domain'} ne '')) {
+         $uname = $env{'user.name'};
+         $udom = $env{'user.domain'};
+     }
+     my ($types,$typename) = &Apache::loncommon::course_types();
+     my @options = ('approval','validate','autolimit');
+     my $optregex = join('|',@options);
+     if ((ref($can_request) eq 'HASH') && (ref($types) eq 'ARRAY')) {
+         my %willtrust;
+         foreach my $type (@{$types}) {
+             if (&usertools_access($uname,$udom,$type,undef,
+                                   'requestcourses')) {
+                 $canreq ++;
+                 if (ref($request_domains) eq 'HASH') {
+                     push(@{$request_domains->{$type}},$udom);
+                 }
+                 if ($dom eq $udom) {
+                     $can_request->{$type} = 1;
+                 }
+             }
+             if (($env{'user.name'} ne '') && ($env{'user.domain'} ne '') &&
+                 ($env{'environment.reqcrsotherdom.'.$type} ne '')) {
+                 my @curr = split(',',$env{'environment.reqcrsotherdom.'.$type});
+                 if (@curr > 0) {
+                     foreach my $item (@curr) {
+                         if (ref($request_domains) eq 'HASH') {
+                             my ($otherdom) = ($item =~ /^($match_domain):($optregex)(=?\d*)$/);
+                             if ($otherdom ne '') {
+                                 unless (exists($willtrust{$otherdom})) {
+                                     $willtrust{$otherdom} = &will_trust('reqcrs',$env{'user.domain'},$otherdom);
+                                 }
+                                 if ($willtrust{$otherdom}) {
+                                     if (ref($request_domains->{$type}) eq 'ARRAY') {
+                                         unless (grep(/^\Q$otherdom\E$/,@{$request_domains->{$type}})) {
+                                             push(@{$request_domains->{$type}},$otherdom);
+                                         }
+                                     } else {
+                                         push(@{$request_domains->{$type}},$otherdom);
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                     unless ($dom eq $env{'user.domain'}) {
+                         $canreq ++;
+                         if (grep(/^\Q$dom\E:($optregex)(=?\d*)$/,@curr)) {
+                             $can_request->{$type} = 1;
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return $canreq;
+ }
  # ---------------------------------------------- Custom access rule evaluation
- Line 3846  sub customaccess {
+ Line 8627  sub customaccess {
  # ------------------------------------------------- Check for a user privilege
  sub allowed {
-     my ($priv,$uri,$symb,$role)=@_;
+     my ($priv,$uri,$symb,$role,$clientip,$noblockcheck,$ignorecache,$nodeeplinkcheck,$nodeeplinkout)=@_;
      my $ver_orguri=$uri;
      $uri=&deversion($uri);
      my $orguri=$uri;
      $uri=&declutter($uri);
      if ($priv eq 'evb') {
- # Evade communication block restrictions for specified role in a course
+ # Evade communication block restrictions for specified role in a course or domain
          if ($env{'user.priv.'.$role} =~/evb\&([^\:]*)/) {
              return $1;
          } else {
- Line 3863  sub allowed {
+ Line 8644  sub allowed {
      if (defined($env{'allowed.'.$priv})) { return $env{'allowed.'.$priv}; }
  # Free bre access to adm and meta resources
-     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard)$}))
+     if (((($uri=~/^adm\//) && ($uri !~ m{/(?:smppg|bulletinboard|viewclasslist|aboutme|ext\.tool)$}))
  	 || (($uri=~/\.meta$/) && ($uri!~m|^uploaded/|) ))
  	&& ($priv eq 'bre')) {
  	return 'F';
- Line 3874  sub allowed {
+ Line 8655  sub allowed {
      if (($space=~/^(uploaded|editupload)$/) && ($env{'user.name'} eq $name) &&
  	($env{'user.domain'} eq $domain) && ('portfolio' eq $dir[0])) {
          my %setters;
-         my ($startblock,$endblock) =
+         my ($startblock,$endblock,$triggerblock,$by_ip,$blockdom) =
-             &Apache::loncommon::blockcheck(\%setters,'port');
+             &Apache::loncommon::blockcheck(\%setters,'port',$clientip);
-         if ($startblock && $endblock) {
+         if (($startblock && $endblock) || ($by_ip)) {
              return 'B';
          } else {
              return 'F';
- Line 3911  sub allowed {
+ Line 8692  sub allowed {
  # Free bre to public access
      if ($priv eq 'bre') {
-         my $copyright=&metadata($uri,'copyright');
+         my $copyright;
+         unless ($uri =~ /ext\.tool/) {
+             $copyright=&metadata($uri,'copyright');
+         }
  	if (($copyright eq 'public') && (!$env{'request.course.id'})) {
             return 'F';
          }
- Line 3948  sub allowed {
+ Line 8732  sub allowed {
      my $statecond=0;
      my $courseprivid='';
+     my $ownaccess;
+     # Community Coordinator or Assistant Co-author browsing resource space.
+     if (($priv eq 'bro') && ($env{'user.author'})) {
+         if ($uri eq '') {
+             $ownaccess = 1;
+         } else {
+             if (($env{'user.domain'} ne '') && ($env{'user.name'} ne '')) {
+                 my $udom = $env{'user.domain'};
+                 my $uname = $env{'user.name'};
+                 if ($uri =~ m{^\Q$udom\E/?$}) {
+                     $ownaccess = 1;
+                 } elsif ($uri =~ m{^\Q$udom\E/\Q$uname\E/?}) {
+                     unless ($uri =~ m{\.\./}) {
+                         $ownaccess = 1;
+                     }
+                 } elsif (($udom ne 'public') && ($uname ne 'public')) {
+                     my $now = time;
+                     if ($uri =~ m{^([^/]+)/?$}) {
+                         my $adom = $1;
+                         foreach my $key (keys(%env)) {
+                             if ($key =~ m{^user\.role\.(ca|aa)/\Q$adom\E}) {
+                                 my ($start,$end) = split(/\./,$env{$key});
+                                 if (($now >= $start) && (!$end || $end > $now)) {
+                                     $ownaccess = 1;
+                                     last;
+                                 }
+                             }
+                         }
+                     } elsif ($uri =~ m{^([^/]+)/([^/]+)/?}) {
+                         my $adom = $1;
+                         my $aname = $2;
+                         foreach my $role ('ca','aa') {
+                             if ($env{"user.role.$role./$adom/$aname"}) {
+                                 my ($start,$end) =
+                                     split(/\./,$env{"user.role.$role./$adom/$aname"});
+                                 if (($now >= $start) && (!$end || $end > $now)) {
+                                     $ownaccess = 1;
+                                     last;
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
  # Course
      if ($env{'user.priv.'.$env{'request.role'}.'./'}=~/\Q$priv\E\&([^\:]*)/) {
-        $thisallowed.=$1;
+         unless (($priv eq 'bro') && (!$ownaccess)) {
+             $thisallowed.=$1;
+         }
      }
  # Domain
      if ($env{'user.priv.'.$env{'request.role'}.'./'.(split(/\//,$uri))[0].'/'}
         =~/\Q$priv\E\&([^\:]*)/) {
-        $thisallowed.=$1;
+         unless (($priv eq 'bro') && (!$ownaccess)) {
+             $thisallowed.=$1;
+         }
+     }
+ # User who is not author or co-author might still be able to edit
+ # resource of an author in the domain (e.g., if Domain Coordinator).
+     if (($priv eq 'eco') && ($thisallowed eq '') && ($env{'request.course.id'}) &&
+         (&allowed('mdc',$env{'request.course.id'}))) {
+         if ($env{"user.priv.cm./$uri/"}=~/\Q$priv\E\&([^\:]*)/) {
+             $thisallowed.=$1;
+         }
      }
  # Course: uri itself is a course
- Line 3968  sub allowed {
+ Line 8812  sub allowed {
      if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseuri}
         =~/\Q$priv\E\&([^\:]*)/) {
-        $thisallowed.=$1;
+         if ($priv eq 'mip') {
+             my $rem = $1;
+             if (($uri ne '') && ($env{'request.course.id'} eq $uri) &&
+                 ($env{'course.'.$env{'request.course.id'}.'.internal.courseowner'} eq $env{'user.name'}.':'.$env{'user.domain'})) {
+                 my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+                 if ($cdom ne '') {
+                     my %passwdconf = &get_passwdconf($cdom);
+                     if (ref($passwdconf{'crsownerchg'}) eq 'HASH') {
+                         if (ref($passwdconf{'crsownerchg'}{'by'}) eq 'ARRAY') {
+                             if (@{$passwdconf{'crsownerchg'}{'by'}}) {
+                                 my @inststatuses = split(':',$env{'environment.inststatus'});
+                                 unless (@inststatuses) {
+                                     @inststatuses = ('default');
+                                 }
+                                 foreach my $status (@inststatuses) {
+                                     if (grep(/^\Q$status\E$/,@{$passwdconf{'crsownerchg'}{'by'}})) {
+                                         $thisallowed.=$rem;
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         } else {
+             unless (($priv eq 'bro') && (!$ownaccess)) {
+                 $thisallowed.=$1;
+             }
+         }
      }
  # URI is an uploaded document for this course, default permissions don't matter
- Line 3979  sub allowed {
+ Line 8851  sub allowed {
          if ($match) {
              if ($env{'user.priv.'.$env{'request.role'}.'./'}
                    =~/\Q$priv\E\&([^\:]*)/) {
-                 $thisallowed.=$1;
+                 my $value = $1;
+                 my $deeplinkblock;
+                 unless ($nodeeplinkcheck) {
+                     $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                 }
+                 if ($deeplinkblock) {
+                     $thisallowed='D';
+                 } elsif ($noblockcheck) {
+                     $thisallowed.=$value;
+                 } else {
+                     my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
+                     if (@blockers > 0) {
+                         $thisallowed = 'B';
+                     } else {
+                         $thisallowed.=$value;
+                     }
+                 }
              }
          } else {
              my $refuri = $env{'httpref.'.$orguri} || $env{'httpref.'.$ver_orguri};
- Line 3990  sub allowed {
+ Line 8878  sub allowed {
                      $refuri=&declutter($refuri);
                      my ($match) = &is_on_map($refuri);
                      if ($match) {
-                         $thisallowed='F';
+                         my $deeplinkblock;
+                         unless ($nodeeplinkcheck) {
+                             $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                         }
+                         if ($deeplinkblock) {
+                             $thisallowed='D';
+                         } elsif ($noblockcheck) {
+                             $thisallowed='F';
+                         } else {
+                             my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
+                             if (@blockers > 0) {
+                                 $thisallowed = 'B';
+                             } else {
+                                 $thisallowed='F';
+                             }
+                         }
                      }
                  }
              }
- Line 4001  sub allowed {
+ Line 8904  sub allowed {
  	&& $thisallowed ne 'F'
  	&& $thisallowed ne '2'
  	&& &is_portfolio_url($uri)) {
- 	$thisallowed = &portfolio_access($uri);
+ 	$thisallowed = &portfolio_access($uri,$clientip);
      }
- # Full access at system, domain or course-wide level? Exit.
+ # Full access at system, domain or course-wide level? Exit.
      if ($thisallowed=~/F/) {
  	return 'F';
      }
  # If this is generating or modifying users, exit with special codes
-     if (':csu:cdc:ccc:cin:cta:cep:ccr:cst:cad:cli:cau:cdg:cca:caa:'=~/\:\Q$priv\E\:/) {
+     if (':csu:cdc:ccc:cin:cta:cep:ccr:cst:cad:cli:cau:cdg:cca:caa:vca:vaa:'=~/\:\Q$priv\E\:/) {
  	if (($priv eq 'cca') || ($priv eq 'caa')) {
  	    my ($audom,$auname)=split('/',$uri);
  # no author name given, so this just checks on the general right to make a co-author in this domain
- Line 4021  sub allowed {
+ Line 8923  sub allowed {
  	    if (($auname ne $env{'user.name'} && $env{'request.role'} !~ /^dc\./) ||
  		(($audom ne $env{'user.domain'} && $env{'request.role'} !~ /^dc\./) &&
  		 ($audom ne $env{'request.role.domain'}))) { return ''; }
+ 	} elsif (($priv eq 'vca') || ($priv eq 'vaa')) {
+             my ($audom,$auname)=split('/',$uri);
+             unless ($auname) { return $thisallowed; }
+             unless (($env{'request.role'} eq "dc./$audom") ||
+                     ($env{'request.role'} eq "ca./$uri")) {
+                 return '';
+             }
  	}
  	return $thisallowed;
      }
- Line 4032  sub allowed {
+ Line 8941  sub allowed {
      if ($env{'request.course.id'}) {
+         if ($priv eq 'bre') {
+             if (&is_coursetool_logo($uri)) {
+                 return 'F';
+             }
+         }
+ # If this is modifying password (internal auth) domains must match for user and user's role.
+         if ($priv eq 'mip') {
+             if ($env{'user.domain'} eq $env{'request.role.domain'}) {
+                 return $thisallowed;
+             } else {
+                 return '';
+             }
+         }
         $courseprivid=$env{'request.course.id'};
         if ($env{'request.course.sec'}) {
            $courseprivid.='/'.$env{'request.course.sec'};
- Line 4043  sub allowed {
+ Line 8968  sub allowed {
             $statecond=$cond;
             if ($env{'user.priv.'.$env{'request.role'}.'./'.$courseprivid}
                 =~/\Q$priv\E\&([^\:]*)/) {
-                $thisallowed.=$1;
+                my $value = $1;
+                if ($priv eq 'bre') {
+                    my $deeplinkblock;
+                    unless ($nodeeplinkcheck) {
+                        $deeplinkblock = &deeplink_check($priv,$symb,$uri);
+                    }
+                    if ($deeplinkblock) {
+                        $thisallowed = 'D';
+                    } elsif ($noblockcheck) {
+                        $thisallowed.=$value;
+                    } else {
+                        my @blockers = &has_comm_blocking($priv,$symb,$uri,$ignorecache);
+                        if (@blockers > 0) {
+                            $thisallowed = 'B';
+                        } else {
+                            $thisallowed.=$value;
+                        }
+                    }
+                } else {
+                    $thisallowed.=$value;
+                }
                 $checkreferer=0;
             }
         }
         if ($checkreferer) {
  	  my $refuri=$env{'httpref.'.$orguri};
              unless ($refuri) {
- Line 4071  sub allowed {
+ Line 9016  sub allowed {
                my $refstatecond=$cond;
                if ($env{'user.priv.'.$env{'request.role'}.'./'.$courseprivid}
                    =~/\Q$priv\E\&([^\:]*)/) {
-                   $thisallowed.=$1;
+                   my $value = $1;
+                   if ($priv eq 'bre') {
+                       my $deeplinkblock;
+                       unless ($nodeeplinkcheck) {
+                           $deeplinkblock = &deeplink_check($priv,$symb,$refuri);
+                       }
+                       if ($deeplinkblock) {
+                           $thisallowed = 'D';
+                       } elsif ($noblockcheck) {
+                           $thisallowed.=$value;
+                       } else {
+                           my @blockers = &has_comm_blocking($priv,'',$refuri,'',1);
+                           if (@blockers > 0) {
+                               $thisallowed = 'B';
+                           } else {
+                               $thisallowed.=$value;
+                           }
+                       }
+                   } else {
+                       $thisallowed.=$value;
+                   }
                    $uri=$refuri;
                    $statecond=$refstatecond;
                }
- Line 4104  sub allowed {
+ Line 9069  sub allowed {
  #
  # Possibly locked functionality, check all courses
+ # In roles.tab, L (unless locked) available for bre, pch, plc, pac and sma.
  # Locks might take effect only after 10 minutes cache expiration for other
- # courses, and 2 minutes for current course
+ # courses, and 2 minutes for current course, in which user has st or ta role
+ # which is neither expired nor a future role (unless current course).
-     my $envkey;
+     my ($needlockcheck,$now,$crsonly);
      if ($thisallowed=~/L/) {
-         foreach $envkey (keys %env) {
+         $now = time;
+         if ($priv eq 'bre') {
+             if ($uri ne '') {
+                 if ($orguri =~ m{^/+res/}) {
+                     if ($uri =~ m{^lib/templates/}) {
+                         if ($env{'request.course.id'}) {
+                             $crsonly = 1;
+                             $needlockcheck = 1;
+                         }
+                     } else {
+                         $needlockcheck = 1;
+                     }
+                 } elsif ($env{'request.course.id'}) {
+                     my ($crsdom,$crsnum) = split('_',$env{'request.course.id'});
+                     if (($uri =~ m{^(adm|uploaded|public)/$crsdom/$crsnum/}) ||
+                         ($uri =~ m{^adm/$match_domain/$match_username/\d+/(smppg|bulletinboard)$})) {
+                         $crsonly = 1;
+                     }
+                     $needlockcheck = 1;
+                 }
+             }
+         } elsif (($priv eq 'pch') || ($priv eq 'plc') || ($priv eq 'pac') || ($priv eq 'sma')) {
+             $needlockcheck = 1;
+         }
+     }
+     if ($needlockcheck) {
+         foreach my $envkey (keys(%env)) {
             if ($envkey=~/^user\.role\.(st|ta)\.([^\.]*)/) {
                 my $courseid=$2;
                 my $roleid=$1.'.'.$2;
                 $courseid=~s/^\///;
+                unless ($env{'request.role'} eq $roleid) {
+                    my ($start,$end) = split(/\./,$env{$envkey});
+                    next unless (($now >= $start) && (!$end || $end > $now));
+                }
                 my $expiretime=600;
                 if ($env{'request.role'} eq $roleid) {
  		  $expiretime=120;
- Line 4136  sub allowed {
+ Line 9133  sub allowed {
                 }
                 if (($env{$prefix.'priv.'.$priv.'.lock.sections'}=~/\,\Q$csec\E\,/)
                  || ($env{$prefix.'priv.'.$priv.'.lock.sections'} eq 'all')) {
- 		   if ($env{'priv.'.$priv.'.lock.expire'}>time) {
+ 		   if ($env{$prefix.'priv.'.$priv.'.lock.expire'}>time) {
                         &log($env{'user.domain'},$env{'user.name'},
                              $env{'user.home'},
                              'Locked by priv: '.$priv.' for '.$uri.' due to '.
- Line 4148  sub allowed {
+ Line 9145  sub allowed {
  	   }
         }
      }
  #
  # Rest of the restrictions depend on selected course
  #
- Line 4175  sub allowed {
+ Line 9172  sub allowed {
         my $unamedom=$env{'user.name'}.':'.$env{'user.domain'};
         if ($env{'course.'.$env{'request.course.id'}.'.'.$priv.'.roles.denied'}
  	   =~/\Q$rolecode\E/) {
- 	   if ($priv ne 'pch') {
+ 	   if (($priv ne 'pch') && ($priv ne 'plc') && ($priv ne 'pac')) {
  	       &logthis($env{'user.domain'}.':'.$env{'user.name'}.':'.$env{'user.home'}.':'.
  			'Denied by role: '.$priv.' for '.$uri.' as '.$rolecode.' in '.
  			$env{'request.course.id'});
- Line 4185  sub allowed {
+ Line 9182  sub allowed {
         if ($env{'course.'.$env{'request.course.id'}.'.'.$priv.'.users.denied'}
  	   =~/\Q$unamedom\E/) {
- 	   if ($priv ne 'pch') {
+ 	   if (($priv ne 'pch') && ($priv ne 'plc') && ($priv ne 'pac')) {
  	       &logthis($env{'user.domain'}.':'.$env{'user.name'}.':'.$env{'user.home'}.
  			'Denied by user: '.$priv.' for '.$uri.' as '.$unamedom.' in '.
  			$env{'request.course.id'});
- Line 4199  sub allowed {
+ Line 9196  sub allowed {
     if ($thisallowed=~/R/) {
         my $rolecode=(split(/\./,$env{'request.role'}))[0];
         if (&metadata($uri,'roledeny')=~/\Q$rolecode\E/) {
- 	   if ($priv ne 'pch') {
+ 	   if (($priv ne 'pch') && ($priv ne 'plc')) {
  	       &logthis($env{'user.domain'}.':'.$env{'user.name'}.':'.$env{'user.home'}.':'.
  			'Denied by role: '.$priv.' for '.$uri.' as '.$rolecode);
  	   }
- Line 4207  sub allowed {
+ Line 9204  sub allowed {
         }
     }
+ # Restricted for deeplinked session?
+     if ($env{'request.deeplink.login'}) {
+         if ($env{'acc.deeplinkout'} && !$nodeeplinkout) {
+             if (!$symb) { $symb=&symbread($uri,1); }
+             if (($symb) && ($env{'acc.deeplinkout'}=~/\&\Q$symb\E\&/)) {
+                 return '';
+             }
+         }
+     }
  # Restricted by state or randomout?
     if ($thisallowed=~/X/) {
- Line 4227  sub allowed {
+ Line 9235  sub allowed {
  	return 'A';
      } elsif ($thisallowed eq 'B') {
          return 'B';
+     } elsif ($thisallowed eq 'D') {
+         return 'D';
      }
     return 'F';
  }
+ # ------------------------------------------- Check construction space access
+ sub constructaccess {
+     my ($url,$setpriv)=@_;
+ # We do not allow editing of previous versions of files
+     if ($url=~/\.(\d+)\.(\w+)$/) { return ''; }
+ # Get username and domain from URL
+     my ($ownername,$ownerdomain,$ownerhome);
+     ($ownerdomain,$ownername) =
+         ($url=~ m{^(?:\Q$perlvar{'lonDocRoot'}\E|)(?:/daxepage|/daxeopen)?/priv/($match_domain)/($match_username)(?:/|$)});
+ # The URL does not really point to any authorspace, forget it
+     unless (($ownername) && ($ownerdomain)) { return ''; }
+ # Now we need to see if the user has access to the authorspace of
+ # $ownername at $ownerdomain
+     if (($ownername eq $env{'user.name'}) && ($ownerdomain eq $env{'user.domain'})) {
+ # Real author for this?
+        $ownerhome = $env{'user.home'};
+        if (exists($env{'user.priv.au./'.$ownerdomain.'/./'})) {
+           return ($ownername,$ownerdomain,$ownerhome);
+        }
+     } elsif (&is_course($ownerdomain,$ownername)) {
+ # Course Authoring Space?
+         if ($env{'request.course.id'}) {
+             if (($ownername eq $env{'course.'.$env{'request.course.id'}.'.num'}) &&
+                 ($ownerdomain eq $env{'course.'.$env{'request.course.id'}.'.domain'})) {
+                 if (&allowed('mdc',$env{'request.course.id'})) {
+                     return if ($env{'course.'.$env{'request.course.id'}.'.internal.crsauthor'} eq '0');
+                     unless ($env{'course.'.$env{'request.course.id'}.'.internal.crsauthor'}) {
+                         my %domdefs = &get_domain_defaults($ownerdomain);
+                         my $type = lc($env{'course.'.$env{'request.course.id'}.'.type'});
+                         unless (($type eq 'community') || ($type eq 'placement')) {
+                             $type = 'unofficial';
+                             if ($env{'course.'.$env{'request.course.id'}.'internal.coursecode'} ne '') {
+                                 $type = 'official';
+                             } elsif ($env{'course.'.$env{'request.course.id'}.'internal.textbook'} ne '') {
+                                 $type = 'textbook';
+                             } else {
+                                 $type = 'unofficial';
+                             }
+                         }
+                         return if ($domdefs{$type.'crsauthor'} eq '0');
+                     }
+                     $ownerhome = $env{'course.'.$env{'request.course.id'}.'.home'};
+                     return ($ownername,$ownerdomain,$ownerhome);
+                 }
+             }
+         }
+         return '';
+     } else {
+ # Co-author for this?
+         if (exists($env{'user.priv.ca./'.$ownerdomain.'/'.$ownername.'./'}) ||
+             exists($env{'user.priv.aa./'.$ownerdomain.'/'.$ownername.'./'}) ) {
+             $ownerhome = &homeserver($ownername,$ownerdomain);
+             return ($ownername,$ownerdomain,$ownerhome);
+         }
+     }
+ # We don't have any access right now. If we are not possibly going to do anything about this,
+ # we might as well leave
+    unless ($setpriv) { return ''; }
+ # Backdoor access?
+     my $allowed=&allowed('eco',$ownerdomain);
+ # Nope
+     unless ($allowed) { return ''; }
+ # Looks like we may have access, but could be locked by the owner of the construction space
+     if ($allowed eq 'U') {
+         my %blocked=&get('environment',['domcoord.author'],
+                          $ownerdomain,$ownername);
+ # Is blocked by owner
+         if ($blocked{'domcoord.author'} eq 'blocked') { return ''; }
+     }
+     if (($allowed eq 'F') || ($allowed eq 'U')) {
+ # Grant temporary access
+         my $then=$env{'user.login.time'};
+         my $update=$env{'user.update.time'};
+         if (!$update) { $update = $then; }
+         my $refresh=$env{'user.refresh.time'};
+         if (!$refresh) { $refresh = $update; }
+         my $now = time;
+         &check_adhoc_privs($ownerdomain,$ownername,$update,$refresh,
+                            $now,'ca','constructaccess');
+         $ownerhome = &homeserver($ownername,$ownerdomain);
+         return($ownername,$ownerdomain,$ownerhome);
+     }
+ # No business here
+     return '';
+ }
+ # ----------------------------------------------------------- Content Blocking
+ {
+ # Caches for faster Course Contents display where content blocking
+ # is in operation (i.e., interval param set) for timed quiz.
+ #
+ # User for whom data are being temporarily cached.
+ my $cacheduser='';
+ # Course for which data are being temporarily cached.
+ my $cachedcid='';
+ # Cached blockers for this user (a hash of blocking items).
+ my %cachedblockers=();
+ # When the data were last cached.
+ my $cachedlast='';
+ sub load_all_blockers {
+     my ($uname,$udom)=@_;
+     if (($uname ne '') && ($udom ne '')) {
+         if (($cacheduser eq $uname.':'.$udom) &&
+             ($cachedcid eq $env{'request.course.id'}) &&
+             (abs($cachedlast-time)<5)) {
+             return;
+         }
+     }
+     $cachedlast=time;
+     $cacheduser=$uname.':'.$udom;
+     $cachedcid=$env{'request.course.id'};
+     %cachedblockers = &get_commblock_resources();
+     return;
+ }
+ sub get_comm_blocks {
+     my ($cdom,$cnum) = @_;
+     if ($cdom eq '' || $cnum eq '') {
+         return unless ($env{'request.course.id'});
+         $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     }
+     my %commblocks;
+     my $hashid=$cdom.'_'.$cnum;
+     my ($blocksref,$cached)=&is_cached_new('comm_block',$hashid);
+     if ((defined($cached)) && (ref($blocksref) eq 'HASH')) {
+         %commblocks = %{$blocksref};
+     } else {
+         %commblocks = &dump('comm_block',$cdom,$cnum);
+         my $cachetime = 600;
+         &do_cache_new('comm_block',$hashid,\%commblocks,$cachetime);
+     }
+     return %commblocks;
+ }
+ sub get_commblock_resources {
+     my ($blocks) = @_;
+     my %blockers = ();
+     return %blockers unless ($env{'request.course.id'});
+     my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
+     if ($env{'request.course.sec'}) {
+         $courseurl .= '/'.$env{'request.course.sec'};
+     }
+     return %blockers if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseurl} =~/evb\&([^\:]*)/);
+     my %commblocks;
+     if (ref($blocks) eq 'HASH') {
+         %commblocks = %{$blocks};
+     } else {
+         %commblocks = &get_comm_blocks();
+     }
+     return %blockers unless (keys(%commblocks) > 0);
+     my $navmap = Apache::lonnavmaps::navmap->new();
+     return %blockers unless (ref($navmap));
+     my $now = time;
+     foreach my $block (keys(%commblocks)) {
+         if ($block =~ /^(\d+)____(\d+)$/) {
+             my ($start,$end) = ($1,$2);
+             if ($start <= $now && $end >= $now) {
+                 if (ref($commblocks{$block}{'blocks'}) eq 'HASH') {
+                     if (ref($commblocks{$block}{'blocks'}{'docs'}) eq 'HASH') {
+                         if (ref($commblocks{$block}{'blocks'}{'docs'}{'maps'}) eq 'HASH') {
+                             if (keys(%{$commblocks{$block}{'blocks'}{'docs'}{'maps'}})) {
+                                 $blockers{$block}{maps} = $commblocks{$block}{'blocks'}{'docs'}{'maps'};
+                             }
+                         }
+                         if (ref($commblocks{$block}{'blocks'}{'docs'}{'resources'}) eq 'HASH') {
+                             if (keys(%{$commblocks{$block}{'blocks'}{'docs'}{'resources'}})) {
+                                 $blockers{$block}{'resources'} = $commblocks{$block}{'blocks'}{'docs'}{'resources'};
+                             }
+                         }
+                     }
+                 }
+             }
+         } elsif ($block =~ /^firstaccess____(.+)$/) {
+             my $item = $1;
+             if (ref($commblocks{$block}{'blocks'}) eq 'HASH') {
+                 if (ref($commblocks{$block}{'blocks'}{'docs'}) eq 'HASH') {
+                     my (@interval,$mapname);
+                     my $type = 'map';
+                     if ($item eq 'course') {
+                         $type = 'course';
+                         @interval=&EXT("resource.0.interval");
+                     } else {
+                         if ($item =~ /___\d+___/) {
+                             $type = 'resource';
+                             @interval=&EXT("resource.0.interval",$item);
+                         } else {
+                             $mapname = &deversion($item);
+                             if (ref($navmap)) {
+                                 my $timelimit = $navmap->get_mapparam(undef,$mapname,'0.interval');
+                                 @interval = ($timelimit,'map');
+                             }
+                         }
+                     }
+                     if ($interval[0] =~ /^(\d+)/) {
+                         my $timelimit = $1;
+                         my $first_access;
+                         if ($type eq 'resource') {
+                             $first_access=&get_first_access($interval[1],$item);
+                         } elsif ($type eq 'map') {
+                             $first_access=&get_first_access($interval[1],undef,$item);
+                         } else {
+                             $first_access=&get_first_access($interval[1]);
+                         }
+                         if ($first_access) {
+                             my $timesup = $first_access+$timelimit;
+                             if ($timesup > $now) {
+                                 my $activeblock;
+                                 if ($type eq 'resource') {
+                                     if (ref($navmap)) {
+                                         my $res = $navmap->getBySymb($item);
+                                         if ($res->answerable()) {
+                                             $activeblock = 1;
+                                         }
+                                     }
+                                 } elsif ($type eq 'map') {
+                                     my $mapsymb = &symbread($mapname,1);
+                                     if (($mapsymb) && (ref($navmap))) {
+                                         my $mapres = $navmap->getBySymb($mapsymb);
+                                         if (ref($mapres)) {
+                                             my $first = $mapres->map_start();
+                                             my $finish = $mapres->map_finish();
+                                             my $it = $navmap->getIterator($first,$finish,undef,0,0);
+                                             if (ref($it)) {
+                                                 my $res;
+                                                 while ($res = $it->next(undef,1)) {
+                                                     next unless (ref($res));
+                                                     my $symb = $res->symb();
+                                                     next if (($symb eq $mapsymb) || ($symb eq ''));
+                                                     @interval=&EXT("resource.0.interval",$symb);
+                                                     if ($interval[1] eq 'map') {
+                                                         if ($res->answerable()) {
+                                                             $activeblock = 1;
+                                                             last;
+                                                         }
+                                                     }
+                                                 }
+                                             }
+                                         }
+                                     }
+                                 }
+                                 if ($activeblock) {
+                                     if (ref($commblocks{$block}{'blocks'}{'docs'}{'maps'}) eq 'HASH') {
+                                          if (keys(%{$commblocks{$block}{'blocks'}{'docs'}{'maps'}})) {
+                                              $blockers{$block}{'maps'} = $commblocks{$block}{'blocks'}{'docs'}{'maps'};
+                                          }
+                                     }
+                                     if (ref($commblocks{$block}{'blocks'}{'docs'}{'resources'}) eq 'HASH') {
+                                         if (keys(%{$commblocks{$block}{'blocks'}{'docs'}{'resources'}})) {
+                                             $blockers{$block}{'resources'} = $commblocks{$block}{'blocks'}{'docs'}{'resources'};
+                                         }
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return %blockers;
+ }
+ sub has_comm_blocking {
+     my ($priv,$symb,$uri,$ignoresymbdb,$noenccheck,$blocked,$blocks) = @_;
+     my @blockers;
+     return unless ($env{'request.course.id'});
+     return unless ($priv eq 'bre');
+     return if ($env{'request.state'} eq 'construct');
+     my $courseurl = &courseid_to_courseurl($env{'request.course.id'});
+     if ($env{'request.course.sec'}) {
+         $courseurl .= '/'.$env{'request.course.sec'};
+     }
+     return if ($env{'user.priv.'.$env{'request.role'}.'.'.$courseurl} =~/evb\&([^\:]*)/);
+     my %blockinfo;
+     if (ref($blocks) eq 'HASH') {
+         %blockinfo = &get_commblock_resources($blocks);
+     } else {
+         &load_all_blockers($env{'user.name'},$env{'user.domain'});
+         %blockinfo = %cachedblockers;
+     }
+     return unless (keys(%blockinfo) > 0);
+     my (%possibles,@symbs);
+     if (!$symb) {
+         $symb = &symbread($uri,1,1,1,\%possibles,$ignoresymbdb,$noenccheck);
+     }
+     if ($symb) {
+         @symbs = ($symb);
+     } elsif (keys(%possibles)) {
+         @symbs = keys(%possibles);
+     }
+     my $noblock;
+     foreach my $symb (@symbs) {
+         last if ($noblock);
+         my ($map,$resid,$resurl)=&decode_symb($symb);
+         foreach my $block (keys(%blockinfo)) {
+             if ($block =~ /^firstaccess____(.+)$/) {
+                 my $item = $1;
+                 unless ($blocked) {
+                     if (($item eq $map) || ($item eq $symb)) {
+                         $noblock = 1;
+                         last;
+                     }
+                 }
+             }
+             if (ref($blockinfo{$block}) eq 'HASH') {
+                 if (ref($blockinfo{$block}{'resources'}) eq 'HASH') {
+                     if ($blockinfo{$block}{'resources'}{$symb}) {
+                         unless (grep(/^\Q$block\E$/,@blockers)) {
+                             push(@blockers,$block);
+                         }
+                     }
+                 }
+                 if (ref($blockinfo{$block}{'maps'}) eq 'HASH') {
+                     if ($blockinfo{$block}{'maps'}{$map}) {
+                         unless (grep(/^\Q$block\E$/,@blockers)) {
+                             push(@blockers,$block);
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     unless ($noblock) {
+         return @blockers;
+     }
+     return;
+ }
+ }
+ sub deeplink_check {
+     my ($priv,$symb,$uri) = @_;
+     return unless ($env{'request.course.id'});
+     return unless ($priv eq 'bre');
+     return if ($env{'request.state'} eq 'construct');
+     return if ($env{'request.role.adv'});
+     my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+     my (%possibles,@symbs);
+     if (!$symb) {
+         $symb = &symbread($uri,1,1,1,\%possibles);
+     }
+     if ($symb) {
+         @symbs = ($symb);
+     } elsif (keys(%possibles)) {
+         @symbs = keys(%possibles);
+     }
+     my ($deeplink_symb,$allow);
+     if ($env{'request.deeplink.login'}) {
+         $deeplink_symb = &Apache::loncommon::deeplink_login_symb($cnum,$cdom);
+     }
+     foreach my $symb (@symbs) {
+         last if ($allow);
+         my $deeplink = &EXT("resource.0.deeplink",$symb);
+         if ($deeplink eq '') {
+             $allow = 1;
+         } else {
+             my ($state,$others,$listed,$scope,$protect) = split(/,/,$deeplink);
+             if ($state ne 'only') {
+                 $allow = 1;
+             } else {
+                 my $check_deeplink_entry;
+                 if ($protect ne 'none') {
+                     my ($acctype,$item) = split(/:/,$protect);
+                     if (($acctype eq 'ltic') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ec$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1
+                         }
+                     } elsif (($acctype eq 'ltid') && ($env{'user.linkprotector'})) {
+                         if (grep(/^\Q$item\Ed$/,split(/,/,$env{'user.linkprotector'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     } elsif (($acctype eq 'key') && ($env{'user.deeplinkkey'})) {
+                         if (grep(/^\Q$item\E$/,split(/,/,$env{'user.deeplinkkey'}))) {
+                             $check_deeplink_entry = 1;
+                         }
+                     }
+                 }
+                 if (($protect eq 'none') || ($check_deeplink_entry)) {
+                     if ($scope eq 'res') {
+                         if ($symb eq $deeplink_symb) {
+                             $allow = 1;
+                         }
+                     } elsif (($scope eq 'map') || ($scope eq 'rec')) {
+                         my ($map_from_symb,$map_from_login);
+                         $map_from_symb = &deversion((&decode_symb($symb))[0]);
+                         if ($deeplink_symb =~ /\.(page|sequence)$/) {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[2]);
+                         } else {
+                             $map_from_login = &deversion((&decode_symb($deeplink_symb))[0]);
+                         }
+                         if (($map_from_symb) && ($map_from_login)) {
+                             if ($map_from_symb eq $map_from_login) {
+                                 $allow = 1;
+                             } elsif ($scope eq 'rec') {
+                                 my @recurseup = &get_map_hierarchy($map_from_symb,$env{'request.course.id'});
+                                 if (grep(/^\Q$map_from_login\E$/,@recurseup)) {
+                                     $allow = 1;
+                                 }
+                             }
+                         }
+                     }
+                 }
+             }
+         }
+     }
+     return if ($allow);
+     return 1;
+ }
+ # -------------------------------- Deversion and split uri into path an filename
+ #
+ #   Removes the version from a URI and
+ #   splits it in to its filename and path to the filename.
+ #   Seems like File::Basename could have done this more clearly.
+ #   Parameters:
+ #      $uri   - input URI
+ #   Returns:
+ #     Two element list consisting of
+ #     $pathname  - the URI up to and excluding the trailing /
+ #     $filename  - The part of the URI following the last /
+ #  NOTE:
+ #    Another realization of this is simply:
+ #    use File::Basename;
+ #    ...
+ #    $uri = shift;
+ #    $filename = basename($uri);
+ #    $path     = dirname($uri);
+ #    return ($filename, $path);
+ #
+ #     The implementation below is probably faster however.
+ #
  sub split_uri_for_cond {
      my $uri=&deversion(&declutter(shift));
      my @uriparts=split(/\//,$uri);
- Line 4279  sub get_symb_from_alias {
+ Line 9734  sub get_symb_from_alias {
  sub definerole {
    if (allowed('mcr','/')) {
-     my ($rolename,$sysrole,$domrole,$courole)=@_;
+     my ($rolename,$sysrole,$domrole,$courole,$uname,$udom)=@_;
      foreach my $role (split(':',$sysrole)) {
  	my ($crole,$cqual)=split(/\&/,$role);
          if ($pr{'cr:s'}!~/\Q$crole\E/) { return "refused:s:$crole"; }
- Line 4307  sub definerole {
+ Line 9762  sub definerole {
              }
          }
      }
+     my $uhome;
+     if (($uname ne '') && ($udom ne '')) {
+         $uhome = &homeserver($uname,$udom);
+         return $uhome if ($uhome eq 'no_host');
+     } else {
+         $uname = $env{'user.name'};
+         $udom = $env{'user.domain'};
+         $uhome = $env{'user.home'};
+     }
      my $command="encrypt:rolesput:$env{'user.domain'}:$env{'user.name'}:".
-                 "$env{'user.domain'}:$env{'user.name'}:".
+                 "$udom:$uname:rolesdef_$rolename=".
- 	        "rolesdef_$rolename=".
                  escape($sysrole.'_'.$domrole.'_'.$courole);
-     return reply($command,$env{'user.home'});
+     return reply($command,$uhome);
    } else {
      return 'refused';
    }
- Line 4320  sub definerole {
+ Line 9783  sub definerole {
  # ---------------- Make a metadata query against the network of library servers
  sub metadata_query {
-     my ($query,$custom,$customshow,$server_array)=@_;
+     my ($query,$custom,$customshow,$server_array,$domains_hash)=@_;
      my %rhash;
      my %libserv = &all_library();
      my @server_list = (defined($server_array) ? @$server_array
                                                : keys(%libserv) );
      for my $server (@server_list) {
+         my $domains = '';
+         if (ref($domains_hash) eq 'HASH') {
+             $domains = $domains_hash->{$server};
+         }
  	unless ($custom or $customshow) {
- 	    my $reply=&reply("querysend:".&escape($query),$server);
+ 	    my $reply=&reply("querysend:".&escape($query).':::'.&escape($domains),$server);
  	    $rhash{$server}=$reply;
  	}
  	else {
  	    my $reply=&reply("querysend:".&escape($query).':'.
- 			     &escape($custom).':'.&escape($customshow),
+ 			     &escape($custom).':'.&escape($customshow).':'.&escape($domains),
  			     $server);
  	    $rhash{$server}=$reply;
  	}
- Line 4358  sub log_query {
+ Line 9825  sub log_query {
  sub update_portfolio_table {
      my ($uname,$udom,$file_name,$query,$group,$action) = @_;
+     if ($group ne '') {
+         $file_name =~s /^\Q$group\E//;
+     }
      my $homeserver = &homeserver($uname,$udom);
      my $queryid=
          &reply("querysend:".$query.':'.&escape($uname.':'.$udom.':'.$group).
- Line 4366  sub update_portfolio_table {
+ Line 9836  sub update_portfolio_table {
      return $reply;
  }
+ # -------------------------- Update MySQL allusers table
+ sub update_allusers_table {
+     my ($uname,$udom,$names) = @_;
+     my $homeserver = &homeserver($uname,$udom);
+     my $queryid=
+         &reply('querysend:allusers:'.&escape($uname).':'.&escape($udom).':'.
+                'lastname='.&escape($names->{'lastname'}).'%%'.
+                'firstname='.&escape($names->{'firstname'}).'%%'.
+                'middlename='.&escape($names->{'middlename'}).'%%'.
+                'generation='.&escape($names->{'generation'}).'%%'.
+                'permanentemail='.&escape($names->{'permanentemail'}).'%%'.
+                'id='.&escape($names->{'id'}),$homeserver);
+     return;
+ }
  # ------- Request retrieval of institutional classlists for course(s)
  sub fetch_enrollment_query {
      my ($context,$affiliatesref,$replyref,$dom,$cnum) = @_;
-     my $homeserver;
+     my ($homeserver,$sleep,$loopmax);
      my $maxtries = 1;
      if ($context eq 'automated') {
          $homeserver = $perlvar{'lonHostID'};
+         $sleep = 2;
+         $loopmax = 100;
          $maxtries = 10; # will wait for up to 2000s for retrieval of classlist data before timeout
      } else {
          $homeserver = &homeserver($cnum,$dom);
      }
      my $host=&hostname($homeserver);
      my $cmd = '';
-     foreach my $affiliate (keys %{$affiliatesref}) {
+     foreach my $affiliate (keys(%{$affiliatesref})) {
          $cmd .= $affiliate.'='.join(",",@{$$affiliatesref{$affiliate}}).'%%';
      }
      $cmd =~ s/%%$//;
- Line 4391  sub fetch_enrollment_query {
+ Line 9879  sub fetch_enrollment_query {
          &logthis('fetch_enrollment_query: invalid queryid: '.$queryid.' for host: '.$host.' and homeserver: '.$homeserver.' context: '.$context.' '.$cnum);
          return 'error: '.$queryid;
      }
-     my $reply = &get_query_reply($queryid);
+     my $reply = &get_query_reply($queryid,$sleep,$loopmax);
      my $tries = 1;
      while (($reply=~/^timeout/) && ($tries < $maxtries)) {
-         $reply = &get_query_reply($queryid);
+         $reply = &get_query_reply($queryid,$sleep,$loopmax);
          $tries ++;
      }
      if ( ($reply =~/^timeout/) || ($reply =~/^error/) ) {
          &logthis('fetch_enrollment_query error: '.$reply.' for '.$dom.' '.$env{'user.name'}.' for '.$queryid.' context: '.$context.' '.$cnum.' maxtries: '.$maxtries.' tries: '.$tries);
      } else {
-         my @responses = split/:/,$reply;
+         my @responses = split(/:/,$reply);
-         if ($homeserver eq $perlvar{'lonHostID'}) {
+         if (grep { $_ eq $homeserver } &current_machine_ids()) {
              foreach my $line (@responses) {
                  my ($key,$value) = split(/=/,$line,2);
                  $$replyref{$key} = $value;
              }
          } else {
-             my $pathname = $perlvar{'lonDaemons'}.'/tmp';
+             my $pathname = LONCAPA::tempdir();
              foreach my $line (@responses) {
                  my ($key,$value) = split(/=/,$line);
                  $$replyref{$key} = $value;
- Line 4419  sub fetch_enrollment_query {
+ Line 9907  sub fetch_enrollment_query {
                          if ($xml_classlist =~ /^error/) {
                              &logthis('fetch_enrollment_query - autoretrieve error: '.$xml_classlist.' for '.$filename.' from server: '.$homeserver.' '.$context.' '.$cnum);
                          } else {
-                             if ( open(FILE,">$destname") ) {
+                             if ( open(FILE,">",$destname) ) {
                                  print FILE &unescape($xml_classlist);
                                  close(FILE);
                              } else {
- Line 4436  sub fetch_enrollment_query {
+ Line 9924  sub fetch_enrollment_query {
  }
  sub get_query_reply {
-     my $queryid=shift;
+     my ($queryid,$sleep,$loopmax) = @_;
-     my $replyfile=$perlvar{'lonDaemons'}.'/tmp/'.$queryid;
+     if (($sleep eq '') || ($sleep !~ /^\d+\.?\d*$/)) {
+         $sleep = 0.2;
+     }
+     if (($loopmax eq '') || ($loopmax =~ /\D/)) {
+         $loopmax = 100;
+     }
+     my $replyfile=LONCAPA::tempdir().$queryid;
      my $reply='';
-     for (1..100) {
+     for (1..$loopmax) {
- 	sleep 2;
+ 	sleep($sleep);
          if (-e $replyfile.'.end') {
- 	    if (open(my $fh,$replyfile)) {
+ 	    if (open(my $fh,"<",$replyfile)) {
-                $reply.=<$fh>;
+ 		$reply = join('',<$fh>);
-                close($fh);
+ 		close($fh);
  	   } else { return 'error: reply_file_error'; }
             return &unescape($reply);
  	}
- Line 4498  sub auto_run {
+ Line 9992  sub auto_run {
              $response = 1;
          }
      } else {
-         my $homeserver = &homeserver($cnum,$cdom);
+         my $homeserver;
-         $response = &reply('autorun:'.$cdom,$homeserver);
+         if (&is_course($cdom,$cnum)) {
+             $homeserver = &homeserver($cnum,$cdom);
+         } else {
+             $homeserver = &domain($cdom,'primary');
+         }
+         if ($homeserver ne 'no_host') {
+             $response = &reply('autorun:'.$cdom,$homeserver);
+         }
      }
      return $response;
  }
  sub auto_get_sections {
      my ($cnum,$cdom,$inst_coursecode) = @_;
-     my $homeserver = &homeserver($cnum,$cdom);
+     my $homeserver;
-     my @secs = ();
+     if (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/)) {
-     my $response=&unescape(&reply('autogetsections:'.$inst_coursecode.':'.$cdom,$homeserver));
+         $homeserver = &homeserver($cnum,$cdom);
-     unless ($response eq 'refused') {
+     }
-         @secs = split/:/,$response;
+     if (!defined($homeserver)) {
+         if ($cdom =~ /^$match_domain$/) {
+             $homeserver = &domain($cdom,'primary');
+         }
+     }
+     my @secs;
+     if (defined($homeserver)) {
+         my $response=&unescape(&reply('autogetsections:'.$inst_coursecode.':'.$cdom,$homeserver));
+         unless ($response eq 'refused') {
+             @secs = split(/:/,$response);
+         }
      }
      return @secs;
  }
  sub auto_new_course {
-     my ($cnum,$cdom,$inst_course_id,$owner) = @_;
+     my ($cnum,$cdom,$inst_course_id,$owner,$coowners) = @_;
      my $homeserver = &homeserver($cnum,$cdom);
-     my $response=&unescape(&reply('autonewcourse:'.$inst_course_id.':'.$owner.':'.$cdom,$homeserver));
+     my $response=&unescape(&reply('autonewcourse:'.$inst_course_id.':'.&escape($owner).':'.$cdom.':'.&escape($coowners),$homeserver));
      return $response;
  }
- Line 4529  sub auto_validate_courseID {
+ Line 10040  sub auto_validate_courseID {
      return $response;
  }
+ sub auto_validate_instcode {
+     my ($cnum,$cdom,$instcode,$owner) = @_;
+     my ($homeserver,$response);
+     if (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/)) {
+         $homeserver = &homeserver($cnum,$cdom);
+     }
+     if (!defined($homeserver)) {
+         if ($cdom =~ /^$match_domain$/) {
+             $homeserver = &domain($cdom,'primary');
+         }
+     }
+     $response=&unescape(&reply('autovalidateinstcode:'.$cdom.':'.
+                         &escape($instcode).':'.&escape($owner),$homeserver));
+     my ($outcome,$description,$defaultcredits) = map { &unescape($_); } split('&',$response,3);
+     return ($outcome,$description,$defaultcredits);
+ }
+ sub auto_validate_inst_crosslist {
+     my ($cnum,$cdom,$instcode,$inst_xlist,$coowner) = @_;
+     my ($homeserver,$response);
+     if (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/)) {
+         $homeserver = &homeserver($cnum,$cdom);
+     }
+     if (!defined($homeserver)) {
+         if ($cdom =~ /^$match_domain$/) {
+             $homeserver = &domain($cdom,'primary');
+         }
+     }
+     unless (($homeserver eq '') || ($homeserver eq 'no_host')) {
+         $response=&reply('autovalidateinstcrosslist:'.$cdom.':'.
+                          &escape($instcode).':'.&escape($inst_xlist).':'.
+                          &escape($coowner),$homeserver);
+     }
+     return $response;
+ }
  sub auto_create_password {
      my ($cnum,$cdom,$authparam,$udom) = @_;
      my ($homeserver,$response);
- Line 4549  sub auto_create_password {
+ Line 10096  sub auto_create_password {
          if ($response eq 'refused') {
              $authchk = 'refused';
          } else {
-             ($authparam,$create_passwd,$authchk) = split/:/,$response;
+             ($authparam,$create_passwd,$authchk) = split(/:/,$response);
          }
      }
      return ($authparam,$create_passwd,$authchk);
- Line 4643  sub auto_instcode_format {
+ Line 10190  sub auto_instcode_format {
  		push(@homeservers,$tryserver);
  	    }
          }
+     } elsif ($caller eq 'requests') {
+         if ($codedom =~ /^$match_domain$/) {
+             my $chome = &domain($codedom,'primary');
+             unless ($chome eq 'no_host') {
+                 push(@homeservers,$chome);
+             }
+         }
      } else {
          push(@homeservers,&homeserver($caller,$codedom));
      }
- Line 4657  sub auto_instcode_format {
+ Line 10211  sub auto_instcode_format {
          $response=&reply('autoinstcodeformat:'.$codedom.':'.$courses,$server);
          if ($response !~ /(con_lost|error|no_such_host|refused)/) {
              my ($codes_str,$codetitles_str,$cat_titles_str,$cat_order_str) =
- 		split/:/,$response;
+ 		split(/:/,$response);
              %{$codes} = (%{$codes},&str2hash($codes_str));
              push(@{$codetitles},&str2array($codetitles_str));
              %{$cat_titles} = (%{$cat_titles},&str2hash($cat_titles_str));
- Line 4700  sub auto_instcode_defaults {
+ Line 10254  sub auto_instcode_defaults {
      }
      return $response;
  }
+ sub auto_possible_instcodes {
+     my ($domain,$codetitles,$cat_titles,$cat_orders,$code_order) = @_;
+     unless ((ref($codetitles) eq 'ARRAY') && (ref($cat_titles) eq 'HASH') &&
+             (ref($cat_orders) eq 'HASH') && (ref($code_order) eq 'ARRAY')) {
+         return;
+     }
+     my (@homeservers,$uhome);
+     if (defined(&domain($domain,'primary'))) {
+         $uhome=&domain($domain,'primary');
+         push(@homeservers,&domain($domain,'primary'));
+     } else {
+         my %servers = &get_servers($domain,'library');
+         foreach my $tryserver (keys(%servers)) {
+             if (!grep(/^\Q$tryserver\E$/,@homeservers)) {
+                 push(@homeservers,$tryserver);
+             }
+         }
+     }
+     my $response;
+     foreach my $server (@homeservers) {
+         $response=&reply('autopossibleinstcodes:'.$domain,$server);
+         next if ($response =~ /(con_lost|error|no_such_host|refused)/);
+         my ($codetitlestr,$codeorderstr,$cat_title,$cat_order) =
+             split(':',$response);
+         @{$codetitles} = map { &unescape($_); } (split('&',$codetitlestr));
+         @{$code_order} = map { &unescape($_); } (split('&',$codeorderstr));
+         foreach my $item (split('&',$cat_title)) {
+             my ($name,$value)=split('=',$item);
+             $cat_titles->{&unescape($name)}=&thaw_unescape($value);
+         }
+         foreach my $item (split('&',$cat_order)) {
+             my ($name,$value)=split('=',$item);
+             $cat_orders->{&unescape($name)}=&thaw_unescape($value);
+         }
+         return 'ok';
+     }
+     return $response;
+ }
+ sub auto_courserequest_checks {
+     my ($dom) = @_;
+     my ($homeserver,%validations);
+     if ($dom =~ /^$match_domain$/) {
+         $homeserver = &domain($dom,'primary');
+     }
+     unless ($homeserver eq 'no_host') {
+         my $response=&reply('autocrsreqchecks:'.$dom,$homeserver);
+         unless ($response =~ /(con_lost|error|no_such_host|refused)/) {
+             my @items = split(/&/,$response);
+             foreach my $item (@items) {
+                 my ($key,$value) = split('=',$item);
+                 $validations{&unescape($key)} = &thaw_unescape($value);
+             }
+         }
+     }
+     return %validations;
+ }
+ sub auto_courserequest_validation {
+     my ($dom,$owner,$crstype,$inststatuslist,$instcode,$instseclist,$custominfo) = @_;
+     my ($homeserver,$response);
+     if ($dom =~ /^$match_domain$/) {
+         $homeserver = &domain($dom,'primary');
+     }
+     unless ($homeserver eq 'no_host') {
+         my $customdata;
+         if (ref($custominfo) eq 'HASH') {
+             $customdata = &freeze_escape($custominfo);
+         }
+         $response=&unescape(&reply('autocrsreqvalidation:'.$dom.':'.&escape($owner).
+                                     ':'.&escape($crstype).':'.&escape($inststatuslist).
+                                     ':'.&escape($instcode).':'.&escape($instseclist).':'.
+                                     $customdata,$homeserver));
+     }
+     return $response;
+ }
  sub auto_validate_class_sec {
-     my ($cdom,$cnum,$owner,$inst_class) = @_;
+     my ($cdom,$cnum,$owners,$inst_class) = @_;
      my $homeserver = &homeserver($cnum,$cdom);
+     my $ownerlist;
+     if (ref($owners) eq 'ARRAY') {
+         $ownerlist = join(',',@{$owners});
+     } else {
+         $ownerlist = $owners;
+     }
      my $response=&reply('autovalidateclass_sec:'.$inst_class.':'.
-                         &escape($owner).':'.$cdom,$homeserver);
+                         &escape($ownerlist).':'.$cdom,$homeserver);
      return $response;
  }
+ sub auto_instsec_reformat {
+     my ($cdom,$action,$instsecref) = @_;
+     return unless(($action eq 'clutter') || ($action eq 'declutter'));
+     my @homeservers;
+     if (defined(&domain($cdom,'primary'))) {
+         push(@homeservers,&domain($cdom,'primary'));
+     } else {
+         my %servers = &get_servers($cdom,'library');
+         foreach my $tryserver (keys(%servers)) {
+             if (!grep(/^\Q$tryserver\E$/,@homeservers)) {
+                 push(@homeservers,$tryserver);
+             }
+         }
+     }
+     my $response;
+     my %reformatted = %{$instsecref};
+     foreach my $server (@homeservers) {
+         if (ref($instsecref) eq 'HASH') {
+             my $info = &freeze_escape($instsecref);
+             my $response=&reply('autoinstsecreformat:'.$cdom.':'.
+                                 $action.':'.$info,$server);
+             next if ($response =~ /(con_lost|error|no_such_host|refused|unknown_command)/);
+             my @items = split(/&/,$response);
+             foreach my $item (@items) {
+                 my ($key,$value) = split(/=/,$item);
+                 $reformatted{&unescape($key)} = &thaw_unescape($value);
+             }
+         }
+     }
+     return %reformatted;
+ }
+ sub auto_validate_instclasses {
+     my ($cdom,$cnum,$owners,$classesref) = @_;
+     my ($homeserver,%validations);
+     $homeserver = &homeserver($cnum,$cdom);
+     unless ($homeserver eq 'no_host') {
+         my $ownerlist;
+         if (ref($owners) eq 'ARRAY') {
+             $ownerlist = join(',',@{$owners});
+         } else {
+             $ownerlist = $owners;
+         }
+         if (ref($classesref) eq 'HASH') {
+             my $classes = &freeze_escape($classesref);
+             my $response=&reply('autovalidateinstclasses:'.&escape($ownerlist).
+                                 ':'.$cdom.':'.$classes,$homeserver);
+             unless ($response =~ /(con_lost|error|no_such_host|refused)/) {
+                 my @items = split(/&/,$response);
+                 foreach my $item (@items) {
+                     my ($key,$value) = split('=',$item);
+                     $validations{&unescape($key)} = &thaw_unescape($value);
+                 }
+             }
+         }
+     }
+     return %validations;
+ }
+ sub auto_crsreq_update {
+     my ($cdom,$cnum,$crstype,$action,$ownername,$ownerdomain,$fullname,$title,
+         $code,$accessstart,$accessend,$inbound) = @_;
+     my ($homeserver,%crsreqresponse);
+     if ($cdom =~ /^$match_domain$/) {
+         $homeserver = &domain($cdom,'primary');
+     }
+     unless (($homeserver eq 'no_host') || ($homeserver eq '')) {
+         my $info;
+         if (ref($inbound) eq 'HASH') {
+             $info = &freeze_escape($inbound);
+         }
+         my $response=&reply('autocrsrequpdate:'.$cdom.':'.$cnum.':'.&escape($crstype).
+                             ':'.&escape($action).':'.&escape($ownername).':'.
+                             &escape($ownerdomain).':'.&escape($fullname).':'.
+                             &escape($title).':'.&escape($code).':'.
+                             &escape($accessstart).':'.&escape($accessend).':'.$info,
+                             $homeserver);
+         unless ($response =~ /(con_lost|error|no_such_host|refused)/) {
+             my @items = split(/&/,$response);
+             foreach my $item (@items) {
+                 my ($key,$value) = split('=',$item);
+                 $crsreqresponse{&unescape($key)} = &thaw_unescape($value);
+             }
+         }
+     }
+     return \%crsreqresponse;
+ }
+ sub auto_export_grades {
+     my ($cdom,$cnum,$inforef,$gradesref) = @_;
+     my ($homeserver,%exportresponse);
+     if ($cdom =~ /^$match_domain$/) {
+         $homeserver = &domain($cdom,'primary');
+     }
+     unless (($homeserver eq 'no_host') || ($homeserver eq '')) {
+         my $info;
+         if (ref($inforef) eq 'HASH') {
+             $info = &freeze_escape($inforef);
+         }
+         if (ref($gradesref) eq 'HASH') {
+             my $grades = &freeze_escape($gradesref);
+             my $response=&reply('encrypt:autoexportgrades:'.$cdom.':'.$cnum.':'.
+                                 $info.':'.$grades,$homeserver);
+             unless ($response =~ /(con_lost|error|no_such_host|refused|unknown_command)/) {
+                 my @items = split(/&/,$response);
+                 foreach my $item (@items) {
+                     my ($key,$value) = split('=',$item);
+                     $exportresponse{&unescape($key)} = &thaw_unescape($value);
+                 }
+             }
+         }
+     }
+     return \%exportresponse;
+ }
+ sub check_instcode_cloning {
+     my ($codedefaults,$code_order,$cloner,$clonefromcode,$clonetocode) = @_;
+     unless ((ref($codedefaults) eq 'HASH') && (ref($code_order) eq 'ARRAY')) {
+         return;
+     }
+     my $canclone;
+     if (@{$code_order} > 0) {
+         my $instcoderegexp ='^';
+         my @clonecodes = split(/\&/,$cloner);
+         foreach my $item (@{$code_order}) {
+             if (grep(/^\Q$item\E=/,@clonecodes)) {
+                 foreach my $pair (@clonecodes) {
+                     my ($key,$val) = split(/\=/,$pair,2);
+                     $val = &unescape($val);
+                     if ($key eq $item) {
+                         $instcoderegexp .= '('.$val.')';
+                         last;
+                     }
+                 }
+             } else {
+                 $instcoderegexp .= $codedefaults->{$item};
+             }
+         }
+         $instcoderegexp .= '$';
+         my (@from,@to);
+         eval {
+                (@from) = ($clonefromcode =~ /$instcoderegexp/);
+                (@to) = ($clonetocode =~ /$instcoderegexp/);
+         };
+         if ((@from > 0) && (@to > 0)) {
+             my @diffs = &Apache::loncommon::compare_arrays(\@from,\@to);
+             if (!@diffs) {
+                 $canclone = 1;
+             }
+         }
+     }
+     return $canclone;
+ }
+ sub default_instcode_cloning {
+     my ($clonedom,$domdefclone,$clonefromcode,$clonetocode,$codedefaultsref,$codeorderref) = @_;
+     my (%codedefaults,@code_order,$canclone);
+     if ((ref($codedefaultsref) eq 'HASH') && (ref($codeorderref) eq 'ARRAY')) {
+         %codedefaults = %{$codedefaultsref};
+         @code_order = @{$codeorderref};
+     } elsif ($clonedom) {
+         &auto_instcode_defaults($clonedom,\%codedefaults,\@code_order);
+     }
+     if (($domdefclone) && (@code_order)) {
+         my @clonecodes = split(/\+/,$domdefclone);
+         my $instcoderegexp ='^';
+         foreach my $item (@code_order) {
+             if (grep(/^\Q$item\E$/,@clonecodes)) {
+                 $instcoderegexp .= '('.$codedefaults{$item}.')';
+             } else {
+                 $instcoderegexp .= $codedefaults{$item};
+             }
+         }
+         $instcoderegexp .= '$';
+         my (@from,@to);
+         eval {
+             (@from) = ($clonefromcode =~ /$instcoderegexp/);
+             (@to) = ($clonetocode =~ /$instcoderegexp/);
+         };
+         if ((@from > 0) && (@to > 0)) {
+             my @diffs = &Apache::loncommon::compare_arrays(\@from,\@to);
+             if (!@diffs) {
+                 $canclone = 1;
+             }
+         }
+     }
+     return $canclone;
+ }
  # ------------------------------------------------------- Course Group routines
  sub get_coursegroups {
- Line 4754  sub toggle_coursegroup_status {
+ Line 10580  sub toggle_coursegroup_status {
  }
  sub modify_group_roles {
-     my ($cdom,$cnum,$group_id,$user,$end,$start,$userprivs) = @_;
+     my ($cdom,$cnum,$group_id,$user,$end,$start,$userprivs,$selfenroll,$context,
+         $othdomby,$requester) = @_;
      my $url = '/'.$cdom.'/'.$cnum.'/'.$group_id;
      my $role = 'gr/'.&escape($userprivs);
      my ($uname,$udom) = split(/:/,$user);
-     my $result = &assignrole($udom,$uname,$url,$role,$end,$start);
+     my $result = &assignrole($udom,$uname,$url,$role,$end,$start,'',$selfenroll,$context,
+                              $othdomby,$requester);
      if ($result eq 'ok') {
          &devalidate_getgroups_cache($udom,$uname,$cdom,$cnum);
      }
- Line 4847  sub devalidate_getgroups_cache {
+ Line 10675  sub devalidate_getgroups_cache {
  # ------------------------------------------------------------------ Plain Text
  sub plaintext {
-     my ($short,$type,$cid) = @_;
+     my ($short,$type,$cid,$forcedefault) = @_;
-     if ($short =~ /^cr/) {
+     if ($short =~ m{^cr/}) {
  	return (split('/',$short))[-1];
      }
      if (!defined($cid)) {
          $cid = $env{'request.course.id'};
      }
-     if (defined($cid) && defined($env{'course.'.$cid.'.'.$short.'.plaintext'})) {
-         return &Apache::lonlocal::mt($env{'course.'.$cid.'.'.$short.
-                                           '.plaintext'});
-     }
      my %rolenames = (
-                       Course => 'std',
+                       Course    => 'std',
-                       Group => 'alt1',
+                       Community => 'alt1',
+                       Placement => 'std',
                      );
-     if (defined($type) &&
+     if ($cid ne '') {
-          defined($rolenames{$type}) &&
+         if ($env{'course.'.$cid.'.'.$short.'.plaintext'} ne '') {
-          defined($prp{$short}{$rolenames{$type}})) {
+             unless ($forcedefault) {
+                 my $roletext = $env{'course.'.$cid.'.'.$short.'.plaintext'};
+                 &Apache::lonlocal::mt_escape(\$roletext);
+                 return &Apache::lonlocal::mt($roletext);
+             }
+         }
+     }
+     if ((defined($type)) && (defined($rolenames{$type})) &&
+         (defined($rolenames{$type})) &&
+         (defined($prp{$short}{$rolenames{$type}}))) {
          return &Apache::lonlocal::mt($prp{$short}{$rolenames{$type}});
-     } else {
+     } elsif ($cid ne '') {
-         return &Apache::lonlocal::mt($prp{$short}{'std'});
+         my $crstype = $env{'course.'.$cid.'.type'};
+         if (($crstype ne '') && (defined($rolenames{$crstype})) &&
+             (defined($prp{$short}{$rolenames{$crstype}}))) {
+             return &Apache::lonlocal::mt($prp{$short}{$rolenames{$crstype}});
+         }
      }
+     return &Apache::lonlocal::mt($prp{$short}{'std'});
  }
  # ----------------------------------------------------------------- Assign Role
  sub assignrole {
-     my ($udom,$uname,$url,$role,$end,$start,$deleteflag)=@_;
+     my ($udom,$uname,$url,$role,$end,$start,$deleteflag,$selfenroll,
-     my $mrole;
+         $context,$othdomby,$requester,$reqsec,$reqrole)=@_;
+     my ($mrole,$rolelogcontext);
      if ($role =~ /^cr\//) {
          my $cwosec=$url;
          $cwosec=~s/^\/($match_domain)\/($match_courseid)\/.*/$1\/$2/;
- 	unless (&allowed('ccr',$cwosec)) {
+         if ((!&allowed('ccr',$cwosec)) && (!&allowed('ccr',$udom))) {
-            &logthis('Refused custom assignrole: '.
+             my $refused = 1;
-              $udom.' '.$uname.' '.$url.' '.$role.' '.$end.' '.$start.' by '.
+             if ($context eq 'requestcourses') {
- 		    $env{'user.name'}.' at '.$env{'user.domain'});
+                 if (($env{'user.name'} ne '') && ($env{'user.domain'} ne '')) {
-            return 'refused';
+                     if ($role =~ m{^cr/($match_domain)/($match_username)/([^/]+)$}) {
+                         if (($1 eq $env{'user.domain'}) && ($2 eq $env{'user.name'})) {
+                             my ($cdom,$cnum) = ($cwosec =~ m{^/?($match_domain)/($match_courseid)$});
+                             my %crsenv = &userenvironment($cdom,$cnum,('internal.courseowner'));
+                             if ($crsenv{'internal.courseowner'} eq
+                                 $env{'user.name'}.':'.$env{'user.domain'}) {
+                                 $refused = '';
+                             }
+                         }
+                     }
+                 }
+             } elsif (($context eq 'course') && ($othdomby eq 'othdombyuser')) {
+                 my ($cdom,$cnum) = ($cwosec =~ m{^/?($match_domain)/($match_courseid)$});
+                 my ($sec) = ($url =~ m{^/\Q$cwosec\E/(.*)$});
+                 my $key = "$uname:$udom:$role:$sec";
+                 my %queuedrolereq = &Apache::lonnet::get('nohist_othdomqueued',[$key],$cdom,$cnum);
+                 if ((exists($queuedrolereq{$key})) && (ref($queuedrolereq{$key}) eq 'HASH')) {
+                     if (($queuedrolereq{$key}{'adj'} eq 'user') && ($queuedrolereq{$key}{'requester'} eq $requester)) {
+                         $refused = '';
+                     }
+                 }
+             }
+             if ($refused) {
+                 &logthis('Refused custom assignrole: '.
+                          $udom.' '.$uname.' '.$url.' '.$role.' '.$end.' '.$start.
+                          ' by '.$env{'user.name'}.' at '.$env{'user.domain'});
+                 return 'refused';
+             }
          }
          $mrole='cr';
      } elsif ($role =~ /^gr\//) {
          my $cwogrp=$url;
          $cwogrp=~s{^/($match_domain)/($match_courseid)/.*}{$1/$2};
-         unless (&allowed('mdg',$cwogrp)) {
+         if (!&allowed('mdg',$cwogrp)) {
-             &logthis('Refused group assignrole: '.
+             my $refused = 1;
-               $udom.' '.$uname.' '.$url.' '.$role.' '.$end.' '.$start.' by '.
+             if (($refused) && ($othdomby eq 'othdombyuser') && ($requester ne '') && ($reqrole ne '')) {
-                     $env{'user.name'}.' at '.$env{'user.domain'});
+                 my ($cdom,$cnum) = ($cwogrp =~ m{^/?($match_domain)/($match_courseid)$});
-             return 'refused';
+                 my $key = "$uname:$udom:$reqrole:$reqsec";
+                 my %queuedrolereq = &Apache::lonnet::get('nohist_othdomqueued',[$key],$cdom,$cnum);
+                 if ((exists($queuedrolereq{$key})) && (ref($queuedrolereq{$key}) eq 'HASH')) {
+                     if (($queuedrolereq{$key}{'adj'} eq 'user') && ($queuedrolereq{$key}{'requester'} eq $requester)) {
+                         $refused = '';
+                     }
+                 }
+             }
+             if ($refused) {
+                 &logthis('Refused group assignrole: '.
+                          $udom.' '.$uname.' '.$url.' '.$role.' '.$end.' '.$start.' by '.
+                          $env{'user.name'}.' at '.$env{'user.domain'});
+                 return 'refused';
+             }
          }
          $mrole='gr';
      } else {
          my $cwosec=$url;
          $cwosec=~s/^\/($match_domain)\/($match_courseid)\/.*/$1\/$2/;
-         unless ((&allowed('c'.$role,$cwosec)) || &allowed('c'.$role,$udom)) {
+         if (!(&allowed('c'.$role,$cwosec)) && !(&allowed('c'.$role,$udom))) {
-            &logthis('Refused assignrole: '.
+             my $refused;
-              $udom.' '.$uname.' '.$url.' '.$role.' '.$end.' '.$start.' by '.
+             if (($env{'request.course.sec'}  ne '') && ($role eq 'st')) {
- 		    $env{'user.name'}.' at '.$env{'user.domain'});
+                 if (!(&allowed('c'.$role,$url))) {
-            return 'refused';
+                     $refused = 1;
+                 }
+             } else {
+                 $refused = 1;
+             }
+             if ($refused) {
+                 my ($cdom,$cnum) = ($cwosec =~ m{^/?($match_domain)/($match_courseid)$});
+                 if (!$selfenroll && ($othdomby ne 'othdombyuser') &&
+                    (($context eq 'course') || ($context eq 'ltienroll' && $env{'request.lti.login'}))) {
+                     my %crsenv;
+                     if ($role eq 'cc' || $role eq 'co') {
+                         %crsenv = &userenvironment($cdom,$cnum,('internal.courseowner'));
+                         if (($role eq 'cc') && ($cnum !~ /^$match_community$/)) {
+                             if ($env{'request.role'} eq 'cc./'.$cdom.'/'.$cnum) {
+                                 if ($crsenv{'internal.courseowner'} eq
+                                     $env{'user.name'}.':'.$env{'user.domain'}) {
+                                     $refused = '';
+                                 }
+                             }
+                         } elsif (($role eq 'co') && ($cnum =~ /^$match_community$/)) {
+                             if ($env{'request.role'} eq 'co./'.$cdom.'/'.$cnum) {
+                                 if ($crsenv{'internal.courseowner'} eq
+                                     $env{'user.name'}.':'.$env{'user.domain'}) {
+                                     $refused = '';
+                                 }
+                             }
+                         }
+                     }
+                 } elsif (($selfenroll == 1) && ($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'})) {
+                     if ($role eq 'st') {
+                         $refused = '';
+                     } elsif (($context eq 'ltienroll') && ($env{'request.lti.login'})) {
+                         $refused = '';
+                     }
+                 } elsif ($othdomby eq 'othdombyuser') {
+                     my ($key,%queuedrolereq);
+                     if ($context eq 'course') {
+                         my ($sec) = ($url =~ m{^/\Q$cwosec\E/(.*)$});
+                         $key = "$uname:$udom:$role:$sec";
+                         %queuedrolereq = &Apache::lonnet::get('nohist_othdomqueued',[$key],$cdom,$cnum);
+                         if ((exists($queuedrolereq{$key})) && (ref($queuedrolereq{$key}) eq 'HASH')) {
+                             if (($queuedrolereq{$key}{'adj'} eq 'user') && ($queuedrolereq{$key}{'requester'} eq $requester)) {
+                                 if ((($role eq 'cc') && ($cnum !~ /^$match_community$/)) ||
+                                     (($role eq 'co') && ($cnum =~ /^$match_community$/))) {
+                                     my %crsenv = &userenvironment($cdom,$cnum,('internal.courseowner'));
+                                     if ($crsenv{'internal.courseowner'} eq $requester) {
+                                         $refused = '';
+                                     }
+                                 } elsif ($role =~ /^(?:in|ta|ep|st)$/) {
+                                     $refused = '';
+                                 }
+                             }
+                         }
+                     } elsif (($context eq 'author') && ($role =~ /^ca|aa$/)) {
+                         my $key = "$uname:$udom:$role";
+                         my ($audom,$auname) = ($url =~ m{^/($match_domain)/($match_username)$});
+                         if (($audom ne '') && ($auname ne '')) {
+                             my %queuedrolereq = &Apache::lonnet::get('nohist_othdomqueued',[$key],$audom,$auname);
+                             if ((exists($queuedrolereq{$key})) && (ref($queuedrolereq{$key}) eq 'HASH')) {
+                                 if (($queuedrolereq{$key}{'adj'} eq 'user') && ($queuedrolereq{$key}{'requester'} eq $requester)) {
+                                     $refused = '';
+                                 }
+                             }
+                         }
+                     } elsif (($context eq 'domain') && ($role ne 'dc') && ($role ne 'su')) {
+                         my $key = "$uname:$udom:$role";
+                         my ($roledom) = ($url =~ m{^/($match_domain)/\Q$role\E$});
+                         if ($roledom ne '') {
+                             my $confname = $roledom.'-domainconfig';
+                             my %queuedrolereq = &Apache::lonnet::get('nohist_othdomqueued',[$key],$roledom,$confname);
+                             if ((exists($queuedrolereq{$key})) && (ref($queuedrolereq{$key}) eq 'HASH')) {
+                                 if (($queuedrolereq{$key}{'adj'} eq 'user') && ($queuedrolereq{$key}{'requester'} eq $requester)) {
+                                     $refused = '';
+                                 }
+                             }
+                         }
+                     }
+                 } elsif ($context eq 'requestcourses') {
+                     my @possroles = ('st','ta','ep','in','cc','co');
+                     if ((grep(/^\Q$role\E$/,@possroles)) && ($env{'user.name'} ne '' && $env{'user.domain'} ne '')) {
+                         my $wrongcc;
+                         if ($cnum =~ /^$match_community$/) {
+                             $wrongcc = 1 if ($role eq 'cc');
+                         } else {
+                             $wrongcc = 1 if ($role eq 'co');
+                         }
+                         unless ($wrongcc) {
+                             my %crsenv = &userenvironment($cdom,$cnum,('internal.courseowner'));
+                             if ($crsenv{'internal.courseowner'} eq
+                                  $env{'user.name'}.':'.$env{'user.domain'}) {
+                                 $refused = '';
+                             }
+                         }
+                     }
+                 } elsif ($context eq 'requestauthor') {
+                     if (($udom eq $env{'user.domain'}) && ($uname eq $env{'user.name'}) &&
+                         ($url eq '/'.$udom.'/') && ($role eq 'au')) {
+                         if ($env{'environment.requestauthor'} eq 'automatic') {
+                             $refused = '';
+                         } else {
+                             my %domdefaults = &get_domain_defaults($udom);
+                             if (ref($domdefaults{'requestauthor'}) eq 'HASH') {
+                                 my $checkbystatus;
+                                 if ($env{'user.adv'}) {
+                                     my $disposition = $domdefaults{'requestauthor'}{'_LC_adv'};
+                                     if ($disposition eq 'automatic') {
+                                         $refused = '';
+                                     } elsif ($disposition eq '') {
+                                         $checkbystatus = 1;
+                                     }
+                                 } else {
+                                     $checkbystatus = 1;
+                                 }
+                                 if ($checkbystatus) {
+                                     if ($env{'environment.inststatus'}) {
+                                         my @inststatuses = split(/,/,$env{'environment.inststatus'});
+                                         foreach my $type (@inststatuses) {
+                                             if (($type ne '') &&
+                                                 ($domdefaults{'requestauthor'}{$type} eq 'automatic')) {
+                                                 $refused = '';
+                                             }
+                                         }
+                                     } elsif ($domdefaults{'requestauthor'}{'default'} eq 'automatic') {
+                                         $refused = '';
+                                     }
+                                 }
+                             }
+                         }
+                     }
+                 } elsif (($context eq 'author') && (($role eq 'ca' || $role eq 'aa'))) {
+                     if ($url =~ m{^/($match_domain)/($match_username)$}) {
+                         my ($audom,$auname) = ($1,$2);
+                         if ((&Apache::lonnet::allowed('v'.$role,"$audom/$auname")) &&
+                             ($env{"environment.internal.manager.$url"})) {
+                             $refused = '';
+                             $rolelogcontext = 'coauthor';
+                         }
+                     }
+                 }
+                 if ($refused) {
+                     &logthis('Refused assignrole: '.$udom.' '.$uname.' '.$url.
+                              ' '.$role.' '.$end.' '.$start.' by '.
+ 	  	             $env{'user.name'}.' at '.$env{'user.domain'});
+                     return 'refused';
+                 }
+             }
+         } elsif ($role eq 'au') {
+             if ($url ne '/'.$udom.'/') {
+                 &logthis('Attempt by '.$env{'user.name'}.':'.$env{'user.domain'}.
+                          ' to assign author role for '.$uname.':'.$udom.
+                          ' in domain: '.$url.' refused (wrong domain).');
+                 return 'refused';
+             }
          }
          $mrole=$role;
      }
- Line 4919  sub assignrole {
+ Line 10951  sub assignrole {
      }
      my $origstart = $start;
      my $origend = $end;
+     my $delflag;
  # actually delete
      if ($deleteflag) {
  	if ((&allowed('dro',$udom)) || (&allowed('dro',$url))) {
- Line 4929  sub assignrole {
+ Line 10962  sub assignrole {
  # set start and finish to negative values for userrolelog
             $start=-1;
             $end=-1;
+            $delflag = 1;
          }
      }
  # send command
- Line 4936  sub assignrole {
+ Line 10970  sub assignrole {
  # log new user role if status is ok
      if ($answer eq 'ok') {
  	&userrolelog($role,$uname,$udom,$url,$start,$end);
+         if (($role eq 'cc') || ($role eq 'in') ||
+             ($role eq 'ep') || ($role eq 'ad') ||
+             ($role eq 'ta') || ($role eq 'st') ||
+             ($role=~/^cr/) || ($role eq 'gr') ||
+             ($role eq 'co')) {
  # for course roles, perform group memberships changes triggered by role change.
-         unless ($role =~ /^gr/) {
+             unless ($role =~ /^gr/) {
-             &Apache::longroup::group_changes($udom,$uname,$url,$role,$origend,
+                 &Apache::longroup::group_changes($udom,$uname,$url,$role,$origend,
-                                              $origstart);
+                                                  $origstart,$selfenroll,$context);
+             }
+             &courserolelog($role,$uname,$udom,$url,$origstart,$origend,$delflag,
+                            $selfenroll,$context,$othdomby,$requester);
+         } elsif (($role eq 'li') || ($role eq 'dg') || ($role eq 'sc') ||
+                  ($role eq 'au') || ($role eq 'dc') || ($role eq 'dh') ||
+                  ($role eq 'da')) {
+             &domainrolelog($role,$uname,$udom,$url,$origstart,$origend,$delflag,
+                            $context,$othdomby,$requester);
+         } elsif (($role eq 'ca') || ($role eq 'aa')) {
+             if ($rolelogcontext eq '') {
+                 $rolelogcontext = $context;
+             }
+             &coauthorrolelog($role,$uname,$udom,$url,$origstart,$origend,$delflag,
+                              $rolelogcontext,$othdomby,$requester);
+         }
+         if ($role eq 'cc') {
+             &autoupdate_coowners($url,$end,$start,$uname,$udom);
          }
      }
      return $answer;
  }
+ sub autoupdate_coowners {
+     my ($url,$end,$start,$uname,$udom) = @_;
+     my ($cdom,$cnum) = ($url =~ m{^/($match_domain)/($match_courseid)});
+     if (($cdom ne '') && ($cnum ne '')) {
+         my $now = time;
+         my %domdesign = &Apache::loncommon::get_domainconf($cdom);
+         if ($domdesign{$cdom.'.autoassign.co-owners'}) {
+             my %coursehash = &coursedescription($cdom.'_'.$cnum);
+             my $instcode = $coursehash{'internal.coursecode'};
+             my $xlists = $coursehash{'internal.crosslistings'};
+             if ($instcode ne '') {
+                 if (($start && $start <= $now) && ($end == 0) || ($end > $now)) {
+                     unless ($coursehash{'internal.courseowner'} eq $uname.':'.$udom) {
+                         my ($delcoowners,@newcoowners,$putresult,$delresult,$coowners);
+                         my ($result,$desc) = &auto_validate_instcode($cnum,$cdom,$instcode,$uname.':'.$udom);
+                         unless ($result eq 'valid') {
+                             if ($xlists ne '') {
+                                 foreach my $xlist (split(',',$xlists)) {
+                                     my ($inst_crosslist,$lcsec) = split(':',$xlist);
+                                     $result =
+                                         &auto_validate_inst_crosslist($cnum,$cdom,$instcode,
+                                                                       $inst_crosslist,$uname.':'.$udom);
+                                     last if ($result eq 'valid');
+                                 }
+                             }
+                         }
+                         if ($result eq 'valid') {
+                             if ($coursehash{'internal.co-owners'}) {
+                                 foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
+                                     push(@newcoowners,$coowner);
+                                 }
+                                 unless (grep(/^\Q$uname\E:\Q$udom\E$/,@newcoowners)) {
+                                     push(@newcoowners,$uname.':'.$udom);
+                                 }
+                                 @newcoowners = sort(@newcoowners);
+                             } else {
+                                 push(@newcoowners,$uname.':'.$udom);
+                             }
+                         } elsif ($coursehash{'internal.co-owners'}) {
+                             foreach my $coowner (split(',',$coursehash{'internal.co-owners'})) {
+                                 unless ($coowner eq $uname.':'.$udom) {
+                                     push(@newcoowners,$coowner);
+                                 }
+                             }
+                             unless (@newcoowners > 0) {
+                                 $delcoowners = 1;
+                                 $coowners = '';
+                             }
+                         }
+                         if (@newcoowners || $delcoowners) {
+                             &store_coowners($cdom,$cnum,$coursehash{'home'},
+                                             $delcoowners,@newcoowners);
+                         }
+                     }
+                 }
+             }
+         }
+     }
+ }
+ sub store_coowners {
+     my ($cdom,$cnum,$chome,$delcoowners,@newcoowners) = @_;
+     my $cid = $cdom.'_'.$cnum;
+     my ($coowners,$delresult,$putresult);
+     if (@newcoowners) {
+         $coowners = join(',',@newcoowners);
+         my %coownershash = (
+                             'internal.co-owners' => $coowners,
+                            );
+         $putresult = &put('environment',\%coownershash,$cdom,$cnum);
+         if ($putresult eq 'ok') {
+             if ($env{'course.'.$cid.'.num'} eq $cnum) {
+                 &appenv({'course.'.$cid.'.internal.co-owners' => $coowners});
+             }
+         }
+     }
+     if ($delcoowners) {
+         $delresult = &Apache::lonnet::del('environment',['internal.co-owners'],$cdom,$cnum);
+         if ($delresult eq 'ok') {
+             if ($env{'course.'.$cid.'.internal.co-owners'}) {
+                 &Apache::lonnet::delenv('course.'.$cid.'.internal.co-owners');
+             }
+         }
+     }
+     if (($putresult eq 'ok') || ($delresult eq 'ok')) {
+         my %crsinfo =
+             &courseiddump($cdom,'.',1,'.','.',$cnum,undef,undef,'.');
+         if (ref($crsinfo{$cid}) eq 'HASH') {
+             $crsinfo{$cid}{'co-owners'} = \@newcoowners;
+             my $cidput = &courseidput($cdom,\%crsinfo,$chome,'notime');
+         }
+     }
+ }
  # -------------------------------------------------- Modify user authentication
  # Overrides without validation
  sub modifyuserauth {
      my ($udom,$uname,$umode,$upass)=@_;
      my $uhome=&homeserver($uname,$udom);
-     unless (&allowed('mau',$udom)) { return 'refused'; }
+     my $allowed;
+     if (&allowed('mau',$udom)) {
+         $allowed = 1;
+     } elsif (($umode eq 'internal') && ($udom eq $env{'user.domain'}) &&
+              ($env{'request.course.id'}) && (&allowed('mip',$env{'request.course.id'})) &&
+              (!$env{'course.'.$env{'request.course.id'}.'.internal.nopasswdchg'})) {
+         my $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+         my $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         if (($cdom ne '') && ($cnum ne '')) {
+             my $is_owner = &is_course_owner($cdom,$cnum);
+             if ($is_owner) {
+                 $allowed = 1;
+             }
+         }
+     }
+     unless ($allowed) { return 'refused'; }
      &logthis('Call to modify user authentication '.$udom.', '.$uname.', '.
               $umode.' by '.$env{'user.name'}.' at '.$env{'user.domain'}.
               ' in domain '.$env{'request.role.domain'});
      my $reply=&reply('encrypt:changeuserauth:'.$udom.':'.$uname.':'.$umode.':'.
  		     &escape($upass),$uhome);
+     my $ip = &get_requestor_ip();
      &log($env{'user.domain'},$env{'user.name'},$env{'user.home'},
          'Authentication changed for '.$udom.', '.$uname.', '.$umode.
-          '(Remote '.$ENV{'REMOTE_ADDR'}.'): '.$reply);
+          '(Remote '.$ip.'): '.$reply);
      &log($udom,,$uname,$uhome,
          'Authentication changed by '.$env{'user.domain'}.', '.
                                       $env{'user.name'}.', '.$umode.
-          '(Remote '.$ENV{'REMOTE_ADDR'}.'): '.$reply);
+          '(Remote '.$ip.'): '.$reply);
      unless ($reply eq 'ok') {
          &logthis('Authentication mode error: '.$reply);
  	return 'error: '.$reply;
- Line 4977  sub modifyuser {
+ Line 11143  sub modifyuser {
      my ($udom,    $uname, $uid,
          $umode,   $upass, $first,
          $middle,  $last,  $gene,
-         $forceid, $desiredhome, $email)=@_;
+         $forceid, $desiredhome, $email, $inststatus, $candelete)=@_;
      $udom= &LONCAPA::clean_domain($udom);
      $uname=&LONCAPA::clean_username($uname);
+     my $showcandelete = 'none';
+     if (ref($candelete) eq 'ARRAY') {
+         if (@{$candelete} > 0) {
+             $showcandelete = join(', ',@{$candelete});
+         }
+     }
      &logthis('Call to modify user '.$udom.', '.$uname.', '.$uid.', '.
               $umode.', '.$first.', '.$middle.', '.
- 	     $last.', '.$gene.'(forceid: '.$forceid.')'.
+ 	     $last.', '.$gene.'(forceid: '.$forceid.'; candelete: '.$showcandelete.')'.
               (defined($desiredhome) ? ' desiredhome = '.$desiredhome :
                                       ' desiredhome not specified').
               ' by '.$env{'user.name'}.' at '.$env{'user.domain'}.
               ' in domain '.$env{'request.role.domain'});
      my $uhome=&homeserver($uname,$udom,'true');
+     my $newuser;
+     if ($uhome eq 'no_host') {
+         $newuser = 1;
+         unless (($umode && ($upass ne '')) || ($umode eq 'localauth') ||
+                 ($umode eq 'lti')) {
+             return 'error: more information needed to create new user';
+         }
+     }
  # ----------------------------------------------------------------- Create User
      if (($uhome eq 'no_host') &&
- 	(($umode && $upass) || ($umode eq 'localauth'))) {
+ 	(($umode && $upass) || ($umode eq 'localauth') || ($umode eq 'lti'))) {
          my $unhome='';
          if (defined($desiredhome) && &host_domain($desiredhome) eq $udom) {
              $unhome = $desiredhome;
- Line 5032  sub modifyuser {
+ Line 11212  sub modifyuser {
                    'current user id "'.$uidhash{$uname}.'".';
            }
         } else {
- 	  &idput($udom,($uname => $uid));
+ 	  &idput($udom,{$uname => $uid},$uhome,'ids');
         }
      }
  # -------------------------------------------------------------- Add names, etc
      my @tmp=&get('environment',
- 		   ['firstname','middlename','lastname','generation'],
+ 		   ['firstname','middlename','lastname','generation','id',
+                     'permanentemail','inststatus'],
  		   $udom,$uname);
-     my %names;
+     my (%names,%oldnames);
      if ($tmp[0] =~ m/^error:.*/) {
          %names=();
      } else {
          %names = @tmp;
+         %oldnames = %names;
      }
  #
- # Make sure to not trash student environment if instructor does not bother
+ # If name, email and/or uid are blank (e.g., because an uploaded file
- # to supply name and email information
+ # of users did not contain them), do not overwrite existing values
+ # unless field is in $candelete array ref.
  #
+     my @fields = ('firstname','middlename','lastname','generation',
+                   'permanentemail','id');
+     my %newvalues;
+     if (ref($candelete) eq 'ARRAY') {
+         foreach my $field (@fields) {
+             if (grep(/^\Q$field\E$/,@{$candelete})) {
+                 if ($field eq 'firstname') {
+                     $names{$field} = $first;
+                 } elsif ($field eq 'middlename') {
+                     $names{$field} = $middle;
+                 } elsif ($field eq 'lastname') {
+                     $names{$field} = $last;
+                 } elsif ($field eq 'generation') {
+                     $names{$field} = $gene;
+                 } elsif ($field eq 'permanentemail') {
+                     $names{$field} = $email;
+                 } elsif ($field eq 'id') {
+                     $names{$field}  = $uid;
+                 }
+             }
+         }
+     }
      if ($first)  { $names{'firstname'}  = $first; }
      if (defined($middle)) { $names{'middlename'} = $middle; }
      if ($last)   { $names{'lastname'}   = $last; }
      if (defined($gene))   { $names{'generation'} = $gene; }
      if ($email) {
         $email=~s/[^\w\@\.\-\,]//gs;
-        if ($email=~/\@/) { $names{'notification'} = $email;
+        if ($email=~/\@/) { $names{'permanentemail'} = $email; }
- 			   $names{'critnotification'} = $email;
+     }
- 			   $names{'permanentemail'} = $email; }
+     if ($uid) { $names{'id'}  = $uid; }
+     if (defined($inststatus)) {
+         $names{'inststatus'} = '';
+         my ($usertypes,$typesorder) = &retrieve_inst_usertypes($udom);
+         if (ref($usertypes) eq 'HASH') {
+             my @okstatuses;
+             foreach my $item (split(/:/,$inststatus)) {
+                 if (defined($usertypes->{$item})) {
+                     push(@okstatuses,$item);
+                 }
+             }
+             if (@okstatuses) {
+                 $names{'inststatus'} = join(':', map { &escape($_); } @okstatuses);
+             }
+         }
+     }
+     my $logmsg = $udom.', '.$uname.', '.$uid.', '.
+                  $umode.', '.$first.', '.$middle.', '.
+                  $last.', '.$gene.', '.$email.', '.$inststatus;
+     if ($env{'user.name'} ne '' && $env{'user.domain'}) {
+         $logmsg .= ' by '.$env{'user.name'}.' at '.$env{'user.domain'};
+     } else {
+         $logmsg .= ' during self creation';
+     }
+     my $changed;
+     if ($newuser) {
+         $changed = 1;
+     } else {
+         foreach my $field (@fields) {
+             if ($names{$field} ne $oldnames{$field}) {
+                 $changed = 1;
+                 last;
+             }
+         }
+     }
+     unless ($changed) {
+         $logmsg = 'No changes in user information needed for: '.$logmsg;
+         &logthis($logmsg);
+         return 'ok';
      }
      my $reply = &put('environment', \%names, $udom,$uname);
-     if ($reply ne 'ok') { return 'error: '.$reply; }
+     if ($reply ne 'ok') {
+         return 'error: '.$reply;
+     }
+     if ($names{'permanentemail'} ne $oldnames{'permanentemail'}) {
+         &devalidate_cache_new('emailscache',$uname.':'.$udom);
+     }
+     my $sqlresult = &update_allusers_table($uname,$udom,\%names);
      &devalidate_cache_new('namescache',$uname.':'.$udom);
-     &logthis('Success modifying user '.$udom.', '.$uname.', '.$uid.', '.
+     $logmsg = 'Success modifying user '.$logmsg;
-              $umode.', '.$first.', '.$middle.', '.
+     &logthis($logmsg);
- 	     $last.', '.$gene.' by '.
-              $env{'user.name'}.' at '.$env{'user.domain'});
      return 'ok';
  }
- Line 5073  sub modifyuser {
+ Line 11321  sub modifyuser {
  sub modifystudent {
      my ($udom,$uname,$uid,$umode,$upass,$first,$middle,$last,$gene,$usec,
-         $end,$start,$forceid,$desiredhome,$email,$type,$locktype,$cid)=@_;
+         $end,$start,$forceid,$desiredhome,$email,$type,$locktype,$cid,
+         $selfenroll,$context,$inststatus,$credits,$instsec)=@_;
      if (!$cid) {
  	unless ($cid=$env{'request.course.id'}) {
  	    return 'not_in_class';
- Line 5082  sub modifystudent {
+ Line 11331  sub modifystudent {
  # --------------------------------------------------------------- Make the user
      my $reply=&modifyuser
  	($udom,$uname,$uid,$umode,$upass,$first,$middle,$last,$gene,$forceid,
-          $desiredhome,$email);
+          $desiredhome,$email,$inststatus);
      unless ($reply eq 'ok') { return $reply; }
      # This will cause &modify_student_enrollment to get the uid from the
-     # students environment
+     # student's environment
      $uid = undef if (!$forceid);
      $reply = &modify_student_enrollment($udom,$uname,$uid,$first,$middle,$last,
- 					$gene,$usec,$end,$start,$type,$locktype,$cid);
+                                         $gene,$usec,$end,$start,$type,$locktype,
+                                         $cid,$selfenroll,$context,$credits,$instsec);
      return $reply;
  }
  sub modify_student_enrollment {
-     my ($udom,$uname,$uid,$first,$middle,$last,$gene,$usec,$end,$start,$type,$locktype,$cid) = @_;
+     my ($udom,$uname,$uid,$first,$middle,$last,$gene,$usec,$end,$start,$type,
+         $locktype,$cid,$selfenroll,$context,$credits,$instsec,$othdomby,$requester) = @_;
      my ($cdom,$cnum,$chome);
      if (!$cid) {
  	unless ($cid=$env{'request.course.id'}) {
- Line 5136  sub modify_student_enrollment {
+ Line 11387  sub modify_student_enrollment {
          $uid    = $tmp{'id'}         if (!defined($uid)    || $uid  eq '');
      }
      my $fullname = &format_name($first,$middle,$last,$gene,'lastname');
+     my $user = "$uname:$udom";
+     my %old_entry = &get('classlist',[$user],$cdom,$cnum);
      my $reply=cput('classlist',
- 		   {"$uname:$udom" =>
+ 		   {$user =>
- 			join(':',$end,$start,$uid,$usec,$fullname,$type,$locktype) },
+ 			join(':',$end,$start,$uid,$usec,$fullname,$type,$locktype,$credits,$instsec) },
  		   $cdom,$cnum);
-     unless (($reply eq 'ok') || ($reply eq 'delayed')) {
+     if (($reply eq 'ok') || ($reply eq 'delayed')) {
+         &devalidate_getsection_cache($udom,$uname,$cid);
+     } else {
  	return 'error: '.$reply;
-     } else {
- 	&devalidate_getsection_cache($udom,$uname,$cid);
      }
      # Add student role to user
      my $uurl='/'.$cid;
- Line 5151  sub modify_student_enrollment {
+ Line 11404  sub modify_student_enrollment {
      if ($usec) {
  	$uurl.='/'.$usec;
      }
-     return &assignrole($udom,$uname,$uurl,'st',$end,$start);
+     my $result = &assignrole($udom,$uname,$uurl,'st',$end,$start,undef,
+                              $selfenroll,$context,$othdomby,$requester);
+     if ($result ne 'ok') {
+         if ($old_entry{$user} ne '') {
+             $reply = &cput('classlist',\%old_entry,$cdom,$cnum);
+         } else {
+             $reply = &del('classlist',[$user],$cdom,$cnum);
+         }
+     }
+     return $result;
  }
  sub format_name {
- Line 5196  sub writecoursepref {
+ Line 11458  sub writecoursepref {
  sub createcourse {
      my ($udom,$description,$url,$course_server,$nonstandard,$inst_code,
-         $course_owner,$crstype)=@_;
+         $course_owner,$crstype,$cnum,$context,$category,$callercontext)=@_;
      $url=&declutter($url);
      my $cid='';
-     unless (&allowed('ccc',$udom)) {
+     if ($context eq 'requestcourses') {
+         my $can_create = 0;
+         my ($ownername,$ownerdom) = split(':',$course_owner);
+         if ($udom eq $ownerdom) {
+             my $reload;
+             if (($callercontext eq 'auto') &&
+                ($ownerdom eq $env{'user.domain'}) && ($ownername eq $env{'user.name'})) {
+                 $reload = 'reload';
+             }
+             if (&usertools_access($ownername,$ownerdom,$category,$reload,
+                                   $context)) {
+                 $can_create = 1;
+             }
+         } else {
+             my %userenv = &userenvironment($ownerdom,$ownername,'reqcrsotherdom.'.
+                                            $category);
+             if ($userenv{'reqcrsotherdom.'.$category} ne '') {
+                 my @curr = split(',',$userenv{'reqcrsotherdom.'.$category});
+                 if (@curr > 0) {
+                     my @options = qw(approval validate autolimit);
+                     my $optregex = join('|',@options);
+                     if (grep(/^\Q$udom\E:($optregex)(=?\d*)$/,@curr)) {
+                         $can_create = 1;
+                     }
+                 }
+             }
+         }
+         if ($can_create) {
+             unless ($ownername eq $env{'user.name'} && $ownerdom eq $env{'user.domain'}) {
+                 unless (&allowed('ccc',$udom)) {
+                     return 'refused';
+                 }
+             }
+         } else {
+             return 'refused';
+         }
+     } elsif (!&allowed('ccc',$udom)) {
          return 'refused';
      }
- # ------------------------------------------------------------------- Create ID
+ # --------------------------------------------------------------- Get Unique ID
-    my $uname=int(1+rand(9)).
+     my $uname;
-        ('a'..'z','A'..'Z','0'..'9')[int(rand(62))].
+     if ($cnum =~ /^$match_courseid$/) {
-        substr($$.time,0,5).unpack("H8",pack("I32",time)).
+         my $chome=&homeserver($cnum,$udom,'true');
-        unpack("H2",pack("I32",int(rand(255)))).$perlvar{'lonHostID'};
+         if (($chome eq '') || ($chome eq 'no_host')) {
- # ----------------------------------------------- Make sure that does not exist
+             $uname = $cnum;
-    my $uhome=&homeserver($uname,$udom,'true');
+         } else {
-    unless (($uhome eq '') || ($uhome eq 'no_host')) {
+             $uname = &generate_coursenum($udom,$crstype);
-        $uname=substr($$.time,0,5).unpack("H8",pack("I32",time)).
+         }
-         unpack("H2",pack("I32",int(rand(255)))).$perlvar{'lonHostID'};
+     } else {
-        $uhome=&homeserver($uname,$udom,'true');
+         $uname = &generate_coursenum($udom,$crstype);
-        unless (($uhome eq '') || ($uhome eq 'no_host')) {
+     }
-            return 'error: unable to generate unique course-ID';
+     return $uname if ($uname =~ /^error/);
-        }
+ # -------------------------------------------------- Check supplied server name
-    }
+     if (!defined($course_server)) {
- # ------------------------------------------------ Check supplied server name
+         if (defined(&domain($udom,'primary'))) {
-     $course_server = $env{'user.homeserver'} if (! defined($course_server));
+             $course_server = &domain($udom,'primary');
-     if (! &is_library($course_server)) {
+         } else {
-         return 'error:bad server name '.$course_server;
+             $course_server = $env{'user.home'};
+         }
+     }
+     my %host_servers =
+         &get_servers($udom,'library');
+     unless ($host_servers{$course_server}) {
+         return 'error: invalid home server for course: '.$course_server;
      }
  # ------------------------------------------------------------- Make the course
      my $reply=&reply('encrypt:makeuser:'.$udom.':'.$uname.':none::',
                        $course_server);
      unless ($reply eq 'ok') { return 'error: '.$reply; }
-     $uhome=&homeserver($uname,$udom,'true');
+     my $uhome=&homeserver($uname,$udom,'true');
      if (($uhome eq '') || ($uhome eq 'no_host')) {
  	return 'error: no such course';
      }
  # ----------------------------------------------------------------- Course made
  # log existence
-     &courseidput($udom,&escape($udom.'_'.$uname).'='.&escape($description).
+     my $now = time;
-                  ':'.&escape($inst_code).':'.&escape($course_owner).':'.
+     my $newcourse = {
-                   &escape($crstype),$uhome);
+                     $udom.'_'.$uname => {
-     &flushcourselogs();
+                                      description => $description,
+                                      inst_code   => $inst_code,
+                                      owner       => $course_owner,
+                                      type        => $crstype,
+                                      creator     => $env{'user.name'}.':'.
+                                                     $env{'user.domain'},
+                                      created     => $now,
+                                      context     => $context,
+                                                 },
+                     };
+     &courseidput($udom,$newcourse,$uhome,'notime');
  # set toplevel url
      my $topurl=$url;
      unless ($nonstandard) {
- Line 5257  ENDINITMAP
+ Line 11571  ENDINITMAP
      }
  # ----------------------------------------------------------- Write preferences
      &writecoursepref($udom.'_'.$uname,
-                      ('description' => $description,
+                      ('description'              => $description,
-                       'url'         => $topurl));
+                       'url'                      => $topurl,
+                       'internal.creator'         => $env{'user.name'}.':'.
+                                                     $env{'user.domain'},
+                       'internal.created'         => $now,
+                       'internal.creationcontext' => $context)
+                     );
      return '/'.$udom.'/'.$uname;
  }
+ # ------------------------------------------------------------------- Create ID
+ sub generate_coursenum {
+     my ($udom,$crstype) = @_;
+     my $domdesc = &domain($udom);
+     return 'error: invalid domain' if ($domdesc eq '');
+     my $first;
+     if ($crstype eq 'Community') {
+         $first = '0';
+     } else {
+         $first = int(1+rand(9));
+     }
+     my $uname=$first.
+         ('a'..'z','A'..'Z','0'..'9')[int(rand(62))].
+         substr($$.time,0,5).unpack("H8",pack("I32",time)).
+         unpack("H2",pack("I32",int(rand(255)))).$perlvar{'lonHostID'};
+ # ----------------------------------------------- Make sure that does not exist
+     my $uhome=&homeserver($uname,$udom,'true');
+     unless (($uhome eq '') || ($uhome eq 'no_host')) {
+         if ($crstype eq 'Community') {
+             $first = '0';
+         } else {
+             $first = int(1+rand(9));
+         }
+         $uname=$first.
+                ('a'..'z','A'..'Z','0'..'9')[int(rand(62))].
+                substr($$.time,0,5).unpack("H8",pack("I32",time)).
+                unpack("H2",pack("I32",int(rand(255)))).$perlvar{'lonHostID'};
+         $uhome=&homeserver($uname,$udom,'true');
+         unless (($uhome eq '') || ($uhome eq 'no_host')) {
+             return 'error: unable to generate unique course-ID';
+         }
+     }
+     return $uname;
+ }
  sub is_course {
-     my ($cdom,$cnum) = @_;
+     my ($cdom, $cnum) = scalar(@_) == 1 ?
-     my %courses = &courseiddump($cdom,'.',1,'.','.',$cnum,undef,
+          ($_[0] =~ /^($match_domain)_($match_courseid)$/)  :  @_;
- 				undef,'.');
-     if (exists($courses{$cdom.'_'.$cnum})) {
+     return unless (($cdom =~ /^$match_domain$/) && ($cnum =~ /^$match_courseid$/));
-         return 1;
+     my $uhome=&homeserver($cnum,$cdom);
+     my $iscourse;
+     if (grep { $_ eq $uhome } current_machine_ids()) {
+         $iscourse = &LONCAPA::Lond::is_course($cdom,$cnum);
+     } else {
+         my $hashid = $cdom.':'.$cnum;
+         ($iscourse,my $cached) = &is_cached_new('iscourse',$hashid);
+         unless (defined($cached)) {
+             my %courses = &courseiddump($cdom, '.', 1, '.', '.',
+                                         $cnum,undef,undef,'.');
+             $iscourse = 0;
+             if (exists($courses{$cdom.'_'.$cnum})) {
+                 $iscourse = 1;
+             }
+             &do_cache_new('iscourse',$hashid,$iscourse,3600);
+         }
      }
-     return 0;
+     return unless ($iscourse);
+     return wantarray ? ($cdom, $cnum) : $cdom.'_'.$cnum;
+ }
+ sub store_userdata {
+     my ($storehash,$datakey,$namespace,$udom,$uname) = @_;
+     my $result;
+     if ($datakey ne '') {
+         if (ref($storehash) eq 'HASH') {
+             if ($udom eq '' || $uname eq '') {
+                 $udom = $env{'user.domain'};
+                 $uname = $env{'user.name'};
+             }
+             my $uhome=&homeserver($uname,$udom);
+             if (($uhome eq '') || ($uhome eq 'no_host')) {
+                 $result = 'error: no_host';
+             } else {
+                 $storehash->{'ip'} = &get_requestor_ip();
+                 $storehash->{'host'} = $perlvar{'lonHostID'};
+                 my $namevalue='';
+                 foreach my $key (keys(%{$storehash})) {
+                     $namevalue.=&escape($key).'='.&freeze_escape($$storehash{$key}).'&';
+                 }
+                 $namevalue=~s/\&$//;
+                 unless ($namespace eq 'courserequests') {
+                     $datakey = &escape($datakey);
+                 }
+                 $result =  &reply("store:$udom:$uname:$namespace:$datakey:".
+                                   $namevalue,$uhome);
+             }
+         } else {
+             $result = 'error: data to store was not a hash reference';
+         }
+     } else {
+         $result= 'error: invalid requestkey';
+     }
+     return $result;
  }
  # ---------------------------------------------------------- Assign Custom Role
  sub assigncustomrole {
-     my ($udom,$uname,$url,$rdom,$rnam,$rolename,$end,$start,$deleteflag)=@_;
+     my ($udom,$uname,$url,$rdom,$rnam,$rolename,$end,$start,$deleteflag,
+         $selfenroll,$context,$othdomby,$requester)=@_;
      return &assignrole($udom,$uname,$url,'cr/'.$rdom.'/'.$rnam.'/'.$rolename,
-                        $end,$start,$deleteflag);
+                        $end,$start,$deleteflag,$selfenroll,$context,$othdomby,
+                        $requester);
  }
  # ----------------------------------------------------------------- Revoke Role
  sub revokerole {
-     my ($udom,$uname,$url,$role,$deleteflag)=@_;
+     my ($udom,$uname,$url,$role,$deleteflag,$selfenroll,$context)=@_;
      my $now=time;
-     return &assignrole($udom,$uname,$url,$role,$now,$deleteflag);
+     return &assignrole($udom,$uname,$url,$role,$now,undef,$deleteflag,$selfenroll,$context);
  }
  # ---------------------------------------------------------- Revoke Custom Role
  sub revokecustomrole {
-     my ($udom,$uname,$url,$rdom,$rnam,$rolename,$deleteflag)=@_;
+     my ($udom,$uname,$url,$rdom,$rnam,$rolename,$deleteflag,$selfenroll,$context)=@_;
      my $now=time;
      return &assigncustomrole($udom,$uname,$url,$rdom,$rnam,$rolename,$now,
-            $deleteflag);
+            $deleteflag,$selfenroll,$context);
  }
  # ------------------------------------------------------------ Disk usage
  sub diskusage {
-     my ($udom,$uname,$directoryRoot)=@_;
+     my ($udom,$uname,$directorypath,$getpropath)=@_;
-     $directoryRoot =~ s/\/$//;
+     $directorypath =~ s/\/$//;
-     my $listing=&reply('du:'.$directoryRoot,homeserver($uname,$udom));
+     my $listing=&reply('du2:'.&escape($directorypath).':'
+                        .&escape($getpropath).':'.&escape($uname).':'
+                        .&escape($udom),homeserver($uname,$udom));
+     if ($listing eq 'unknown_cmd') {
+         if ($getpropath) {
+             $directorypath = &propath($udom,$uname).'/'.$directorypath;
+         }
+         $listing = &reply('du:'.$directorypath,homeserver($uname,$udom));
+     }
      return $listing;
  }
  sub is_locked {
-     my ($file_name, $domain, $user) = @_;
+     my ($file_name, $domain, $user, $which) = @_;
      my @check;
      my $is_locked;
-     push @check, $file_name;
+     push (@check,$file_name);
      my %locked = &get('file_permissions',\@check,
  		      $env{'user.domain'},$env{'user.name'});
      my ($tmp)=keys(%locked);
- Line 5318  sub is_locked {
+ Line 11734  sub is_locked {
      if (ref($locked{$file_name}) eq 'ARRAY') {
          $is_locked = 'false';
          foreach my $entry (@{$locked{$file_name}}) {
             if (ref($entry) eq 'ARRAY') {
                 $is_locked = 'true';
-                last;
+                if (ref($which) eq 'ARRAY') {
+                    push(@{$which},$entry);
+                } else {
+                    last;
+                }
             }
         }
      } else {
          $is_locked = 'false';
      }
+     return $is_locked;
  }
  sub declutter_portfile {
- Line 5355  sub save_selected_files {
+ Line 11776  sub save_selected_files {
      my ($user, $path, @files) = @_;
      my $filename = $user."savedfiles";
      my @other_files = &files_not_in_path($user, $path);
-     open (OUT, '>'.$tmpdir.$filename);
+     open (OUT,'>',LONCAPA::tempdir().$filename);
      foreach my $file (@files) {
          print (OUT $env{'form.currentpath'}.$file."\n");
      }
- Line 5369  sub save_selected_files {
+ Line 11790  sub save_selected_files {
  sub clear_selected_files {
      my ($user) = @_;
      my $filename = $user."savedfiles";
-     open (OUT, '>'.$Apache::lonnet::perlvar{'lonDaemons'}.'/tmp/'.$filename);
+     open (OUT,'>',LONCAPA::tempdir().$filename);
      print (OUT undef);
      close (OUT);
      return ("ok");
- Line 5379  sub files_in_path {
+ Line 11800  sub files_in_path {
      my ($user, $path) = @_;
      my $filename = $user."savedfiles";
      my %return_files;
-     open (IN, '<'.$Apache::lonnet::perlvar{'lonDaemons'}.'/tmp/'.$filename);
+     open (IN,'<',LONCAPA::tempdir().$filename);
      while (my $line_in = <IN>) {
          chomp ($line_in);
          my @paths_and_file = split (m!/!, $line_in);
- Line 5401  sub files_not_in_path {
+ Line 11822  sub files_not_in_path {
      my $filename = $user."savedfiles";
      my @return_files;
      my $path_part;
-     open(IN, '<'.$Apache::lonnet::perlvar{'lonDaemons'}.'/tmp/'.$filename);
+     open(IN, '<',LONCAPA::tempdir().$filename);
      while (my $line = <IN>) {
          #ok, I know it's clunky, but I want it to work
          my @paths_and_file = split(m|/|, $line);
- Line 5418  sub files_not_in_path {
+ Line 11839  sub files_not_in_path {
      return (@return_files);
  }
+ #------------------------------Submitted/Handedback Portfolio Files Versioning
+ sub portfiles_versioning {
+     my ($symb,$domain,$stu_name,$portfiles,$versioned_portfiles) = @_;
+     my $portfolio_root = '/userfiles/portfolio';
+     return unless ((ref($portfiles) eq 'ARRAY') && (ref($versioned_portfiles) eq 'ARRAY'));
+     foreach my $file (@{$portfiles}) {
+         &unmark_as_readonly($domain,$stu_name,[$symb,$env{'request.course.id'}],$file);
+         my ($directory,$answer_file) =($file =~ /^(.*?)([^\/]*)$/);
+         my ($answer_name,$answer_ver,$answer_ext) = &file_name_version_ext($answer_file);
+         my $getpropath = 1;
+         my ($dir_list,$listerror) = &dirlist($portfolio_root.$directory,$domain,
+                                              $stu_name,$getpropath);
+         my $version = &get_next_version($answer_name,$answer_ext,$dir_list);
+         my $new_answer =
+             &version_selected_portfile($domain,$stu_name,$directory,$answer_file,$version);
+         if ($new_answer ne 'problem getting file') {
+             push(@{$versioned_portfiles}, $directory.$new_answer);
+             &mark_as_readonly($domain,$stu_name,[$directory.$new_answer],
+                               [$symb,$env{'request.course.id'},'graded']);
+         }
+     }
+ }
+ sub get_next_version {
+     my ($answer_name, $answer_ext, $dir_list) = @_;
+     my $version;
+     if (ref($dir_list) eq 'ARRAY') {
+         foreach my $row (@{$dir_list}) {
+             my ($file) = split(/\&/,$row,2);
+             my ($file_name,$file_version,$file_ext) =
+                 &file_name_version_ext($file);
+             if (($file_name eq $answer_name) &&
+                 ($file_ext eq $answer_ext)) {
+                      # gets here if filename and extension match,
+                      # regardless of version
+                 if ($file_version ne '') {
+                     # a versioned file is found  so save it for later
+                     if ($file_version > $version) {
+                         $version = $file_version;
+                     }
+                 }
+             }
+         }
+     }
+     $version ++;
+     return($version);
+ }
+ sub version_selected_portfile {
+     my ($domain,$stu_name,$directory,$file_name,$version) = @_;
+     my ($answer_name,$answer_ver,$answer_ext) =
+         &file_name_version_ext($file_name);
+     my $new_answer;
+     $env{'form.copy'} =
+         &getfile("/uploaded/$domain/$stu_name/portfolio$directory$file_name");
+     if($env{'form.copy'} eq '-1') {
+         $new_answer = 'problem getting file';
+     } else {
+         $new_answer = $answer_name.'.'.$version.'.'.$answer_ext;
+         my $copy_result =
+             &finishuserfileupload($stu_name,$domain,'copy',
+                                   '/portfolio'.$directory.$new_answer);
+     }
+     undef($env{'form.copy'});
+     return ($new_answer);
+ }
+ sub file_name_version_ext {
+     my ($file)=@_;
+     my @file_parts = split(/\./, $file);
+     my ($name,$version,$ext);
+     if (@file_parts > 1) {
+         $ext=pop(@file_parts);
+         if (@file_parts > 1 && $file_parts[-1] =~ /^\d+$/) {
+             $version=pop(@file_parts);
+         }
+         $name=join('.',@file_parts);
+     } else {
+         $name=join('.',@file_parts);
+     }
+     return($name,$version,$ext);
+ }
  #----------------------------------------------Get portfolio file permissions
  sub get_portfile_permissions {
- Line 5514  sub modify_access_controls {
+ Line 12019  sub modify_access_controls {
      my $tries = 0;
      my $gotlock = &newput('file_permissions',$lockhash,$domain,$user);
-     while (($gotlock ne 'ok') && $tries <3) {
+     while (($gotlock ne 'ok') && $tries < 10) {
          $tries ++;
-         sleep 1;
+         sleep(0.1);
          $gotlock = &newput('file_permissions',$lockhash,$domain,$user);
      }
      if ($gotlock eq 'ok') {
- Line 5542  sub modify_access_controls {
+ Line 12047  sub modify_access_controls {
                  }
              }
          }
+         my ($group);
+         if (&is_course($domain,$user)) {
+             ($group,my $file) = split(/\//,$file_name,2);
+         }
          $deloutcome = &del('file_permissions',\@deletions,$domain,$user);
          $new_values{$file_name."\0".'accesscontrol'} = \%new_control;
          $outcome = &put('file_permissions',\%new_values,$domain,$user);
          #  remove lock
          my @del_lock = ($file_name."\0".'locked_access_records');
          my $dellockoutcome = &del('file_permissions',\@del_lock,$domain,$user);
-         my ($file,$group);
-         if (&is_course($domain,$user)) {
-             ($group,$file) = split(/\//,$file_name,2);
-         } else {
-             $file = $file_name;
-         }
          my $sqlresult =
-             &update_portfolio_table($user,$domain,$file,'portfolio_access',
+             &update_portfolio_table($user,$domain,$file_name,'portfolio_access',
                                      $group);
      } else {
          $outcome = "error: could not obtain lockfile\n";
- Line 5564  sub modify_access_controls {
+ Line 12067  sub modify_access_controls {
  }
  sub make_public_indefinitely {
-     my ($requrl) = @_;
+     my (@requrl) = @_;
+     return &automated_portfile_access('public',\@requrl);
+ }
+ sub automated_portfile_access {
+     my ($accesstype,$addsref,$delsref,$info) = @_;
+     unless (($accesstype eq 'public') || ($accesstype eq 'ip')) {
+         return 'invalid';
+     }
+     my %urls;
+     if (ref($addsref) eq 'ARRAY') {
+         foreach my $requrl (@{$addsref}) {
+             if (&is_portfolio_url($requrl)) {
+                 unless (exists($urls{$requrl})) {
+                     $urls{$requrl} = 'add';
+                 }
+             }
+         }
+     }
+     if (ref($delsref) eq 'ARRAY') {
+         foreach my $requrl (@{$delsref}) {
+             if (&is_portfolio_url($requrl)) {
+                 unless (exists($urls{$requrl})) {
+                     $urls{$requrl} = 'delete';
+                 }
+             }
+         }
+     }
+     unless (keys(%urls)) {
+         return 'invalid';
+     }
+     my $ip;
+     if ($accesstype eq 'ip') {
+         if (ref($info) eq 'HASH') {
+             if ($info->{'ip'} ne '') {
+                 $ip = $info->{'ip'};
+             }
+         }
+         if ($ip eq '') {
+             return 'invalid';
+         }
+     }
+     my $errors;
      my $now = time;
-     my $action = 'activate';
+     my %current_perms;
-     my $aclnum = 0;
+     foreach my $requrl (sort(keys(%urls))) {
-     if (&is_portfolio_url($requrl)) {
+         my $action;
+         if ($urls{$requrl} eq 'add') {
+             $action = 'activate';
+         } else {
+             $action = 'none';
+         }
+         my $aclnum = 0;
          my (undef,$udom,$unum,$file_name,$group) =
              &parse_portfolio_url($requrl);
-         my $current_perms = &get_portfile_permissions($udom,$unum);
+         unless (exists($current_perms{$unum.':'.$udom})) {
-         my %access_controls = &get_access_controls($current_perms,
+             $current_perms{$unum.':'.$udom} = &get_portfile_permissions($udom,$unum);
+         }
+         my %access_controls = &get_access_controls($current_perms{$unum.':'.$udom},
                                                     $group,$file_name);
          foreach my $key (keys(%{$access_controls{$file_name}})) {
              my ($num,$scope,$end,$start) =
                  ($key =~ /^([^:]+):([a-z]+)_(\d*)_?(\d*)$/);
-             if ($scope eq 'public') {
+             if ($scope eq $accesstype) {
-                 if ($start <= $now && $end == 0) {
+                 if (($start <= $now) && ($end == 0)) {
-                     $action = 'none';
+                     if ($accesstype eq 'ip') {
-                 } else {
+                         if (ref($access_controls{$file_name}{$key}) eq 'HASH') {
+                             if (ref($access_controls{$file_name}{$key}{'ip'}) eq 'ARRAY') {
+                                 if (grep(/^\Q$ip\E$/,@{$access_controls{$file_name}{$key}{'ip'}})) {
+                                     if ($urls{$requrl} eq 'add') {
+                                         $action = 'none';
+                                         last;
+                                     } else {
+                                         $action = 'delete';
+                                         $aclnum = $num;
+                                         last;
+                                     }
+                                 }
+                             }
+                         }
+                     } elsif ($accesstype eq 'public') {
+                         if ($urls{$requrl} eq 'add') {
+                             $action = 'none';
+                             last;
+                         } else {
+                             $action = 'delete';
+                             $aclnum = $num;
+                             last;
+                         }
+                     }
+                 } elsif ($accesstype eq 'public') {
                      $action = 'update';
                      $aclnum = $num;
+                     last;
                  }
-                 last;
              }
          }
          if ($action eq 'none') {
-              return 'ok';
+             next;
          } else {
              my %changes;
              my $newend = 0;
              my $newstart = $now;
-             my $newkey = $aclnum.':public_'.$newend.'_'.$newstart;
+             my $newkey = $aclnum.':'.$accesstype.'_'.$newend.'_'.$newstart;
              $changes{$action}{$newkey} = {
-                 type => 'public',
+                 type => $accesstype,
                  time => {
                      start => $newstart,
                      end   => $newend,
                  },
              };
+             if ($accesstype eq 'ip') {
+                 $changes{$action}{$newkey}{'ip'} = [$ip];
+             }
              my ($outcome,$deloutcome,$new_values,$translation) =
                  &modify_access_controls($file_name,\%changes,$udom,$unum);
-             return $outcome;
+             unless ($outcome eq 'ok') {
+                 $errors .= $outcome.' ';
+             }
          }
+     }
+     if ($errors) {
+         $errors =~ s/\s$//;
+         return $errors;
      } else {
-         return 'invalid';
+         return 'ok';
      }
  }
- Line 5718  sub unmark_as_readonly {
+ Line 12304  sub unmark_as_readonly {
  # ------------------------------------------------------------ Directory lister
  sub dirlist {
-     my ($uri,$userdomain,$username,$alternateDirectoryRoot)=@_;
+     my ($uri,$userdomain,$username,$getpropath,$getuserdir,$alternateRoot)=@_;
      $uri=~s/^\///;
      $uri=~s/\/$//;
      my ($udom, $uname);
-     (undef,$udom,$uname)=split(/\//,$uri);
+     if ($getuserdir) {
-     if(defined($userdomain)) {
          $udom = $userdomain;
-     }
-     if(defined($username)) {
          $uname = $username;
+     } else {
+         (undef,$udom,$uname)=split(/\//,$uri);
+         if(defined($userdomain)) {
+             $udom = $userdomain;
+         }
+         if(defined($username)) {
+             $uname = $username;
+         }
      }
+     my ($dirRoot,$listing,@listing_results);
-     my $dirRoot = $perlvar{'lonDocRoot'};
+     $dirRoot = $perlvar{'lonDocRoot'};
-     if(defined($alternateDirectoryRoot)) {
+     if (defined($getpropath)) {
-         $dirRoot = $alternateDirectoryRoot;
+         $dirRoot = &propath($udom,$uname);
          $dirRoot =~ s/\/$//;
+     } elsif (defined($getuserdir)) {
+         my $subdir=$uname.'__';
+         $subdir =~ s/(.)(.)(.).*/$1\/$2\/$3/;
+         $dirRoot = $Apache::lonnet::perlvar{'lonUsersDir'}
+                    ."/$udom/$subdir/$uname";
+     } elsif (defined($alternateRoot)) {
+         $dirRoot = $alternateRoot;
      }
      if($udom) {
          if($uname) {
-             my $listing = &reply('ls2:'.$dirRoot.'/'.$uri,
+             my $uhome = &homeserver($uname,$udom);
- 				 &homeserver($uname,$udom));
+             if ($uhome eq 'no_host') {
-             my @listing_results;
+                 return ([],'no_host');
+             }
+             $listing = &reply('ls3:'.&escape('/'.$uri).':'.$getpropath.':'
+                               .$getuserdir.':'.&escape($dirRoot)
+                               .':'.&escape($uname).':'.&escape($udom),$uhome);
              if ($listing eq 'unknown_cmd') {
-                 $listing = &reply('ls:'.$dirRoot.'/'.$uri,
+                 $listing = &reply('ls2:'.$dirRoot.'/'.$uri,$uhome);
- 				  &homeserver($uname,$udom));
+             } else {
+                 @listing_results = map { &unescape($_); } split(/:/,$listing);
+             }
+             if ($listing eq 'unknown_cmd') {
+                 $listing = &reply('ls:'.$dirRoot.'/'.$uri,$uhome);
                  @listing_results = split(/:/,$listing);
              } else {
                  @listing_results = map { &unescape($_); } split(/:/,$listing);
              }
-             return @listing_results;
+             if (($listing eq 'no_such_host') || ($listing eq 'con_lost') ||
-         } elsif(!defined($alternateDirectoryRoot)) {
+                 ($listing eq 'rejected') || ($listing eq 'refused') ||
-             my %allusers;
+                 ($listing eq 'no_such_dir') || ($listing eq 'empty')) {
+                 return ([],$listing);
+             } else {
+                 return (\@listing_results);
+             }
+         } elsif(!$alternateRoot) {
+             my (%allusers,%listerror);
  	    my %servers = &get_servers($udom,'library');
- 	    foreach my $tryserver (keys(%servers)) {
+  	    foreach my $tryserver (keys(%servers)) {
- 		my $listing = &reply('ls2:'.$perlvar{'lonDocRoot'}.'/res/'.
+                 $listing = &reply('ls3:'.&escape("/res/$udom").':::::'.
- 				     $udom, $tryserver);
+                                   &escape($udom),$tryserver);
- 		my @listing_results;
+                 if ($listing eq 'unknown_cmd') {
+ 		    $listing = &reply('ls2:'.$perlvar{'lonDocRoot'}.'/res/'.
+ 				      $udom, $tryserver);
+                 } else {
+                     @listing_results = map { &unescape($_); } split(/:/,$listing);
+                 }
  		if ($listing eq 'unknown_cmd') {
  		    $listing = &reply('ls:'.$perlvar{'lonDocRoot'}.'/res/'.
  				      $udom, $tryserver);
- Line 5765  sub dirlist {
+ Line 12382  sub dirlist {
  		    @listing_results =
  			map { &unescape($_); } split(/:/,$listing);
  		}
- 		if ($listing_results[0] ne 'no_such_dir' &&
+                 if (($listing eq 'no_such_host') || ($listing eq 'con_lost') ||
- 		    $listing_results[0] ne 'empty'       &&
+                     ($listing eq 'rejected') || ($listing eq 'refused') ||
- 		    $listing_results[0] ne 'con_lost') {
+                     ($listing eq 'no_such_dir') || ($listing eq 'empty')) {
+                     $listerror{$tryserver} = $listing;
+                 } else {
  		    foreach my $line (@listing_results) {
  			my ($entry) = split(/&/,$line,2);
  			$allusers{$entry} = 1;
  		    }
  		}
              }
-             my $alluserstr='';
+             my @alluserslist=();
              foreach my $user (sort(keys(%allusers))) {
-                 $alluserstr.=$user.'&user:';
+                 push(@alluserslist,$user.'&user');
+             }
+             if (!%listerror) {
+                 # no errors
+                 return (\@alluserslist);
+             } elsif (scalar(keys(%servers)) == 1) {
+                 # one library server, one error
+                 my ($key) = keys(%listerror);
+                 return (\@alluserslist, $listerror{$key});
+             } elsif ( grep { $_ eq 'con_lost' } values(%listerror) ) {
+                 # con_lost indicates that we might miss data from at least one
+                 # library server
+                 return (\@alluserslist, 'con_lost');
+             } else {
+                 # multiple library servers and no con_lost -> data should be
+                 # complete.
+                 return (\@alluserslist);
              }
-             $alluserstr=~s/:$//;
-             return split(/:/,$alluserstr);
          } else {
-             return ('missing user name');
+             return ([],'missing username');
          }
-     } elsif(!defined($alternateDirectoryRoot)) {
+     } elsif(!defined($getpropath)) {
-         my @all_domains = sort(&all_domains());
+         my $path = $perlvar{'lonDocRoot'}.'/res/';
-          foreach my $domain (@all_domains) {
+         my @all_domains = map { $path.$_.'/&domain'; } (sort(&all_domains()));
-              $domain = $perlvar{'lonDocRoot'}.'/res/'.$domain.'/&domain';
+         return (\@all_domains);
-          }
+     } else {
-          return @all_domains;
+         return ([],'missing domain');
-      } else {
-         return ('missing domain');
      }
  }
- Line 5799  sub dirlist {
+ Line 12432  sub dirlist {
  # when it was last modified.  It will also return an error of -1
  # if an error occurs
- ##
- ## FIXME: This subroutine assumes its caller knows something about the
- ## directory structure of the home server for the student ($root).
- ## Not a good assumption to make.  Since this is for looking up files
- ## in user directories, the full path should be constructed by lond, not
- ## whatever machine we request data from.
- ##
  sub GetFileTimestamp {
-     my ($studentDomain,$studentName,$filename,$root)=@_;
+     my ($studentDomain,$studentName,$filename,$getuserdir)=@_;
      $studentDomain = &LONCAPA::clean_domain($studentDomain);
      $studentName   = &LONCAPA::clean_username($studentName);
-     my $subdir=$studentName.'__';
+     my ($fileref,$error) = &dirlist($filename,$studentDomain,$studentName,
-     $subdir =~ s/(.)(.)(.).*/$1\/$2\/$3/;
+                                     undef,$getuserdir);
-     my $proname="$studentDomain/$subdir/$studentName";
+     if (($error eq 'empty') || ($error eq 'no_such_dir')) {
-     $proname .= '/'.$filename;
+         return -1;
-     my ($fileStat) = &Apache::lonnet::dirlist($proname, $studentDomain,
+     }
-                                               $studentName, $root);
+     if (ref($fileref) eq 'ARRAY') {
-     my @stats = split('&', $fileStat);
+         my @stats = split('&',$fileref->[0]);
-     if($stats[0] ne 'empty' && $stats[0] ne 'no_such_dir') {
          # @stats contains first the filename, then the stat output
          return $stats[10]; # so this is 10 instead of 9.
      } else {
- Line 5829  sub stat_file {
+ Line 12454  sub stat_file {
      my ($uri) = @_;
      $uri = &clutter_with_no_wrapper($uri);
-     my ($udom,$uname,$file,$dir);
+     my ($udom,$uname,$file);
      if ($uri =~ m-^/(uploaded|editupload)/-) {
  	($udom,$uname,$file) =
  	    ($uri =~ m-/(?:uploaded|editupload)/?($match_domain)/?($match_name)/?(.*)-);
  	$file = 'userfiles/'.$file;
- 	$dir = &propath($udom,$uname);
      }
      if ($uri =~ m-^/res/-) {
  	($udom,$uname) =
- Line 5846  sub stat_file {
+ Line 12470  sub stat_file {
  	# unable to handle the uri
  	return ();
      }
+     my $getpropath;
-     my ($result) = &dirlist($file,$udom,$uname,$dir);
+     if ($file =~ /^userfiles\//) {
-     my @stats = split('&', $result);
+         $getpropath = 1;
+     }
-     if($stats[0] ne 'empty' && $stats[0] ne 'no_such_dir') {
+     my ($listref,$error) = &dirlist($file,$udom,$uname,$getpropath);
- 	shift(@stats); #filename is first
+     if (($error eq 'empty') || ($error eq 'no_such_dir')) {
- 	return @stats;
+         return ();
+     } else {
+         if (ref($listref) eq 'ARRAY') {
+             my @stats = split('&',$listref->[0]);
+ 	    shift(@stats); #filename is first
+ 	    return @stats;
+         }
      }
      return ();
  }
+ # --------------------------------------------------------- recursedirs
+ # Recursive function to traverse either a specific user's Authoring Space
+ # or corresponding Published Resource Space, and populate the hash ref:
+ # $dirhashref with URLs of all directories, and if $filehashref hash
+ # ref arg is provided, the URLs of any files, excluding versioned, .meta,
+ # or .rights files in resource space, and .meta, .save, .log, .bak and
+ # .rights files in Authoring Space.
+ #
+ # Inputs:
+ #
+ # $is_home - true if current server is home server for user's space
+ # $recurse - if true will also traverse subdirectories recursively
+ # $include - reference to hash containing allowed file extensions.  If provided,
+ #             files which do not have a matching extension will be ignored.
+ # $exclude - reference to hash containing excluded file extensions.  If provided,
+ #             files which have a matching extension will be ignored.
+ # $nonemptydir - if true, will only populate $fileshashref hash entry for a particular
+ #             directory with first file found (with acceptable extension).
+ # $addtopdir - if true, set $dirhashref->{'/'} = 1
+ # $toppath - Top level directory (i.e., /res/$dom/$uname or /priv/$dom/$uname
+ # $relpath - Current path (relative to top level).
+ # $dirhashref - reference to hash to populate with URLs of directories (Required)
+ # $filehashref - reference to hash to populate with URLs of files (Optional)
+ #
+ # Returns: nothing
+ #
+ # Side Effects: populates $dirhashref, and $filehashref (if provided).
+ #
+ # Currently used by interface/londocs.pm to create linked select boxes for
+ # directory and filename to import a Course "Author" resource into a course, and
+ # also to create linked select boxes for Authoring Space and Directory to choose
+ # save location for creation of a new "standard" problem from the Course Editor.
+ #
+ sub recursedirs {
+     my ($is_home,$recurse,$include,$exclude,$nonemptydir,$addtopdir,$toppath,$relpath,$dirhashref,$filehashref) = @_;
+     return unless (ref($dirhashref) eq 'HASH');
+     my $docroot = $perlvar{'lonDocRoot'};
+     my $currpath = $docroot.$toppath;
+     if ($relpath ne '') {
+         $currpath .= "/$relpath";
+     }
+     my ($savefile,$checkinc,$checkexc);
+     if (ref($filehashref)) {
+         $savefile = 1;
+     }
+     if (ref($include) eq 'HASH') {
+         $checkinc = 1;
+     }
+     if (ref($exclude) eq 'HASH') {
+         $checkexc = 1;
+     }
+     if ($is_home) {
+         if ((-e $currpath) && (opendir(my $dirh,$currpath))) {
+             my $filecount = 0;
+             foreach my $item (sort { lc($a) cmp lc($b) } grep(!/^\.+$/,readdir($dirh))) {
+                 next if ($item eq '');
+                 if (-d "$currpath/$item") {
+                     my $newpath;
+                     if ($relpath ne '') {
+                         $newpath = "$relpath/$item";
+                     } else {
+                         $newpath = $item;
+                     }
+                     $dirhashref->{&Apache::lonlocal::js_escape($newpath)} = 1;
+                     if ($recurse) {
+                         &recursedirs($is_home,$recurse,$include,$exclude,$nonemptydir,$addtopdir,$toppath,$newpath,$dirhashref,$filehashref);
+                     }
+                 } elsif (($savefile) || ($relpath eq '')) {
+                     next if ($nonemptydir && $filecount);
+                     if ($checkinc || $checkexc) {
+                         my ($extension) = ($item =~ /\.(\w+)$/);
+                         if ($checkinc) {
+                             next unless ($extension && $include->{$extension});
+                         }
+                         if ($checkexc) {
+                             next if ($extension && $exclude->{$extension});
+                         }
+                     }
+                     if (($relpath eq '') && (!exists($dirhashref->{'/'}))) {
+                         $dirhashref->{'/'} = 1;
+                     }
+                     if ($savefile) {
+                         if ($relpath eq '') {
+                             $filehashref->{'/'}{$item} = 1;
+                         } else {
+                             $filehashref->{&Apache::lonlocal::js_escape($relpath)}{$item} = 1;
+                         }
+                     }
+                     $filecount ++;
+                 }
+             }
+             closedir($dirh);
+         }
+     } else {
+         my ($dirlistref,$listerror) =
+             &dirlist($toppath.$relpath);
+         my @dir_lines;
+         my $dirptr=16384;
+         if (ref($dirlistref) eq 'ARRAY') {
+             my $filecount = 0;
+             foreach my $dir_line (sort
+                               {
+                                   my ($afile)=split('&',$a,2);
+                                   my ($bfile)=split('&',$b,2);
+                                   return (lc($afile) cmp lc($bfile));
+                               } (@{$dirlistref})) {
+                 my ($item,$dom,undef,$testdir,undef,undef,undef,undef,$size,undef,$mtime,undef,undef,undef,$obs,undef) =
+                     split(/\&/,$dir_line,16);
+                 $item =~ s/\s+$//;
+                 next if (($item =~ /^\.\.?$/) || ($obs));
+                 if ($dirptr&$testdir) {
+                     my $newpath;
+                     if ($relpath) {
+                         $newpath = "$relpath/$item";
+                     } else {
+                         $newpath = $item;
+                     }
+                     $dirhashref->{&Apache::lonlocal::js_escape($newpath)} = 1;
+                     if ($recurse) {
+                         &recursedirs($is_home,$recurse,$include,$exclude,$nonemptydir,$addtopdir,$toppath,$newpath,$dirhashref,$filehashref);
+                     }
+                 } elsif (($savefile) || ($relpath eq '')) {
+                     next if ($nonemptydir && $filecount);
+                     if ($checkinc || $checkexc) {
+                         my $extension;
+                         if ($checkinc) {
+                             next unless ($extension && $include->{$extension});
+                         }
+                         if ($checkexc) {
+                             next if ($extension && $exclude->{$extension});
+                         }
+                     }
+                     if (($relpath eq '') && (!exists($dirhashref->{'/'}))) {
+                         $dirhashref->{'/'} = 1;
+                     }
+                     if ($savefile) {
+                         if ($relpath eq '') {
+                             $filehashref->{'/'}{$item} = 1;
+                         } else {
+                             $filehashref->{&Apache::lonlocal::js_escape($relpath)}{$item} = 1;
+                         }
+                     }
+                     $filecount ++;
+                 }
+             }
+         }
+     }
+     if ($addtopdir) {
+         if (($relpath eq '') && (!exists($dirhashref->{'/'}))) {
+             $dirhashref->{'/'} = 1;
+         }
+     }
+     return;
+ }
+ sub priv_exclude {
+     return {
+              meta => 1,
+              save => 1,
+              log => 1,
+              bak => 1,
+              rights => 1,
+              DS_Store => 1,
+            };
+ }
  # -------------------------------------------------------- Value of a Condition
  # gets the value of a specific preevaluated condition
- Line 5880  sub directcondval {
+ Line 12677  sub directcondval {
  	    untie(%bighash);
  	}
  	my $value = &docondval($sub_condition);
- 	&appenv('user.state.'.$env{'request.course.id'}.".$number" => $value);
+ 	&appenv({'user.state.'.$env{'request.course.id'}.".$number" => $value});
  	return $value;
      }
      if ($env{'user.state.'.$env{'request.course.id'}}) {
- Line 6001  sub get_userresdata {
+ Line 12798  sub get_userresdata {
      }
      #error 2 occurs when the .db doesn't exist
      if ($tmp!~/error: 2 /) {
- 	&logthis("<font color=\"blue\">WARNING:".
+         if ((!defined($cached)) || ($tmp ne 'con_lost')) {
- 		 " Trying to get resource data for ".
+ 	    &logthis("<font color=\"blue\">WARNING:".
- 		 $uname." at ".$udom.": ".
+ 		     " Trying to get resource data for ".
- 		 $tmp."</font>");
+ 		     $uname." at ".$udom.": ".
+ 		     $tmp."</font>");
+         }
      } elsif ($tmp=~/error: 2 /) {
  	#&EXT_cache_set($udom,$uname);
  	&do_cache_new('userres',$hashid,undef,600);
- Line 6018  sub get_userresdata {
+ Line 12817  sub get_userresdata {
  #  Parameters:
  #     $name      - Course/user name.
  #     $domain    - Name of the domain the user/course is registered on.
- #     $type      - Type of thing $name is (must be 'course' or 'user'
+ #     $type      - Type of thing $name is (must be 'course' or 'user')
+ #     $mapp      - decluttered URL of enclosing map
+ #     $recursed  - Ref to scalar -- set to 1, if nested maps have been recursed.
+ #     $recurseup - Ref to array of map URLs, starting with map containing
+ #                  $mapp up through hierarchy of nested maps to top level map.
+ #     $courseid  - CourseID (first part of param identifier).
+ #     $modifier  - Middle part of param identifier.
+ #     $what      - Last part of param identifier.
  #     @which     - Array of names of resources desired.
  #  Returns:
  #     The value of the first reasource in @which that is found in the
- Line 6028  sub get_userresdata {
+ Line 12834  sub get_userresdata {
  #     'user', an undefined  reference is returned.
  #     If none of the resources are found, an undef is returned
  sub resdata {
-     my ($name,$domain,$type,@which)=@_;
+     my ($name,$domain,$type,$mapp,$recursed,$recurseup,$courseid,
+         $modifier,$what,@which)=@_;
      my $result;
      if ($type eq 'course') {
  	$result=&get_courseresdata($name,$domain);
- Line 6037  sub resdata {
+ Line 12844  sub resdata {
      }
      if (!ref($result)) { return $result; }
      foreach my $item (@which) {
- 	if (defined($result->{$item})) {
+         if ($item->[1] eq 'course') {
- 	    return $result->{$item};
+             if ((ref($recurseup) eq 'ARRAY') && (ref($recursed) eq 'SCALAR')) {
+                 unless ($$recursed) {
+                     @{$recurseup} = &get_map_hierarchy($mapp,$courseid);
+                     $$recursed = 1;
+                 }
+                 foreach my $item (@${recurseup}) {
+                     my $norecursechk=$courseid.$modifier.$item.'___(all).'.$what;
+                     last if (defined($result->{$norecursechk}));
+                     my $recursechk=$courseid.$modifier.$item.'___(rec).'.$what;
+                     if (defined($result->{$recursechk})) { return [$result->{$recursechk},'map']; }
+                 }
+             }
+         }
+         if (defined($result->{$item->[0]})) {
+ 	    return [$result->{$item->[0]},$item->[1]];
  	}
      }
      return undef;
  }
+ sub get_domain_lti {
+     my ($cdom,$context) = @_;
+     my ($name,$cachename,%lti);
+     if ($context eq 'consumer') {
+         $name = 'ltitools';
+     } elsif ($context eq 'provider') {
+         $name = 'lti';
+     } elsif ($context eq 'linkprot') {
+         $name = 'ltisec';
+     } else {
+         return %lti;
+     }
+     if ($context eq 'linkprot') {
+         $cachename = $context;
+     } else {
+         $cachename = $name;
+     }
+     my ($result,$cached)=&is_cached_new($cachename,$cdom);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %lti = %{$result};
+         }
+     } else {
+         my %domconfig = &get_dom('configuration',[$name],$cdom);
+         if (ref($domconfig{$name}) eq 'HASH') {
+             if ($context eq 'linkprot') {
+                 if (ref($domconfig{$name}{'linkprot'}) eq 'HASH') {
+                     %lti = %{$domconfig{$name}{'linkprot'}};
+                 }
+             } else {
+                 %lti = %{$domconfig{$name}};
+             }
+         }
+         my $cachetime = 24*60*60;
+         &do_cache_new($cachename,$cdom,\%lti,$cachetime);
+     }
+     return %lti;
+ }
+ sub get_course_lti {
+     my ($cnum,$cdom,$context) = @_;
+     my ($name,$cachename,%lti);
+     if ($context eq 'consumer') {
+         $name = 'ltitools';
+         $cachename = 'courseltitools';
+     } elsif ($context eq 'provider') {
+         $name = 'lti';
+         $cachename = 'courselti';
+     } else {
+         return %lti;
+     }
+     my $hashid=$cdom.'_'.$cnum;
+     my ($result,$cached)=&is_cached_new($cachename,$hashid);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             %lti = %{$result};
+         }
+     } else {
+         %lti = &dump($name,$cdom,$cnum,undef,undef,undef,1);
+         my $cachetime = 24*60*60;
+         &do_cache_new($cachename,$hashid,\%lti,$cachetime);
+     }
+     return %lti;
+ }
+ sub courselti_itemid {
+     my ($cnum,$cdom,$url,$method,$params,$context) = @_;
+     my ($chome,$itemid);
+     $chome = &homeserver($cnum,$cdom);
+     return if ($chome eq 'no_host');
+     if (ref($params) eq 'HASH') {
+         my $rep;
+         if (grep { $_ eq $chome } current_machine_ids()) {
+             $rep = LONCAPA::Lond::crslti_itemid($cdom,$cnum,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$chome);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
+ sub domainlti_itemid {
+     my ($cdom,$url,$method,$params,$context) = @_;
+     my ($primary_id,$itemid);
+     $primary_id = &domain($cdom,'primary');
+     return if ($primary_id eq '');
+     if (ref($params) eq 'HASH') {
+         my $rep;
+         if (grep { $_ eq $primary_id } current_machine_ids()) {
+             $rep = LONCAPA::Lond::domlti_itemid($cdom,$context,$url,$method,$params,$perlvar{'lonVersion'});
+         } else {
+             my $cnum = '';
+             my $escurl = &escape($url);
+             my $escmethod = &escape($method);
+             my $items = &freeze_escape($params);
+             $rep = &reply("encrypt:lti:$cdom:$cnum:$context:$escurl:$escmethod:$items",$primary_id);
+         }
+         unless (($rep=~/^(refused|rejected|error)/) || ($rep eq 'con_lost') ||
+                 ($rep eq 'unknown_cmd')) {
+             $itemid = $rep;
+         }
+     }
+     return $itemid;
+ }
+ sub get_ltitools_id {
+     my ($context,$cdom,$cnum,$title) = @_;
+     my ($lockhash,$tries,$gotlock,$id,$error);
+     # get lock on ltitools db
+     $lockhash = {
+                    lock => $env{'user.name'}.
+                            ':'.$env{'user.domain'},
+                 };
+     $tries = 0;
+     if ($context eq 'domain') {
+         $gotlock = &newput_dom('ltitools',$lockhash,$cdom);
+     } else {
+         $gotlock = &newput('ltitools',$lockhash,$cdom,$cnum);
+     }
+     while (($gotlock ne 'ok') && ($tries<10)) {
+         $tries ++;
+         sleep (0.1);
+         if ($context eq 'domain') {
+             $gotlock = &newput_dom('ltitools',$lockhash,$cdom);
+         } else {
+             $gotlock = &newput('ltitools',$lockhash,$cdom,$cnum);
+         }
+     }
+     if ($gotlock eq 'ok') {
+         my %currids;
+         if ($context eq 'domain') {
+             %currids = &dump_dom('ltitools',$cdom);
+         } else {
+             %currids = &dump('ltitools',$cdom,$cnum);
+         }
+         if ($currids{'lock'}) {
+             delete($currids{'lock'});
+             if (keys(%currids)) {
+                 my @curr = sort { $a <=> $b } keys(%currids);
+                 if ($curr[-1] =~ /^\d+$/) {
+                     $id = 1 + $curr[-1];
+                 }
+             } else {
+                 $id = 1;
+             }
+             if ($id) {
+                 if ($context eq 'domain') {
+                     unless (&newput_dom('ltitools',{ $id => $title },$cdom) eq 'ok') {
+                         $error = 'nostore';
+                     }
+                 } else {
+                     unless (&newput('ltitools',{ $id => $title },$cdom,$cnum) eq 'ok') {
+                         $error = 'nostore';
+                     }
+                 }
+             } else {
+                 $error = 'nonumber';
+             }
+         }
+         my $dellockoutcome;
+         if ($context eq 'domain') {
+             $dellockoutcome = &del_dom('ltitools',['lock'],$cdom);
+         } else {
+             $dellockoutcome = &del('ltitools',['lock'],$cdom,$cnum);
+         }
+     } else {
+         $error = 'nolock';
+     }
+     return ($id,$error);
+ }
+ sub count_supptools {
+     my ($cnum,$cdom,$ignorecache,$reload)=@_;
+     my $hashid=$cnum.':'.$cdom;
+     my ($numexttools,$cached);
+     unless ($ignorecache) {
+         ($numexttools,$cached) = &is_cached_new('supptools',$hashid);
+     }
+     unless (defined($cached)) {
+         my $chome=&homeserver($cnum,$cdom);
+         $numexttools = 0;
+         unless ($chome eq 'no_host') {
+             my ($supplemental) = &Apache::loncommon::get_supplemental($cnum,$cdom,$reload);
+             if (ref($supplemental) eq 'HASH') {
+                 if ((ref($supplemental->{'ids'}) eq 'HASH') && (ref($supplemental->{'hidden'}) eq 'HASH')) {
+                     foreach my $key (keys(%{$supplemental->{'ids'}})) {
+                         if ($key =~ m{^/adm/$cdom/$cnum/\d+/ext\.tool$}) {
+                             $numexttools ++;
+                         }
+                     }
+                 }
+             }
+         }
+         &do_cache_new('supptools',$hashid,$numexttools,600);
+     }
+     return $numexttools;
+ }
+ sub has_unhidden_suppfiles {
+     my ($cnum,$cdom,$ignorecache,$possdel)=@_;
+     my $hashid=$cnum.':'.$cdom;
+     my ($showsupp,$cached);
+     unless ($ignorecache) {
+         ($showsupp,$cached) = &is_cached_new('showsupp',$hashid);
+     }
+     unless (defined($cached)) {
+         my $chome=&homeserver($cnum,$cdom);
+         unless ($chome eq 'no_host') {
+             my ($supplemental) = &Apache::loncommon::get_supplemental($cnum,$cdom,$ignorecache,$possdel);
+             if (ref($supplemental) eq 'HASH') {
+                 if ((ref($supplemental->{'ids'}) eq 'HASH') && (ref($supplemental->{'hidden'}) eq 'HASH')) {
+                     foreach my $key (keys(%{$supplemental->{'ids'}})) {
+                         next if ($key =~ /\.sequence$/);
+                         if (ref($supplemental->{'ids'}->{$key}) eq 'ARRAY') {
+                             foreach my $id (@{$supplemental->{'ids'}->{$key}}) {
+                                 unless ($supplemental->{'hidden'}->{$id}) {
+                                     $showsupp = 1;
+                                     last;
+                                 }
+                             }
+                         }
+                         last if ($showsupp);
+                     }
+                 }
+             }
+         }
+         &do_cache_new('showsupp',$hashid,$showsupp,600);
+     }
+     return $showsupp;
+ }
  #
  # EXT resource caching routines
  #
+ {
+ # Cache (5 seconds) of map hierarchy for speedup of navmaps display
+ #
+ # The course for which we cache
+ my $cachedmapkey='';
+ # The cached recursive maps for this course
+ my %cachedmaps=();
+ # When this was last done
+ my $cachedmaptime='';
  sub clear_EXT_cache_status {
      &delenv('cache.EXT.');
  }
- Line 6066  sub EXT_cache_status {
+ Line 13136  sub EXT_cache_status {
  sub EXT_cache_set {
      my ($target_domain,$target_user) = @_;
      my $cachename = 'cache.EXT.'.$target_user.'.'.$target_domain;
-     #&appenv($cachename => time);
+     #&appenv({$cachename => time});
  }
  # --------------------------------------------------------- Value of a Variable
  sub EXT {
-     my ($varname,$symbparm,$udom,$uname,$usection,$recurse)=@_;
+     my ($varname,$symbparm,$udom,$uname,$usection,$recurse,$cid,$recurseupref)=@_;
      unless ($varname) { return ''; }
      #get real user name/domain, courseid and symb
      my $courseid;
- Line 6104  sub EXT {
+ Line 13174  sub EXT {
  	    if ( (defined($Apache::lonhomework::parsing_a_problem)
  		  || defined($Apache::lonhomework::parsing_a_task))
  		 &&
  		 ($symbparm eq &symbread()) ) {
  		# if we are in the middle of processing the resource the
  		# get the value we are planning on committing
                  if (defined($Apache::lonhomework::results{$qualifierrest})) {
- Line 6173  sub EXT {
+ Line 13243  sub EXT {
     } elsif ($realm eq 'request') {
  # ------------------------------------------------------------- request.browser
          if ($space eq 'browser') {
- 	    if ($qualifier eq 'textremote') {
+             return $env{'browser.'.$qualifier};
- 		if (&Apache::lonlocal::mt('textual_remote_display') eq 'on') {
- 		    return 1;
- 		} else {
- 		    return 0;
- 		}
- 	    } else {
- 		return $env{'browser.'.$qualifier};
- 	    }
  # ------------------------------------------------------------ request.filename
          } else {
              return $env{'request.'.$spacequalifierrest};
- Line 6195  sub EXT {
+ Line 13257  sub EXT {
  	    if (!$symbparm) { $symbparm=&symbread(); }
  	}
- 	if ($space eq 'title') {
+         if ($qualifier eq '') {
- 	    if (!$symbparm) { $symbparm = $env{'request.filename'}; }
+ 	    if ($space eq 'title') {
- 	    return &gettitle($symbparm);
+ 	        if (!$symbparm) { $symbparm = $env{'request.filename'}; }
- 	}
+ 	        return &gettitle($symbparm);
+ 	    }
- 	if ($space eq 'map') {
+ 	    if ($space eq 'map') {
- 	    my ($map) = &decode_symb($symbparm);
+ 	        my ($map) = &decode_symb($symbparm);
- 	    return &symbread($map);
+ 	        return &symbread($map);
- 	}
+ 	    }
+             if ($space eq 'maptitle') {
+                 my ($map) = &decode_symb($symbparm);
+                 return &gettitle($map);
+             }
+ 	    if ($space eq 'filename') {
+ 	        if ($symbparm) {
+ 		    return &clutter((&decode_symb($symbparm))[2]);
+ 	        }
+ 	        return &hreflocation('',$env{'request.filename'});
+ 	    }
- 	my ($section, $group, @groups);
+             if ((defined($courseid)) && ($courseid eq $env{'request.course.id'}) && $symbparm) {
- 	my ($courselevelm,$courselevel);
+                 if ($space eq 'visibleparts') {
- 	if ($symbparm && defined($courseid) &&
+                     my $navmap = Apache::lonnavmaps::navmap->new();
- 	    $courseid eq $env{'request.course.id'}) {
+                     my $item;
+                     if (ref($navmap)) {
+                         my $res = $navmap->getBySymb($symbparm);
+                         my $parts = $res->parts();
+                         if (ref($parts) eq 'ARRAY') {
+                             $item = join(',',@{$parts});
+                         }
+                         undef($navmap);
+                     }
+                     return $item;
+                 }
+             }
+         }
+ 	my ($section, $group, @groups, @recurseup, $recursed);
+         if (ref($recurseupref) eq 'ARRAY') {
+             @recurseup = @{$recurseupref};
+             $recursed = 1;
+         }
+ 	my ($courselevelm,$courseleveli,$courselevel,$mapp);
+         if (($courseid eq '') && ($cid)) {
+             $courseid = $cid;
+         }
+ 	if (($symbparm && $courseid) &&
+ 	    (($courseid eq $env{'request.course.id'}) || ($courseid eq $cid)))  {
  	    #print '<br>'.$space.' - '.$qualifier.' - '.$spacequalifierrest;
  # ----------------------------------------------------- Cascading lookup scheme
  	    my $symbp=$symbparm;
- 	    my $mapp=&deversion((&decode_symb($symbp))[0]);
+ 	    $mapp=&deversion((&decode_symb($symbp))[0]);
  	    my $symbparm=$symbp.'.'.$spacequalifierrest;
+             my $recurseparm=$mapp.'___(rec).'.$spacequalifierrest;
  	    my $mapparm=$mapp.'___(all).'.$spacequalifierrest;
  	    if (($env{'user.name'} eq $uname) &&
  		($env{'user.domain'} eq $udom)) {
  		$section=$env{'request.course.sec'};
- Line 6235  sub EXT {
+ Line 13331  sub EXT {
  	    my $seclevel=$courseid.'.['.$section.'].'.$spacequalifierrest;
  	    my $seclevelr=$courseid.'.['.$section.'].'.$symbparm;
+             my $secleveli=$courseid.'.['.$section.'].'.$recurseparm;
  	    my $seclevelm=$courseid.'.['.$section.'].'.$mapparm;
  	    $courselevel=$courseid.'.'.$spacequalifierrest;
  	    my $courselevelr=$courseid.'.'.$symbparm;
+             $courseleveli=$courseid.'.'.$recurseparm;
  	    $courselevelm=$courseid.'.'.$mapparm;
  # ----------------------------------------------------------- first, check user
- 	    my $userreply=&resdata($uname,$udom,'user',
+ 	    my $userreply=&resdata($uname,$udom,'user',$mapp,\$recursed,
- 				       ($courselevelr,$courselevelm,
+                                    \@recurseup,$courseid,'.',$spacequalifierrest,
- 					$courselevel));
+ 				       ([$courselevelr,'resource'],
- 	    if (defined($userreply)) { return $userreply; }
+ 					[$courselevelm,'map'     ],
+                                         [$courseleveli,'map'     ],
+ 					[$courselevel, 'course'  ]));
+ 	    if (defined($userreply)) { return &get_reply($userreply); }
  # ------------------------------------------------ second, check some of course
              my $coursereply;
              if (@groups > 0) {
                  $coursereply = &check_group_parms($courseid,\@groups,$symbparm,
-                                        $mapparm,$spacequalifierrest);
+                                        $recurseparm,$mapparm,$spacequalifierrest,
-                 if (defined($coursereply)) { return $coursereply; }
+                                        $mapp,\$recursed,\@recurseup);
+                 if (defined($coursereply)) { return &get_reply($coursereply); }
              }
  	    $coursereply=&resdata($env{'course.'.$courseid.'.num'},
- 				     $env{'course.'.$courseid.'.domain'},
+ 				  $env{'course.'.$courseid.'.domain'},
- 				     'course',
+ 				  'course',$mapp,\$recursed,\@recurseup,
- 				     ($seclevelr,$seclevelm,$seclevel,
+                                   $courseid,'.['.$section.'].',$spacequalifierrest,
- 				      $courselevelr));
+ 				  ([$seclevelr,   'resource'],
- 	    if (defined($coursereply)) { return $coursereply; }
+ 				   [$seclevelm,   'map'     ],
+                                    [$secleveli,   'map'     ],
+ 				   [$seclevel,    'course'  ],
+ 				   [$courselevelr,'resource']));
+ 	    if (defined($coursereply)) { return &get_reply($coursereply); }
  # ------------------------------------------------------ third, check map parms
  	    my %parmhash=();
- Line 6272  sub EXT {
+ Line 13378  sub EXT {
  		$thisparm=$parmhash{$symbparm};
  		untie(%parmhash);
  	    }
- 	    if ($thisparm) { return $thisparm; }
+ 	    if ($thisparm) { return &get_reply([$thisparm,'resource']); }
  	}
  # ------------------------------------------ fourth, look in resource metadata
- 	$spacequalifierrest=~s/\./\_/;
+         my $what = $spacequalifierrest;
+ 	$what=~s/\./\_/;
  	my $filename;
  	if (!$symbparm) { $symbparm=&symbread(); }
  	if ($symbparm) {
- Line 6284  sub EXT {
+ Line 13391  sub EXT {
  	} else {
  	    $filename=$env{'request.filename'};
  	}
- 	my $metadata=&metadata($filename,$spacequalifierrest);
+         my $toolsymb;
- 	if (defined($metadata)) { return $metadata; }
+         if (($filename =~ /ext\.tool$/) && ($what ne '0_gradable')) {
- 	$metadata=&metadata($filename,'parameter_'.$spacequalifierrest);
+             $toolsymb = $symbparm;
- 	if (defined($metadata)) { return $metadata; }
+         }
+ 	my $metadata=&metadata($filename,$what,$toolsymb);
+ 	if (defined($metadata)) { return &get_reply([$metadata,'resource']); }
+ 	$metadata=&metadata($filename,'parameter_'.$what,$toolsymb);
+ 	if (defined($metadata)) { return &get_reply([$metadata,'resource']); }
- # ---------------------------------------------- fourth, look in rest pf course
+ # ----------------------------------------------- fifth, look in rest of course
  	if ($symbparm && defined($courseid) &&
  	    $courseid eq $env{'request.course.id'}) {
  	    my $coursereply=&resdata($env{'course.'.$courseid.'.num'},
  				     $env{'course.'.$courseid.'.domain'},
- 				     'course',
+ 				     'course',$mapp,\$recursed,\@recurseup,
- 				     ($courselevelm,$courselevel));
+                                      $courseid,'.',$spacequalifierrest,
- 	    if (defined($coursereply)) { return $coursereply; }
+ 				     ([$courselevelm,'map'   ],
+                                       [$courseleveli,'map'   ],
+ 				      [$courselevel, 'course']));
+ 	    if (defined($coursereply)) { return &get_reply($coursereply); }
  	}
  # ------------------------------------------------------------------ Cascade up
  	unless ($space eq '0') {
- Line 6304  sub EXT {
+ Line 13418  sub EXT {
  	    my $id=pop(@parts);
  	    my $part=join('_',@parts);
  	    if ($part eq '') { $part='0'; }
- 	    my $partgeneral=&EXT('resource.'.$part.'.'.$qualifierrest,
+ 	    my @partgeneral=&EXT('resource.'.$part.'.'.$qualifierrest,
  				 $symbparm,$udom,$uname,$section,1);
- 	    if (defined($partgeneral)) { return $partgeneral; }
+ 	    if (defined($partgeneral[0])) { return &get_reply(\@partgeneral); }
  	}
  	if ($recurse) { return undef; }
- 	my $pack_def=&packages_tab_default($filename,$varname);
+ 	my $pack_def=&packages_tab_default($filename,$varname,$toolsymb);
- 	if (defined($pack_def)) { return $pack_def; }
+ 	if (defined($pack_def)) { return &get_reply([$pack_def,'resource']); }
  # ---------------------------------------------------- Any other user namespace
      } elsif ($realm eq 'environment') {
  # ----------------------------------------------------------------- environment
- Line 6335  sub EXT {
+ Line 13448  sub EXT {
  	if ($space eq 'name') {
  	    return $ENV{'SERVER_NAME'};
          }
+     } elsif ($realm eq 'client') {
+         if ($space eq 'remote_addr') {
+             return &get_requestor_ip();
+         }
      }
      return '';
  }
+ sub get_reply {
+     my ($reply_value) = @_;
+     if (ref($reply_value) eq 'ARRAY') {
+         if (wantarray) {
+ 	    return @$reply_value;
+         }
+         return $reply_value->[0];
+     } else {
+         return $reply_value;
+     }
+ }
  sub check_group_parms {
-     my ($courseid,$groups,$symbparm,$mapparm,$what) = @_;
+     my ($courseid,$groups,$symbparm,$recurseparm,$mapparm,$what,$mapp,
-     my @groupitems = ();
+         $recursed,$recurseupref) = @_;
-     my $resultitem;
+     my @levels = ([$symbparm,'resource'],[$mapparm,'map'],[$recurseparm,'map'],
-     my @levels = ($symbparm,$mapparm,$what);
+                   [$what,'course']);
+     my $coursereply;
      foreach my $group (@{$groups}) {
+         my @groupitems = ();
          foreach my $level (@levels) {
-              my $item = $courseid.'.['.$group.'].'.$level;
+              my $item = $courseid.'.['.$group.'].'.$level->[0];
-              push(@groupitems,$item);
+              push(@groupitems,[$item,$level->[1]]);
          }
+         my $coursereply = &resdata($env{'course.'.$courseid.'.num'},
+                                    $env{'course.'.$courseid.'.domain'},
+                                    'course',$mapp,$recursed,$recurseupref,
+                                    $courseid,'.['.$group.'].',$what,
+                                    @groupitems);
+         last if (defined($coursereply));
      }
-     my $coursereply = &resdata($env{'course.'.$courseid.'.num'},
-                             $env{'course.'.$courseid.'.domain'},
-                                      'course',@groupitems);
      return $coursereply;
  }
+ sub get_map_hierarchy {
+     my ($mapname,$courseid) = @_;
+     my @recurseup = ();
+     if ($mapname) {
+         if (($cachedmapkey eq $courseid) &&
+             (abs($cachedmaptime-time)<5)) {
+             if (ref($cachedmaps{$mapname}) eq 'ARRAY') {
+                 return @{$cachedmaps{$mapname}};
+             }
+         }
+         my $navmap = Apache::lonnavmaps::navmap->new();
+         if (ref($navmap)) {
+             @recurseup = $navmap->recurseup_maps($mapname);
+             undef($navmap);
+             $cachedmaps{$mapname} = \@recurseup;
+             $cachedmaptime=time;
+             $cachedmapkey=$courseid;
+         }
+     }
+     return @recurseup;
+ }
+ }
  sub sort_course_groups { # Sort groups based on defined rankings. Default is sort().
      my ($courseid,@groups) = @_;
      @groups = sort(@groups);
- Line 6363  sub sort_course_groups { # Sort groups b
+ Line 13521  sub sort_course_groups { # Sort groups b
  }
  sub packages_tab_default {
-     my ($uri,$varname)=@_;
+     my ($uri,$varname,$toolsymb)=@_;
      my (undef,$part,$name)=split(/\./,$varname);
      my (@extension,@specifics,$do_default);
-     foreach my $package (split(/,/,&metadata($uri,'packages'))) {
+     foreach my $package (split(/,/,&metadata($uri,'packages',$toolsymb))) {
  	my ($pack_type,$pack_part)=split(/_/,$package,2);
  	if ($pack_type eq 'default') {
  	    $do_default=1;
- Line 6433  sub add_prefix_and_part {
+ Line 13591  sub add_prefix_and_part {
  # ---------------------------------------------------------------- Get metadata
  my %metaentry;
+ my %importedpartids;
+ my %importedrespids;
  sub metadata {
-     my ($uri,$what,$liburi,$prefix,$depthcount)=@_;
+     my ($uri,$what,$toolsymb,$liburi,$prefix,$depthcount)=@_;
      $uri=&declutter($uri);
      # if it is a non metadata possible uri return quickly
      if (($uri eq '') ||
  	(($uri =~ m|^/*adm/|) &&
- 	     ($uri !~ m|^adm/includes|) && ($uri !~ m|/bulletinboard$|)) ||
+ 	     ($uri !~ m|^adm/includes|) && ($uri !~ m{/(smppg|bulletinboard|ext\.tool)$})) ||
-         ($uri =~ m|/$|) || ($uri =~ m|/.meta$|) || ($uri =~ /^~/) ||
+         ($uri =~ m|/$|) || ($uri =~ m|/.meta$|) || ($uri =~ m{^/*uploaded/.+\.sequence$})) {
- 	($uri =~ m|home/$match_username/public_html/|)) {
+ 	return undef;
+     }
+     if (($uri =~ /^priv/ || $uri=~m{^home/httpd/html/priv})
+ 	&& &Apache::lonxml::get_state('target') =~ /^(|meta)$/) {
  	return undef;
      }
      my $filename=$uri;
- Line 6455  sub metadata {
+ Line 13618  sub metadata {
  	my ($result,$cached)=&is_cached_new('meta',$uri);
  	if (defined($cached)) { return $result->{':'.$what}; }
      }
+ #
+ # If the uri is for an external tool the file from
+ # which metadata should be retrieved depends on whether
+ # the tool had been configured to be gradable (set in the Course
+ # Editor or Resource Editor).
+ #
+ # If a valid symb has been included as the third arg in the call
+ # to &metadata() that can be used to retrieve the value of
+ # parameter_0_gradable set for the resource, and included in the
+ # uploaded map containing the tool. The value is retrieved via
+ # &EXT(), if a valid symb is available.  Otherwise the value of
+ # gradable in the exttool_$marker.db file for the tool instance
+ # is retrieved via &get().
+ #
+ # When lonuserstate::traceroute() calls lonnet::EXT() for
+ # hiddenresource and encrypturl (during course initialization)
+ # the map-level parameter for resource.0.gradable included in the
+ # uploaded map containing the tool will not yet have been stored
+ # in the user_course_parms.db file for the user's session, so in
+ # this case fall back to retrieving gradable status from the
+ # exttool_$marker.db file.
+ #
+ # In order to avoid an infinite loop, &metadata() will return
+ # before a call to &EXT(), if the uri is for an external tool
+ # and the $what for which metadata is being requested is
+ # parameter_0_gradable or 0_gradable.
+ #
+     if ($uri =~ /ext\.tool$/) {
+         if (($what eq 'parameter_0_gradable') || ($what eq '0_gradable')) {
+             return;
+         } else {
+             my ($checked,$use_passback);
+             if ($toolsymb ne '') {
+                 (undef,undef,my $tooluri) = &decode_symb($toolsymb);
+                 if (($tooluri eq $uri) && (&EXT('resource.0.gradable',$toolsymb))) {
+                     $checked = 1;
+                     if (&EXT('resource.0.gradable',$toolsymb) =~ /^yes$/i) {
+                         $use_passback = 1;
+                     }
+                 }
+             }
+             unless ($checked) {
+                 my ($ignore,$cdom,$cnum,$marker) = split(m{/},$uri);
+                 $marker=~s/\D//g;
+                 if ($marker) {
+                     my %toolsettings=&get('exttool_'.$marker,['gradable'],$cdom,$cnum);
+                     $use_passback = $toolsettings{'gradable'};
+                 }
+             }
+             if ($use_passback) {
+                 $filename = '/home/httpd/html/res/lib/templates/LTIpassback.tool';
+             } else {
+                 $filename = '/home/httpd/html/res/lib/templates/LTIstandard.tool';
+             }
+         }
+     }
      {
+ # Imported parts would go here
+         my @origfiletagids=();
+         my $importedparts=0;
+ # Imported responseids would go here
+         my $importedresponses=0;
  #
  # Is this a recursive call for a library?
  #
  #	if (! exists($metacache{$uri})) {
  #	    $metacache{$uri}={};
  #	}
+ 	my $cachetime = 60*60;
          if ($liburi) {
  	    $liburi=&declutter($liburi);
              $filename=$liburi;
- Line 6472  sub metadata {
+ Line 13701  sub metadata {
          my %metathesekeys=();
          unless ($filename=~/\.meta$/) { $filename.='.meta'; }
  	my $metastring;
- 	if ($uri !~ m -^(editupload)/-) {
+ 	if ($uri =~ /^priv/ || $uri=~/home\/httpd\/html\/priv/) {
+ 	    my $which = &hreflocation('','/'.($liburi || $uri));
+ 	    $metastring =
+ 		&Apache::lonnet::ssi_body($which,
+ 					  ('grade_target' => 'meta'));
+ 	    $cachetime = 1; # only want this cached in the child not long term
+ 	} elsif (($uri !~ m -^(editupload)/-) &&
+                  ($uri !~ m{^/*uploaded/$match_domain/$match_courseid/docs/})) {
  	    my $file=&filelocation('',&clutter($filename));
  	    #push(@{$metaentry{$uri.'.file'}},$file);
  	    $metastring=&getfile($file);
- Line 6532  sub metadata {
+ Line 13768  sub metadata {
  # This is not a package - some other kind of start tag
  #
  		    my $entry=$token->[1];
- 		    my $unikey;
+ 		    my $unikey='';
- 		    if ($entry eq 'import') {
- 			$unikey='';
- 		    } else {
- 			$unikey=$entry;
- 		    }
- 		    $unikey.=&add_prefix_and_part($prefix,$token->[2]->{'part'});
- 		    if (defined($token->[2]->{'id'})) {
- 			$unikey.='_'.$token->[2]->{'id'};
- 		    }
  		    if ($entry eq 'import') {
  #
  # Importing a library here
  #
+                         my $location=$parser->get_text('/import');
+                         my $dir=$filename;
+                         $dir=~s|[^/]*$||;
+                         $location=&filelocation($dir,$location);
+                         my $importid=$token->[2]->{'id'};
+                         my $importmode=$token->[2]->{'importmode'};
+ #
+ # Check metadata for imported file to
+ # see if it contained response items
+ #
+                         my ($origfile,@libfilekeys);
+                         my %currmetaentry = %metaentry;
+                         @libfilekeys = split(/,/,&metadata($location,'keys',undef,undef,undef,
+                                                            $depthcount+1));
+                         if (grep(/^responseorder$/,@libfilekeys)) {
+                             my $libresponseorder = &metadata($location,'responseorder',undef,undef,
+                                                              undef,$depthcount+1);
+                             if ($libresponseorder ne '') {
+                                 if ($#origfiletagids<0) {
+                                     undef(%importedrespids);
+                                     undef(%importedpartids);
+                                 }
+                                 my @respids = split(/\s*,\s*/,$libresponseorder);
+                                 if (@respids) {
+                                     $importedrespids{$importid} = join(',',map { $importid.'_'.$_ } @respids);
+                                 }
+                                 if ($importedrespids{$importid} ne '') {
+                                     $importedresponses = 1;
+ # We need to get the original file and the imported file to get the response order correct
+ # Load and inspect original file
+                                     if ($#origfiletagids<0) {
+                                         my $origfilelocation=$perlvar{'lonDocRoot'}.&clutter($uri);
+                                         $origfile=&getfile($origfilelocation);
+                                         @origfiletagids=($origfile=~/<((?:\w+)response|import|part)[^>]*id\s*=\s*[\"\']([^\"\']+)[\"\'][^>]*>/gs);
+                                     }
+                                 }
+                             }
+                         }
+ # Do not overwrite contents of %metaentry hash for resource itself with
+ # hash populated for imported library file
+                         %metaentry = %currmetaentry;
+                         undef(%currmetaentry);
+                         if ($importmode eq 'part') {
+ # Import as part(s)
+                            $importedparts=1;
+ # We need to get the original file and the imported file to get the part order correct
+ # Good news: we do not need to worry about nested libraries, since parts cannot be nested
+ # Load and inspect original file if we didn't do that already
+                            if ($#origfiletagids<0) {
+                                undef(%importedrespids);
+                                undef(%importedpartids);
+                                if ($origfile eq '') {
+                                    my $origfilelocation=$perlvar{'lonDocRoot'}.&clutter($uri);
+                                    $origfile=&getfile($origfilelocation);
+                                    @origfiletagids=($origfile=~/<(part|import)[^>]*id\s*=\s*[\"\']([^\"\']+)[\"\'][^>]*>/gs);
+                                }
+                            }
+                            my @impfilepartids;
+ # If <partorder> tag is included in metadata for the imported file
+ # get the parts in the imported file from that.
+                            if (grep(/^partorder$/,@libfilekeys)) {
+                                %currmetaentry = %metaentry;
+                                my $libpartorder = &metadata($location,'partorder',undef,undef,undef,
+                                                             $depthcount+1);
+                                %metaentry = %currmetaentry;
+                                undef(%currmetaentry);
+                                if ($libpartorder ne '') {
+                                    @impfilepartids=split(/\s*,\s*/,$libpartorder);
+                                }
+                            } else {
+ # If no <partorder> tag available, load and inspect imported file
+                                my $impfile=&getfile($location);
+                                @impfilepartids=($impfile=~/<part[^>]*id\s*=\s*[\"\']([^\"\']+)[\"\'][^>]*>/gs);
+                            }
+                            if ($#impfilepartids>=0) {
+ # This problem had parts
+                                $importedpartids{$token->[2]->{'id'}}=join(',',@impfilepartids);
+                            } else {
+ # Importing by turning a single problem into a problem part
+ # It gets the import-tags ID as part-ID
+                                $unikey=&add_prefix_and_part($prefix,$token->[2]->{'id'});
+                                $importedpartids{$token->[2]->{'id'}}=$token->[2]->{'id'};
+                            }
+                         } else {
+ # Import as problem or as normal import
+                             $unikey=&add_prefix_and_part($prefix,$token->[2]->{'part'});
+                             unless ($importmode eq 'problem') {
+ # Normal import
+                                 if (defined($token->[2]->{'id'})) {
+                                     $unikey.='_'.$token->[2]->{'id'};
+                                 }
+                             }
+ # Check metadata for imported file to
+ # see if it contained parts
+                             if (grep(/^partorder$/,@libfilekeys)) {
+                                 %currmetaentry = %metaentry;
+                                 my $libpartorder = &metadata($location,'partorder',undef,undef,undef,
+                                                              $depthcount+1);
+                                 %metaentry = %currmetaentry;
+                                 undef(%currmetaentry);
+                                 if ($libpartorder ne '') {
+                                     $importedparts = 1;
+                                     $importedpartids{$token->[2]->{'id'}}=$libpartorder;
+                                 }
+                             }
+                         }
  			if ($depthcount<20) {
- 			    my $location=$parser->get_text('/import');
- 			    my $dir=$filename;
- 			    $dir=~s|[^/]*$||;
- 			    $location=&filelocation($dir,$location);
  			    my $metadata =
- 				&metadata($uri,'keys', $location,$unikey,
+ 				&metadata($uri,'keys',$toolsymb,$location,$unikey,
  					  $depthcount+1);
  			    foreach my $meta (split(',',$metadata)) {
  				$metaentry{':'.$meta}=$metaentry{':'.$meta};
  				$metathesekeys{$meta}=1;
  			    }
- 			}
+                         }
  		    } else {
+ #
+ # Not importing, some other kind of non-package, non-library start tag
+ #
+                         $unikey=$entry.&add_prefix_and_part($prefix,$token->[2]->{'part'});
+                         if (defined($token->[2]->{'id'})) {
+                             $unikey.='_'.$token->[2]->{'id'};
+                         }
  			if (defined($token->[2]->{'name'})) {
  			    $unikey.='_'.$token->[2]->{'name'};
  			}
- Line 6577  sub metadata {
+ Line 13912  sub metadata {
  		 # only ws inside the tag, and not in default, so use default
  		 # as value
  			    $metaentry{':'.$unikey}=$default;
- 			} else {
+ 			} elsif ( $internaltext =~ /\S/ ) {
- 		  # either something interesting inside the tag or default
+ 		  # something interesting inside the tag
-                   # uninteresting
  			    $metaentry{':'.$unikey}=$internaltext;
+ 			} else {
+ 		  # no interesting values, don't set a default
  			}
  # end of not-a-package not-a-library import
  		    }
- Line 6621  sub metadata {
+ Line 13957  sub metadata {
  		$dir=~s|[^/]*$||;
  		$location=&filelocation($dir,$location);
  		my $rights_metadata =
- 		    &metadata($uri,'keys',$location,'_rights',
+ 		    &metadata($uri,'keys',$toolsymb,$location,'_rights',
  			      $depthcount+1);
  		foreach my $rights (split(',',$rights_metadata)) {
  		    #$metaentry{':'.$rights}=$metacache{$uri}->{':'.$rights};
- Line 6635  sub metadata {
+ Line 13971  sub metadata {
  	    grep { ! $seen{$_} ++ } (split(',',$metaentry{':packages'}));
  	$metaentry{':packages'} = join(',',@uniq_packages);
+         if (($importedresponses) || ($importedparts)) {
+             if ($importedparts) {
+ # We had imported parts and need to rebuild partorder
+                 $metaentry{':partorder'}='';
+                 $metathesekeys{'partorder'}=1;
+             }
+             if ($importedresponses) {
+ # We had imported responses and need to rebuil responseorder
+                 $metaentry{':responseorder'}='';
+                 $metathesekeys{'responseorder'}=1;
+             }
+             for (my $index=0;$index<$#origfiletagids;$index+=2) {
+                 my $origid = $origfiletagids[$index+1];
+                 if ($origfiletagids[$index] eq 'part') {
+ # Original part, part of the problem
+                     if ($importedparts) {
+                         $metaentry{':partorder'}.=','.$origid;
+                     }
+                 } elsif ($origfiletagids[$index] eq 'import') {
+                     if ($importedparts) {
+ # We have imported parts at this position
+                         if ($importedpartids{$origid} ne '') {
+                             $metaentry{':partorder'}.=','.$importedpartids{$origid};
+                         }
+                     }
+                     if ($importedresponses) {
+ # We have imported responses at this position
+                         if ($importedrespids{$origid} ne '') {
+                             $metaentry{':responseorder'}.=','.$importedrespids{$origid};
+                         }
+                     }
+                 } else {
+ # Original response item, part of the problem
+                     if ($importedresponses) {
+                         $metaentry{':responseorder'}.=','.$origid;
+                     }
+                 }
+             }
+             if ($importedparts) {
+                 $metaentry{':partorder'}=~s/^\,//;
+             }
+             if ($importedresponses) {
+                 $metaentry{':responseorder'}=~s/^\,//;
+             }
+         }
  	$metaentry{':keys'} = join(',',keys(%metathesekeys));
  	&metadata_generate_part0(\%metathesekeys,\%metaentry,$uri);
- 	$metaentry{':allpossiblekeys'}=join(',',keys %metathesekeys);
+ 	$metaentry{':allpossiblekeys'}=join(',',keys(%metathesekeys));
- 	&do_cache_new('meta',$uri,\%metaentry,60*60);
+         unless ($liburi) {
+ 	    &do_cache_new('meta',$uri,\%metaentry,$cachetime);
+         }
  # this is the end of "was not already recently cached
      }
      return $metaentry{':'.$what};
- Line 6707  sub devalidate_title_cache {
+ Line 14090  sub devalidate_title_cache {
      &devalidate_cache_new('title',$key);
  }
+ # ------------------------------------------------- Get the title of a course
+ sub current_course_title {
+     return $env{ 'course.' . $env{'request.course.id'} . '.description' };
+ }
  # ------------------------------------------------- Get the title of a resource
  sub gettitle {
- Line 6720  sub gettitle {
+ Line 14108  sub gettitle {
  	}
  	my ($map,$resid,$url)=&decode_symb($symb);
  	my $title='';
- 	my %bighash;
+ 	if (!$map && $resid == 0 && $url =~/default\.sequence$/) {
- 	if (tie(%bighash,'GDBM_File',$env{'request.course.fn'}.'.db',
+ 	    $title = $env{'course.'.$env{'request.course.id'}.'.description'};
- 		&GDBM_READER(),0640)) {
+ 	} else {
- 	    my $mapid=$bighash{'map_pc_'.&clutter($map)};
+ 	    if (tie(my %bighash,'GDBM_File',$env{'request.course.fn'}.'.db',
- 	    $title=$bighash{'title_'.$mapid.'.'.$resid};
+ 		    &GDBM_READER(),0640)) {
- 	    untie %bighash;
+ 		my $mapid=$bighash{'map_pc_'.&clutter($map)};
+ 		$title=$bighash{'title_'.$mapid.'.'.$resid};
+ 		untie(%bighash);
+ 	    }
  	}
  	$title=~s/\&colon\;/\:/gs;
  	if ($title) {
+ # Remember both $symb and $title for dynamic metadata
+             $accesshash{$symb.'___crstitle'}=$title;
+             $accesshash{&declutter($map).'___'.&declutter($url).'___usage'}=time;
+ # Cache this title and then return it
  	    return &do_cache_new('title',$key,$title,600);
  	}
  	$urlsymb=$url;
- Line 6761  sub get_slot {
+ Line 14156  sub get_slot {
      }
      return $slotinfo{$which};
  }
+ sub get_reservable_slots {
+     my ($cnum,$cdom,$uname,$udom) = @_;
+     my $now = time;
+     my $reservable_info;
+     my $key=join("\0",'reservableslots',$cdom,$cnum,$uname,$udom);
+     if (exists($remembered{$key})) {
+         $reservable_info = $remembered{$key};
+     } else {
+         my %resv;
+         ($resv{'now_order'},$resv{'now'},$resv{'future_order'},$resv{'future'}) =
+         &Apache::loncommon::get_future_slots($cnum,$cdom,$now);
+         $reservable_info = \%resv;
+         $remembered{$key} = $reservable_info;
+     }
+     return $reservable_info;
+ }
+ sub get_course_slots {
+     my ($cnum,$cdom) = @_;
+     my $hashid=$cnum.':'.$cdom;
+     my ($result,$cached) = &is_cached_new('allslots',$hashid);
+     if (defined($cached)) {
+         if (ref($result) eq 'HASH') {
+             return %{$result};
+         }
+     } else {
+         my %slots=&dump('slots',$cdom,$cnum);
+         my ($tmp) = keys(%slots);
+         if ($tmp !~ /^(con_lost|error|no_such_host)/i) {
+             &do_cache_new('allslots',$hashid,\%slots,600);
+             return %slots;
+         }
+     }
+     return;
+ }
+ sub devalidate_slots_cache {
+     my ($cnum,$cdom)=@_;
+     my $hashid=$cnum.':'.$cdom;
+     &devalidate_cache_new('allslots',$hashid);
+ }
+ sub get_coursechange {
+     my ($cdom,$cnum) = @_;
+     if ($cdom eq '' || $cnum eq '') {
+         return unless ($env{'request.course.id'});
+         $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     }
+     my $hashid=$cdom.'_'.$cnum;
+     my ($change,$cached)=&is_cached_new('crschange',$hashid);
+     if ((defined($cached)) && ($change ne '')) {
+         return $change;
+     } else {
+         my %crshash;
+         %crshash = &get('environment',['internal.contentchange'],$cdom,$cnum);
+         if ($crshash{'internal.contentchange'} eq '') {
+             $change = $env{'course.'.$cdom.'_'.$cnum.'.internal.created'};
+             if ($change eq '') {
+                 %crshash = &get('environment',['internal.created'],$cdom,$cnum);
+                 $change = $crshash{'internal.created'};
+             }
+         } else {
+             $change = $crshash{'internal.contentchange'};
+         }
+         my $cachetime = 600;
+         &do_cache_new('crschange',$hashid,$change,$cachetime);
+     }
+     return $change;
+ }
+ sub devalidate_coursechange_cache {
+     my ($cdom,$cnum)=@_;
+     my $hashid=$cdom.'_'.$cnum;
+     &devalidate_cache_new('crschange',$hashid);
+ }
+ sub get_suppchange {
+     my ($cdom,$cnum) = @_;
+     if ($cdom eq '' || $cnum eq '') {
+         return unless ($env{'request.course.id'});
+         $cnum = $env{'course.'.$env{'request.course.id'}.'.num'};
+         $cdom = $env{'course.'.$env{'request.course.id'}.'.domain'};
+     }
+     my $hashid=$cdom.'_'.$cnum;
+     my ($change,$cached)=&is_cached_new('suppchange',$hashid);
+     if ((defined($cached)) && ($change ne '')) {
+         return $change;
+     } else {
+         my %crshash = &get('environment',['internal.supplementalchange'],$cdom,$cnum);
+         if ($crshash{'internal.supplementalchange'} eq '') {
+             $change = $env{'course.'.$cdom.'_'.$cnum.'.internal.created'};
+             if ($change eq '') {
+                 %crshash = &get('environment',['internal.created'],$cdom,$cnum);
+                 $change = $crshash{'internal.created'};
+             }
+         } else {
+             $change = $crshash{'internal.supplementalchange'};
+         }
+         my $cachetime = 600;
+         &do_cache_new('suppchange',$hashid,$change,$cachetime);
+     }
+     return $change;
+ }
+ sub devalidate_suppchange_cache {
+     my ($cdom,$cnum)=@_;
+     my $hashid=$cdom.'_'.$cnum;
+     &devalidate_cache_new('suppchange',$hashid);
+ }
+ sub update_supp_caches {
+     my ($cdom,$cnum) = @_;
+     my %servers = &internet_dom_servers($cdom);
+     my @ids=&current_machine_ids();
+     foreach my $server (keys(%servers)) {
+         next if (grep(/^\Q$server\E$/,@ids));
+         my $hashid=$cnum.':'.$cdom;
+         my $cachekey = &escape('showsupp').':'.&escape($hashid);
+         &remote_devalidate_cache($server,[$cachekey]);
+     }
+     &has_unhidden_suppfiles($cnum,$cdom,1,1);
+     &count_supptools($cnum,$cdom,1);
+     my $now = time;
+     if ($env{'request.course.id'} eq $cdom.'_'.$cnum) {
+         &Apache::lonnet::appenv({'request.course.suppupdated' => $now});
+     }
+     &put('environment',{'internal.supplementalchange' => $now},
+          $cdom,$cnum);
+     &Apache::lonnet::appenv(
+         {'course.'.$cdom.'_'.$cnum.'.internal.supplementalchange' => $now});
+     &do_cache_new('suppchange',$cdom.'_'.$cnum,$now,600);
+ }
  # ------------------------------------------------- Update symbolic store links
  sub symblist {
- Line 6770  sub symblist {
+ Line 14300  sub symblist {
      if (($env{'request.course.fn'}) && (%newhash)) {
          if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
                        &GDBM_WRCREAT(),0640)) {
- 	    foreach my $url (keys %newhash) {
+ 	    foreach my $url (keys(%newhash)) {
  		next if ($url eq 'last_known'
  			 && $env{'form.no_update_last_known'});
  		$hash{declutter($url)}=&encode_symb($mapname,
- Line 6788  sub symblist {
+ Line 14318  sub symblist {
  # --------------------------------------------------------------- Verify a symb
  sub symbverify {
-     my ($symb,$thisurl)=@_;
+     my ($symb,$thisurl,$encstate)=@_;
      my $thisfn=$thisurl;
      $thisfn=&declutter($thisfn);
  # direct jump to resource in page or to a sequence - will construct own symbs
- Line 6807  sub symbverify {
+ Line 14337  sub symbverify {
      if (tie(%bighash,'GDBM_File',$env{'request.course.fn'}.'.db',
                              &GDBM_READER(),0640)) {
-         my $ids=$bighash{'ids_'.&clutter($thisurl)};
+         if (($thisurl =~ m{^/adm/wrapper/ext/}) || ($thisurl =~ m{^ext/})) {
-         unless ($ids) {
+             $thisurl =~ s/\?.+$//;
-            $ids=$bighash{'ids_/'.$thisurl};
+             if ($map =~ m{^uploaded/.+\.page$}) {
+                 $thisurl =~ s{^(/adm/wrapper|)/ext/}{http://};
+                 $thisurl =~ s{^\Qhttp://https://\E}{https://};
+             }
+         }
+         my $ids;
+         if ($map =~ m{^uploaded/.+\.page$}) {
+             $ids=$bighash{'ids_'.&clutter_with_no_wrapper($thisurl)};
+         } else {
+             $ids=$bighash{'ids_'.&clutter($thisurl)};
+         }
+         unless ($ids) {
+             my $idkey = 'ids_'.($thisurl =~ m{^/}? '' : '/').$thisurl;
+             $ids=$bighash{$idkey};
          }
          if ($ids) {
  # ------------------------------------------------------------------- Has ID(s)
+             if ($thisfn =~ m{^/adm/wrapper/ext/}) {
+                 $symb =~ s/\?.+$//;
+             }
  	    foreach my $id (split(/\,/,$ids)) {
  	       my ($mapid,$resid)=split(/\./,$id);
                 if (
    &symbclean(&declutter($bighash{'map_id_'.$mapid}).'___'.$resid.'___'.$thisfn)
     eq $symb) {
+                    if (ref($encstate)) {
+                        $$encstate = $bighash{'encrypted_'.$id};
+                    }
  		   if (($env{'request.role.adv'}) ||
- 		       $bighash{'encrypted_'.$id} eq $env{'request.enc'}) {
+ 		       ($bighash{'encrypted_'.$id} eq $env{'request.enc'}) ||
- 		       $okay=1;
+                        ($thisurl eq '/adm/navmaps')) {
+ 		       $okay=1;
+                        last;
  		   }
  	       }
  	   }
- Line 6895  sub deversion {
+ Line 14446  sub deversion {
  # ------------------------------------------------------ Return symb list entry
  sub symbread {
-     my ($thisfn,$donotrecurse)=@_;
+     my ($thisfn,$donotrecurse,$ignorecachednull,$checkforblock,$possibles,
+         $ignoresymbdb,$noenccheck)=@_;
      my $cache_str='request.symbread.cached.'.$thisfn;
-     if (defined($env{$cache_str})) { return $env{$cache_str}; }
+     if (defined($env{$cache_str})) {
+         unless (ref($possibles) eq 'HASH') {
+             if ($ignorecachednull) {
+                 return $env{$cache_str} unless ($env{$cache_str} eq '');
+             } else {
+                 return $env{$cache_str};
+             }
+         }
+     }
  # no filename provided? try from environment
      unless ($thisfn) {
          if ($env{'request.symb'}) {
- 	    return $env{$cache_str}=&symbclean($env{'request.symb'});
+             return $env{$cache_str}=&symbclean($env{'request.symb'});
  	}
  	$thisfn=$env{'request.filename'};
      }
- Line 6917  sub symbread {
+ Line 14477  sub symbread {
      my %bighash;
      my $syval='';
      if (($env{'request.course.fn'}) && ($thisfn)) {
-         my $targetfn = $thisfn;
+         unless ($ignoresymbdb) {
-         if ( ($thisfn =~ m/^(uploaded|editupload)\//) && ($thisfn !~ m/\.(page|sequence)$/) ) {
+             if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
-             $targetfn = 'adm/wrapper/'.$thisfn;
+                           &GDBM_READER(),0640)) {
-         }
+ 	        $syval=$hash{$thisfn};
- 	if ($targetfn =~ m|^adm/wrapper/(ext/.*)|) {
+                 untie(%hash);
- 	    $targetfn=$1;
+             }
- 	}
+             if ($syval && $checkforblock) {
-         if (tie(%hash,'GDBM_File',$env{'request.course.fn'}.'_symb.db',
+                 my @blockers = &has_comm_blocking('bre',$syval,$thisfn,$ignoresymbdb,$noenccheck);
-                       &GDBM_READER(),0640)) {
+                 if (@blockers) {
- 	    $syval=$hash{$targetfn};
+                     $syval='';
-             untie(%hash);
+                 }
+             }
          }
  # ---------------------------------------------------------- There was an entry
          if ($syval) {
  	    #unless ($syval=~/\_\d+$/) {
  		#unless ($env{'form.request.prefix'}=~/\.(\d+)\_$/) {
- 		    #&appenv('request.ambiguous' => $thisfn);
+ 		    #&appenv({'request.ambiguous' => $thisfn});
  		    #return $env{$cache_str}='';
  		#}
  		#$syval.=$1;
- Line 6959  sub symbread {
+ Line 14520  sub symbread {
  		     my ($mapid,$resid)=split(/\./,$ids);
  		     $syval=&encode_symb($bighash{'map_id_'.$mapid},
  						    $resid,$thisfn);
-                  } elsif (!$donotrecurse) {
+                      if (ref($possibles) eq 'HASH') {
+                          unless ($bighash{'randomout_'.$ids} || $env{'request.role.adv'}) {
+                              $possibles->{$syval} = 1;
+                          }
+                      }
+                      if ($checkforblock) {
+                          unless ($bighash{'randomout_'.$ids} || $env{'request.role.adv'}) {
+                              my @blockers = &has_comm_blocking('bre',$syval,$bighash{'src_'.$ids},'',$noenccheck);
+                              if (@blockers) {
+                                  $syval = '';
+                                  untie(%bighash);
+                                  return $env{$cache_str}='';
+                              }
+                          }
+                      }
+                  } elsif ((!$donotrecurse) || ($checkforblock) || (ref($possibles) eq 'HASH')) {
  # ------------------------------------------ There is more than one possibility
                       my $realpossible=0;
                       foreach my $id (@possibilities) {
  			 my $file=$bighash{'src_'.$id};
-                          if (&allowed('bre',$file)) {
+                          my $canaccess;
-          		    my ($mapid,$resid)=split(/\./,$id);
+                          if (($donotrecurse) || ($checkforblock) || (ref($possibles) eq 'HASH')) {
-                             if ($bighash{'map_type_'.$mapid} ne 'page') {
+                              $canaccess = 1;
- 				$realpossible++;
+                          } else {
-                                 $syval=&encode_symb($bighash{'map_id_'.$mapid},
+                              $canaccess = &allowed('bre',$file);
- 						    $resid,$thisfn);
+                          }
-                             }
+                          if ($canaccess) {
+          		     my ($mapid,$resid)=split(/\./,$id);
+                              if ($bighash{'map_type_'.$mapid} ne 'page') {
+                                  my $poss_syval=&encode_symb($bighash{'map_id_'.$mapid},
+ 						             $resid,$thisfn);
+                                  next if ($bighash{'randomout_'.$id} && !$env{'request.role.adv'});
+                                  next unless (($noenccheck) || ($bighash{'encrypted_'.$id} eq $env{'request.enc'}));
+                                  if ($checkforblock) {
+                                      my @blockers = &has_comm_blocking('bre',$poss_syval,$file,'',$noenccheck);
+                                      if (@blockers > 0) {
+                                          $syval = '';
+                                      } else {
+                                          $syval = $poss_syval;
+                                          $realpossible++;
+                                      }
+                                  } else {
+                                      $syval = $poss_syval;
+                                      $realpossible++;
+                                  }
+                                  if ($syval) {
+                                      if (ref($possibles) eq 'HASH') {
+                                          $possibles->{$syval} = 1;
+                                      }
+                                  }
+                              }
  			 }
                       }
  		     if ($realpossible!=1) { $syval=''; }
- Line 6978  sub symbread {
+ Line 14578  sub symbread {
                       $syval='';
                   }
  	      }
-               untie(%bighash)
+               untie(%bighash);
             }
          }
          if ($syval) {
  	    return $env{$cache_str}=$syval;
          }
      }
-     &appenv('request.ambiguous' => $thisfn);
+     &appenv({'request.ambiguous' => $thisfn});
      return $env{$cache_str}='';
  }
- Line 7094  sub getCODE {
+ Line 14694  sub getCODE {
      }
      return undef;
  }
+ #
+ #  Determines the random seed for a specific context:
+ #
+ # parameters:
+ #   symb      - in course context the symb for the seed.
+ #   course_id - The course id of the form domain_coursenum.
+ #   domain    - Domain for the user.
+ #   course    - Course for the user.
+ #   cenv      - environment of the course.
+ #
+ # NOTE:
+ #   All parameters are picked out of the environment if missing
+ #   or not defined.
+ #   If a symb cannot be determined the current time is used instead.
+ #
+ #  For a given well defined symb, courside, domain, username,
+ #  and course environment, the seed is reproducible.
+ #
  sub rndseed {
-     my ($symb,$courseid,$domain,$username)=@_;
+     my ($symb,$courseid,$domain,$username, $cenv)=@_;
      my ($wsymb,$wcourseid,$wdomain,$wusername)=&whichuser();
      if (!defined($symb)) {
  	unless ($symb=$wsymb) { return time; }
      }
-     if (!$courseid) { $courseid=$wcourseid; }
+     if (!defined $courseid) {
-     if (!$domain) { $domain=$wdomain; }
+ 	$courseid=$wcourseid;
-     if (!$username) { $username=$wusername }
+     }
-     my $which=&get_rand_alg();
+     if (!defined $domain) { $domain=$wdomain; }
+     if (!defined $username) { $username=$wusername }
+     my $which;
+     if (defined($cenv->{'rndseed'})) {
+ 	$which = $cenv->{'rndseed'};
+     } else {
+ 	$which =&get_rand_alg($courseid);
+     }
      if (defined(&getCODE())) {
  	if ($which eq '64bit5') {
  	    return &rndseed_CODE_64bit5($symb,$courseid,$domain,$username);
  	} elsif ($which eq '64bit4') {
- Line 7292  sub rndseed_CODE_64bit5 {
+ Line 14917  sub rndseed_CODE_64bit5 {
  sub setup_random_from_rndseed {
      my ($rndseed)=@_;
      if ($rndseed =~/([,:])/) {
- 	my ($num1,$num2)=split(/[,:]/,$rndseed);
+         my ($num1,$num2) = map { abs($_); } (split(/[,:]/,$rndseed));
- 	&Math::Random::random_set_seed(abs($num1),abs($num2));
+         if ((!$num1) || (!$num2) || ($num1 > 2147483562) || ($num2 > 2147483398)) {
+             &Math::Random::random_set_seed_from_phrase($rndseed);
+         } else {
+             &Math::Random::random_set_seed($num1,$num2);
+         }
      } else {
  	&Math::Random::random_set_seed_from_phrase($rndseed);
      }
- Line 7430  sub getfile {
+ Line 15059  sub getfile {
  sub repcopy_userfile {
      my ($file)=@_;
-     if ($file =~ m -^/*(uploaded|editupload)/-) { $file=&filelocation("",$file); }
+     my $londocroot = $perlvar{'lonDocRoot'};
-     if ($file =~ m|^/home/httpd/html/lonUsers/|) { return 'ok'; }
+     if ($file =~ m{^/*(uploaded|editupload)/}) { $file=&filelocation("",$file); }
+     if ($file =~ m{^\Q/home/httpd/lonUsers/\E}) { return 'ok'; }
      my ($cdom,$cnum,$filename) =
  	($file=~m|^\Q$perlvar{'lonDocRoot'}\E/+userfiles/+($match_domain)/+($match_name)/+(.*)|);
      my $uri="/uploaded/$cdom/$cnum/$filename";
- Line 7471  sub repcopy_userfile {
+ Line 15101  sub repcopy_userfile {
      }
  # now the path exists for sure
  # get a user agent
-     my $ua=new LWP::UserAgent;
      my $transferfile=$file.'.in.transfer';
  # FIXME: this should flock
      if (-e $transferfile) { return 'ok'; }
      my $request;
      $uri=~s/^\///;
-     $request=new HTTP::Request('GET','http://'.&hostname(&homeserver($cnum,$cdom)).'/raw/'.$uri);
+     my $homeserver = &homeserver($cnum,$cdom);
-     my $response=$ua->request($request,$transferfile);
+     my $hostname = &hostname($homeserver);
+     my $protocol = $protocol{$homeserver};
+     $protocol = 'http' if ($protocol ne 'https');
+     $request=new HTTP::Request('GET',$protocol.'://'.$hostname.'/raw/'.$uri);
+     my $response = &LONCAPA::LWPReq::makerequest($homeserver,$request,$transferfile,\%perlvar,'',0,1);
  # did it work?
      if ($response->is_error()) {
  	unlink($transferfile);
- Line 7492  sub repcopy_userfile {
+ Line 15125  sub repcopy_userfile {
  sub tokenwrapper {
      my $uri=shift;
-     $uri=~s|^http\://([^/]+)||;
+     $uri=~s|^https?\://([^/]+)||;
      $uri=~s|^/||;
      $env{'user.environment'}=~/\/([^\/]+)\.id/;
      my $token=$1;
      my (undef,$udom,$uname,$file)=split('/',$uri,4);
      if ($udom && $uname && $file) {
  	$file=~s|(\?\.*)*$||;
-         &appenv("userfile.$udom/$uname/$file" => $env{'request.course.id'});
+         &appenv({"userfile.$udom/$uname/$file" => $env{'request.course.id'}});
-         return 'http://'.&hostname(&homeserver($uname,$udom)).'/'.$uri.
+         my $homeserver = &homeserver($uname,$udom);
+         my $hostname = &hostname($homeserver);
+         my $protocol = $protocol{$homeserver};
+         $protocol = 'http' if ($protocol ne 'https');
+         return $protocol.'://'.$hostname.'/'.$uri.
                 (($uri=~/\?/)?'&':'?').'token='.$token.
                                 '&tokenissued='.$perlvar{'lonHostID'};
      } else {
- Line 7515  sub tokenwrapper {
+ Line 15152  sub tokenwrapper {
  sub getuploaded {
      my ($reqtype,$uri,$cdom,$cnum,$info,$rtncode) = @_;
      $uri=~s/^\///;
-     $uri = 'http://'.&hostname(&homeserver($cnum,$cdom)).'/raw/'.$uri;
+     my $homeserver = &homeserver($cnum,$cdom);
-     my $ua=new LWP::UserAgent;
+     my $hostname = &hostname($homeserver);
+     my $protocol = $protocol{$homeserver};
+     $protocol = 'http' if ($protocol ne 'https');
+     $uri = $protocol.'://'.$hostname.'/raw/'.$uri;
      my $request=new HTTP::Request($reqtype,$uri);
-     my $response=$ua->request($request);
+     my $response=&LONCAPA::LWPReq::makerequest($homeserver,$request,'',\%perlvar,'',0,1);
      $$rtncode = $response->code;
      if (! $response->is_success()) {
  	return 'failed';
- Line 7535  sub readfile {
+ Line 15175  sub readfile {
      my $file = shift;
      if ( (! -e $file ) || ($file eq '') ) { return -1; };
      my $fh;
-     open($fh,"<$file");
+     open($fh,"<",$file);
      my $a='';
      while (my $line = <$fh>) { $a .= $line; }
      return $a;
- Line 7551  sub filelocation {
+ Line 15191  sub filelocation {
  	$file=~s-^/adm/coursedocs/showdoc/-/-;
      }
-     if ($file=~m:^/~:) { # is a contruction space reference
+     if ($file =~ m-^\Q$Apache::lonnet::perlvar{'lonTabDir'}\E/-) {
-         $location = $file;
-         $location =~ s:/~(.*?)/(.*):/home/$1/public_html/$2:;
-     } elsif ($file=~m{^/home/$match_username/public_html/}) {
- 	# is a correct contruction space reference
          $location = $file;
      } elsif ($file=~/^\/*(uploaded|editupload)/) { # is an uploaded file
          my ($udom,$uname,$filename)=
- Line 7565  sub filelocation {
+ Line 15201  sub filelocation {
          my @ids=&current_machine_ids();
          foreach my $id (@ids) { if ($id eq $home) { $is_me=1; } }
          if ($is_me) {
-   	    $location=&propath($udom,$uname).
+   	    $location=propath($udom,$uname).'/userfiles/'.$filename;
-   	      '/userfiles/'.$filename;
          } else {
    	  $location=$Apache::lonnet::perlvar{'lonDocRoot'}.'/userfiles/'.
    	      $udom.'/'.$uname.'/'.$filename;
- Line 7575  sub filelocation {
+ Line 15210  sub filelocation {
  	$location = $perlvar{'lonDocRoot'}.'/'.$file;
      } else {
          $file=~s/^\Q$perlvar{'lonDocRoot'}\E//;
-         $file=~s:^/res/:/:;
+         $file=~s:^/(res|priv)/:/:;
+         my $space=$1;
          if ( !( $file =~ m:^/:) ) {
              $location = $dir. '/'.$file;
          } else {
-             $location = '/home/httpd/html/res'.$file;
+             $location = $perlvar{'lonDocRoot'}.'/'.$space.$file;
          }
      }
      $location=~s://+:/:g; # remove duplicate /
-     while ($location=~m:/\.\./:) {$location=~ s:/[^/]+/\.\./:/:g;} #remove dir/..
+     while ($location=~m{/\.\./}) {
+ 	if ($location =~ m{/[^/]+/\.\./}) {
+ 	    $location=~ s{/[^/]+/\.\./}{/}g;
+ 	} else {
+ 	    $location=~ s{/\.\./}{/}g;
+ 	}
+     } #remove dir/..
      while ($location=~m:/\./:) {$location=~ s:/\./:/:g;} #remove /./
      return $location;
  }
  sub hreflocation {
      my ($dir,$file)=@_;
-     unless (($file=~m-^http://-i) || ($file=~m-^/-)) {
+     unless (($file=~m-^https?\://-i) || ($file=~m-^/-)) {
  	$file=filelocation($dir,$file);
      } elsif ($file=~m-^/adm/-) {
  	$file=~s-^/adm/wrapper/-/-;
- Line 7598  sub hreflocation {
+ Line 15240  sub hreflocation {
      }
      if ($file=~m-^\Q$perlvar{'lonDocRoot'}\E-) {
  	$file=~s-^\Q$perlvar{'lonDocRoot'}\E--;
-     } elsif ($file=~m-/home/($match_username)/public_html/-) {
- 	$file=~s-^/home/($match_username)/public_html/-/~$1/-;
      } elsif ($file=~m-^\Q$perlvar{'lonUsersDir'}\E-) {
- 	$file=~s-^/home/httpd/lonUsers/($match_domain)/./././($match_name)/userfiles/
+ 	$file=~s{^/home/httpd/lonUsers/($match_domain)/./././($match_name)/userfiles/}
- 	    -/uploaded/$1/$2/-x;
+ 	        {/uploaded/$1/$2/}x;
+     }
+     if ($file=~ m{^/userfiles/}) {
+ 	$file =~ s{^/userfiles/}{/uploaded/};
      }
      return $file;
  }
  sub current_machine_domains {
      return &machine_domains(&hostname($perlvar{'lonHostID'}));
  }
- Line 7641  sub machine_ids {
+ Line 15288  sub machine_ids {
  sub additional_machine_domains {
      my @domains;
-     open(my $fh,"<$perlvar{'lonTabDir'}/expected_domains.tab");
+     if (-e "$perlvar{'lonTabDir'}/expected_domains.tab") {
-     while( my $line = <$fh>) {
+         if (open(my $fh,"<","$perlvar{'lonTabDir'}/expected_domains.tab")) {
-         $line =~ s/\s//g;
+             while (my $line = <$fh>) {
-         push(@domains,$line);
+                 chomp($line);
+                 $line =~ s/\s//g;
+                 push(@domains,$line);
+             }
+             close($fh);
+         }
      }
      return @domains;
  }
- Line 7662  sub default_login_domain {
+ Line 15314  sub default_login_domain {
      return $domain;
  }
+ sub shared_institution {
+     my ($dom,$lonhost) = @_;
+     if ($lonhost eq '') {
+         $lonhost = $perlvar{'lonHostID'};
+     }
+     my $same_intdom;
+     my $hostintdom = &internet_dom($lonhost);
+     if ($hostintdom ne '') {
+         my %iphost = &get_iphost();
+         my $primary_id = &domain($dom,'primary');
+         my $primary_ip = &get_host_ip($primary_id);
+         if (ref($iphost{$primary_ip}) eq 'ARRAY') {
+             foreach my $id (@{$iphost{$primary_ip}}) {
+                 my $intdom = &internet_dom($id);
+                 if ($intdom eq $hostintdom) {
+                     $same_intdom = 1;
+                     last;
+                 }
+             }
+         }
+     }
+     return $same_intdom;
+ }
+ sub uses_sts {
+     my ($ignore_cache) = @_;
+     my $lonhost = $perlvar{'lonHostID'};
+     my $hostname = &hostname($lonhost);
+     my $sts_on;
+     if ($protocol{$lonhost} eq 'https') {
+         my $cachetime = 12*3600;
+         if (!$ignore_cache) {
+             ($sts_on,my $cached)=&is_cached_new('stspolicy',$lonhost);
+             if (defined($cached)) {
+                 return $sts_on;
+             }
+         }
+         my $url = $protocol{$lonhost}.'://'.$hostname.'/index.html';
+         my $request=new HTTP::Request('HEAD',$url);
+         my $response=&LONCAPA::LWPReq::makerequest($lonhost,$request,'',\%perlvar,'','','',1);
+         if ($response->is_success) {
+             my $has_sts = $response->header('Strict-Transport-Security');
+             if ($has_sts eq '') {
+                 $sts_on = 0;
+             } else {
+                 if ($has_sts =~ /\Qmax-age=\E(\d+)/) {
+                     my $maxage = $1;
+                     if ($maxage) {
+                         $sts_on = 1;
+                     } else {
+                         $sts_on = 0;
+                     }
+                 } else {
+                     $sts_on = 0;
+                 }
+             }
+             return &do_cache_new('stspolicy',$lonhost,$sts_on,$cachetime);
+         }
+     }
+     return;
+ }
+ sub waf_allssl {
+     my ($host_name) = @_;
+     my $alias = &get_proxy_alias();
+     if ($host_name eq '') {
+         $host_name = $ENV{'SERVER_NAME'};
+     }
+     if (($host_name ne '') && ($alias eq $host_name)) {
+         my $serverhomedom = &host_domain($perlvar{'lonHostID'});
+         my %defdomdefaults = &get_domain_defaults($serverhomedom);
+         if ($defdomdefaults{'waf_sslopt'}) {
+             return $defdomdefaults{'waf_sslopt'};
+         }
+     }
+     return;
+ }
+ sub get_requestor_ip {
+     my ($r,$nolookup,$noproxy) = @_;
+     my $from_ip;
+     if (ref($r)) {
+         if ($r->can('useragent_ip')) {
+             if ($noproxy && $r->can('client_ip')) {
+                 $from_ip = $r->client_ip();
+             } else {
+                 $from_ip = $r->useragent_ip();
+             }
+         } elsif ($r->connection->can('remote_ip')) {
+             $from_ip = $r->connection->remote_ip();
+         } else {
+             $from_ip = $r->get_remote_host($nolookup);
+         }
+     } else {
+         $from_ip = $ENV{'REMOTE_ADDR'};
+     }
+     return $from_ip if ($noproxy);
+     # Who controls proxy settings for server
+     my $dom_in_use = $Apache::lonnet::perlvar{'lonDefDomain'};
+     my $proxyinfo = &get_proxy_settings($dom_in_use);
+     if ((ref($proxyinfo) eq 'HASH') && ($from_ip)) {
+         if ($proxyinfo->{'vpnint'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'vpnint'})) {
+                 return $from_ip;
+             }
+         }
+         if ($proxyinfo->{'trusted'}) {
+             if (&ip_match($from_ip,$proxyinfo->{'trusted'})) {
+                 my $ipheader = $proxyinfo->{'ipheader'};
+                 my ($ip,$xfor);
+                 if (ref($r)) {
+                     if ($ipheader) {
+                         $ip = $r->headers_in->{$ipheader};
+                     }
+                     $xfor = $r->headers_in->{'X-Forwarded-For'};
+                 } else {
+                     if ($ipheader) {
+                         $ip = $ENV{'HTTP_'.uc($ipheader)};
+                     }
+                     $xfor = $ENV{'HTTP_X_FORWARDED_FOR'};
+                 }
+                 if (($ip eq '') && ($xfor ne '')) {
+                     foreach my $poss_ip (reverse(split(/\s*,\s*/,$xfor))) {
+                         unless (&ip_match($poss_ip,$proxyinfo->{'trusted'})) {
+                             $ip = $poss_ip;
+                             last;
+                         }
+                     }
+                 }
+                 if ($ip ne '') {
+                     return $ip;
+                 }
+             }
+         }
+     }
+     return $from_ip;
+ }
+ sub get_proxy_settings {
+     my ($dom_in_use) = @_;
+     my %domdefaults = &get_domain_defaults($dom_in_use);
+     my $proxyinfo = {
+                        ipheader => $domdefaults{'waf_ipheader'},
+                        trusted  => $domdefaults{'waf_trusted'},
+                        vpnint   => $domdefaults{'waf_vpnint'},
+                        vpnext   => $domdefaults{'waf_vpnext'},
+                        sslopt   => $domdefaults{'waf_sslopt'},
+                     };
+     return $proxyinfo;
+ }
+ sub ip_match {
+     my ($ip,$pattern_str) = @_;
+     $ip=Net::CIDR::cidrvalidate($ip);
+     if ($ip) {
+         return Net::CIDR::cidrlookup($ip,split(/\s*,\s*/,$pattern_str));
+     }
+     return;
+ }
+ sub get_proxy_alias {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($alias,$cached) = &is_cached_new('proxyalias',$lonid);
+         if ($cached) {
+             return $alias;
+         }
+         my $dom = &host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'alias'}) eq 'HASH') {
+                     $alias = $domconfig{'wafproxy'}{'alias'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxyalias',$lonid,$alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub use_proxy_alias {
+     my ($r,$lonid) = @_;
+     my $alias = &get_proxy_alias($lonid);
+     if ($alias) {
+         my $dom = &host_domain($lonid);
+         if ($dom ne '') {
+             my $proxyinfo = &get_proxy_settings($dom);
+             my ($vpnint,$remote_ip);
+             if (ref($proxyinfo) eq 'HASH') {
+                 $vpnint = $proxyinfo->{'vpnint'};
+                 if ($vpnint) {
+                     $remote_ip = &get_requestor_ip($r,1,1);
+                 }
+             }
+             unless ($vpnint && &ip_match($remote_ip,$vpnint)) {
+                 return $alias;
+             }
+         }
+     }
+     return;
+ }
+ sub alias_sso {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         $lonid = $perlvar{'lonHostID'};
+     }
+     if (!defined(&hostname($lonid))) {
+         return;
+     }
+     if ($lonid ne '') {
+         my ($use_alias,$cached) = &is_cached_new('proxysaml',$lonid);
+         if ($cached) {
+             return $use_alias;
+         }
+         my $dom = &host_domain($lonid);
+         if ($dom ne '') {
+             my $cachetime = 60*60*24;
+             my %domconfig =
+                 &get_dom('configuration',['wafproxy'],$dom);
+             if (ref($domconfig{'wafproxy'}) eq 'HASH') {
+                 if (ref($domconfig{'wafproxy'}{'saml'}) eq 'HASH') {
+                     $use_alias = $domconfig{'wafproxy'}{'saml'}{$lonid};
+                 }
+             }
+             return &do_cache_new('proxysaml',$lonid,$use_alias,$cachetime);
+         }
+     }
+     return;
+ }
+ sub get_saml_landing {
+     my ($lonid) = @_;
+     if ($lonid eq '') {
+         my $defdom = &default_login_domain();
+         my @hosts = &current_machine_ids();
+         if (@hosts > 1) {
+             foreach my $hostid (@hosts) {
+                 if (&host_domain($hostid) eq $defdom) {
+                     $lonid = $hostid;
+                     last;
+                 }
+             }
+         } else {
+             $lonid = $perlvar{'lonHostID'};
+         }
+         if ($lonid) {
+             unless (&host_domain($lonid) eq $defdom) {
+                 return;
+             }
+         } else {
+             return;
+         }
+     } elsif (!defined(&hostname($lonid))) {
+         return;
+     }
+     my ($landing,$cached) = &is_cached_new('samllanding',$lonid);
+     if ($cached) {
+         return $landing;
+     }
+     my $dom = &host_domain($lonid);
+     if ($dom ne '') {
+         my $cachetime = 60*60*24;
+         my %domconfig =
+             &get_dom('configuration',['login'],$dom);
+         if (ref($domconfig{'login'}) eq 'HASH') {
+             if (ref($domconfig{'login'}{'saml'}) eq 'HASH') {
+                 if (ref($domconfig{'login'}{'saml'}{$lonid}) eq 'HASH') {
+                     $landing = 1;
+                 }
+             }
+         }
+         return &do_cache_new('samllanding',$lonid,$landing,$cachetime);
+     }
+     return;
+ }
  # ------------------------------------------------------------- Declutters URLs
  sub declutter {
      my $thisfn=shift;
      if ($thisfn=~m|^/enc/|) { $thisfn=&Apache::lonenc::unencrypted($thisfn); }
-     $thisfn=~s/^\Q$perlvar{'lonDocRoot'}\E//;
+     unless ($thisfn=~m{^/home/httpd/html/priv/}) {
+         $thisfn=~s{^/home/httpd/html}{};
+     }
      $thisfn=~s/^\///;
      $thisfn=~s|^adm/wrapper/||;
      $thisfn=~s|^adm/coursedocs/showdoc/||;
      $thisfn=~s/^res\///;
-     $thisfn=~s/\?.+$//;
+     $thisfn=~s/^priv\///;
+     unless (($thisfn =~ /^ext/) || ($thisfn =~ /\.(page|sequence)___\d+___ext/)) {
+         $thisfn=~s/\?.+$//;
+     }
      return $thisfn;
  }
- Line 7684  sub clutter {
+ Line 15627  sub clutter {
  	|| $thisfn =~ m{^/adm/(includes|pages)} ) {
         $thisfn='/res'.$thisfn;
      }
-     if ($thisfn !~m|/adm|) {
+     if ($thisfn !~m|^/adm|) {
- 	if ($thisfn =~ m|/ext/|) {
+ 	if ($thisfn =~ m|^/ext/|) {
  	    $thisfn='/adm/wrapper'.$thisfn;
  	} else {
  	    my ($ext) = ($thisfn =~ /\.(\w+)$/);
- Line 7707  sub clutter {
+ Line 15650  sub clutter {
  #		&logthis("Got a blank emb style");
  	    }
  	}
+     } elsif ($thisfn =~ m{^/adm/$match_domain/$match_courseid/\d+/ext\.tool$}) {
+         $thisfn='/adm/wrapper'.$thisfn;
      }
      return $thisfn;
  }
- Line 7769  sub goodbye {
+ Line 15714  sub goodbye {
  }
  sub get_dns {
-     my ($url,$func,$ignore_cache) = @_;
+     my ($url,$func,$ignore_cache,$nocache,$hashref) = @_;
      if (!$ignore_cache) {
  	my ($content,$cached)=
- 	    &Apache::lonnet::is_cached_new('dns',$url);
+ 	    &is_cached_new('dns',$url);
  	if ($cached) {
- 	    &$func($content);
+ 	    &$func($content,$hashref);
  	    return;
  	}
      }
      my %alldns;
-     open(my $config,"<$perlvar{'lonTabDir'}/hosts.tab");
+     if (open(my $config,"<","$perlvar{'lonTabDir'}/hosts.tab")) {
-     foreach my $dns (<$config>) {
+         foreach my $dns (<$config>) {
- 	next if ($dns !~ /^\^(\S*)/x);
+ 	    next if ($dns !~ /^\^(\S*)/x);
- 	$alldns{$1} = 1;
+             my $line = $1;
+             my ($host,$protocol) = split(/:/,$line);
+             if ($protocol ne 'https') {
+                 $protocol = 'http';
+             }
+ 	    $alldns{$host} = $protocol;
+         }
+         close($config);
      }
      while (%alldns) {
- 	my ($dns) = keys(%alldns);
+ 	my ($dns) = sort { $b cmp $a } keys(%alldns);
- 	delete($alldns{$dns});
+         my ($contents,@content);
- 	my $ua=new LWP::UserAgent;
+         if ($dns eq Sys::Hostname::FQDN::fqdn()) {
- 	my $request=new HTTP::Request('GET',"http://$dns$url");
+             my $command = (split('/',$url))[3];
- 	my $response=$ua->request($request);
+             my ($dir,$file) = &parse_getdns_url($command,$url);
- 	next if ($response->is_error());
+             delete($alldns{$dns});
- 	my @content = split("\n",$response->content);
+             next if (($dir eq '') || ($file eq ''));
- 	&Apache::lonnet::do_cache_new('dns',$url,\@content,30*24*60*60);
+             if (open(my $config,'<',"$dir/$file")) {
- 	&$func(\@content);
+                 @content = <$config>;
- 	return;
+                 close($config);
+             }
+             if ($url eq '/adm/dns/loncapaCRL') {
+                 $contents = join('',@content);
+             }
+         } else {
+ 	    my $request=new HTTP::Request('GET',"$alldns{$dns}://$dns$url");
+             my $response = &LONCAPA::LWPReq::makerequest('',$request,'',\%perlvar,30,0);
+             delete($alldns{$dns});
+ 	    next if ($response->is_error());
+             if ($url eq '/adm/dns/loncapaCRL') {
+                 $contents = $response->content;
+             } else {
+                 @content = split("\n",$response->content);
+             }
+         }
+         if ($url eq '/adm/dns/loncapaCRL') {
+             return &$func($contents);
+         } else {
+ 	    unless ($nocache) {
+ 	        &do_cache_new('dns',$url,\@content,30*24*60*60);
+ 	    }
+ 	    &$func(\@content,$hashref);
+             return;
+         }
+     }
+     my $which = (split('/',$url,4))[3];
+     if ($which eq 'loncapaCRL') {
+         my $diskfile = "$perlvar{'lonCertificateDirectory'}/$perlvar{'lonnetCertRevocationList'}";
+         if (-e $diskfile) {
+             &logthis("unable to contact DNS, on disk file $diskfile not updated");
+         } else {
+             &logthis("unable to contact DNS, no on disk file $diskfile available");
+         }
+     } else {
+         &logthis("unable to contact DNS defaulting to on disk file dns_$which.tab\n");
+         if (open(my $config,"<","$perlvar{'lonTabDir'}/dns_$which.tab")) {
+             my @content = <$config>;
+             close($config);
+             &$func(\@content,$hashref);
+         }
+     }
+     return;
+ }
+ # ------------------------------------------------------Get DNS checksums file
+ sub parse_dns_checksums_tab {
+     my ($lines,$hashref) = @_;
+     my $lonhost = $perlvar{'lonHostID'};
+     my $machine_dom = &host_domain($lonhost);
+     my $loncaparev = &get_server_loncaparev($machine_dom);
+     my $distro = (split(/\:/,&get_server_distarch($lonhost)))[0];
+     my $webconfdir = '/etc/httpd/conf';
+     if ($distro =~ /^(ubuntu|debian)(\d+)$/) {
+         $webconfdir = '/etc/apache2';
+     } elsif ($distro =~ /^sles(\d+)$/) {
+         if ($1 >= 10) {
+             $webconfdir = '/etc/apache2';
+         }
+     } elsif ($distro =~ /^suse(\d+\.\d+)$/) {
+         if ($1 >= 10.0) {
+             $webconfdir = '/etc/apache2';
+         }
+     }
+     my ($release,$timestamp) = split(/\-/,$loncaparev);
+     my (%chksum,%revnum);
+     if (ref($lines) eq 'ARRAY') {
+         chomp(@{$lines});
+         my $version = shift(@{$lines});
+         if ($version eq $release) {
+             foreach my $line (@{$lines}) {
+                 my ($file,$version,$shasum) = split(/,/,$line);
+                 if ($file =~ m{^/etc/httpd/conf}) {
+                     if ($webconfdir eq '/etc/apache2') {
+                         $file =~ s{^\Q/etc/httpd/conf/\E}{$webconfdir/};
+                     }
+                 }
+                 $chksum{$file} = $shasum;
+                 $revnum{$file} = $version;
+             }
+             if (ref($hashref) eq 'HASH') {
+                 %{$hashref} = (
+                                 sums     => \%chksum,
+                                 versions => \%revnum,
+                               );
+             }
+         }
      }
-     close($config);
-     my $which = (split('/',$url))[3];
-     &logthis("unable to contact DNS defaulting to on disk file dns_$which.tab\n");
-     open($config,"<$perlvar{'lonTabDir'}/dns_$which.tab");
-     my @content = <$config>;
-     &$func(\@content);
      return;
  }
+ sub fetch_dns_checksums {
+     my %checksums;
+     my $machine_dom = &host_domain($perlvar{'lonHostID'});
+     my $loncaparev = &get_server_loncaparev($machine_dom,$perlvar{'lonHostID'});
+     my ($release,$timestamp) = split(/\-/,$loncaparev);
+     &get_dns("/adm/dns/checksums/$release",\&parse_dns_checksums_tab,1,1,
+              \%checksums);
+     return \%checksums;
+ }
+ sub fetch_crl_pemfile {
+     return &get_dns("/adm/dns/loncapaCRL",\&save_crl_pem,1,1);
+ }
+ sub save_crl_pem {
+     my ($content) = @_;
+     my ($msg,$hadchanges);
+     if ($content ne '') {
+         my $now = time;
+         my $lonca = $perlvar{'lonCertificateDirectory'}.'/'.$perlvar{'lonnetCertificateAuthority'};
+         my $tmpcrl = $tmpdir.'/'.$perlvar{'lonnetCertRevocationList'}.'_'.$now.'.'.$$.'.tmp';
+         if (open(my $fh,'>',"$tmpcrl")) {
+             print $fh $content;
+             close($fh);
+             if (-e $lonca) {
+                 if (open(PIPE,"openssl crl -in $tmpcrl -inform pem -CAfile $lonca -noout 2>&1 |")) {
+                     my $check = <PIPE>;
+                     close(PIPE);
+                     chomp($check);
+                     if ($check eq 'verify OK') {
+                         my $dest = "$perlvar{'lonCertificateDirectory'}/$perlvar{'lonnetCertRevocationList'}";
+                         my $backup;
+                         if (-e $dest) {
+                             if (&File::Copy::move($dest,"$dest.bak")) {
+                                 $backup = 'ok';
+                             }
+                         }
+                         if (&File::Copy::move($tmpcrl,$dest)) {
+                             $msg = 'ok';
+                             if ($backup) {
+                                 my (%oldnums,%newnums);
+                                 if (open(PIPE, "openssl crl -inform PEM -text -noout -in $dest.bak |grep 'Serial Number' |")) {
+                                     while (<PIPE>) {
+                                         $oldnums{(split(/:/))[1]} = 1;
+                                     }
+                                     close(PIPE);
+                                 }
+                                 if (open(PIPE, "openssl crl -inform PEM -text -noout -in $dest |grep 'Serial Number' |")) {
+                                     while(<PIPE>) {
+                                         $newnums{(split(/:/))[1]} = 1;
+                                     }
+                                     close(PIPE);
+                                 }
+                                 foreach my $key (sort {$b <=> $a } (keys(%newnums))) {
+                                     unless (exists($oldnums{$key})) {
+                                         $hadchanges = 1;
+                                         last;
+                                     }
+                                 }
+                                 unless ($hadchanges) {
+                                     foreach my $key (sort {$b <=> $a } (keys(%oldnums))) {
+                                         unless (exists($newnums{$key})) {
+                                             $hadchanges = 1;
+                                             last;
+                                         }
+                                     }
+                                 }
+                             }
+                         }
+                     } else {
+                         unlink($tmpcrl);
+                     }
+                 } else {
+                     unlink($tmpcrl);
+                 }
+             } else {
+                 unlink($tmpcrl);
+             }
+         }
+     }
+     return ($msg,$hadchanges);
+ }
+ sub parse_getdns_url {
+     my ($command,$url) = @_;
+     my $dir = $perlvar{'lonTabDir'};
+     my $file;
+     if ($command eq 'hosts') {
+         $file = 'dns_hosts.tab';
+     } elsif ($command eq 'domain') {
+         $file = 'dns_domain.tab';
+     } elsif ($command eq 'checksums') {
+         my $version = (split('/',$url))[4];
+         $file = "dns_checksums/$version.tab",
+     } elsif ($command eq 'loncapaCRL') {
+         $dir = $perlvar{'lonCertificateDirectory'};
+         $file = $perlvar{'lonnetCertRevocationList'};
+     }
+     return ($dir,$file);
+ }
  # ------------------------------------------------------------ Read domain file
  {
      my $loaded;
- Line 7833  sub get_dns {
+ Line 15967  sub get_dns {
      }
      sub load_domain_tab {
- 	my ($ignore_cache) = @_;
+ 	my ($ignore_cache,$nocache) = @_;
- 	&get_dns('/adm/dns/domain',\&parse_domain_tab,$ignore_cache);
+ 	&get_dns('/adm/dns/domain',\&parse_domain_tab,$ignore_cache,$nocache);
  	my $fh;
- 	if (open($fh,"<".$perlvar{'lonTabDir'}.'/domain.tab')) {
+ 	if (open($fh,"<",$perlvar{'lonTabDir'}.'/domain.tab')) {
  	    my @lines = <$fh>;
  	    &parse_domain_tab(\@lines);
  	}
- Line 7855  sub get_dns {
+ Line 15989  sub get_dns {
  	}
  	return $domain{$name}{$what};
      }
+     sub domain_info {
+         &load_domain_tab() if (!$loaded);
+         return %domain;
+     }
  }
- Line 7865  sub get_dns {
+ Line 16005  sub get_dns {
      my %libserv;
      my $loaded;
      my %name_to_host;
+     my %internetdom;
+     my %LC_dns_serv;
      sub parse_hosts_tab {
  	my ($file) = @_;
  	foreach my $configline (@$file) {
  	    next if ($configline =~ /^(\#|\s*$ )/x);
- 	    next if ($configline =~ /^\^/);
+             chomp($configline);
- 	    chomp($configline);
+ 	    if ($configline =~ /^\^/) {
- 	    my ($id,$domain,$role,$name)=split(/:/,$configline);
+                 if ($configline =~ /^\^([\w.\-]+)/) {
+                     $LC_dns_serv{$1} = 1;
+                 }
+                 next;
+             }
+ 	    my ($id,$domain,$role,$name,$protocol,$intdom)=split(/:/,$configline);
  	    $name=~s/\s//g;
  	    if ($id && $domain && $role && $name) {
+                 if ((exists($hostname{$id})) && ($hostname{$id} ne '')) {
+                     my $curr = $hostname{$id};
+                     my $skip;
+                     if (ref($name_to_host{$curr}) eq 'ARRAY') {
+                         if (($curr eq $name) && (@{$name_to_host{$curr}} == 1)) {
+                             $skip = 1;
+                         } else {
+                             @{$name_to_host{$curr}} = grep { $_ ne $id } @{$name_to_host{$curr}};
+                         }
+                     }
+                     unless ($skip) {
+                         push(@{$name_to_host{$name}},$id);
+                     }
+                 } else {
+                     push(@{$name_to_host{$name}},$id);
+                 }
  		$hostname{$id}=$name;
- 		push(@{$name_to_host{$name}}, $id);
  		$hostdom{$id}=$domain;
  		if ($role eq 'library') { $libserv{$id}=$name; }
+                 if (defined($protocol)) {
+                     if ($protocol eq 'https') {
+                         $protocol{$id} = $protocol;
+                     } else {
+                         $protocol{$id} = 'http';
+                     }
+                 } else {
+                     $protocol{$id} = 'http';
+                 }
+                 if (defined($intdom)) {
+                     $internetdom{$id} = $intdom;
+                 }
  	    }
  	}
      }
- Line 7887  sub get_dns {
+ Line 16061  sub get_dns {
  	&purge_remembered();
  	&reset_domain_info();
  	&reset_hosts_ip_info();
+         undef(%internetdom);
  	undef(%name_to_host);
  	undef(%hostname);
  	undef(%hostdom);
- Line 7895  sub get_dns {
+ Line 16070  sub get_dns {
      }
      sub load_hosts_tab {
- 	my ($ignore_cache) = @_;
+ 	my ($ignore_cache,$nocache) = @_;
- 	&get_dns('/adm/dns/hosts',\&parse_hosts_tab,$ignore_cache);
+ 	&get_dns('/adm/dns/hosts',\&parse_hosts_tab,$ignore_cache,$nocache);
- 	open(my $config,"<$perlvar{'lonTabDir'}/hosts.tab");
+ 	open(my $config,"<","$perlvar{'lonTabDir'}/hosts.tab");
  	my @config = <$config>;
  	&parse_hosts_tab(\@config);
  	close($config);
- Line 7918  sub get_dns {
+ Line 16093  sub get_dns {
      }
      sub all_names {
- 	&load_hosts_tab() if (!$loaded);
+         my ($ignore_cache,$nocache) = @_;
+ 	&load_hosts_tab($ignore_cache,$nocache) if (!$loaded);
  	return %name_to_host;
      }
+     sub all_host_domain {
+         &load_hosts_tab() if (!$loaded);
+         return %hostdom;
+     }
+     sub all_host_intdom {
+         &load_hosts_tab() if (!$loaded);
+         return %internetdom;
+     }
      sub is_library {
  	&load_hosts_tab() if (!$loaded);
- Line 7935  sub get_dns {
+ Line 16121  sub get_dns {
  	return %libserv;
      }
+     sub unique_library {
+ 	#2x reverse removes all hostnames that appear more than once
+         my %unique = reverse &all_library();
+         return reverse %unique;
+     }
      sub get_servers {
  	&load_hosts_tab() if (!$loaded);
- Line 7958  sub get_dns {
+ Line 16150  sub get_dns {
  	return %result;
      }
+     sub get_unique_servers {
+         my %unique = reverse &get_servers(@_);
+ 	return reverse %unique;
+     }
      sub host_domain {
  	&load_hosts_tab() if (!$loaded);
- Line 7972  sub get_dns {
+ Line 16169  sub get_dns {
  	my @uniq = grep(!$seen{$_}++, values(%hostdom));
  	return @uniq;
      }
+     sub internet_dom {
+         &load_hosts_tab() if (!$loaded);
+         my ($lonid) = @_;
+         return $internetdom{$lonid};
+     }
+     sub is_LC_dns {
+         &load_hosts_tab() if (!$loaded);
+         my ($hostname) = @_;
+         return exists($LC_dns_serv{$hostname});
+     }
  }
  {
- Line 8009  sub get_dns {
+ Line 16221  sub get_dns {
      }
      sub get_iphost {
- 	my ($ignore_cache) = @_;
+ 	my ($ignore_cache,$nocache) = @_;
  	if (!$ignore_cache) {
  	    if (%iphost) {
  		return %iphost;
  	    }
  	    my ($ip_info,$cached)=
- 		&Apache::lonnet::is_cached_new('iphost','iphost');
+ 		&is_cached_new('iphost','iphost');
  	    if ($cached) {
  		%iphost      = %{$ip_info->[0]};
  		%name_to_ip  = %{$ip_info->[1]};
- Line 8028  sub get_dns {
+ Line 16240  sub get_dns {
  	# get yesterday's info for fallback
  	my %old_name_to_ip;
  	my ($ip_info,$cached)=
- 	    &Apache::lonnet::is_cached_new('iphost','iphost');
+ 	    &is_cached_new('iphost','iphost');
  	if ($cached) {
  	    %old_name_to_ip = %{$ip_info->[1]};
  	}
- 	my %name_to_host = &all_names();
+ 	my %name_to_host = &all_names($ignore_cache,$nocache);
  	foreach my $name (keys(%name_to_host)) {
  	    my $ip;
  	    if (!exists($name_to_ip{$name})) {
- Line 8058  sub get_dns {
+ Line 16270  sub get_dns {
  	    }
  	    push(@{$iphost{$ip}},@{$name_to_host{$name}});
  	}
- 	&Apache::lonnet::do_cache_new('iphost','iphost',
+         unless ($nocache) {
- 				      [\%iphost,\%name_to_ip,\%lonid_to_ip],
+ 	    &do_cache_new('iphost','iphost',
-*60*60);
+ 		          [\%iphost,\%name_to_ip,\%lonid_to_ip],
+*60*60);
+         }
  	return %iphost;
      }
+     #
+     #  Given a DNS returns the loncapa host name for that DNS
+     #
+     sub host_from_dns {
+         my ($dns) = @_;
+         my @hosts;
+         my $ip;
+         if (exists($name_to_ip{$dns})) {
+             $ip = $name_to_ip{$dns};
+         }
+         if (!$ip) {
+             $ip = gethostbyname($dns); # Initial translation to IP is in net order.
+             if (length($ip) == 4) {
+ 	        $ip   = &IO::Socket::inet_ntoa($ip);
+             }
+         }
+         if ($ip) {
+ 	    @hosts = get_hosts_from_ip($ip);
+ 	    return $hosts[0];
+         }
+         return undef;
+     }
+     sub get_internet_names {
+         my ($lonid) = @_;
+         return if ($lonid eq '');
+         my ($idnref,$cached)=
+             &is_cached_new('internetnames',$lonid);
+         if ($cached) {
+             return $idnref;
+         }
+         my $ip = &get_host_ip($lonid);
+         my @hosts = &get_hosts_from_ip($ip);
+         my %iphost = &get_iphost();
+         my (@idns,%seen);
+         foreach my $id (@hosts) {
+             my $dom = &host_domain($id);
+             my $prim_id = &domain($dom,'primary');
+             my $prim_ip = &get_host_ip($prim_id);
+             next if ($seen{$prim_ip});
+             if (ref($iphost{$prim_ip}) eq 'ARRAY') {
+                 foreach my $id (@{$iphost{$prim_ip}}) {
+                     my $intdom = &internet_dom($id);
+                     unless (grep(/^\Q$intdom\E$/,@idns)) {
+                         push(@idns,$intdom);
+                     }
+                 }
+             }
+             $seen{$prim_ip} = 1;
+         }
+         return &do_cache_new('internetnames',$lonid,\@idns,12*60*60);
+     }
+ }
+ sub all_loncaparevs {
+     return qw(1.1 1.2 1.3 2.0 2.1 2.2 2.3 2.4 2.5 2.6 2.7 2.8 2.9 2.10 2.11);
  }
+ # ---------------------------------------------------------- Read loncaparev table
+ {
+     sub load_loncaparevs {
+         if (-e "$perlvar{'lonTabDir'}/loncaparevs.tab") {
+             if (open(my $config,"<","$perlvar{'lonTabDir'}/loncaparevs.tab")) {
+                 while (my $configline=<$config>) {
+                     chomp($configline);
+                     my ($hostid,$loncaparev)=split(/:/,$configline);
+                     $loncaparevs{$hostid}=$loncaparev;
+                 }
+                 close($config);
+             }
+         }
+     }
+ }
+ # ---------------------------------------------------------- Read serverhostID table
+ {
+     sub load_serverhomeIDs {
+         if (-e "$perlvar{'lonTabDir'}/serverhomeIDs.tab") {
+             if (open(my $config,"<","$perlvar{'lonTabDir'}/serverhomeIDs.tab")) {
+                 while (my $configline=<$config>) {
+                     chomp($configline);
+                     my ($name,$id)=split(/:/,$configline);
+                     $serverhomeIDs{$name}=$id;
+                 }
+                 close($config);
+             }
+         }
+     }
+ }
  BEGIN {
  # ----------------------------------- Read loncapa.conf and loncapa_apache.conf
- Line 8078  BEGIN {
+ Line 16384  BEGIN {
  # ------------------------------------------------------ Read spare server file
  {
-     open(my $config,"<$perlvar{'lonTabDir'}/spare.tab");
+     open(my $config,"<","$perlvar{'lonTabDir'}/spare.tab");
      while (my $configline=<$config>) {
         chomp($configline);
- Line 8092  BEGIN {
+ Line 16398  BEGIN {
  }
  # ------------------------------------------------------------ Read permissions
  {
-     open(my $config,"<$perlvar{'lonTabDir'}/roles.tab");
+     open(my $config,"<","$perlvar{'lonTabDir'}/roles.tab");
      while (my $configline=<$config>) {
  	chomp($configline);
- Line 8106  BEGIN {
+ Line 16412  BEGIN {
  # -------------------------------------------- Read plain texts for permissions
  {
-     open(my $config,"<$perlvar{'lonTabDir'}/rolesplain.tab");
+     open(my $config,"<","$perlvar{'lonTabDir'}/rolesplain.tab");
      while (my $configline=<$config>) {
  	chomp($configline);
- Line 8126  BEGIN {
+ Line 16432  BEGIN {
  # ---------------------------------------------------------- Read package table
  {
-     open(my $config,"<$perlvar{'lonTabDir'}/packages.tab");
+     open(my $config,"<","$perlvar{'lonTabDir'}/packages.tab");
      while (my $configline=<$config>) {
  	if ($configline !~ /\S/ || $configline=~/^#/) { next; }
- Line 8141  BEGIN {
+ Line 16447  BEGIN {
      close($config);
  }
+ # ---------------------------------------------------------- Read loncaparev table
+ &load_loncaparevs();
+ # ---------------------------------------------------------- Read serverhostID table
+ &load_serverhomeIDs();
+ # ---------------------------------------------------------- Read releaseslist XML
+ {
+     my $file = $Apache::lonnet::perlvar{'lonTabDir'}.'/releaseslist.xml';
+     if (-e $file) {
+         my $parser = HTML::LCParser->new($file);
+         while (my $token = $parser->get_token()) {
+             if ($token->[0] eq 'S') {
+                 my $item = $token->[1];
+                 my $name = $token->[2]{'name'};
+                 my $value = $token->[2]{'value'};
+                 my $valuematch = $token->[2]{'valuematch'};
+                 my $namematch = $token->[2]{'namematch'};
+                 if ($item eq 'parameter') {
+                     if (($namematch ne '') || (($name ne '') && ($value ne '' || $valuematch ne ''))) {
+                         my $release = $parser->get_text();
+                         $release =~ s/(^\s*|\s*$ )//gx;
+                         $needsrelease{$item.':'.$name.':'.$value.':'.$valuematch.':'.$namematch} = $release;
+                     }
+                 } elsif ($item ne '' && $name ne '') {
+                     my $release = $parser->get_text();
+                     $release =~ s/(^\s*|\s*$ )//gx;
+                     $needsrelease{$item.':'.$name.':'.$value} = $release;
+                 }
+             }
+         }
+     }
+ }
+ # ---------------------------------------------------------- Read managers table
+ {
+     if (-e "$perlvar{'lonTabDir'}/managers.tab") {
+         if (open(my $config,"<","$perlvar{'lonTabDir'}/managers.tab")) {
+             while (my $configline=<$config>) {
+                 chomp($configline);
+                 next if ($configline =~ /^\#/);
+                 if (($configline =~ /^[\w\-]+$/) || ($configline =~ /^[\w\-]+\:[\w\-]+$/)) {
+                     $managerstab{$configline} = 1;
+                 }
+             }
+             close($config);
+         }
+     }
+ }
  # ------------- set up temporary directory
  {
-     $tmpdir = $perlvar{'lonDaemons'}.'/tmp/';
+     $tmpdir = LONCAPA::tempdir();
  }
+ # ------------- set default texengine (domain default overrides this)
+ {
+     $deftex = LONCAPA::texengine();
+ }
+ # ------------- set default minimum length for passwords for internal auth users
+ {
+     $passwdmin = LONCAPA::passwd_min();
+ }
  $memcache=new Cache::Memcached({'servers'           => ['127.0.0.1:11211'],
  				'compress_threshold'=> 20_000,
   			        });
  $processmarker='_'.time.'_'.$perlvar{'lonHostID'};
  $dumpcount=0;
+ $locknum=0;
  &logtouch();
  &logthis('<font color="yellow">INFO: Read configuration</font>');
- Line 8303  were new keys. I.E. 1:foo will become 1:
+ Line 16672  were new keys. I.E. 1:foo will become 1:
  Calling convention:
-  my %record=&Apache::lonnet::restore($symb,$courseid,$domain,$uname,$home);
+  my %record=&Apache::lonnet::restore($symb,$courseid,$domain,$uname);
-  &Apache::lonnet::cstore(\%newrecord,$symb,$courseid,$domain,$uname,$home);
+  &Apache::lonnet::cstore(\%newrecord,$symb,$courseid,$domain,$uname,$laststore);
  For more detailed information, see lonnet specific documentation.
- Line 8320  when the connection is brought back up
+ Line 16689  when the connection is brought back up
  =item * B<con_failed>: unable to contact remote host and unable to save message
  for later delivery
- =item * B<error:>: an error a occured, a description of the error follows the :
+ =item * B<error:>: an error a occurred, a description of the error follows the :
  =item * B<no_such_host>: unable to fund a host associated with the user/domain
  that was requested
- Line 8335  that was requested
+ Line 16704  that was requested
  =item *
  X<appenv()>
- B<appenv(%hash)>: the value of %hash is written to
+ B<appenv($hashref,$rolesarrayref)>: the value of %{$hashref} is written to
  the user envirnoment file, and will be restored for each access this
  user makes during this session, also modifies the %env for the current
- process
+ process. Optional rolesarrayref - if defined contains a reference to an array
+ of roles which are exempt from the restriction on modifying user.role entries
+ in the user's environment.db and in %env.
  =item *
  X<delenv()>
- B<delenv($regexp)>: removes all items from the session
+ B<delenv($delthis,$regexp)>: removes all items from the session
- environment file that matches the regular expression in $regexp. The
+ environment file that begin with $delthis. If the
- values are also delted from the current processes %env.
+ optional second arg - $regexp - is true, $delthis is treated as a
+ regular expression, otherwise \Q$delthis\E is used.
+ The values are also deleted from the current processes %env.
  =item * get_env_multiple($name)
- Line 8366  authentication scheme
+ Line 16739  authentication scheme
  =item *
  X<authenticate()>
- B<authenticate($uname,$upass,$udom)>: try to
+ B<authenticate($uname,$upass,$udom,$checkdefauth,$clientcancheckhost)>: try to
  authenticate user from domain's lib servers (first use the current
  one). C<$upass> should be the users password.
+ $checkdefauth is optional (value is 1 if a check should be made to
+    authenticate user using default authentication method, and allow
+    account creation if username does not have account in the domain).
+ $clientcancheckhost is optional (value is 1 if checking whether the
+    server can host will occur on the client side in lonauth.pm).
  =item *
  X<homeserver()>
- Line 8378  the answer, and also caches if there is
+ Line 16756  the answer, and also caches if there is
  =item *
  X<idget()>
- B<idget($udom,@ids)>: find the usernames behind a list of IDs
+ B<idget($udom,$idsref,$namespace)>: find the usernames behind either
- (IDs are a unique resource in a domain, there must be only 1 ID per
+ a list of student/employee IDs or clicker IDs
- username, and only 1 username per ID in a specific domain) (returns
+ (student/employee IDs are a unique resource in a domain, there must be
- hash: id=>name,id=>name)
+ only 1 ID per username, and only 1 username per ID in a specific domain).
+ clickerIDs are not necessarily unique, as students might share clickers.
+ (returns hash: id=>name,id=>name)
  =item *
  X<idrget()>
- Line 8390  usernames (returns hash: name=>id,name=>
+ Line 16770  usernames (returns hash: name=>id,name=>
  =item *
  X<idput()>
- B<idput($udom,%ids)>: store away a list of names and associated IDs
+ B<idput($udom,$idsref,$uhome,$namespace)>: store away a list of
+ names and associated student/employee IDs or clicker IDs.
+ =item *
+ X<iddel()>
+ B<iddel($udom,$idshashref,$uhome,$namespace)>: delete unwanted
+ student/employee ID or clicker ID username look-ups from domain.
+ The homeserver ($uhome) and namespace ($namespace) are optional.
+ If no $uhome is provided, it will be determined usig &homeserver()
+ for each user.  If no $namespace is provided, the default is ids.
+ =item *
+ X<updateclickers()>
+ B<updateclickers($udom,$action,$idshashref,$uhome,$critical)>: update
+ clicker ID-to-username look-ups in clickers.db on library server.
+ Permitted actions are add or del (i.e., add or delete). The
+ clickers.db contains clickerID as keys (escaped), and each corresponding
+ value is an escaped comma-separated list of usernames (for whom the
+ library server is the homeserver), who registered that particular ID.
+ If $critical is true, the update will be sent via &critical, otherwise
+ &reply() will be used.
  =item *
  X<rolesinit()>
- B<rolesinit($udom,$username,$authhost)>: get user privileges
+ B<rolesinit($udom,$username)>: get user privileges.
+ returns user role, first access and timer interval hashes
+ =item *
+ X<privileged()>
+ B<privileged($username,$domain)>: returns a true if user has a
+ privileged and active role (i.e. su or dc), false otherwise.
  =item *
  X<getsection()>
- Line 8425  escaped strings of the action recorded i
+ Line 16831  escaped strings of the action recorded i
  =item *
- allowed($priv,$uri,$symb,$role) : check for a user privilege; returns codes for allowed actions
+ allowed($priv,$uri,$symb,$role,$clientip,$noblockcheck) : check for a user privilege;
+ returns codes for allowed actions.
+ The first argument is required, all others are optional.
+ $priv is the privilege being checked.
+ $uri contains additional information about what is being checked for access (e.g.,
+ URL, course ID etc.).
+ $symb is the unique resource instance identifier in a course; if needed,
+ but not provided, it will be retrieved via a call to &symbread().
+ $role is the role for which a priv is being checked (only used if priv is evb).
+ $clientip is the user's IP address (only used when checking for access to portfolio
+ files).
+ $noblockcheck, if true, skips calls to &has_comm_blocking() for the bre priv. This
+ prevents recursive calls to &allowed.
   F: full access
   U,I,K: authentication modes (cxx only)
   '': forbidden
 : user needs to choose course
 : browse allowed
   A: passphrase authentication needed
+  B: access temporarily blocked because of a blocking event in a course.
+  D: access blocked because access is required via session initiated via deep-link
  =item *
- definerole($rolename,$sysrole,$domrole,$courole) : define role; define a custom
+ constructaccess($url,$setpriv) : check for access to construction space URL
- role rolename set privileges in format of lonTabs/roles.tab for system, domain,
- and course level
+ See if the owner domain and name in the URL match those in the
+ expected environment.  If so, return three element list
+ ($ownername,$ownerdomain,$ownerhome).
+ Otherwise return the null string.
+ If second argument 'setpriv' is true, it assigns the privileges,
+ and returns the same three element list, unless the owner has
+ blocked "ad hoc" Domain Coordinator access to the Author Space,
+ in which case the null string is returned.
  =item *
- plaintext($short) : return value in %prp hash (rolesplain.tab); plain text
+ definerole($rolename,$sysrole,$domrole,$courole,$uname,$udom) : define role;
- explanation of a user role term
+ define a custom role rolename set privileges in format of lonTabs/roles.tab
+ for system, domain, and course level. $uname and $udom are optional (current
+ user's username and domain will be used when either of $uname or $udom are absent.
  =item *
- get_my_roles($uname,$udom,$context,$types,$roles,$roledoms) :
+ plaintext($short,$type,$cid,$forcedefault) : return value in %prp hash
+ (rolesplain.tab); plain text explanation of a user role term.
+ $type is Course (default) or Community.
+ If $forcedefault evaluates to true, text returned will be default
+ text for $type. Otherwise, if this is a course, the text returned
+ will be a custom name for the role (if defined in the course's
+ environment).  If no custom name is defined the default is returned.
+ =item *
+ get_my_roles($uname,$udom,$context,$types,$roles,$roledoms,$withsec,$hidepriv) :
  All arguments are optional. Returns a hash of a roles, either for
  co-author/assistant author roles for a user's Construction Space
- (default), or if $context is 'user', roles for the user himself,
+ (default), or if $context is 'userroles', roles for the user himself,
- In the hash, keys are set to colon-sparated $uname,$udom,and $role,
+ In the hash, keys are set to colon-separated $uname,$udom,$role, and
- and value is set to colon-separated start and end times for the role.
+ (optionally) if $withsec is true, a fourth colon-separated item - $section.
- If no username and domain are specified, will default to current
+ For each key, value is set to colon-separated start and end times for
- user/domain. Types, roles, and roledoms are references to arrays,
+ the role.  If no username and domain are specified, will default to
+ current user/domain. Types, roles, and roledoms are references to arrays
  of role statuses (active, future or previous), roles
  (e.g., cc,in, st etc.) and domains of the roles which can be used
  to restrict the list of roles reported. If no array ref is
  provided for types, will default to return only active roles.
+ =item *
+ in_course($udom,$uname,$cdom,$cnum,$type,$hideprivileged) : determine if
+ user: $uname:$udom has a role in the course: $cdom_$cnum.
+ Additional optional arguments are: $type (if role checking is to be restricted
+ to certain user status types -- previous (expired roles), active (currently
+ available roles) or future (roles available in the future), and
+ $hideprivileged -- if true will not report course roles for users who
+ have active Domain Coordinator role in course's domain or in additional
+ domains (specified in 'Domains to check for privileged users' in course
+ environment -- set via:  Course Settings -> Classlists and staff listing).
+ =item *
+ privileged($username,$domain,$possdomains,$possroles) : returns 1 if user
+ $username:$domain is a privileged user (e.g., Domain Coordinator or Super User)
+ $possdomains and $possroles are optional array refs -- to domains to check and
+ roles to check.  If $possdomains is not specified, a dump will be done of the
+ users' roles.db to check for a dc or su role in any domain. This can be
+ time consuming if &privileged is called repeatedly (e.g., when displaying a
+ classlist), so in such cases, supplying a $possdomains array is preferred, as
+ this then allows &privileged_by_domain() to be used, which caches the identity
+ of privileged users, eliminating the need for repeated calls to &dump().
+ =item *
+ privileged_by_domain($possdomains,$roles) : returns a hash of a hash of a hash,
+ where the outer hash keys are domains specified in the $possdomains array ref,
+ next inner hash keys are privileged roles specified in the $roles array ref,
+ and the innermost hash contains key = value pairs for username:domain = end:start
+ for active or future "privileged" users with that role in that domain. To avoid
+ repeated dumps of domain roles -- via &get_domain_roles() -- contents of the
+ innerhash are cached using priv_$role and $dom as the identifiers.
  =back
  =head2 User Modification
- Line 8467  provided for types, will default to retu
+ Line 16947  provided for types, will default to retu
  =item *
- assignrole($udom,$uname,$url,$role,$end,$start) : assign role; give a role to a
+ assignrole($udom,$uname,$url,$role,$end,$start,$deleteflag,$selfenroll,$context) : assign role; give a role to a
  user for the level given by URL.  Optional start and end dates (leave empty
  string or zero for "no date")
- Line 8484  modifyuserauth($udom,$uname,$umode,$upas
+ Line 16964  modifyuserauth($udom,$uname,$umode,$upas
  =item *
- modifyuser($udom,$uname,$uid,$umode,$upass,$first,$middle,$last,$gene) :
+ modifyuser($udom,$uname,$uid,$umode,$upass,$first,$middle,$last, $gene,
- modify user
+            $forceid,$desiredhome,$email,$inststatus,$candelete) :
+ will update user information (firstname,middlename,lastname,generation,
+ permanentemail), and if forceid is true, student/employee ID also.
+ A user's institutional affiliation(s) can also be updated.
+ User information fields will not be overwritten with empty entries
+ unless the field is included in the $candelete array reference.
+ This array is included when a single user is modified via "Manage Users",
+ or when Autoupdate.pl is run by cron in a domain.
  =item *
  modifystudent
- modify a students enrollment and identification information.
+ modify a student's enrollment and identification information.
- The course id is resolved based on the current users environment.
+ The course id is resolved based on the current user's environment.
- This means the envoking user must be a course coordinator or otherwise
+ This means the invoking user must be a course coordinator or otherwise
  associated with a course.
  This call is essentially a wrapper for lonnet::modifyuser and
- Line 8503  Inputs:
+ Line 16991  Inputs:
  =over 4
- =item B<$udom> Students loncapa domain
+ =item B<$udom> Student's loncapa domain
- =item B<$uname> Students loncapa login name
+ =item B<$uname> Student's loncapa login name
- =item B<$uid> Students id/student number
+ =item B<$uid> Student/Employee ID
- =item B<$umode> Students authentication mode
+ =item B<$umode> Student's authentication mode
- =item B<$upass> Students password
+ =item B<$upass> Student's password
- =item B<$first> Students first name
+ =item B<$first> Student's first name
- =item B<$middle> Students middle name
+ =item B<$middle> Student's middle name
- =item B<$last> Students last name
+ =item B<$last> Student's last name
- =item B<$gene> Students generation
+ =item B<$gene> Student's generation
- =item B<$usec> Students section in course
+ =item B<$usec> Student's section in course
  =item B<$end> Unix time of the roles expiration
- Line 8531  Inputs:
+ Line 17019  Inputs:
  =item B<$desiredhome> server to use as home server for student
+ =item B<$email> Student's permanent e-mail address
+ =item B<$type> Type of enrollment (auto or manual)
+ =item B<$locktype> boolean - enrollment type locked to prevent Autoenroll.pl changing manual to auto
+ =item B<$cid> courseID - needed if a course role is assigned by a user whose current role is DC
+ =item B<$selfenroll> boolean - 1 if user role change occurred via self-enrollment
+ =item B<$context> role change context (shown in User Management Logs display in a course)
+ =item B<$inststatus> institutional status of user - : separated string of escaped status types
+ =item B<$credits> Number of credits student will earn from this class - only needs to be supplied if value needs to be different from default credits for class.
  =back
  =item *
  modify_student_enrollment
- Change a students enrollment status in a class.  The environment variable
+ Change a student's enrollment status in a class.  The environment variable
  'role.request.course' must be defined for this function to proceed.
  Inputs:
  =over 4
- =item $udom, students domain
+ =item $udom, student's domain
- =item $uname, students name
+ =item $uname, student's name
- =item $uid, students user id
+ =item $uid, student's user id
- =item $first, students first name
+ =item $first, student's first name
  =item $middle
- Line 8564  Inputs:
+ Line 17068  Inputs:
  =item $start
+ =item $type
+ =item $locktype
+ =item $cid
+ =item $selfenroll
+ =item $context
+ =item $credits, number of credits student will earn from this class
+ =item $instsec, institutional course section code for student
  =back
- Line 8589  revokecustomrole($udom,$uname,$url,$role
+ Line 17107  revokecustomrole($udom,$uname,$url,$role
  =item *
- coursedescription($courseid) : returns a hash of information about the
+ coursedescription($courseid,$options) : returns a hash of information about the
  specified course id, including all environment settings for the
  course, the description of the course will be in the hash under the
  key 'description'
+ $options is an optional parameter that if supplied is a hash reference that controls
+ what how this function works.  It has the following key/values:
+ =over 4
+ =item freshen_cache
+ If defined, and the environment cache for the course is valid, it is
+ returned in the returned hash.
+ =item one_time
+ If defined, the last cache time is set to _now_
+ =item user
+ If defined, the supplied username is used instead of the current user.
+ =back
  =item *
  resdata($name,$domain,$type,@which) : request for current parameter
  setting for a specific $type, where $type is either 'course' or 'user',
  @what should be a list of parameters to ask about. This routine caches
- answers for 5 minutes.
+ answers for 10 minutes.
  =item *
- Line 8608  data base, returning a hash that is keye
+ Line 17147  data base, returning a hash that is keye
  values that are the resource value.  I believe that the timestamps and
  versions are also returned.
  =back
  =head2 Course Modification
- Line 8622  database) for a course
+ Line 17160  database) for a course
  =item *
- createcourse($udom,$description,$url) : make/modify course
+ createcourse($udom,$description,$url,$course_server,$nonstandard,$inst_code,$course_owner,$crstype,$cnum) : make course
+ =item *
+ generate_coursenum($udom,$crstype) : get a unique (unused) course number in domain $udom for course type $crstype (Course or Community).
+ =item *
+ is_course($courseid), is_course($cdom, $cnum)
+ Accepts either a combined $courseid (in the form of domain_courseid) or the
+ two component version $cdom, $cnum. It checks if the specified course exists.
+ Returns:
+     undef if the course doesn't exist, otherwise
+     in scalar context the combined courseid.
+     in list context the two components of the course identifier, domain and
+     courseid.
+ =back
+ =head2 Bubblesheet Configuration
+ =over 4
+ =item *
+ get_scantron_config($which)
+ $which - the name of the configuration to parse from the file.
+ Parses and returns the bubblesheet configuration line selected as a
+ hash of configuration file fields.
+ Returns:
+     If the named configuration is not in the file, an empty
+     hash is returned.
+     a hash with the fields
+       name         - internal name for the this configuration setup
+       description  - text to display to operator that describes this config
+       CODElocation - if 0 or the string 'none'
+                           - no CODE exists for this config
+                      if -1 || the string 'letter'
+                           - a CODE exists for this config and is
+                             a string of letters
+                      Unsupported value (but planned for future support)
+                           if a positive integer
+                                - The CODE exists as the first n items from
+                                  the question section of the form
+                           if the string 'number'
+                                - The CODE exists for this config and is
+                                  a string of numbers
+       CODEstart   - (only matter if a CODE exists) column in the line where
+                      the CODE starts
+       CODElength  - length of the CODE
+       IDstart     - column where the student/employee ID starts
+       IDlength    - length of the student/employee ID info
+       Qstart      - column where the information from the bubbled
+                     'questions' start
+       Qlength     - number of columns comprising a single bubble line from
+                     the sheet. (usually either 1 or 10)
+       Qon         - either a single character representing the character used
+                     to signal a bubble was chosen in the positional setup, or
+                     the string 'letter' if the letter of the chosen bubble is
+                     in the final, or 'number' if a number representing the
+                     chosen bubble is in the file (1->A 0->J)
+       Qoff        - the character used to represent that a bubble was
+                     left blank
+       PaperID     - if the scanning process generates a unique number for each
+                     sheet scanned the column that this ID number starts in
+       PaperIDlength - number of columns that comprise the unique ID number
+                       for the sheet of paper
+       FirstName   - column that the first name starts in
+       FirstNameLength - number of columns that the first name spans
+       LastName    - column that the last name starts in
+       LastNameLength - number of columns that the last name spans
+       BubblesPerRow - number of bubbles available in each row used to
+                       bubble an answer. (If not specified, 10 assumed).
+ =item *
+ get_scantronformat_file($cdom)
+ $cdom - the course's domain (optional); if not supplied, uses
+ domain for current $env{'request.course.id'}.
+ Returns an array containing lines from the scantron format file for
+ the domain of the course.
+ If a url for a custom.tab file is listed in domain's configuration.db,
+ lines are from this file.
+ Otherwise, if a default.tab has been published in RES space by the
+ domainconfig user, lines are from this file.
+ Otherwise, fall back to getting lines from the legacy file on the
+ local server:  /home/httpd/lonTabs/default_scantronformat.tab
  =back
- Line 8651  resource. Expects the local filesystem p
+ Line 17288  resource. Expects the local filesystem p
  =item *
- EXT($varname,$symb,$udom,$uname) : evaluates and returns the value of
+ EXT($varname,$symb,$udom,$uname,$usection,$recurse,$cid) : evaluates
- a vairety of different possible values, $varname should be a request
+ and returns the value of a variety of different possible values,
- string, and the other parameters can be used to specify who and what
+ $varname should be a request string, and the other parameters can be
- one is asking about.
+ used to specify who and what one is asking about. Ordinarily, $cid
+ does not need to be specified, as it is retrived from
+ $env{'request.course.id'}, but &Apache::lonnet::EXT() is called
+ within lonuserstate::loadmap() when initializing a course, before
+ $env{'request.course.id'} has been set, so it needs to be provided
+ in that one case.
  Possible values for $varname are environment.lastname (or other item
  from the envirnment hash), user.name (or someother aspect about the
- Line 8672  condval($condidx) : value of condition i
+ Line 17314  condval($condidx) : value of condition i
  =item *
- metadata($uri,$what,$liburi,$prefix,$depthcount) : request a
+ metadata($uri,$what,$toolsymb,$liburi,$prefix,$depthcount) : request a
  resource's metadata, $what should be either a specific key, or either
  'keys' (to get a list of possible keys) or 'packages' to get a list of
- packages that this resource currently uses, the last 3 arguments are only used internally for recursive metadata.
+ packages that this resource currently uses, the last 3 arguments are
+ only used internally for recursive metadata.
+ the toolsymb is only used where the uri is for an external tool (for which
+ the uri as well as the symb are guaranteed to be unique).
- this function automatically caches all requests
+ this function automatically caches all requests except any made recursively
+ to retrieve a list of metadata keys for an imported library file ($liburi is
+ defined).
  =item *
- Line 8687  will be stored for query
+ Line 17335  will be stored for query
  =item *
- symbread($filename) : return symbolic list entry (filename argument optional);
+ symbread($filename,$donotrecurse,$ignorecachednull,$checkforblock,$possibles) :
+ return symbolic list entry (all arguments optional).
+ Args: filename is the filename (including path) for the file for which a symb
+ is required; donotrecurse, if true will prevent calls to allowed() being made
+ to check access status if more than one resource was found in the bighash
+ (see rev. 1.249) to avoid an infinite loop if an ambiguous resource is part of
+ a randompick); ignorecachednull, if true will prevent a symb of '' being
+ returned if $env{$cache_str} is defined as ''; checkforblock if true will
+ cause possible symbs to be checked to determine if they are subject to content
+ blocking, if so they will not be included as possible symbs; possibles is a
+ ref to a hash, which, as a side effect, will be populated with all possible
+ symbs (content blocking not tested).
  returns the data handle
  =item *
- symbverify($symb,$thisfn) : verifies that $symb actually exists and is
+ symbverify($symb,$thisfn,$encstate) : verifies that $symb actually exists
- a possible symb for the URL in $thisfn, and if is an encryypted
+ and is a possible symb for the URL in $thisfn, and if is an encrypted
  resource that the user accessed using /enc/ returns a 1 on success, 0
- on failure, user must be in a course, as it assumes the existance of
+ on failure, user must be in a course, as it assumes the existence of
- the course initial hash, and uses $env('request.course.id'}
+ the course initial hash, and uses $env('request.course.id'}.  The third
+ arg is an optional reference to a scalar.  If this arg is passed in the
+ call to symbverify, it will be set to 1 if the symb has been set to be
+ encrypted; otherwise it will be null.
  =item *
- Line 8750  expirespread($uname,$udom,$stype,$usymb)
+ Line 17413  expirespread($uname,$udom,$stype,$usymb)
  devalidate($symb) : devalidate temporary spreadsheet calculations,
  forcing spreadsheet to reevaluate the resource scores next time.
+ =item *
+ can_edit_resource($file,$cnum,$cdom,$resurl,$symb,$group) : determine if current user can edit a particular resource,
+ when viewing in course context.
+  input: six args -- filename (decluttered), course number, course domain,
+                     url, symb (if registered) and group (if this is a
+                     group item -- e.g., bulletin board, group page etc.).
+  output: array of five scalars --
+          $cfile -- url for file editing if editable on current server
+          $home -- homeserver of resource (i.e., for author if published,
+                                           or course if uploaded.).
+          $switchserver --  1 if server switch will be needed.
+          $forceedit -- 1 if icon/link should be to go to edit mode
+          $forceview -- 1 if icon/link should be to go to view mode
+ =item *
+ is_course_upload($file,$cnum,$cdom)
+ Used in course context to determine if current file was uploaded to
+ the course (i.e., would be found in /userfiles/docs on the course's
+ homeserver.
+   input: 3 args -- filename (decluttered), course number and course domain.
+   output: boolean -- 1 if file was uploaded.
  =back
  =head2 Storing/Retreiving Data
- Line 8758  forcing spreadsheet to reevaluate the re
+ Line 17449  forcing spreadsheet to reevaluate the re
  =item *
- store($storehash,$symb,$namespace,$udom,$uname) : stores hash permanently
+ store($storehash,$symb,$namespace,$udom,$uname,$laststore) : stores hash
- for this url; hashref needs to be given and should be a \%hashname; the
+ permanently for this url; hashref needs to be given and should be a \%hashname;
- remaining args aren't required and if they aren't passed or are '' they will
+ the remaining args aren't required and if they aren't passed or are '' they will
- be derived from the env
+ be derived from the env (with the exception of $laststore, which is an
+ optional arg used when a user's submission is stored in grading).
+ $laststore is $version=$timestamp, where $version is the most recent version
+ number retrieved for the corresponding $symb in the $namespace db file, and
+ $timestamp is the timestamp for that transaction (UNIX time).
+ $laststore is currently only passed when cstore() is called by
+ structuretags::finalize_storage().
  =item *
- cstore($storehash,$symb,$namespace,$udom,$uname) : same as store but
+ cstore($storehash,$symb,$namespace,$udom,$uname,$laststore) : same as store
- uses critical subroutine
+ but uses critical subroutine
  =item *
- Line 8789  $range should be either an integer '100'
+ Line 17486  $range should be either an integer '100'
  =item *
- putstore($namespace,$symb,$version,$storehash,$udomain,$uname) :
+ putstore($namespace,$symb,$version,$storehash,$udomain,$uname,$tolog) :
  replaces a &store() version of data with a replacement set of data
  for a particular resource in a namespace passed in the $storehash hash
- reference
+ reference. If $tolog is true, the transaction is logged in the courselog
+ with an action=PUTSTORE.
  =item *
- Line 8872  Returns:
+ Line 17570  Returns:
   'key_exists: <key>' -> failed to anything out of $storehash, as at
                          least <key> already existed in the db (other
                          requested keys may also already exist)
-  'error: <msg>' -> unable to tie the DB or other erorr occured
+  'error: <msg>' -> unable to tie the DB or other error occurred
   'con_lost' -> unable to contact request server
   'refused' -> action was not allowed by remote machine
- Line 8900  put_dom($namespace,$storehash,$udom,$uho
+ Line 17598  put_dom($namespace,$storehash,$udom,$uho
  domain level either on specified domain server ($uhome) or primary domain
  server ($udom and $uhome are optional)
+ =item *
+ get_domain_defaults($target_domain,$ignore_cache) : returns hash with defaults
+ for: authentication, language, quotas, timezone, date locale, and portal URL in
+ the target domain.
+ May also include additional key => value pairs for the following groups:
+ =over
+ =item
+ disk quotas (MB allocated by default to portfolios and authoring spaces).
+ =over
+ =item defaultquota, authorquota
+ =back
+ =item
+ tools (availability of aboutme page, blog, webDAV access for authoring spaces,
+ portfolio for users).
+ =over
+ =item
+ aboutme, blog, webdav, portfolio
+ =back
+ =item
+ requestcourses: ability to request courses, and how requests are processed.
+ =over
+ =item
+ official, unofficial, community, textbook, placement
+ =back
+ =item
+ inststatus: types of institutional affiliation, and order in which they are displayed.
+ =over
+ =item
+ inststatustypes, inststatusorder, inststatusguest
+ =back
+ =item
+ coursedefaults: can PDF forms can be created, default credits for courses, default quotas (MB)
+ for course's uploaded content.
+ =over
+ =item
+ canuse_pdfforms, officialcredits, unofficialcredits, textbookcredits, officialquota, unofficialquota,
+ communityquota, textbookquota, placementquota
+ =back
+ =item
+ usersessions: set options for hosting of your users in other domains, and hosting of users from other domains
+ on your servers.
+ =over
+ =item
+ remotesessions, hostedsessions
+ =back
+ =back
+ In cases where a domain coordinator has never used the "Set Domain Configuration"
+ utility to create a configuration.db file on a domain's primary library server
+ only the following domain defaults: auth_def, auth_arg_def, lang_def
+ -- corresponding values are authentication type (internal, krb4, krb5,
+ or localauth), initial password or a kerberos realm, language (e.g., en-us) --
+ will be available. Values are retrieved from cache (if current), unless the
+ optional $ignore_cache arg is true, or from domain's configuration.db (if available),
+ or lastly from values in lonTabs/dns_domain,tab, or lonTabs/domain.tab.
+ Typical usage:
+ %domdefaults = &get_domain_defaults($target_domain);
  =back
  =head2 Network Status Functions
- Line 8908  server ($udom and $uhome are optional)
+ Line 17694  server ($udom and $uhome are optional)
  =item *
- dirlist($uri) : return directory list based on URI
+ dirlist() : return directory list based on URI (first arg).
+ Inputs: 1 required, 5 optional.
+ =over
+ =item
+ $uri - path to file in filesystem (starts: /res or /userfiles/). Required.
+ =item
+ $userdomain - domain of user/course to be listed. Extracted from $uri if absent.
+ =item
+ $username -  username of user/course to be listed. Extracted from $uri if absent.
+ =item
+ $getpropath - boolean: 1 if prepend path using &propath().
+ =item
+ $getuserdir - boolean: 1 if prepend path for "userfiles".
+ =item
+ $alternateRoot - path to prepend in place of path from $uri.
+ =back
+ Returns: Array of up to two items.
+ =over
+ a reference to an array of files/subdirectories
+ =over
+ Each element in the array of files/subdirectories is a & separated list of
+ item name and the result of running stat on the item.  If dirlist was requested
+ for a file instead of a directory, the item name will be ''. For a directory
+ listing, if the item is a metadata file, the element will end &N&M
+ (where N amd M are either 0 or 1, corresponding to obsolete set (1), or
+ default copyright set (1).
+ =back
+ a scalar containing error condition (if encountered).
+ =over
+ =item
+ no_host (no homeserver identified for $username:$domain).
+ =item
+ no_such_host (server contacted for listing not identified as valid host).
+ =item
+ con_lost (connection to remote server failed).
+ =item
+ refused (invalid $username:$domain received on lond side).
+ =item
+ no_such_dir (directory at specified path on lond side does not exist).
+ =item
+ empty (directory at specified path on lond side is empty).
+ =over
+ This is currently not encountered because the &ls3, &ls2,
+ &ls (_handler) routines on the lond side do not filter out
+ . and .. from a directory listing.
+ =back
+ =back
+ =back
  =item *
  spareserver() : find server with least workload from spare.tab
+ =item *
+ host_from_dns($dns) : Returns the loncapa hostname corresponding to a DNS name or undef
+ if there is no corresponding loncapa host.
  =back
  =head2 Apache Request
  =over 4
- Line 8963  splitting on '&', supports elements that
+ Line 17831  splitting on '&', supports elements that
  =head2 Logging Routines
- =over 4
  These routines allow one to make log messages in the lonnet.log and
  lonnet.perm logfiles.
+ =over 4
  =item *
  logtouch() : make sure the logfile, lonnet.log, exists
- Line 8983  logperm() : append a permanent message t
+ Line 17852  logperm() : append a permanent message t
  file never gets deleted by any automated portion of the system, only
  messages of critical importance should go in here.
  =back
  =head2 General File Helper Routines
- Line 9039  filelocation except for hrefs
+ Line 17909  filelocation except for hrefs
  =item *
- declutter() : declutters URLs (remove docroot, beginning slashes, 'res' etc)
+ declutter() : declutters URLs -- remove beginning slashes, 'res' etc.
+ also removes beginning /home/httpd/html unless /priv/ follows it.
  =back
- Line 9056  userfileupload(): main rotine for puttin
+ Line 17927  userfileupload(): main rotine for puttin
             filename, and the contents of the file to create/modifed exist
             the filename is in $env{'form.'.$formname.'.filename'} and the
             contents of the file is located in $env{'form.'.$formname}
-  coursedoc - if true, store the file in the course of the active role
+  context - if coursedoc, store the file in the course of the active role
-              of the current user
+              of the current user;
+            if 'existingfile': store in 'overwrites' in /home/httpd/perl/tmp
+            if 'canceloverwrite': delete file in tmp/overwrites directory
   subdir - required - subdirectory to put the file in under ../userfiles/
           if undefined, it will be placed in "unknown"
- Line 9079  returns: the new clean filename
+ Line 17952  returns: the new clean filename
  =item *
- finishuserfileupload(): routine that creaes and sends the file to
+ finishuserfileupload(): routine that creates and sends the file to
  userspace, probably shouldn't be called directly
    docuname: username or courseid of destination for the file
    docudom: domain of user/course of destination for the file
    formname: same as for userfileupload()
-   fname: filename (inculding subdirectories) for the file
+   fname: filename (including subdirectories) for the file
+   parser: if 'parse', will parse (html) file to extract references to objects, links etc.
+           if hashref, and context is scantron, will convert csv format to standard format
+   allfiles: reference to hash used to store objects found by parser
+   codebase: reference to hash used for codebases of java objects found by parser
+   thumbwidth: width (pixels) of thumbnail to be created for uploaded image
+   thumbheight: height (pixels) of thumbnail to be created for uploaded image
+   resizewidth: width to be used to resize image using resizeImage from ImageMagick
+   resizeheight: height to be used to resize image using resizeImage from ImageMagick
+   context: if 'overwrite', will move the uploaded file from its temporary location to
+             userfiles to facilitate overwriting a previously uploaded file with same name.
+   mimetype: reference to scalar to accommodate mime type determined
+             from File::MMagic if $parser = parse.
   returns either the url of the uploaded file (/uploaded/....) if successful
-  and /adm/notfound.html if unsuccessful
+  and /adm/notfound.html if unsuccessful (or an error message if context
+  was 'overwrite').
  =item *
- Line 9194  Internal notes:
+ Line 18081  Internal notes:
   Locks on files (resulting from submission of portfolio file to a homework problem stored in array of arrays.
+ =item *
  modify_access_controls():
  Modifies access controls for a portfolio file
- Line 9211  Returns:
+ Line 18100  Returns:
 . reference to hash of any new or updated access controls.
 . reference to hash used to map incoming IDs to uniqueIDs assigned to control.
     key = integer (inbound ID)
     value = uniqueID
+ =item *
+ get_timebased_id():
+ Attempts to get a unique timestamp-based suffix for use with items added to a
+ course via the Course Editor (e.g., folders, composite pages,
+ group bulletin boards).
+ Args: (first three required; six others optional)
+. prefix (alphanumeric): of keys in hash, e.g., suppsequence, docspage,
+    docssequence, or name of group
+. keyid (alphanumeric): name of temporary locking key in hash,
+    e.g., num, boardids
+. namespace: name of gdbm file used to store suffixes already assigned;
+    file will be named nohist_namespace.db
+. cdom: domain of course; default is current course domain from %env
+. cnum: course number; default is current course number from %env
+. idtype: set to concat if an additional digit is to be appended to the
+    unix timestamp to form the suffix, if the plain timestamp is already
+    in use.  Default is to not do this, but simply increment the unix
+    timestamp by 1 until a unique key is obtained.
+. who: holder of locking key; defaults to user:domain for user.
+. locktries: number of attempts to obtain a lock (sleep of 1s before
+    retrying); default is 3.
+. maxtries: number of attempts to obtain a unique suffix; default is 20.
+ Returns:
+. suffix obtained (numeric)
+. result of deleting locking key (ok if deleted, or lock never obtained)
+. error: contains (localized) error message if an error occurred.
  =back

FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>

Removed from v.1.897
changed lines
	Added in v.1.1526