Diff for /loncom/auth/lonacc.pm between versions 1.159.2.14 and 1.188

version 1.159.2.14, 2020/10/06 17:39:04 version 1.188, 2021/02/10 11:35:40
Line 102  use Apache::loncommon(); Line 102  use Apache::loncommon();
 use Apache::lonlocal;  use Apache::lonlocal;
 use Apache::restrictedaccess();  use Apache::restrictedaccess();
 use Apache::blockedaccess();  use Apache::blockedaccess();
   use Apache::lonprotected();
 use Fcntl qw(:flock);  use Fcntl qw(:flock);
 use LONCAPA qw(:DEFAULT :match);  use LONCAPA qw(:DEFAULT :match);
   
Line 202  sub get_posted_cgi { Line 203  sub get_posted_cgi {
  $fname='';   $fname='';
  $fmime='';   $fmime='';
     }      }
                       if ($i<$#lines && $lines[$i+1]=~/^Content\-Type\:\s*([\w\-\/]+)/i) {
                           # TODO: something with $1 !
                           $i++;
                       }
                       if ($i<$#lines && $lines[$i+1]=~/^Content\-transfer\-encoding\:\s*([\w\-\/]+)/i) {
                           # TODO: something with $1 !
                           $i++;
                       }
     $i++;      $i++;
  }   }
     } else {      } else {
Line 355  sub sso_login { Line 364  sub sso_login {
     # login but immediately go to switch server to find us a new       # login but immediately go to switch server to find us a new 
     # machine      # machine
     &Apache::lonauth::success($r,$user,$domain,$home,'noredirect');      &Apache::lonauth::success($r,$user,$domain,$home,'noredirect');
               foreach my $item (keys(%form)) {
                   $env{'form.'.$item} = $form{$item};
               }
               unless ($form{'symb'}) {
                   unless (($r->uri eq '/adm/roles') || ($r->uri eq '/adm/sso')) {
                       $env{'form.origurl'} = $r->uri;
                   }
               }
             $env{'request.sso.login'} = 1;              $env{'request.sso.login'} = 1;
             if (defined($r->dir_config("lonSSOReloginServer"))) {              if (defined($r->dir_config("lonSSOReloginServer"))) {
                 $env{'request.sso.reloginserver'} =                  $env{'request.sso.reloginserver'} =
Line 369  sub sso_login { Line 386  sub sso_login {
  } else {   } else {
     # need to login them in, so generate the need data that      # need to login them in, so generate the need data that
     # migrate expects to do login      # migrate expects to do login
             my $ip = $r->get_remote_host();      my $ip = &Apache::lonnet::get_requestor_ip($r);
     my %info=('ip'        => $ip,      my %info=('ip'        => $ip,
       'domain'    => $domain,        'domain'    => $domain,
       'username'  => $user,        'username'  => $user,
Line 520  sub handler { Line 537  sub handler {
             }              }
         } elsif ($env{'request.course.id'} &&          } elsif ($env{'request.course.id'} &&
                  (($requrl =~ m{^/adm/$match_domain/$match_username/aboutme$}) ||                   (($requrl =~ m{^/adm/$match_domain/$match_username/aboutme$}) ||
                   ($requrl =~ m{^/public/$cdom/$cnum/syllabus$}))) {                    ($requrl eq "/public/$cdom/$cnum/syllabus") ||
                     ($requrl =~ m{^/adm/$cdom/$cnum/\d+/ext\.tool$}))) {
             my $query = $r->args;              my $query = $r->args;
             if ($query) {              if ($query) {
                 foreach my $pair (split(/&/,$query)) {                  foreach my $pair (split(/&/,$query)) {
Line 542  sub handler { Line 560  sub handler {
             my $lonhost = &Apache::lonnet::host_from_dns($hostname);              my $lonhost = &Apache::lonnet::host_from_dns($hostname);
             if ($lonhost) {              if ($lonhost) {
                 my $actual = &Apache::lonnet::absolute_url($hostname);                  my $actual = &Apache::lonnet::absolute_url($hostname);
                   my $exphostname = &Apache::lonnet::hostname($lonhost);
                 my $expected = $Apache::lonnet::protocol{$lonhost}.'://'.$hostname;                  my $expected = $Apache::lonnet::protocol{$lonhost}.'://'.$hostname;
                 unless ($actual eq $expected) {                  unless ($actual eq $expected) {
                     $env{'request.use_absolute'} = $expected;                      $env{'request.use_absolute'} = $expected;
Line 563  sub handler { Line 582  sub handler {
         if ($env{'user.noloadbalance'} eq $r->dir_config('lonHostID')) {          if ($env{'user.noloadbalance'} eq $r->dir_config('lonHostID')) {
             $checkexempt = 1;              $checkexempt = 1;
         }          }
         unless ($checkexempt) {          unless (($checkexempt) || (($requrl eq '/adm/switchserver') && (!$r->is_initial_req()))) {
             ($is_balancer,$otherserver) =              ($is_balancer,$otherserver) =
                 &Apache::lonnet::check_loadbalancing($env{'user.name'},                  &Apache::lonnet::check_loadbalancing($env{'user.name'},
                                                      $env{'user.domain'});                                                       $env{'user.domain'});
             if ($is_balancer) {              if ($is_balancer) {
                 unless (($requrl eq '/adm/switchserver') && (!$r->is_initial_req())) {                  # Check if browser sent a LON-CAPA load balancer cookie (and this is a balancer)
                     # Check if browser sent a LON-CAPA load balancer cookie (and this is a balancer)                  my ($found_server,$balancer_cookie) = &Apache::lonnet::check_for_balancer_cookie($r);
                     my ($found_server,$balancer_cookie) = &Apache::lonnet::check_for_balancer_cookie($r);                  if (($found_server) && ($balancer_cookie =~ /^\Q$env{'user.domain'}\E_\Q$env{'user.name'}\E_/)) {
                     if (($found_server) && ($balancer_cookie =~ /^\Q$env{'user.domain'}\E_\Q$env{'user.name'}\E_/)) {                      $otherserver = $found_server;
                         $otherserver = $found_server;                  }
                     }                  unless ($requrl eq '/adm/switchserver') { 
                       $r->set_handlers('PerlResponseHandler'=>
                                        [\&Apache::switchserver::handler]);
                 }                  }
             }  
         }  
         if ($is_balancer) {  
             unless (($requrl eq '/adm/switchserver') && (!$r->is_initial_req())) {  
                 $r->set_handlers('PerlResponseHandler'=>  
                                  [\&Apache::switchserver::handler]);  
                 if ($otherserver ne '') {                  if ($otherserver ne '') {
                     $env{'form.otherserver'} = $otherserver;                      $env{'form.otherserver'} = $otherserver;
                 }                  }
                   unless (($env{'form.origurl'}) || ($r->uri eq '/adm/roles') ||
                           ($r->uri eq '/adm/switchserver') || ($r->uri eq '/adm/sso')) {
                       $env{'form.origurl'} = $r->uri;
                   }
             }              }
             unless (($env{'form.origurl'}) || ($r->uri eq '/adm/roles') ||          }
                     ($r->uri eq '/adm/switchserver') || ($r->uri eq '/adm/sso')) {          if ($requrl=~m{^/+tiny/+$match_domain/+\w+$}) {
                 $env{'form.origurl'} = $r->uri;              if ($env{'user.name'} eq 'public' &&
                   $env{'user.domain'} eq 'public') {
                   $env{'request.firsturl'}=$requrl;
                   return FORBIDDEN;
               } else {
                   return OK;
             }              }
         }          }
   
 # ---------------------------------------------------------------- Check access  # ---------------------------------------------------------------- Check access
  my $now = time;   my $now = time;
         my $check_symb;          my ($check_symb,$check_access,$check_block,$access,$poss_symb);
  if ($requrl !~ m{^/(?:adm|public|(?:prt|zip)spool)/}   if ($requrl !~ m{^/(?:adm|public|(?:prt|zip)spool)/}
     || $requrl =~ /^\/adm\/.*\/(smppg|bulletinboard)(\?|$ )/x) {      || $requrl =~ /^\/adm\/.*\/(smppg|bulletinboard)(\?|$ )/x) {
             my ($access,$poss_symb);              $check_access = 1;
             if (($env{'request.course.id'}) && (!$suppext)) {          }
                 $requrl=~/\.(\w+)$/;          if ((!$check_access) && ($env{'request.course.id'})) {
                 if ((&Apache::loncommon::fileembstyle($1) eq 'ssi') ||              if (($requrl eq '/adm/viewclasslist') ||
                     ($requrl=~/^\/adm\/.*\/(aboutme|smppg|bulletinboard)(\?|$ )/x) ||                  ($requrl =~ m{^(/adm/wrapper|)\Q/uploaded/$cdom/$cnum/docs/\E}) ||
                     ($requrl=~/^\/adm\/wrapper\//) ||                  ($requrl =~ m{^/adm/.*/aboutme$}) ||
                     ($requrl=~m|^/adm/coursedocs/showdoc/|) ||                  ($requrl=~m{^/adm/coursedocs/showdoc/}) ||
                     ($requrl=~m|\.problem/smpedit$|) ||                  ($requrl=~m{^(/adm/wrapper|)/adm/$cdom/$cnum/\d+/ext\.tool$})) {
                     ($requrl=~/^\/public\/.*\/syllabus$/) ||                  $check_block = 1;
                     ($requrl=~/^\/adm\/(viewclasslist|navmaps)$/) ||              }
                     ($requrl=~/^\/adm\/.*\/aboutme\/portfolio(\?|$)/)) {          }
                     $check_symb = 1;          if (($env{'request.course.id'}) && (!$suppext)) {
                 }              $requrl=~/\.(\w+)$/;
               if ((&Apache::loncommon::fileembstyle($1) eq 'ssi') ||
                   ($requrl=~/^\/adm\/.*\/(aboutme|smppg|bulletinboard)(\?|$ )/x) ||
                   ($requrl=~/^\/adm\/wrapper\//) ||
                   ($requrl=~m|^/adm/coursedocs/showdoc/|) ||
                   ($requrl=~m|\.problem/smpedit$|) ||
                   ($requrl=~/^\/public\/.*\/syllabus$/) ||
                   ($requrl=~/^\/adm\/(viewclasslist|navmaps)$/) ||
                   ($requrl=~/^\/adm\/.*\/aboutme\/portfolio(\?|$)/) ||
                   ($requrl=~m{^/adm/$cdom/$cnum/\d+/ext\.tool$})) {
                   $check_symb = 1;
             }              }
           }
           if (($check_access) || ($check_block)) {
             if ($check_symb) {              if ($check_symb) {
                 if ($env{'form.symb'}) {                  if ($env{'form.symb'}) {
                     $poss_symb=&Apache::lonnet::symbclean($env{'form.symb'});                      $poss_symb=&Apache::lonnet::symbclean($env{'form.symb'});
Line 629  sub handler { Line 664  sub handler {
                 if ($poss_symb) {                  if ($poss_symb) {
                     my ($possmap,$resid,$url)=&Apache::lonnet::decode_symb($poss_symb);                      my ($possmap,$resid,$url)=&Apache::lonnet::decode_symb($poss_symb);
                     $url = &Apache::lonnet::clutter($url);                      $url = &Apache::lonnet::clutter($url);
                     unless (($url eq $requrl) && (&Apache::lonnet::is_on_map($possmap))) {                      my $toplevelmap = $env{'course.'.$env{'request.course.id'}.'.url'};
                       unless (($url eq $requrl) && (($possmap eq $toplevelmap) ||
                                                     (&Apache::lonnet::is_on_map($possmap)))) {
                         undef($poss_symb);                          undef($poss_symb);
                     }                      }
                     if ($poss_symb) {                      if ($poss_symb) {
Line 647  sub handler { Line 684  sub handler {
             } else {              } else {
                 $access=&Apache::lonnet::allowed('bre',$requrl);                  $access=&Apache::lonnet::allowed('bre',$requrl);
             }              }
           }
           if ($check_block) {
               if ($access eq 'B') {
                   if ($poss_symb) {
                       if (&Apache::lonnet::symbverify($poss_symb,$requrl)) {
                           $env{'request.symb'} = $poss_symb;
                       }
                   }
                   &Apache::blockedaccess::setup_handler($r);
                   return OK;
               }
           } elsif ($check_access) {
             if ($handle eq '') {              if ($handle eq '') {
                 unless ($access eq 'F') {                  unless ($access eq 'F') {
                     if ($requrl =~ m{^/res/$match_domain/$match_username/}) {                      if ($requrl =~ m{^/res/$match_domain/$match_username/}) {
Line 664  sub handler { Line 713  sub handler {
     }      }
             if ($access eq 'B') {              if ($access eq 'B') {
                 if ($poss_symb) {                  if ($poss_symb) {
                     if ($requrl=~m{^(/adm/.*/aboutme)/portfolio$}) {  
                         $requrl = $1;  
                     }  
                     if (&Apache::lonnet::symbverify($poss_symb,$requrl)) {                      if (&Apache::lonnet::symbverify($poss_symb,$requrl)) {
                         $env{'request.symb'} = $poss_symb;                          $env{'request.symb'} = $poss_symb;
                     }                      }
Line 674  sub handler { Line 720  sub handler {
                 &Apache::blockedaccess::setup_handler($r);                  &Apache::blockedaccess::setup_handler($r);
                 return OK;                  return OK;
             }              }
               if ($access eq 'D') {
                   &Apache::lonprotected::setup_handler($r);
                   return OK;
               }
     if (($access ne '2') && ($access ne 'F')) {      if (($access ne '2') && ($access ne 'F')) {
                 if ($requrl =~ m{^/res/}) {                  if ($requrl =~ m{^/res/}) {
                     $access = &Apache::lonnet::allowed('bro',$requrl);                      $access = &Apache::lonnet::allowed('bro',$requrl);
Line 690  sub handler { Line 740  sub handler {
                         }                          }
                     }                      }
                 } elsif (($handle =~ /^publicuser_\d+$/) && (&Apache::lonnet::is_portfolio_url($requrl))) {                  } elsif (($handle =~ /^publicuser_\d+$/) && (&Apache::lonnet::is_portfolio_url($requrl))) {
                     my $clientip = $r->get_remote_host();                      my $clientip = &Apache::lonnet::get_requestor_ip($r); 
                     if (&Apache::lonnet::allowed('bre',$requrl,undef,undef,$clientip) ne 'F') {                      if (&Apache::lonnet::allowed('bre',$requrl,undef,undef,$clientip) ne 'F') {
                         $env{'user.error.msg'}="$requrl:bre:1:1:Access Denied";                          $env{'user.error.msg'}="$requrl:bre:1:1:Access Denied";
                         return HTTP_NOT_ACCEPTABLE;                          return HTTP_NOT_ACCEPTABLE;
Line 739  sub handler { Line 789  sub handler {
  }   }
  if ($env{'form.symb'}) {   if ($env{'form.symb'}) {
     $symb=&Apache::lonnet::symbclean($env{'form.symb'});      $symb=&Apache::lonnet::symbclean($env{'form.symb'});
                     if ($requrl eq '/adm/navmaps') {                      if (($requrl eq '/adm/navmaps') ||
                         my ($map,$mid,$murl)=&Apache::lonnet::decode_symb($symb);                          ($requrl =~ m{^/adm/wrapper/}) ||
                         &Apache::lonnet::symblist($map,$murl => [$murl,$mid]);                          ($requrl =~ m{^/adm/coursedocs/showdoc/})) {
                     } elsif ($requrl =~ m|^/adm/wrapper/|                          unless (&Apache::lonnet::symbverify($symb,$requrl)) {
  || $requrl =~ m|^/adm/coursedocs/showdoc/|) {                              if (&Apache::lonnet::is_on_map($requrl)) {
  my ($map,$mid,$murl)=&Apache::lonnet::decode_symb($symb);                                  $symb = &Apache::lonnet::symbread($requrl);
                         if ($map =~ /\.page$/) {                                  unless (&Apache::lonnet::symbverify($symb,$requrl)) {
                             my $mapsymb = &Apache::lonnet::symbread($map);                                      undef($symb);
                             ($map,$mid,$murl)=&Apache::lonnet::decode_symb($mapsymb);                                  }
                               }
                           }
                           if ($symb) {
                               if ($requrl eq '/adm/navmaps') {
                                   my ($map,$mid,$murl)=&Apache::lonnet::decode_symb($symb);
                                   &Apache::lonnet::symblist($map,$murl => [$murl,$mid]);
                               } elsif (($requrl =~ m{^/adm/wrapper/}) ||
                                        ($requrl =~ m{^/adm/coursedocs/showdoc/})) {
                                   my ($map,$mid,$murl)=&Apache::lonnet::decode_symb($symb);
                                   if ($map =~ /\.page$/) {
                                       my $mapsymb = &Apache::lonnet::symbread($map);
                                       ($map,$mid,$murl)=&Apache::lonnet::decode_symb($mapsymb); 
                                   }
                                   &Apache::lonnet::symblist($map,$murl => [$murl,$mid],
                                                             'last_known' =>[$murl,$mid]);
                               }
                         }                          }
  &Apache::lonnet::symblist($map,$murl => [$murl,$mid],  
   'last_known' =>[$murl,$mid]);  
     } elsif ((&Apache::lonnet::symbverify($symb,$requrl)) ||      } elsif ((&Apache::lonnet::symbverify($symb,$requrl)) ||
      (($requrl=~m|(.*)/smpedit$|) &&       (($requrl=~m|(.*)/smpedit$|) &&
       &Apache::lonnet::symbverify($symb,$1)) ||        &Apache::lonnet::symbverify($symb,$1)) ||
Line 810  sub handler { Line 874  sub handler {
                                 }                                  }
                             }                              }
                             if ($invalidsymb) {                              if ($invalidsymb) {
                                 $r->log_reason('Invalid symb for '.$requrl.': '.$symb);                                  if ($requrl eq '/adm/navmaps') {
                                 $env{'user.error.msg'}=                                      undef($symb);
                                     "$requrl:bre:1:1:Invalid Access";                                  } else {
                                 return HTTP_NOT_ACCEPTABLE;                                      $r->log_reason('Invalid symb for '.$requrl.': '.$symb);
                                       $env{'user.error.msg'}=
                                           "$requrl:bre:1:1:Invalid Access";
                                       return HTTP_NOT_ACCEPTABLE;
                                   }
                             }                              }
                         }                          }
                     }                      }
Line 827  sub handler { Line 895  sub handler {
                                 my $mapsymb = &Apache::lonnet::symbread($map);                                  my $mapsymb = &Apache::lonnet::symbread($map);
                                 ($map,$mid,$murl)=&Apache::lonnet::decode_symb($mapsymb);                                  ($map,$mid,$murl)=&Apache::lonnet::decode_symb($mapsymb);
                             }                              }
                             &Apache::lonnet::symblist($map,$murl =>[$murl,$mid],      &Apache::lonnet::symblist($map,$murl =>[$murl,$mid],
                                                       'last_known' =>[$murl,$mid]);        'last_known' =>[$murl,$mid]);
                         }                          }
     }      }
  }   }
Line 880  sub handler { Line 948  sub handler {
     }      }
 # ------------------------------------ See if this is a viewable portfolio file  # ------------------------------------ See if this is a viewable portfolio file
     if (&Apache::lonnet::is_portfolio_url($requrl)) {      if (&Apache::lonnet::is_portfolio_url($requrl)) {
         my $clientip = $r->get_remote_host();          my $clientip = &Apache::lonnet::get_requestor_ip($r);
  my $access=&Apache::lonnet::allowed('bre',$requrl,undef,undef,$clientip);          my $access=&Apache::lonnet::allowed('bre',$requrl,undef,undef,$clientip);
  if ($access eq 'A') {   if ($access eq 'A') {
     &Apache::restrictedaccess::setup_handler($r);      &Apache::restrictedaccess::setup_handler($r);
     return OK;      return OK;

Removed from v.1.159.2.14  
changed lines
  Added in v.1.188


FreeBSD-CVSweb <freebsd-cvsweb@FreeBSD.org>