Много лет назад в Debian был принят такой патч: https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=134702 который позволял искать файл с относительным путём не в ServerRoot (что достаточно бесполезно), а в текущем каталоге (в котором находится .htaccess). Что насчёт идеи пропатчить mod_authn_file аналогичным образом? Чтобы работал такой .htaccess: AuthName 'Restricted Area' AuthType Basic AuthUserFile .htpasswd require valid-user
в Debian такой патч был для apache-1, для второго апача таких патчей нет. Предлагаю двигаться через апстрим.