Для подкаталога просто отключите обычную аутентификацию. Кажется, что нет прямого способа сделать это (например, с помощью директивы «require none»), но вы можете сказать, что вы принимаете управление доступом на основе хоста и что любой хост может получить к нему доступ. У меня работает следующее:
<Location /foo>
AuthType Basic
AuthName Foo
AuthUserFile /tmp/passwd
require valid-user
</Location>
<Location /foo/bar>
Allow from all
Satisfy any
</Location>