hi,

Directory und .htaccess scheiden leider aus, die dürfen auch domainübergreifend keine Unterschiede aufweisen.

Warum müssen die deshalb ausscheiden?

Es wäre ja noch denkbar, über die Abfrage von Umgebungsvariablen (z.B. im Request mitgeschickter Hostname) mittels SetEnvIf und Allow/Require/Satisfy eine Kombination aufzubauen, die nur bei Anforderung der speziellen Subdomain eine Authentifizierung erfordert, und ansonsten so reinlässt ...

gruß,
wahsaga