Hallo,

Meine (vage) Idee war die, dass man evt. über ein HTML-Formular die Daten für Benutzername und Passwort zum Server transportieren kann, wo sie per PHP (nach vorheriger Prüfung) dem Apache "mitgeteilt" werden (etwa per apache_setenv), ...

und damit bist du doch schon fast am Ziel: Jetzt noch eine Session aufmachen und die Information "Benutzerdaten OK" dort ablegen, fertig. Dann kannst du HTTP-AUTH entsorgen[1].
Dann hättest du -falls das von Belang ist- sogar die Möglichkeit, ein explizites Abmelden anzubieten, was bei HTTP-AUTH nur mit Klimmzügen möglich ist (und durch seine Nebenwirkungen ggf. den Nutzer verwirrt).

per Location-Header weitergeleitet wird und der Apache per Rewrite-Condition (eben der Umgebungsvariable) den Zugriff erlaubt oder eben unterbindet.

Das geht nicht. Es gibt AFAIK keinen Weg, die Zugangsdaten dem Client wieder zurückzuliefern, so dass er sie für Folgerequests speichert.

Aber irgendwie erscheint mir das selber schon als "von hinten durch die Brust ins Auge".

Hört sich für mich auch so an.

Ciao,
 Martin

[1] Obacht: Bei einem rein sessionbasierten Login ohne HTTP-AUTH ist nur der Zugriff auf die (Script-)Ressourcen geschützt, die die Voraussetzungen von sich aus überprüfen! Der Zugriff auf andere Ressourcen wie Bilder oder statische HTML-Dateien "am Login vorbei" ist trotzdem möglich. Kann mit mod_rewrite und weiterer Scriptlogik abgedichtet werden, aber das ist eben wieder zusätzlicher Aufwand.