どうもDebian 6.0のApache2.2では、デフォルトでbasic認証がかからないらしい。
以下のサイトを参考にして、設定を変更した。
Debianで.htaccessを使用する - 日記
以下を /etc/apache2/site-available/default に書く。
(「AllowOverride All」 が重要。違う設定になっていたらNG。)
<Directory /var/www/>
Options Indexes FollowSymLinks MultiViews
AllowOverride All
Order allow,deny
allow from all
</Directory>
これで.htaccessと.htpasswdを作ったら、Basic認証がかかった。