Solução: Anexei um depurador e passei pela autenticação. Acontece que eu tive dois problemas: Permissões em / var / log / saslauthd:
drwx--x--- 2 root sasl 140 Sep 27 09:44 saslauthd
significa que o usuário do servidor "subversion" precisa fazer parte do grupo sasl.
O segundo é mais complicado: o DIGEST-MD5 depende de senhas de texto simples para calcular um hash no lado do servidor. Meu diretório LDAP armazena senhas criptografadas SSHA, portanto, o servidor nunca poderia comparar o MD5 do cliente com um MD5 computado localmente. Eu acho que o diretório poderia armazenar MD5 (username: realm: password), mas eu não tenho certeza se isso é suportado em sasl, e como você iria gerenciar isso se você tiver vários reinos.
Eu realmente não quero armazenar senhas de texto simples, então, por enquanto, a solução é usar somente autenticação não criptografada:
# cat /etc/sasl2/svn.conf
pwcheck_method: saslauthd
mech_list: PLAIN LOGIN
Não é uma solução perfeita, mas parece funcionar por enquanto. Eu acho que vou impor o ssh + svn para acesso externo, e talvez eu invista algum tempo no suporte a TLS para o svnserve.
(Isso consumiria muito menos tempo com mais algumas opções de diagnóstico e melhor documentação.)