O site do módulo mod_auth_kerb é um pouco claro sobre isso, afirmando em um ponto que AuthType deve ser definido como Kerberos, mas também implicando que "se seu AuthType for Basic" ele essencialmente usará o par nome de usuário / senha que AuthType Basic fornece para verificar seu servidor Kerberos.
As outras diretivas que você tem para o Kerberos, especificamente KrbDelegateBasic on , não parecem estar documentadas na página da fonte de origem deste módulo, fazendo-me pensar qual versão deste módulo você está usando.
Mas, deixando isso de lado por um momento, a menos que o módulo mod_auth_kerb seja de alguma forma capaz de entregar os valores que chega ao próximo módulo de autenticação na cadeia de forma que o próximo módulo possa entender, isso provavelmente não funcionará .
Como teste, altero AuthType para Basic , KrbMethodNegotiate para off e KrbMethodK5Passwd para on , e vejo se isso altera o comportamento. Espera-se que isso mod_auth_kerb colete os dados de login de uma forma que os outros módulos possam entender, impeça que o método de autenticação seja negociado e tente reunir um nome de usuário / senha em vez de um ticket.
A parte de negociação é importante, pois isso é feito para cada conexão e, portanto, se o navegador do cliente negociar um método que estraga o próximo método de autenticação, ele nunca passará da autenticação Kerberos.
Eu diria que nunca configurei a autenticação Kerberos no Apache, então isso é um pouco palpite. Eu fiz o LDAP voltar para a autenticação básica baseada em arquivos, então, eu sei que o mecanismo de fall-through funciona, em geral.