Acontece que a sintaxe aninhada de 1-arg do JkMount é bastante inútil, porque requer o caractere curinga, enquanto o Location não o compreende. O que funciona é puxar para fora:
JkMount /XYZ/* XYZ
<Location /XYZ>
Desde que a mudança da autorização do Apache 2.2 é ignorada para muitos JkMounts (exceto o status jk). Se eu cancelar o popup de senha do navegador, recebo uma página de 401. Não é, como eu esperava, o do Apache, mas sim do JBoss, com o qual não deveria ter permissão para conversar. (Achei isso porque usuários não autorizados estão conversando com o JBoss).
No final do recebimento, temos o JBoss 4 e o Wildfly 7. Ambos são "Apache / 2.4.3 (Unix) mod_jk / 1.2.37" e "Apache / 2.4.10 (Unix) mod_jk / 1.2.40 ". A configuração é sempre como
<Location /XYZ/*>
JkMount XYZ
AuthType basic
AuthUserFile conf/passwd/XYZ
AuthName "XYZ security"
Require valid-user
</Location>
Eu até tenho um caso em que a configuração idêntica (definição de trabalho, <Location> , permissão de arquivo e conteúdo) funciona no 2.4.3, mas não no 2.4.10. Para outros JkMounts, ambas as versões se comportam incorretamente. Se eu aumentar o nível de depuração, não vejo nada sobre como isso é analisado. Quando eu chamo o URL, ele diz que não há diretivas protegendo-o.
Acontece que a sintaxe aninhada de 1-arg do JkMount é bastante inútil, porque requer o caractere curinga, enquanto o Location não o compreende. O que funciona é puxar para fora:
JkMount /XYZ/* XYZ
<Location /XYZ>