Resposta curta: use a configuração apache2 em vez do arquivo .htaccess e proteja o diretório original, não o link simbólico (ou talvez exista uma maneira de dizer ao "Diretório" para excluir a referência simbólica)
Resposta longa: tive um problema semelhante com o phpmyadmin. Seguindo o guia Debian eu criei um link simbólico em a raiz do documento:
/var/www/html/phpmyadmin --> /usr/share/phpmyadmin
Então eu coloco a diretiva
<Directory "/var/www/html/phpmyadmin">
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>
dentro do /etc/apache2/sites-available/000-default.conf
Não funcionou. Eventualmente eu descobri que o caminho a ser protegido não era o symlink, mas o diretório real:
<Directory "/usr/share/phpmyadmin">
AuthType Basic
AuthName "Restricted Content"
AuthUserFile /etc/apache2/.htpasswd
Require valid-user
</Directory>
Este funcionou.