Apache 2.4 quer que eu decida: Exigir ip válido ou exigir usuário válido

O Apache 2.4 parece misturado: a negação do IP e a negação do usuário não funcionam mais. Agora está misturado e ... porque isso: ele corrige alguns dos meus servidores de segurança ...

Nas versões antigas, posso habilitar as duas coisas e trabalhar com elas sem afetar a outra, por exemplo:

deny from all 
allow from ip1
allow from ip2 

No apache2.4, o equivalente:

require ip1 
require ip2

Está indo bem em sites sem o htacess + htpasswd. Mas quando você tem htacess + htpasswd, o comportamento não é como você esperava porque acha que os ips necessários são confiáveis para entrar sem senha, anulando o htacess, e até pior, ips fora da lista são capazes graças à tentativa de tentar login com uma senha e isso não é o que o apache 2.2 faz!

No antigo apache, os hosts permitidos são o somente que pode tentar autenticar ... e mesmo que eles sejam permitidos, ele ainda precisará de uma senha do htaccess para abrir o site.

ATUALIZAÇÃO:

Eu sou capaz de contornar o comportamento usando o mod_acess_compat por enquanto ... mas acho que isso não é uma solução, já que estou usando os comandos antigos no apache 2.4 ... e tenho medo de algum comportamento inesperado ou a depreciação deste módulo ...