В том, что мне надо только одну группу к репо пускать. Так что valid-users не прокатывает.
Сначала пытался вообще mod_auth_ntlm_winbind прикрутить, но довольно быстро понял бессмысленность затеи в отсутствие 4-й самбы.
Завёл лдап (тяжело, когда машина уже используется, но... помучавшись, всё совместил, остатки пришлось допинывать через webmin), после этого ещё пришлось гуглить правильный рецепт ограничения по групе, ибо тупо
Require ldap-group cn=CVS,ou=Groups,dc=darkdragon,dc=lan
ну никак не прокатывало.