Hat die REMOTE_USER nur innerhalb der geschützten Verzeichnisse den Anmeldenamen gespeichert?

Ja.

Laut http://www.teamone.de/selfaktuell/schroepl02.htm#a2 sollten auf dem Apache-Server die cgi-bin Verzeichnisse nicht durch ein Passwort geschützt werden.

"Sollten" ist nicht der richtige Ausdruck. Wir haben es einfach nicht ohne Fehler im Webserver hinbekommen. Wenn Du es schaffst, prima (und dann bitte Lösung posten ... :-).

Wie kann ich dann an den Namen des Users gelangen?

An der von Dir zitierten Stelle steht auch der workaround, den wir verwendet hatten: HTML-Seite vorschalten, diese schützen und im CGI-Skripts den HTTP_REFERER prüfen. Wenn dieser die URL der HTML-Seite enthält, dann muß der Besucher durch die Authentifizierung gelaufen sein, und dann ist REMOTE_USER mit Sicherheit gesetzt.