Esto está relacionado con Tomcat 6 con JAASRealm y un módulo JAAS personalizado para la seguridad.Asignación de roles de seguridad Tomcat
Otros servidores de aplicaciones parecen admitir la asignación de nombres de roles de aplicaciones (en web.xml) a grupos reales del reino de seguridad subyacente utilizando descriptores de despliegue específicos del servidor - as mentioned en el tutorial de Java EE 5.
¿Tomcat tiene un mecanismo similar?
Editar: Parece que este thread habla del mismo requisito, pero desafortunadamente no tiene una respuesta definitiva.
A request for enhancement a JBoss Web (con tomcat under the hood) se ha hecho para solucionar este problema.
I' he creado https://java.net/jira/browse/JAVAEE_SPEC-20 en apoyo de esto. Esperemos que esto sea posible en una versión futura de Java EE y/o Servlet. Si usted (o cualquier otra persona) todavía se preocupa por esto, vote por el problema. –