Одной из возможностей является использование Tomcats в механизме единого входа: http://tomcat.apache.org/tomcat-5.5-doc/config/host.html#Single_Sign_On
Более общим, но все же простым в использовании подходом является CAS (Central Authentication Service): http://www.jasig.org/cas Он также открытsource.
Kerberos идеально подходит, если вы хотите использовать встроенный единый вход Windows в корпоративной среде.(Значит, пользователь, прошедший аутентификацию в системе Microsoft Windows, автоматически входит в керберизованные веб-приложения).Для многих других случаев использования он совсем не подходит.
Не существует общего «лучшего способа», когда речь идет о SSO для веб-приложений, но, возможно, тот, который лучше всего подходит для ваших конкретных требований.Может быть, вы можете объяснить их более подробно?
кстати, какого черта вы все еще используете Tomcat 5.5?