Это связано с Tomcat 6 с JAASRealm и пользовательским модулем JAAS для обеспечения безопасности.
Другие серверы приложений, кажется, поддерживают сопоставление имен ролей приложений (в web.xml) с фактическими группами базовой области безопасности с использованием дескрипторов развертывания для конкретного сервера - , как упоминалось в Java EE 5 Руководство.
Есть ли у Tomcat аналогичный механизм?
Редактировать: Эта тема , кажется, говорит об одном и том же требовании, но, к сожалению, не имеет однозначного ответа.
запрос на улучшение для JBoss Web (с tomcat под капотом) был сделан для решения этой же проблемы.