SPNEGO поддерживается в was7, см. Создание единого входа для HTTP-запросов с использованием веб-аутентификации SPNEGO
Как указано в документе:
Идентификатор запрашивающей стороны в реестре безопасности WebSphere Application Server должен быть идентичен идентификатору, который получает веб-аутентификация SPNEGO.Такое же совпадение имеет место, когда сервер Microsoft Windows Active Directory является сервером протокола LDAP, который используется в WebSphere Application Server.
Это означает, что HttpServletRequest.getRemoteUser() вернет вам фактическое имя пользователя.
Вы можете выполнять операции ldap через jndi, см. JNDI как LDAP API Однако я бы сказал,предпочитайте сопоставление групп ролям для определения членства в группах.