Mi aplicación actualmente se basa en la autenticación de dominio JDBC. Las necesidades recientes nos han obligado a pensar en tener también la autenticación LDAP. Estamos pensando en utilizar Active Directory tanto para la autenticación como para la autorización (roles). Como una prueba independiente, pude autenticar mi aplicación con AD. Pero aquí está la confusión que tengo hacia adelante.

¿Si el usuario elige la autenticación LDAP cuando inicia sesión, autentico al usuario con AD, obtengo los roles del usuario y replica (creo un nuevo) usuario de Windows en mi base de datos? Tengo que tener al usuario en la base de datos, porque muchas partes de la aplicación están diseñadas para recuperar al usuario de la base de datos

Si los usuarios eligen inicio de sesión local, aún debería tener JDBCRealm en algún lugar que debería usar para autenticar al usuario. ¿Es posible tener múltiples reinos en tomcat? (Sé que es posible, pero no he visto mucha documentación a su alrededor)

Cualquier pensamiento, comentario, sugerencia me ayudaría enormemente.

Gracias k