Ograniczenie bezpieczeństwa Tomcat dla prawidłowego użytkownika

Próbuję chronić zasób w tomcat, aby tylko „poprawni użytkownicy” (ci z prawidłowym loginem i hasłem w dziedzinie) mogli uzyskać do niego dostęp. Nie muszą koniecznie należeć do grupy w królestwie. Próbowałem z wieloma kombinacjami<security-constraint> dyrektywa bez powodzenia. Jakieś pomysły?