Meu aplicativo atualmente depende da autenticação do domínio JDBC. As necessidades recentes nos forçaram a pensar em ter autenticação LDAP também. Estamos pensando em usar o Active Directory tanto para autenticação quanto para autorização (funções). Como teste autônomo, consegui autenticar meu aplicativo com o AD. Mas aqui está a confusão que tenho daqui para frente.

Se o usuário escolher a autenticação LDAP quando ele fizer login, eu autentico o usuário com o AD, obtenho as funções do usuário e faço a replicação (crie um novo) usuário do windows no meu banco de dados ?. Eu tenho que ter o usuário no banco de dados, porque muitas partes do aplicativo é projetado para recuperar o usuário do banco de dados

Se os usuários escolherem o login local, eu ainda devo ter o JDBCRealm em algum lugar que eu deveria usar para autenticar o usuário. É possível ter vários reinos no tomcat? (Eu meio que sei que é possível, mas ainda não vi muita documentação sobre isso)

Quaisquer pensamentos, comentários, sugestões me ajudariam imensamente

Obrigado k