Esse é o caminho certo, mas você vai querer indicar que é um usuário do sistema para que /etc/shadow não tenha nenhuma informação antiga. Na página useradd man:
-r, --systemCreate a system account. System users will be created with no aging information in /etc/shadow, and their numeric identifiers are choosen in the SYS_UID_MIN-SYS_UID_MAX range, defined in /etc/login.defs, instead of UID_MIN-UID_MAX (and their GID counterparts for the creation of groups). Note that useradd will not create a home directory for such an user, regardless of the default setting in /etc/login.defs (CREATE_HOME). You have to specify the -m options if you want a home directory for a system account to be created.
Então você vai querer algo como:
useradd -s /usr/sbin/nologin -r -M tomcat
Você também pode criar um diretório pessoal, se quiser, talvez algo que pertença ao serviço, por exemplo:
useradd -s /usr/sbin/nologin -r -M -d /etc/nginx nginx