Encontrou a resposta no StackOverflow ... Avançar REMOTE_USER para o tomcat via AJP
Em resumo, você deve adicionar tomcatAuthentication="false"
ao seu conector AJP.
O padrão ...
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />
... torna-se ...
<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" tomcatAuthentication="false" />