La seguridad está a nivel del servidor de apache.
En la aplicación se hace un invalidate de la sesión (ver código)
Esto nos hace pensar que quizás el problema resida en que tomcat hace un invalidate de la sesión pero en apache sigue guárdando la referencia de usuario / pwd.
La pregunta es ¿habrá que decirle a apache que vuelva a validar?¿cómo?

public ActionForward execute(
ActionMapping mapping,
ActionForm form,
HttpServletRequest request,
HttpServletResponse response)
throws Exception {

request.getSession().invalidate();

return (mapping.findForward("mostrarInicio"));
}