JSF com security-constraint

Front-end
#1

Criei uma página com dois componentes selectOneMenu interligados que
funciona normalmente. Ao inserir esta página como protegida no
web.xml, ao tentar acessá-la a página definida para o login só se abre
após selecionar um dos itens. Não deveria exibir a tela de login antes
de exibir a página ?

Até aí tudo bem (pelo menos eu acho). O problema vem depois. Após
informar o login/senha, ao invés de voltar na página com os
componentes selectOneMenu, aparece uma página sem o layout original e
apenas o select (em HTML) com o que deveria ser o segundo
selectOneMenu, e a URL exibe algo finalizado com “directLink=true”,
que não sei de onde saiu.

Até então eu estava usando o RichFaces 3.1.6-GA e o MyFaces 1.2.2 .
Pesquisando na net, descobri que poderia ser um bug do RichFaces (ver
https://jira.jboss.org/jira/browse/RF-2523).
Decidi então atualizar estas bibliotecas, mas não tive sucesso.

Tentei atualizar o MyFaces para a v1.2.5 mas continuou o mesmo erro.
Tentei usar as versões 3.2.0-SR1 e 3.2.2-SR1 do RichFaces, alternando
entre as versões 1.2.2, 1.2.3 e 1.2.5 do MyFaces, mas aí passei a
receber o seguinte erro:

java.lang.NoSuchMethodError: org.richfaces.taglib.SpacerTag.setWidth
(Ljava/lang/String;)

Alguém já passou por este problema ? Que versão do MyFaces devo usar
com o RichFaces 3.2.2-SR1, já que também uso o Tomahawk 1.1.6 ?

Minha configuração no web.xml está assim:

<login-config>
    <auth-method>FORM</auth-method>
    <realm-name>Autenticacao Form-Based para o contexto Login</realm-name>
    <form-login-config>
    <form-login-page>/jsp/login.jsp</form-login-page>
        <form-error-page>/jsp/erroLogin.jsp</form-error-page>
    </form-login-config>
</login-config>

<security-role>
     <role-name>manager</role-name>
</security-role>
<security-role>
    <role-name>afc</role-name>
</security-role>

<security-constraint>
    <display-name>Permissoes gerais</display-name>
    <web-resource-collection>
        <web-resource-name>Area Protegida</web-resource-name>
        <!-- Define the context-relative URL(s) to be protected -->
        <url-pattern>/jsp/cadastro.jsf</url-pattern>
        <url-pattern>/jsp/inserirVeiculo.jsf</url-pattern>
        <url-pattern>/jsp/resetCont.jsf</url-pattern>
        <!-- If you list http methods, only those methods are protected -->
        <http-method>GET</http-method>
        <http-method>POST</http-method>
    </web-resource-collection>
    <auth-constraint>
        <!-- Anyone with one of the listed roles may access this area -->
        <role-name>afc</role-name>
    </auth-constraint>
</security-constraint>
#2