EJB configured to bypass security. Please verify if this is intended

Если в логах сообщение типа "EJB configured to bypass security. Please verify if this is intended", можно смело на него забить. Спецификация не требует для MDB-бинов объявлять явно домен безопасности (security-domain)