Можно ли сделать дополнительную аутентификацию Kerberos?

То, что я хочу: если клиент (браузер) не находится в домене, он перенаправляется на веб-имя пользователя / пароль. В противном случае он будет делать SPNEGO аутентификацию Kerberos.

Если я просто отправляю заголовок WWW-Authenticate: Negotiate браузеру, не являющемуся доменом, он ничего больше не делает.

Можно ли указать браузеру попробовать что-то другое, если он не знает, как проходить аутентификацию? Или я должен определить, является ли пользователь частью домена, перед отправкой "WWW-Authenticate"? заголовок?