Ist es möglich, eine optionale Kerberos-Authentifizierung durchzuführen?

Was ich möchte ist: Wenn sich der Client (Browser) nicht in der Domain befindet, wird er zu einem Benutzernamen / Passwort für das Web-Login umgeleitet. Andernfalls führt SPNEGO die Kerberos-Authentifizierung durch.

Wenn ich nur den WWW-Authenticate: Negotiate-Header an einen Nicht-Domain-Browser sende, geschieht nichts weiter.

Gibt es eine Option, um den Browser anzuweisen, etwas anderes auszuprobieren, wenn er nicht weiß, wie er sich authentifizieren soll? Oder muss ich feststellen, ob der Benutzer Teil der Domain ist, bevor ich den Header "WWW-Authenticate" sende?