¿Es posible realizar la autenticación kerberos opcional?

Lo que quiero es: si el cliente (navegador) no está en el dominio, se redirige a un nombre de usuario / contraseña de inicio de sesión web. De lo contrario se hará la autenticación SPNEGO do Kerberos.

Si acabo de enviar el encabezado WWW-Authenticate: Negotiate a un navegador que no sea de dominio, no hace nada más.

¿Hay alguna opción para decirle al navegador que pruebe algo diferente si no sabe cómo autenticarse? ¿O tengo que determinar si el usuario es parte del dominio antes de enviar el encabezado "Autenticación WWW"?