Czy możliwe jest opcjonalne uwierzytelnianie Kerberos?

Chcę: jeśli klient (przeglądarka) nie znajduje się w domenie, zostaje przekierowany do logowania do nazwy użytkownika / hasła. W przeciwnym razie wykona SPNEGO uwierzytelnianie Kerberos.

Jeśli po prostu wyślę adres WWW-Authenticate: Negocjuj nagłówek do przeglądarki innej niż domena, to nic więcej nie robi.

Czy istnieje opcja nakazania przeglądarce, aby spróbowała czegoś innego, jeśli nie wie, jak się uwierzytelnić? Czy muszę określić, czy użytkownik jest częścią domeny przed wysłaniem nagłówka „Uwierzytelnij WWW”?