É possível fazer a autenticação opcional do kerberos?

O que eu quero é: se o cliente (navegador) não estiver no domínio, ele será redirecionado para um login na web com nome de usuário / senha. Caso contrário, ele fará a autenticação SPNEGO do Kerberos.

Se eu apenas enviar o cabeçalho WWW-Authenticate: Negotiate para um navegador que não seja de domínio, ele simplesmente não fará mais nada.

Existe alguma opção para dizer ao navegador para tentar algo diferente, se ele não sabe como autenticar? Ou eu tenho que determinar se o usuário faz parte do domínio antes de enviar o cabeçalho "WWW-Authenticate"?