Como evitar prompts de senha do navegador quando não há conexão única do Active Directory?

Temos o login único trabalhando em um site interno, com o Apache e mod_auth_kerb ..., exceto que os usuários sem a configuração do navegador relevante estão recebendo prompts de senha em vez de uma página de erro.

Os usuários que ajustaram a configuração do navegador da Web para permitir que o site entrasse direto. O problema é que os usuários ainda não realizaram essa configuração do navegador: queremos que eles vejam uma página de erro, mas Edge, Chrome e IE todos solicitam um nome de usuário e senha.

Temos KrbMethodK5Passwd off . Isso tem o efeito desejado nos usuários do Firefox, que vêem a página de erro.

Como podemos evitar que os outros navegadores solicitem uma senha quando o SSO falha? Não queremos que as senhas passem pela rede e não queremos que os usuários acreditem que é aceitável fornecer o nome de usuário e a senha do Windows aos sites.

Solicitação indesejada do Chrome do Heres:

EaquiestáoEdge(oIEépraticamenteomesmo):

SeousuáriopressionarEsc7vezes,opromptdesapareceráeousuáriopoderálerapáginadeerro.Masnãohánenhumarazãoparaumusuáriopensaremfazerisso(senãofuncionounasprimeiras6vezes,porquetentarum7º?),Enquantoelespodemtentarenviarsuasenha.

OservidorestáexecutandooUbuntuetemessaconfiguraçãodoApacheimpondoaautenticação:

<Location/>AuthName"Internal Website Domain Authentication"
  AuthType Kerberos
  Krb5Keytab /etc/apache2/HTTP.keytab
  KrbMethodNegotiate on
  KrbMethodK5Passwd off
  Require valid-user
  ErrorDocument 401 /error/authentication.html
</Location>

Obrigado.