Dotaz: JBoss/Tomcat autentizace (Kerberos a basic auth)

Ahoj,
u webové aplikace (poběží na JBossu) potřebuji provést autentizaci a to následujícím způsobem: prvně se pokusí provést autentizaci přes Kerberos (jako SSO, tj. požádá o ticket a případně jej ověří), pokud tato autentizace bude neúspěšná, požádá uživatele o zadání loginu a hesla. Problém je ve web.xml, kde může být jen jeden element <auth-method>. Pro kerberos autentizaci je potřeba jej nastavit na <auth-method>SPNEGO</auth-method>, pro zadaní loginu a hesla např. na <auth-method>BASIC</auth-method>. Při pokusu vyřešit to celé v rámci modulu, který se stará o autentizaci přes Kerberos, jsem neuspěl; mám nastavený <module-option name="doNotPrompt">false</module-option>, ale když nemám ticket, k zadání loginu a hesla nejsu vyzván (je potřeba ještě nastavit něco dalšího, třeba CallBackHandler - jak?). Máte nějaké nápady, jak to řešit? Idelně jen v rámci JBoss/Tomcat (tj. ne tak, že předřadím Apache a budu provádět autentizaci přes něj).
Předem díky za rady.

Můžete si napsat filtr, který zjistí, zda je uživatel přihlášen, a pokud ne, pošle sám příslušný HTTP chybový kód s výzvou k zadání hesla a uživatele ověří. Případně (pokud to jde) si napsat vlastní autentizační modul, který interně zavolá postupně oba zmíněné moduly.