Con la técnica de "timeout" no se controla un flag y su estado . sino que es en base a ese tiempo que el usuario ingresó al sistema y que en cada iteracción con tus scripts lo actualizas es el que determinarías si el usuario ha estado cierto tiempo sin actividad y por ende podrías "considerar" que el usuario salió del sistema no por tu "logout".

Por supuesto esto plantea el mismo problema que el flag .. sólo que el flag sólo podría cambiarlo de estado un administrador del sistema .. y el caso del "timeout" habría que "esperarse" como máximo el tiempo que tu determines como que el usuario no ha presentado actividad en tu sistema: que no ha movido páginas, ejecutado scripts, enviado formularios .. etc ..

Bueno . .si estás -dentro- de una LAN . .cada uno tendrá su IP (cada PC o estación de trabajo) .. ahora, si los "ves" desde fuera de esa LAN y todos pasan por un proxy ahí aparecenran al otro lado como una misma entidad (la IP que tenga ese proxy en su conexión).

Realmente si es vital que una misma contraseña no se use -a la vez- podrías forzar a IP cliente -> cierto usuario concreto (hablando de que estamos -dentro- de una LAN). Pero si necesitas o debes permitir que cualquier usuario de tu sistema haga su "login" en el PC que tenga disponible en esa LAN .. entonces no puedes forzar esto.

En resumen . si necesitas ese control de 1 Usuario que haga login por PC y que lo pueda hacer donde necesite (PC). Vas a tener que tener una "entidad" (cargo, persona, Administrador ..) que se encargue de "liberar" ese usuario (cambiar ese flag de estado) en caso de conflictos: cierre de sesión no por tu logout .. cortes de energía electrica .. etc. Todas las otras soluciones tienen sus "falencias" por algún lugar.

Un saludo,