Bueno ... el tiempo de la sesión (de expiración de la sesión) puedes definir el que quieras y funciona de forma independiente a tu control de "concurrencia" ..

En tu caso lo que pretendes es evitar un login (con el par usuario/contraseña) en el mismo tiempo que definas como tiempo máximo inactividad en el sistema .. tiempo que controlas con ese campo tipo flag que guarda la fecha de ingreso y que se actualiza con cada iteracción con el servidor para saber que "el usuairo está ahí" ... tiempo que "miras" (consultas) a la hora de hacer un login ese usuario ...

Un saludo,