Lo que puedes hacer, segun lo que se me ocurre al boleo es:
crear una tabla LOGER con los campos ID_USUARIO, ID_SESSION.
Entonces cuando se loguea, si los datos son OK agregas en esta tabla el nombre del usuario y el id de la session que se abrió.
Pero antes de guardar los datos en esta tabla, corroboras que ese usuario no exista en la misma, y si existe actualizas el id de sessión y si no existe, lo ingresas.
Por último, si usas el autenticador de cluster en el encabezado de las páginas protegidas:
Código PHP:
require("aut_verifica.inc.php");
$nivel_acceso=10; // Nivel de acceso para esta página.
if ($nivel_acceso <= $_SESSION['usuario_nivel']){
header ("Location: $redir?error_login=5");
exit;
}
agregas una gunción que busque el ID de sesión en la tabla LOGER para ese usuario. Entonces una vez encontrado el resultado comprara si el ID de sesión actual coincide con el de la base de datos. Si coincide le das el ok, si no coincide (el usuario ingresó por otra máquina o por otro navegador) entonces le das a session_destroy(); o sea, lo sacas del sistema.
Como conclusión, sólo podrá navegar el último que ingresa.
Espero te sirva.