mira te cuento, tengo hecho un login, el cual autentica con LDAP contra un active directory, esto va por LDAPS (LDAP+SSL), luego va todo por HTTPS, y ahora la duda la tenia con las sessions. Osea que es normal, que el Session_ID sea el mismo, sin cerrar el navegador no ? aunque utilize distintos usuarios (en el mismo host claro). Luego la comprobacion la hago asi,
Código PHP:
if((!isset($_SESSION['password'])) and (!isset($_SESSION['username'])))
header("location:no_autorizado.php");
} else {
loquesea
}
asi compruebo quien ha iniciado la session no ?? el password es un hash, no es el password en texto plano.