la única forma de hacer eso es registrando en un archivo único o en un registro único de la base de datos el ID de sesión logueado, y cuando se intente de nuevo procede a bloquear.

consecuencias: si no se cierra sesión debidamente permanece el registro y es imposible entrar hasta que no se elimine, es una arma de doble filo