No, esa no es la idea no puedes usar $_SESSION, tienes que realizar otro mecanismo de sesiones en el servidor principal, preferentemente usando una base de datos.

El proceso es sencillo:
- Desde el dominio cliente, primero verificas si existe un token en tu sesión local, si no existe, lo mandas al dominio principal.
- En el dominio principal, haces el login, si es exitoso, generas un token aleatorio, insertas en la base de datos, con un tiempo de vida, y rediriges al dominio cliente indicándole el token.
- En el dominio cliente nuevamente recibes el token, lo guardas en tu sesión local.
- Luego en cada requests mandas el token al servidor principal, para verificar que todavía es válido, y es ahí donde respondes con el JSON si es correcto o no es correcto para decidir en el cliente si proceder o no con la sesión.

Espero con esto veas porque no puedes usar $_SESSION en el servidor principal, necesitas un medio persistente con más control como una base de datos, ya en el cliente sí puedes usar $_SESSION si gustas para guardar datos locales y el token.

Saludos.