Insisto .. Recuerda que las sesiones (Ese SID) es único para el cliente que las crea .. nada que ver con tus "usuarios" de tus sistemas. Si yo entro desde PC1 con la cuenta de usuario "pepe:mi_pass" y me voy al PC2 para usar la misma cuenta, .. el "SID" que se generá es uno nuevo .. así que por ese médio no voy a controlar la "concurrencia": que una cuenta se use desde varios PC's (Clientes) .. para eso, puedes usar la solución que plantea himer o la que propongo yo mismo sobre el tiempo de expiración por defecto (que es lo que haría el cron Job de himer)

El caso es que las validaciones se hacen en el script que hace el "login" contra la BD (la tabla de usuarios y esos campos de fecha de ingreso o de última iteracción con el sistema) para que sea tu rutina la que decida si va a poder hacer un nuevo login o será rechazado.

Un saludo,