Depois de pesquisar, não parece que o LDAP ou o Kerberos farão isso. Aparentemente, não há atributos para isso no LDAP e realmente não há como trabalhar com uma perspectiva LDAP. Não há logout do LDAP, portanto, ele nunca poderá diminuir a contagem de login.
Perante isto, parece que a solução terá de ser ad hoc.
Você precisará de um serviço que monitore /var/run/utmp ou o comando w (mostra usuários atualmente conectados) em cada máquina e os relate a um servidor central por algum mecanismo (nfs mount + arquivo de texto, por exemplo) .
Em seguida, você precisará de um script de login que exclua o usuário se ele exceder o limite de logins simultâneos. O script de login lerá do servidor central qual é a contagem de login atual. Como alternativa, você pode ter um serviço que modifique o maxlogins em /etc/security/limits.conf com base no valor da contagem de login recuperada do servidor central.
maxlogins = $total_logins - $current_logins
Basicamente, a consideração mais importante é que os usuários não têm permissão para alterar a contagem de login ou podem alterar manualmente o valor para permitir mais logins.