спасибо за ответы,
Vadim Dvorovenko, да, пользователи у меня тоже берутся из чужой базы при помощи моего кастомного auth плагина, но и каждый логин проходит через этот же плагин, поэтому логично что если сессия пользователя устанавливается при логине, то это событие можно как-то оверрайдить. по крайней мере я ищу путь чтобы не касаться исходников мудла, потому что это очень плохой стиль программирования и при первом же апдейте все слетит.
Vadim Tabunshchik, вот как раз это связано с мудлом, ведь он же ставит настройки sessiontimeout. и его настройка - максимум 4 часа, что меня, к сожалению, не устраивает, так как remember me в других продуктах говорит о хранении юзера залогиненым как минимум неделю.
нашел еще одну лазейку, незнаю насколько поможет, в auth plugin можно оверрайдить функцию
function ignore_timeout_hook($user, $sid, $timecreated, $timemodified)
вот если ее выставить в return true, возможно что-то получится, занимаюсь тестированием.