"Max-All-Session funktioniert nur in Verbindung mit Session-Timeout" trifft es wohl eher.
Der, z.B. in der Benutzerdatei 'users' hinterlegte oder seitens RADIUS errechnete (z.B. LoginTime), Session-Timeout wird bei jeder Authentisierung an den Authenticator/NAS (hier AP mit dd-wrt) übergeben.
Es ist nun eigentlich Aufgabe des Authenticator dieses timeout zu überwachen und nach Ablauf eine Reauthentisierung anzustoßen.
Sind bei dieser erneuten Authentisierung andere Limits (Login-Time, Max_All_Session, etc.) erreicht, wird eine erneute Anmeldung abgelehnt.
Das Thema "Session-Timeout" konnte ich aber glücklicherweise mit dem Build 19519 (bzw. 18777 auf dem WG602) lösen. Zumindest in diesen Builds (andere/ältere habe ich dann darauf nicht mehr getestet) wird seitens dd-wrt das Attribut "Session-Timeout" wieder korrekt ausgewertet und umgesetzt.