PearのAuthを使って認証システムを入れてるのですが
ローカルのサーバだとセッションの有効期限の延長がうまくいくのに、CPIの本サーバだと上手くいかない。。
なぜだ・・・ということで調べたけっか.htaccessにこれを入れました。

# session limit setting
php_value session.save_path /usr/home/xxxxxx/tmp/

つまり、ポイントなのがsession.save_pathを入れるということ
共用サーバなので他人のプログラムが動いた時にガーベッジコレクタ(GC）が起動して消えてしまったということかなと。
PearのAuthを使っているのでsession.gc_maxlifetime等は.htaccessには書かない。

via
セッション(session)の有効期限を設定するには - spanstyle::monolog
sessionのタイムアウトについて。 - Leilaの超初心者メモ。