. wo speicher ich username/passwort (in extra datei)?

Wo Du die Daten zum Login speicherst, bleibt Deiner Phantasie überlassen. Das kann eine einfache Textdatei sein, besser noch eine Datei mit eingebautem Index (db/dbm) oder, bei vielen Nutzern oder vielfälltigen Benutzerdaten, eine echte Datenbank.
Achte aber in jedem Falle darauf, NICHT die PASSWÖRTER im Klartext zu SPEICHERN. Speichere stattdessen zum Beispiel eine mit md5() erstellte Prüfsumme.

In der Session ($_SESSION) speicherst Du gar keine Passwortdaten, lediglich den Nutzernamen.

. wie greift php auf diese daten zu, wenn der user sie eingibt?

Was meinst Du damit? Formulardaten bekommst Du von PHP in einem Feld namens $_POST geliefert, die Sessiondaten werden von PHP automatisch im Feld $_SESSION gesichert.

Benutze phpinfo(), um Dich über die von PHP zur Verfügung gestellten Variablen zu informieren.

. wie erreiche ich, dass die session während des kompletten verweilens auf meiner webseite behalten wird?

Das passiert automatisch. Die Sessiondaten werden auf dem Server gespeichert, dieser gesamte Datensatz mit einer eindeutigen Kennung versehen. Diese Kennung wiederum ("Session-ID") wird von PHP in einem Cookie im Browser gespeichert.
Cookies werden automatisch bei jeder Anfrage an den Server gesendet, so daß PHP auch bei jeder Anfrage die Kennung erhält und an Hand dieser schlußendlich den gespeicherten Datensatz für Dich in $_SESSION bereit stellen.

Gruß,
  soenk.e