Хотя я не совсем знаком с функциональностью ACL в CakePHP, вы можете проверить CanCan Райана Бейтса:
CanCan - библиотека авторизации для Ruby on Railsкоторый ограничивает доступ к ресурсам данного пользователя.Все разрешения определены в одном месте (класс Ability) и не дублируются для контроллеров, представлений и запросов к базе данных.