Компонент ACL необходим только в том случае, если вам необходимо обеспечить доступ к определенным частям сайта определенным группам пользователей, а не другим. Если вам нужно только знать, является ли кто-то пользователем или нет, Auth будет вас охватить.
По умолчанию сеансы создаются для всех. Если вы не используете их для анонимных пользователей, все равно оставлять их включенными все время, потому что а) это проще, и б) накладные расходы на это крайне минимальны. Если вы решите пойти дальше и выключить их, если не используете их, вы можете set Session.start to false в app/config/core.php.
Однако вам нужно будет добавить код, чтобы начать сеанс, когда пользователь вошел в систему. У вас могут также возникнуть проблемы с компонентом Auth. Он использует компонент Session, и я считаю, что он ожидает, что сеансы будут запущены при каждой загрузке страницы.