fix(restore): authelia smoke default_policy two_factor (rules-less)

Authelia 4.39 verlangt: ohne access_control.rules muss default_policy
'two_factor' oder 'one_factor' sein. 'bypass' war nur historisch zulaessig,
mit 4.39 schlaegt config validate fehl mit "'default_policy' option
'bypass' is invalid: when no rules are specified it must be 'two_factor'
or 'one_factor'". /api/health ist public und laeuft nicht durch
access_control - die Smoke-Semantik bleibt unveraendert.

Beobachtet im Erstlauf 2026-06-03 nach Refactor auf Minimal-Testkonfig
(Commits 541c7be..440000c). Mit diesem Fix sollte 'authelia config
validate' durchlaufen; HTTP /api/health-Smoke ist der Folgeschritt.

Co-Authored-By: Claude Opus 4.7 <noreply@anthropic.com>

ops/restore-tests/authelia-restore-test.sh

@@ -152,7 +152,11 @@ authentication_backend:
       parallelism: 4
 
 access_control:
-  default_policy: bypass
+  # Authelia 4.39 verlangt: wenn KEINE Regeln gesetzt sind, muss default_policy
+  # 'two_factor' oder 'one_factor' sein. 'bypass' ist als Default-Policy ohne
+  # explizite Regeln nicht erlaubt. Fuer den Smoke ist das egal: /api/health
+  # ist ein public Endpunkt und laeuft nicht durch access_control.
+  default_policy: two_factor
 
 regulation:
   max_retries: 3