そういえば、SELinux ユーザーの sutaff_u から、SELinux ロールの unconfined_r  を抜いておくのを忘れないようにしましょう。

# semanage user -m -R "staff_r system_r sysadm_r" staff_u

 確認しましょう。

# semanage user -l

staff_u から、unconfined_r  が抜けてますよね。